Управление Mikrotik через VPS
Резюме
Используйте публичный VPS как защищённый туннель для доступа к MikroTik и внутренним устройствам за CGNAT. В этом руководстве: создание VPS, настройка OpenVPN, конфигурация MikroTik, проброс портов и советы по безопасности.
Удалённое управление MikroTik через VPS
Доступ к устройствам за MikroTik без публичного IP — классическая задача.
Публичный VPS служит надёжным мостом.
Маршрутизатор открывает исходящий туннель к VPS, и вы через него получаете доступ к маршрутизатору или любому устройству в LAN.
Этот способ использует VPS (пример: DigitalOcean) и OpenVPN, но подходит также для WireGuard, обратных SSH-туннелей и других VPN.
Общая архитектура
Последовательность:
Администратор ⇄ Публичный VPS ⇄ MikroTik (за NAT) ⇄ Внутреннее устройство
MikroTik инициирует туннель к VPS. VPS — это стабильная точка с публичным IP.
Когда туннель установлен, VPS может делать проброс портов или маршрутизировать трафик в LAN MikroTik.
Шаг 1 — Создание VPS (пример DigitalOcean)
- Зарегистрируйтесь у выбранного провайдера.
- Создайте Droplet / VPS с Ubuntu 22.04 LTS.
- Подойдёт небольшой тариф (1 vCPU, 1ГБ ОЗУ).
- Добавьте SSH-ключ для безопасного доступа root.
Пример (результат):
- IP VPS:
138.197.120.24 - Пользователь:
root
Шаг 2 — Подготовка VPS (OpenVPN сервер)
Подключитесь по SSH к VPS:
ssh root@138.197.120.24apt update && apt upgrade -yapt install -y openvpn easy-rsa iptablesСоздайте PKI и серверные сертификаты (easy-rsa):
make-cadir ~/openvpn-cacd ~/openvpn-ca./easyrsa init-pki./easyrsa build-ca nopass./easyrsa gen-req server nopass./easyrsa sign-req server serveropenvpn --genkey --secret ta.keyВключите пересылку IP:
sysctl -w net.ipv4.ip_forward=1# для постоянного включения: в /etc/sysctl.confДобавьте правило NAT, чтобы туннельные клиенты выходили через публичный интерфейс VPS (eth0):
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADEСоздайте минимальную конфигурацию сервера /etc/openvpn/server.conf и запустите сервис.
Совет: Отключите доступ по паролю SSH (только ключи), настройте правила UFW/iptables и рассмотрите fail2ban для дополнительной защиты.
Шаг 3 — Создание клиентских сертификатов и конфигурации
На VPS сгенерируйте клиентский сертификат (client1) и соберите файлы для MikroTik:
ca.crtclient1.crtclient1.keyta.key(если используется)client.ovpn(конфигурация клиента)
Минимальный client.ovpn:
clientdev tunproto udpremote 138.197.120.24 1194resolv-retry infinitenobindpersist-keypersist-tunca ca.crtcert client1.crtkey client1.keycipher AES-256-CBCverb 3Шаг 4 — Настройка MikroTik как клиента OpenVPN
Загрузите клиентские сертификаты и client.ovpn в MikroTik (список файлов), затем создайте интерфейс OVPN клиента:
/interface ovpn-client add name=vpn-to-vps connect-to=138.197.120.24 port=1194 \ user=vpnuser password="senha123" profile=default-encryption add-default-route=no
/interface ovpn-client printДолжен быть статус:
status: connecteduptime: 00:00:45remote-address: 10.8.0.1local-address: 10.8.0.2Примечание: Параметр
add-default-routeконтролирует, будет ли маршрутизатор направлять весь трафик через туннель.
Шаг 5 — Доступ к MikroTik через VPS
Используйте DNAT на VPS, чтобы пробросить публичный порт к WebFig или другому сервису маршрутизатора.
На VPS:
iptables -t nat -A PREROUTING -p tcp --dport 8081 -j DNAT --to-destination 10.8.0.2:80iptables -t nat -A POSTROUTING -p tcp -d 10.8.0.2 --dport 80 -j MASQUERADEТеперь http://138.197.120.24:8081 открывает WebFig маршрутизатора через туннель.
Шаг 6 — Доступ к внутренним устройствам LAN
Чтобы получить доступ к устройству за MikroTik (например, камера 192.168.88.100), добавьте DNAT на VPS и, при надобности, dst-nat на MikroTik.
На VPS (проброс публичного порта 8082 на туннель):
iptables -t nat -A PREROUTING -p tcp --dport 8082 -j DNAT --to-destination 10.8.0.2:8082На MikroTik пробросьте порт из туннеля к внутреннему хосту:
/ip firewall nat add chain=dstnat protocol=tcp dst-port=8082 action=dst-nat to-addresses=192.168.88.100 to-ports=80Доступ к камере:
http://138.197.120.24:8082
Трафик проходит: публичный IP → VPS DNAT → OpenVPN туннель → MikroTik dst-nat → внутреннее устройство.
Шаг 7 — Автоматизация и защита
Полезные советы:
- Используйте SSH-ключи для VPS и надёжные пароли для MikroTik.
- Мониторьте и автоматом перезапускайте туннель с помощью скрипта MikroTik, проверяющего интерфейс OVPN.
- Применяйте статические IP или DDNS для VPS при смене провайдера.
- Открывайте только нужные порты, остальные держите за фаерволом.
- Ведите логи подключений и настройте оповещения о нестандартном доступе.
Пример сценария watchdog MikroTik (перезапуск OVPN при падении):
:if ([/interface ovpn-client get vpn-to-vps running] = false) do={ /interface ovpn-client disable vpn-to-vps /delay 3 /interface ovpn-client enable vpn-to-vps}Контрольный список безопасности
- Обновляйте ОС VPS и OpenVPN.
- Используйте уникальные сертификаты для каждого MikroTik и отзывайте скомпрометированные ключи.
- Ограничьте правила фаервола VPS IP-адресами управления.
- Применяйте HTTPS и авторизацию на проброшенных сервисах.
- Рассмотрите запуск VPN на нестандартном UDP-порту и ограничение скорости подключений.
Где помогает MKController: Если настройка туннелей вручную — лишняя морока, NATCloud от MKController обеспечивает централизованный удаленный доступ и защищённую связь без управления туннелями на каждом устройстве.
Заключение
Публичный VPS — простой и контролируемый способ доступа к MikroTik и внутренним устройствам за NAT.
OpenVPN — распространённый выбор, но паттерн работает с WireGuard, SSH-туннелями и другими VPN.
Используйте сертификаты, строгие правила фаервола и автоматизацию, чтобы сделать систему надёжной и безопасной.
О MKController
Надеемся, эти советы помогут вам лучше управлять вашим MikroTik и интернетом! 🚀
Будь то настройка или организация сети, MKController упрощает вашу работу.
Централизованное облачное управление, автоматические обновления безопасности и удобная панель — все для улучшения вашей работы.
👉 Начните бесплатный 3-дневный тест сейчас на mkcontroller.com — и почувствуйте удобство управления сетью по-настоящему.