Pular para o conteúdo
MKController Blog
InstagramYouTubeFacebook

Remote Access

Gerência remota MikroTik via VPS

Use um VPS público como hub de túnel seguro para alcançar roteadores MikroTik e dispositivos LAN atrás de NAT ou CGNAT — OpenVPN ponta a ponta.

MKController5 min read

Summary Um VPS público é uma ponte confiável para alcançar roteadores MikroTik atrás de NAT, NAT duplo ou CGNAT — o roteador inicia um túnel OpenVPN de saída ao VPS, e você alcança o roteador (ou qualquer dispositivo LAN atrás dele) através desse túnel. Este guia percorre o provisionamento do VPS, a configuração do servidor OpenVPN com easy-rsa, a configuração do cliente MikroTik, o port forwarding para WebFig e serviços LAN, e o checklist de hardening que mantém o setup seguro a longo prazo.

Como funciona o acesso remoto MikroTik via VPS?

Um VPS público funciona como um ponto de encontro estável com IP público permanente. O MikroTik inicia um túnel VPN de saída ao VPS (ele nunca aceita conexões de entrada, então NAT e CGNAT do lado do cliente não importam), e o VPS mantém regras DNAT que mapeiam portas públicas para a outra ponta do túnel. Administradores alcançam o roteador e dispositivos LAN pelo IP público do VPS, com o tráfego criptografado ponta a ponta pelo VPN.

O fluxo é assim: Administrador ⇄ VPS público ⇄ MikroTik (atrás de NAT) ⇄ dispositivo interno. Esse padrão funciona com OpenVPN (coberto aqui), WireGuard (veja nosso guia WireGuard), Tailscale (veja o tutorial Tailscale) ou túneis SSH reversos — os princípios são os mesmos; o protocolo difere.

Passo 1: criar o VPS

Provisione um VPS pequeno em qualquer provedor — DigitalOcean, Vultr, Hetzner ou AWS Lightsail funcionam. Especificações:

  • SO: Ubuntu 22.04 LTS.
  • Tamanho: 1 vCPU e 1 GB de RAM bastam para gerência com alguns clientes.
  • SSH: adicione sua chave SSH pública para acesso root seguro.

Para este guia:

  • IP do VPS: 138.197.120.24
  • Usuário: root

Passo 2: preparar o VPS com OpenVPN

Faça SSH no VPS e instale os pré-requisitos:

ssh root@138.197.120.24
apt update && apt upgrade -y
apt install -y openvpn easy-rsa iptables

Crie a PKI e os certificados do servidor com easy-rsa:

make-cadir ~/openvpn-ca
cd ~/openvpn-ca
./easyrsa init-pki
./easyrsa build-ca nopass
./easyrsa gen-req server nopass
./easyrsa sign-req server server
openvpn --genkey --secret ta.key

Habilite o IP forwarding (persista em /etc/sysctl.conf para reboots):

sysctl -w net.ipv4.ip_forward=1

Adicione uma regra NAT masquerade para que os clientes do túnel saiam pela interface pública do VPS (eth0):

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

Crie um /etc/openvpn/server.conf mínimo (a documentação oficial do OpenVPN cobre o conteúdo do arquivo) e inicie o serviço. Restrinja o SSH (apenas chaves), habilite um firewall de host e considere fail2ban para proteção extra — o VPS agora está exposto à internet e merece ser protegido com seriedade.

Passo 3: gerar credenciais do cliente

No VPS, gere um certificado de cliente e colete os arquivos que o MikroTik precisará:

  • ca.crt
  • client1.crt
  • client1.key
  • ta.key (se for usado)
  • client.ovpn (config do cliente)

Um client.ovpn mínimo:

client
dev tun
proto udp
remote 138.197.120.24 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
cipher AES-256-CBC
verb 3

Passo 4: configurar o MikroTik como cliente OpenVPN

Faça upload dos certificados e do client.ovpn para o MikroTik (jogue-os na lista de Files). Em um terminal Winbox:

/interface ovpn-client add name=vpn-to-vps connect-to=138.197.120.24 port=1194 \
    user=vpnuser password="senha123" profile=default-encryption add-default-route=no


/interface ovpn-client print

Espere um status como:

status: connected
uptime: 00:00:45
remote-address: 10.8.0.1
local-address: 10.8.0.2

Ajuste add-default-route para controlar se o MikroTik manda todo o tráfego WAN pelo túnel — para gerência apenas, mantenha em no.

Passo 5: acessar o MikroTik via VPS

O DNAT no VPS encaminha uma porta pública para o WebFig do roteador (ou outro serviço):

iptables -t nat -A PREROUTING -p tcp --dport 8081 -j DNAT --to-destination 10.8.0.2:80
iptables -t nat -A POSTROUTING -p tcp -d 10.8.0.2 --dport 80 -j MASQUERADE

Agora http://138.197.120.24:8081 alcança o WebFig do roteador através do túnel.

Passo 6: acessar dispositivos LAN internos

Para alcançar um dispositivo atrás do MikroTik (por exemplo, uma câmera em 192.168.88.100), adicione uma regra DNAT no VPS e um dst-nat no MikroTik:

No VPS:

iptables -t nat -A PREROUTING -p tcp --dport 8082 -j DNAT --to-destination 10.8.0.2:8082

No MikroTik, encaminhe a porta que chega pelo túnel ao host interno:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8082 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

Acesse a câmera em http://138.197.120.24:8082. Fluxo: IP público → DNAT do VPS → túnel OpenVPN → dst-nat do MikroTik → dispositivo interno.

Passo 7: automação e hardening

Alguns hábitos práticos que pagam dividendos no longo prazo:

  • Use chaves SSH para acesso ao VPS e senhas fortes no MikroTik.
  • Adicione um script watchdog no MikroTik para reiniciar o túnel se ele cair.
  • Use IPs estáticos ou DDNS para o VPS caso troque de provedor algum dia.
  • Exponha apenas as portas que você usa de fato; mantenha o resto bloqueado.
  • Registre conexões e alerte sobre tentativas de acesso inesperadas.

Exemplo de script watchdog MikroTik (reinicia o túnel se parar):

:if ([/interface ovpn-client get vpn-to-vps running] = false) do={
    /interface ovpn-client disable vpn-to-vps
    /delay 3
    /interface ovpn-client enable vpn-to-vps
}

Checklist de segurança

  • Mantenha o SO do VPS e o OpenVPN atualizados.
  • Use certificados de cliente únicos por MikroTik. Revogue chaves comprometidas imediatamente reemitindo o CRL.
  • Restrinja o firewall do VPS aos IPs de origem conhecidos dos administradores sempre que possível.
  • Use HTTPS e autenticação em cada serviço encaminhado. HTTP puro via DNAT é uma superfície de ataque desnecessária.
  • Rode o OpenVPN em uma porta UDP não padrão e aplique rate-limit a conexões para desacelerar brute force em massa.

Próximos passos

Um túnel VPS + OpenVPN funciona de forma confiável e dá controle total. O trade-off é operacional: cada novo MikroTik exige um certificado de cliente novo, cada rotação de chave exige coordenação, cada site que reseta perde o túnel até você re-onboardá-lo manualmente. Em um site é gerenciável; em cinquenta, consome horas por semana.

O NATCloud do MKController remove a parte manual desse encanamento de túneis. Cada MikroTik fica online via túnel de saída para o control plane, sem babá de certificado por dispositivo e sem VPS para manter. Você ganha monitoramento centralizado, acesso remoto seguro e onboarding em minutos em vez de horas. Para a variante manual em WireGuard do mesmo padrão, veja o guia WireGuard; para SSTP como alternativa TLS-sobre-TCP quando UDP é bloqueado, veja SSTP remote management.

Comece seu teste gratuito do MKController