Zarządzanie MikroTik przez VPS

Podsumowanie
Użyj publicznego VPS jako bezpiecznego punktu dostępu do MikroTik i urządzeń wewnętrznych za CGNAT. Poradnik obejmuje tworzenie VPS, konfigurację OpenVPN, klienta MikroTik, przekierowanie portów i zabezpieczenia.

Zdalne zarządzanie MikroTik przez VPS

Dostęp do urządzeń za MikroTik bez publicznego IP to klasyczny problem.

Publiczny VPS staje się niezawodnym mostem.

Router otwiera wychodzący tunel do VPS, a Ty łączysz się z routerem lub dowolnym urządzeniem LAN przez ten tunel.

Ten sposób wykorzystuje VPS (np. DigitalOcean) i OpenVPN, ale działa też z WireGuard, tunelami SSH lub innymi VPN.

Przegląd architektury

Przepływ:

Administrator ⇄ Publiczny VPS ⇄ MikroTik (za NAT) ⇄ Urządzenie wewnętrzne

MikroTik inicjuje tunel do VPS, który jest stabilnym punktem z publicznym IP.

Gdy tunel działa, VPS może przekierowywać porty lub kierować ruch do LAN MikroTik-a.

Krok 1 — Utwórz VPS (przykład DigitalOcean)

Załóż konto u wybranego dostawcy.
Utwórz Droplet / VPS z Ubuntu 22.04 LTS.
Mały plan wystarczy do zarządzania (1 vCPU, 1GB RAM).
Dodaj swój klucz SSH dla bezpiecznego dostępu root.

Przykład (wynik):

IP VPS: 138.197.120.24
Użytkownik: root

Krok 2 — Przygotuj VPS (serwer OpenVPN)

Zaloguj się przez SSH do VPS:

ssh root@138.197.120.24
apt update && apt upgrade -y
apt install -y openvpn easy-rsa iptables

Utwórz PKI i certyfikaty serwera (easy-rsa):

make-cadir ~/openvpn-ca
cd ~/openvpn-ca
./easyrsa init-pki
./easyrsa build-ca nopass
./easyrsa gen-req server nopass
./easyrsa sign-req server server
openvpn --genkey --secret ta.key

Włącz przekazywanie IP:

sysctl -w net.ipv4.ip_forward=1
# zapisz na stałe w /etc/sysctl.conf jeśli chcesz

Dodaj regułę NAT, by klienci tunelu mogli wychodzić przez publiczny interfejs VPS (eth0):

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

Stwórz minimalną konfigurację serwera /etc/openvpn/server.conf i uruchom usługę.

Wskazówka: Zabezpiecz SSH (tylko klucze), włącz reguły UFW/iptables i rozważ fail2ban dla dodatkowej ochrony.

Krok 3 — Wygeneruj certyfikaty i konfigurację klienta

Na VPS stwórz certyfikat klienta (client1) i zbierz pliki dla MikroTik:

ca.crt
client1.crt
client1.key
ta.key (jeśli używasz)
client.ovpn (konfiguracja klienta)

Minimalny client.ovpn:

client
dev tun
proto udp
remote 138.197.120.24 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
cipher AES-256-CBC
verb 3

Krok 4 — Skonfiguruj MikroTik jako klienta OpenVPN

Prześlij certyfikaty klienta i client.ovpn do MikroTik (lista plików), potem utwórz interfejs klienta OVPN:

/interface ovpn-client add name=vpn-to-vps connect-to=138.197.120.24 port=1194 \
    user=vpnuser password="senha123" profile=default-encryption add-default-route=no

/interface ovpn-client print

Spodziewany status:

status: connected
uptime: 00:00:45
remote-address: 10.8.0.1
local-address: 10.8.0.2

Uwaga: Dostosuj add-default-route, aby kontrolować, czy router wysyła cały ruch przez tunel.

Krok 5 — Dostęp do MikroTik przez VPS

Użyj DNAT na VPS, by przekierować publiczny port do WebFig routera lub innej usługi.

Na VPS:

iptables -t nat -A PREROUTING -p tcp --dport 8081 -j DNAT --to-destination 10.8.0.2:80
iptables -t nat -A POSTROUTING -p tcp -d 10.8.0.2 --dport 80 -j MASQUERADE

Teraz http://138.197.120.24:8081 łączy się z WebFig routera przez tunel.

Krok 6 — Dostęp do urządzeń LAN

Aby dostać się do urządzenia za MikroTik (np. kamera 192.168.88.100), dodaj DNAT na VPS i dst-nat na MikroTik, jeśli potrzeba.

Na VPS (mapowanie portu 8082 na peer tunelu):

iptables -t nat -A PREROUTING -p tcp --dport 8082 -j DNAT --to-destination 10.8.0.2:8082

Na MikroTik przekaż port z tunelu do hosta wewnętrznego:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8082 action=dst-nat to-addresses=192.168.88.100 to-ports=80

Dostęp do kamery:

http://138.197.120.24:8082

Ruch przechodzi: publiczne IP → DNAT VPS → tunel OpenVPN → dst-nat MikroTik → urządzenie wewnętrzne.

Krok 7 — Automatyzacja i zabezpieczenia

Praktyczne wskazówki:

Używaj kluczy SSH dla VPS i mocnych haseł na MikroTik-u.
Monitoruj i automatycznie restartuj tunel skryptem MikroTik, który sprawdza interfejs OVPN.
Korzystaj ze statycznych IP lub DDNS dla VPS, jeśli zmieniasz dostawcę.
Udostępniaj tylko potrzebne porty, resztę blokuj firewallem.
Loguj połączenia i ustaw alerty na nieoczekiwany dostęp.

Przykładowy skrypt watchdog MikroTik (restart OVPN gdy tunel nie działa):

:if ([/interface ovpn-client get vpn-to-vps running] = false) do={
    /interface ovpn-client disable vpn-to-vps
    /delay 3
    /interface ovpn-client enable vpn-to-vps
}

Lista kontrolna bezpieczeństwa

Aktualizuj system VPS i OpenVPN.
Używaj unikatowych certyfikatów dla każdego MikroTik i unieważniaj skompromitowane.
Ogranicz reguły firewalla VPS do adresów zarządzających, gdy to możliwe.
Korzystaj z HTTPS i uwierzytelniania na przekierowanych usługach.
Rozważ działanie VPN na niestandardowym porcie UDP i ograniczanie szybkości połączeń.

Jak MKController pomaga: Jeśli ręczna konfiguracja tunelu to zbyt duże obciążenie, NATCloud MKController oferuje centralny dostęp zdalny i bezpieczne połączenia bez konieczności zarządzania każdym tunelem osobno.

Podsumowanie

Publiczny VPS to prosty i kontrolowany sposób na dostęp do urządzeń MikroTik i hostów za NAT.

OpenVPN jest popularnym wyborem, ale schemat działa także z WireGuard, tunelami SSH i innymi VPN.

Korzystaj z certyfikatów, restrykcyjnych reguł firewall oraz automatyzacji, by zapewnić niezawodność i bezpieczeństwo.

O MKController

Mamy nadzieję, że powyższe wskazówki pomogły Ci lepiej poruszać się w świecie MikroTik i sieci! 🚀
Niezależnie od tego, czy optymalizujesz konfiguracje, czy porządkujesz sieciowy chaos, MKController ułatwia Ci życie.

Z centralnym zarządzaniem w chmurze, automatycznymi aktualizacjami bezpieczeństwa i panelem, który opanuje każdy – mamy wszystko, by podnieść Twój poziom operacji.

👉 Rozpocznij darmowy 3-dniowy okres próbny na mkcontroller.com — i zobacz jak wygląda prawdziwa prostota zarządzania siecią.