Sari la conținut
Blog

Gestionați Mikrotik-ul folosind un VPS

Rezumat
Folosiți un VPS public ca hub tunel securizat pentru a accesa dispozitive MikroTik și interne din spatele CGNAT. Ghidul acoperă crearea VPS-ului, configurarea OpenVPN, clientul MikroTik, redirecționarea porturilor și sfaturi de întărire.

Managementul la distanță al MikroTik prin VPS

Accesul la dispozitive din spatele unui MikroTik fără IP public este o problemă clasică.

Un VPS public oferă o punte de legătură sigură și stabilă.

Router-ul deschide un tunel outbound către VPS, iar dvs. accesați router-ul sau orice dispozitiv din LAN prin acel tunel.

Această rețetă folosește un VPS (exemplu: DigitalOcean) și OpenVPN, dar funcționează și cu WireGuard, tuneluri reverse SSH sau alte VPN-uri.

Prezentare generală a arhitecturii

Flux:

Administrator ⇄ VPS Public ⇄ MikroTik (în spatele NAT) ⇄ Dispozitiv intern

MikroTik inițiază tunelul către VPS. VPS are un IP public stabil, fiind punctul de referință.

Odată tunelul activ, VPS poate redirecționa porturi sau rută traficul către LAN-ul MikroTik.

Pasul 1 — Creați un VPS (exemplu DigitalOcean)

  • Creați un cont la un furnizor ales.
  • Creați un Droplet / VPS cu Ubuntu 22.04 LTS.
  • Plan mic este suficient pentru management (1 vCPU, 1GB RAM).
  • Adăugați cheia publică SSH pentru acces root securizat.

Exemplu (rezultat):

  • IP VPS: 138.197.120.24
  • Utilizator: root

Pasul 2 — Pregătiți VPS-ul (server OpenVPN)

Conectați-vă pe VPS:

Terminal window
ssh root@138.197.120.24
apt update && apt upgrade -y
apt install -y openvpn easy-rsa iptables

Creați PKI și certificatele server (easy-rsa):

Terminal window
make-cadir ~/openvpn-ca
cd ~/openvpn-ca
./easyrsa init-pki
./easyrsa build-ca nopass
./easyrsa gen-req server nopass
./easyrsa sign-req server server
openvpn --genkey --secret ta.key

Activați redirecționarea IP:

Terminal window
sysctl -w net.ipv4.ip_forward=1
# salvați în /etc/sysctl.conf dacă doriți

Adăugați o regulă NAT pentru ca clienții tunelului să poată ieși prin interfața publică a VPS-ului (eth0):

Terminal window
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

Creați o configurație minimă a serverului /etc/openvpn/server.conf și porniți serviciul.

Sfat: Restricționați SSH (doar cu chei), activați UFW/iptables și considerați instalarea fail2ban pentru protecție suplimentară.

Pasul 3 — Generați acreditările clientului și configurația

Pe VPS generați certificatul client (client1) și colectați următoarele pentru MikroTik:

  • ca.crt
  • client1.crt
  • client1.key
  • ta.key (dacă îl utilizați)
  • client.ovpn (configurația client)

Un fișier client.ovpn minimal:

client
dev tun
proto udp
remote 138.197.120.24 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
cipher AES-256-CBC
verb 3

Pasul 4 — Configurați MikroTik ca client OpenVPN

Încărcați certificatele client și client.ovpn în MikroTik (lista Files), apoi creați o interfață OVPN client:

/interface ovpn-client add name=vpn-to-vps connect-to=138.197.120.24 port=1194 \
    user=vpnuser password="senha123" profile=default-encryption add-default-route=no


/interface ovpn-client print

Statusul așteptat, de exemplu:

status: connected
uptime: 00:00:45
remote-address: 10.8.0.1
local-address: 10.8.0.2

Notă: Ajustați add-default-route pentru a controla dacă routerul trimite tot traficul prin tunel.

Pasul 5 — Accesați MikroTik prin VPS

Folosiți DNAT pe VPS pentru a redirecționa un port public către WebFig-ul routerului sau alt serviciu.

Pe VPS:

Terminal window
iptables -t nat -A PREROUTING -p tcp --dport 8081 -j DNAT --to-destination 10.8.0.2:80
iptables -t nat -A POSTROUTING -p tcp -d 10.8.0.2 --dport 80 -j MASQUERADE

Acum http://138.197.120.24:8081 accesează WebFig-ul routerului prin tunel.

Pasul 6 — Accesarea dispozitivelor interne LAN

Pentru a accesa un dispozitiv din spatele MikroTik (exemplu cameră 192.168.88.100), adăugați o regulă DNAT pe VPS și dacă e cazul un dst-nat pe MikroTik.

Pe VPS (mapați portul public 8082 către peer-ul tunelului):

Terminal window
iptables -t nat -A PREROUTING -p tcp --dport 8082 -j DNAT --to-destination 10.8.0.2:8082

Pe MikroTik redirecționați portul sosit prin tunel către gazda internă:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8082 action=dst-nat to-addresses=192.168.88.100 to-ports=80

Accesați camera:

http://138.197.120.24:8082

Traficul parcurge: IP public → DNAT VPS → tunel OpenVPN → dst-nat MikroTik → dispozitiv intern.

Pasul 7 — Automatizare și întărire

Sfaturi practice:

  • Folosiți chei SSH pentru VPS și parole puternice pe MikroTik.
  • Monitorizați și reporniți automat tunelul cu un script MikroTik care verifică interfața OVPN.
  • Folosiți IP-uri statice sau DDNS pentru VPS dacă schimbați furnizorii.
  • Expuneți doar porturile necesare. Mențineți restul în firewall.
  • Înregistrați conexiunile și setați alerte pentru acces neașteptat.

Exemplu de script watchdog MikroTik (repornește OVPN dacă e oprit):

:if ([/interface ovpn-client get vpn-to-vps running] = false) do={
    /interface ovpn-client disable vpn-to-vps
    /delay 3
    /interface ovpn-client enable vpn-to-vps
}

Lista de verificare a securității

  • Mențineți VPS-ul și OpenVPN actualizate.
  • Folosiți certificate unice pe MikroTik și revocați cheile compromise.
  • Limitați regulile firewall-ului VPS la IP-urile de management când este posibil.
  • Folosiți HTTPS și autentificare pe serviciile redirecționate.
  • Luați în considerare utilizarea unui port UDP neobișnuit pentru VPN și limitați rata conexiunilor.

Cum ajută MKController: Dacă configurarea manuală a tunelului este complicată, NATCloud de la MKController oferă acces centralizat și conectivitate sigură fără gestiunea tunelurilor pe fiecare dispozitiv.

Concluzie

Un VPS public este o metodă simplă și controlată pentru a accesa dispozitive MikroTik și gazde interne din spatele NAT.

OpenVPN este o alegere comună, dar același model funcționează și cu WireGuard, tuneluri SSH sau alte VPN-uri.

Folosiți certificate, reguli firewall stricte și automatizare pentru a păstra configurarea sigură și fiabilă.

Despre MKController

Sperăm că informațiile de mai sus v-au ajutat să vă orientați mai bine în universul MikroTik și Internet! 🚀
Fie că ajustați configurații sau încercați să aduceți ordine în haosul rețelei, MKController este aici pentru a vă simplifica viața.

Cu management centralizat în cloud, actualizări automate de securitate și un tablou de bord intuitiv, avem tot ce vă trebuie pentru a vă îmbunătăți operațiunile.

👉 Începe acum probele gratuite de 3 zile la mkcontroller.com — și vedeți cum arată controlul rețelei fără efort.