Pular para o conteúdo
Blog

Gerenciamento seu Mikrotik via VPS

Resumo
Use um VPS público como um hub de túnel seguro para acessar MikroTik e dispositivos internos atrás de CGNAT. Este guia cobre criação do VPS, configuração do OpenVPN, configuração do cliente MikroTik, encaminhamento de portas e dicas de hardening.

Gerenciamento remoto de MikroTik via VPS

Acessar dispositivos atrás de um MikroTik sem IP público é um problema clássico.

Um VPS público funciona como uma ponte confiável.

O roteador abre um túnel de saída para o VPS, e você alcança o roteador ou qualquer dispositivo da LAN através desse túnel.

Esta receita usa um VPS (ex.: DigitalOcean) e OpenVPN, mas o padrão funciona com WireGuard, túneis SSH reversos ou outras VPNs.

Visão geral da arquitetura

Fluxo:

Administrador ⇄ VPS público ⇄ MikroTik (atrás do NAT) ⇄ Dispositivo interno

O MikroTik inicia o túnel até o VPS. O VPS é o encontro estável com IP público.

Uma vez que o túnel esteja ativo, o VPS pode encaminhar portas ou rotear tráfego para a LAN do MikroTik.

Etapa 1 — Crie um VPS (exemplo DigitalOcean)

  • Crie uma conta no provedor escolhido.
  • Crie um Droplet / VPS com Ubuntu 22.04 LTS.
  • Um plano pequeno é suficiente para cargas de gerenciamento (1 vCPU, 1GB RAM).
  • Adicione sua chave pública SSH para acesso root seguro.

Exemplo (resultado):

  • IP do VPS: 138.197.120.24
  • Usuário: root

Etapa 2 — Prepare o VPS (servidor OpenVPN)

Conecte-se ao VPS via SSH:

Terminal window
ssh root@138.197.120.24
apt update && apt upgrade -y
apt install -y openvpn easy-rsa iptables

Crie a PKI e os certificados do servidor (easy-rsa):

Terminal window
make-cadir ~/openvpn-ca
cd ~/openvpn-ca
./easyrsa init-pki
./easyrsa build-ca nopass
./easyrsa gen-req server nopass
./easyrsa sign-req server server
openvpn --genkey --secret ta.key

Habilite o encaminhamento de IP:

Terminal window
sysctl -w net.ipv4.ip_forward=1
# persistir em /etc/sysctl.conf se desejar

Adicione uma regra de NAT para que clientes do túnel possam sair pela interface pública do VPS (eth0):

Terminal window
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

Crie um arquivo mínimo de configuração do servidor /etc/openvpn/server.conf e inicie o serviço.

Dica: Reforce o SSH (apenas chaves), habilite regras em UFW/iptables e considere fail2ban para proteção adicional.

Etapa 3 — Gere credenciais e configuração do cliente

No VPS, gere um certificado de cliente (client1) e reúna estes arquivos para o MikroTik:

  • ca.crt
  • client1.crt
  • client1.key
  • ta.key (se usado)
  • client.ovpn (config do cliente)

Um client.ovpn mínimo:

client
dev tun
proto udp
remote 138.197.120.24 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
cipher AES-256-CBC
verb 3

Etapa 4 — Configure o MikroTik como cliente OpenVPN

Faça upload dos certificados do cliente e do client.ovpn para o MikroTik (Files), então crie uma interface cliente OVPN:

/interface ovpn-client add name=vpn-to-vps connect-to=138.197.120.24 port=1194 \
    user=vpnuser password="senha123" profile=default-encryption add-default-route=no


/interface ovpn-client print

Espere um status como:

status: connected
uptime: 00:00:45
remote-address: 10.8.0.1
local-address: 10.8.0.2

Nota: Ajuste add-default-route para controlar se o roteador encaminha todo o tráfego pelo túnel.

Etapa 5 — Acesse o MikroTik via VPS

Use DNAT no VPS para encaminhar uma porta pública para o WebFig do roteador ou outro serviço.

No VPS:

Terminal window
iptables -t nat -A PREROUTING -p tcp --dport 8081 -j DNAT --to-destination 10.8.0.2:80
iptables -t nat -A POSTROUTING -p tcp -d 10.8.0.2 --dport 80 -j MASQUERADE

Agora http://138.197.120.24:8081 alcançará o WebFig do roteador através do túnel.

Etapa 6 — Acesse dispositivos da LAN interna

Para alcançar um dispositivo atrás do MikroTik (ex.: câmera 192.168.88.100), adicione uma regra DNAT no VPS e um dst-nat no MikroTik se necessário.

No VPS (mapear porta pública 8082 para o peer do túnel):

Terminal window
iptables -t nat -A PREROUTING -p tcp --dport 8082 -j DNAT --to-destination 10.8.0.2:8082

No MikroTik, encaminhe a porta recebida pelo túnel para o host interno:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8082 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

Acesse a câmera:

http://138.197.120.24:8082

O tráfego percorre: IP público → DNAT no VPS → túnel OpenVPN → dst-nat no MikroTik → dispositivo interno.

Etapa 7 — Automação e hardening

Dicas práticas:

  • Use chaves SSH para acesso ao VPS e senhas fortes no MikroTik.
  • Monitore e auto-reinicie o túnel com um script MikroTik que verifique a interface OVPN.
  • Use IPs estáticos ou DDNS para o VPS se mudar de provedor.
  • Exponha apenas as portas necessárias. Mantenha o resto protegido por firewall.
  • Registre conexões e configure alertas para acessos inesperados.

Exemplo de script watchdog no MikroTik (reinicia OVPN se cair):

:if ([/interface ovpn-client get vpn-to-vps running] = false) do={
    /interface ovpn-client disable vpn-to-vps
    /delay 3
    /interface ovpn-client enable vpn-to-vps
}

Checklist de segurança

  • Mantenha o SO do VPS e o OpenVPN atualizados.
  • Use certificados únicos por MikroTik e revogue chaves comprometidas.
  • Restrinja regras de firewall do VPS a IPs de gerenciamento quando possível.
  • Use HTTPS e autenticação nos serviços encaminhados.
  • Considere executar a VPN em uma porta UDP não padrão e limitar taxa de conexões.

Onde o MKController ajuda: Se a configuração manual de túneis for custosa, o NATCloud do MKController oferece acesso remoto centralizado e conectividade segura sem gerenciar túneis por dispositivo.

Conclusão

Um VPS público é uma forma simples e controlada de alcançar dispositivos MikroTik e hosts internos atrás de NAT.

OpenVPN é uma escolha comum, mas o padrão funciona com WireGuard, túneis SSH e outras soluções.

Use certificados, regras de firewall estritas e automação para manter a configuração confiável e segura.

Sobre o MKController

Esperamos que as informações acima tenham ajudado você a navegar melhor pelo universo MikroTik e Internet! 🚀
Seja ajustando configs ou tentando trazer ordem ao caos da rede, MKController está aqui para facilitar sua vida.

Com gerenciamento centralizado na nuvem, atualizações de segurança automatizadas e um painel que qualquer pessoa domina, temos o que é necessário para elevar sua operação.

👉 Inicie seu teste grátis de 7 dias agora em mkcontroller.com — e veja como é ter controle de rede sem esforço.

--- Filename: remote_mikrotik_management_via_vps.es.md ---

title: “Gestión vía VPS” description: “Guía paso a paso para usar un VPS público como hub de túnel para gestionar dispositivos MikroTik detrás de NAT/CGNAT — configuración del VPS, OpenVPN, enrutamiento y prácticas de seguridad.” lang: “en” author: MKController sidebar: order: 1

Resumen
Utiliza un VPS público como un hub de túnel seguro para alcanzar MikroTik y dispositivos internos detrás de CGNAT. Esta guía cubre la creación del VPS, la configuración de OpenVPN, la configuración del cliente MikroTik, el reenvío de puertos y consejos de hardening.

Gestión remota de MikroTik vía VPS

Acceder a dispositivos detrás de un MikroTik sin IP pública es un problema clásico.

Un VPS público actúa como un puente confiable.

El router abre un túnel saliente hacia el VPS, y tú alcanzas el router o cualquier dispositivo de la LAN a través de ese túnel.

Esta receta usa un VPS (ej.: DigitalOcean) y OpenVPN, pero el patrón funciona con WireGuard, túneles SSH reversos u otras VPNs.

Resumen de la arquitectura

Flujo:

Administrador ⇄ VPS público ⇄ MikroTik (detrás del NAT) ⇄ Dispositivo interno

El MikroTik inicia el túnel hacia el VPS. El VPS es el punto de encuentro estable con IP pública.

Una vez que el túnel esté activo, el VPS puede reenviar puertos o enrutar tráfico hacia la LAN del MikroTik.

Paso 1 — Crea un VPS (ejemplo DigitalOcean)

  • Crea una cuenta en tu proveedor preferido.
  • Crea un Droplet / VPS con Ubuntu 22.04 LTS.
  • Un plan pequeño basta para cargas de gestión (1 vCPU, 1GB RAM).
  • Añade tu clave pública SSH para acceso root seguro.

Ejemplo (resultado):

  • IP del VPS: 138.197.120.24
  • Usuario: root

Paso 2 — Prepara el VPS (servidor OpenVPN)

Conéctate al VPS vía SSH:

Terminal window
ssh root@138.197.120.24
apt update && apt upgrade -y
apt install -y openvpn easy-rsa iptables

Crea la PKI y los certificados del servidor (easy-rsa):

Terminal window
make-cadir ~/openvpn-ca
cd ~/openvpn-ca
./easyrsa init-pki
./easyrsa build-ca nopass
./easyrsa gen-req server nopass
./easyrsa sign-req server server
openvpn --genkey --secret ta.key

Habilita el reenvío de IP:

Terminal window
sysctl -w net.ipv4.ip_forward=1
# persistir en /etc/sysctl.conf si lo deseas

Añade una regla NAT para que los clientes del túnel puedan salir por la interfaz pública del VPS (eth0):

Terminal window
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

Crea un archivo mínimo de configuración del servidor /etc/openvpn/server.conf y arranca el servicio.

Consejo: Refuerza SSH (solo claves), habilita reglas en UFW/iptables y considera fail2ban para mayor protección.

Paso 3 — Genera credenciales y configuración del cliente

En el VPS, genera un certificado de cliente (client1) y recoge estos archivos para el MikroTik:

  • ca.crt
  • client1.crt
  • client1.key
  • ta.key (si usado)
  • client.ovpn (config cliente)

Un client.ovpn mínimo:

client
dev tun
proto udp
remote 138.197.120.24 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
cipher AES-256-CBC
verb 3

Paso 4 — Configura MikroTik como cliente OpenVPN

Sube los certificados del cliente y el client.ovpn al MikroTik (Files), luego crea una interfaz cliente OVPN:

/interface ovpn-client add name=vpn-to-vps connect-to=138.197.120.24 port=1194 \
    user=vpnuser password="senha123" profile=default-encryption add-default-route=no


/interface ovpn-client print

Espera un estado como:

status: connected
uptime: 00:00:45
remote-address: 10.8.0.1
local-address: 10.8.0.2

Nota: Ajusta add-default-route para controlar si el router envía todo el tráfico por el túnel.

Paso 5 — Accede al MikroTik vía VPS

Usa DNAT en el VPS para reenviar un puerto público al WebFig del router u otro servicio.

En el VPS:

Terminal window
iptables -t nat -A PREROUTING -p tcp --dport 8081 -j DNAT --to-destination 10.8.0.2:80
iptables -t nat -A POSTROUTING -p tcp -d 10.8.0.2 --dport 80 -j MASQUERADE

Ahora http://138.197.120.24:8081 llegará al WebFig del router a través del túnel.

Paso 6 — Accede a dispositivos LAN internos

Para alcanzar un dispositivo detrás del MikroTik (ej.: cámara 192.168.88.100), añade una regla DNAT en el VPS y un dst-nat en el MikroTik si es necesario.

En el VPS (mapear puerto público 8082 al peer del túnel):

Terminal window
iptables -t nat -A PREROUTING -p tcp --dport 8082 -j DNAT --to-destination 10.8.0.2:8082

En el MikroTik, reenvía el puerto entrante desde el túnel al host interno:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8082 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

Accede a la cámara:

http://138.197.120.24:8082

El tráfico recorre: IP pública → DNAT en el VPS → túnel OpenVPN → dst-nat en el MikroTik → dispositivo interno.

Paso 7 — Automatización y hardening

Consejos prácticos:

  • Usa claves SSH para acceso al VPS y contraseñas fuertes en MikroTik.
  • Monitoriza y reinicia automáticamente el túnel con un script MikroTik que verifique la interfaz OVPN.
  • Usa IPs estáticas o DDNS para el VPS si cambias de proveedor.
  • Expón solo los puertos necesarios. Mantén el resto protegido por firewall.
  • Registra conexiones y configura alertas para accesos inesperados.

Ejemplo de script watchdog en MikroTik (reinicia OVPN si cae):

:if ([/interface ovpn-client get vpn-to-vps running] = false) do={
    /interface ovpn-client disable vpn-to-vps
    /delay 3
    /interface ovpn-client enable vpn-to-vps
}

Checklist de seguridad

  • Mantén el SO del VPS y OpenVPN actualizados.
  • Usa certificados únicos por MikroTik y revoca claves comprometidas.
  • Restringe reglas de firewall del VPS a IPs de gestión cuando sea posible.
  • Usa HTTPS y autenticación en los servicios reenviados.
  • Considera ejecutar la VPN en un puerto UDP no estándar y limitar la tasa de conexiones.

Dónde MKController ayuda: Si la configuración manual de túneles resulta costosa, NATCloud de MKController ofrece acceso remoto centralizado y conectividad segura sin gestionar túneles por dispositivo.

Conclusión

Un VPS público es una forma simple y controlada de alcanzar dispositivos MikroTik y hosts internos detrás de NAT.

OpenVPN es una elección común, pero el patrón funciona con WireGuard, túneles SSH y otras soluciones.

Usa certificados, reglas estrictas de firewall y automatización para mantener la configuración fiable y segura.

Sobre MKController

¡Esperamos que la información anterior te haya ayudado a navegar mejor por tu universo MikroTik e Internet! 🚀
Ya sea ajustando configuraciones o intentando poner algo de orden en el caos de la red, MKController está aquí para facilitar tu vida.

Con gestión centralizada en la nube, actualizaciones automáticas de seguridad y un panel que cualquiera puede dominar, tenemos lo necesario para mejorar tu operación.

👉 Inicie seu teste grátis de 3 dias agora em mkcontroller.com — e veja como é ter controle de rede sem esforço.