Перейти к содержимому
MKController Blog
InstagramYouTubeFacebook

Remote Access

Удалённое управление MikroTik через VPS

Используйте публичный VPS как защищённый туннельный хаб к MikroTik и устройствам LAN за NAT или CGNAT — OpenVPN от и до конца.

MKController5 min read

Summary Публичный VPS — надёжный мост к роутерам MikroTik за NAT, двойным NAT или CGNAT: роутер инициирует исходящий OpenVPN-туннель к VPS, а вы достигаете роутера (или любого устройства в LAN за ним) через этот туннель. В этом руководстве описывается подготовка VPS, установка сервера OpenVPN с easy-rsa, настройка клиента MikroTik, port forwarding для WebFig и сервисов LAN, а также чек-лист закалки, удерживающий установку безопасной в долгую.

Как работает удалённый доступ MikroTik через VPS?

Публичный VPS играет роль стабильной точки встречи с постоянным публичным IP. MikroTik инициирует исходящий VPN-туннель к VPS (он никогда не принимает входящих соединений, поэтому NAT и CGNAT на стороне клиента не имеют значения), а VPS держит правила DNAT, отображающие публичные порты на дальний конец туннеля. Администраторы достигают роутера и устройств LAN через публичный IP VPS, трафик шифруется от конца до конца через VPN.

Поток выглядит так: Администратор ⇄ Публичный VPS ⇄ MikroTik (за NAT) ⇄ внутреннее устройство. Этот шаблон работает с OpenVPN (рассмотрен здесь), WireGuard (см. наш гайд по WireGuard), Tailscale (см. учебник по Tailscale) или обратными SSH-туннелями — принципы те же, отличается протокол.

Шаг 1: создать VPS

Создайте небольшой VPS у любого провайдера — DigitalOcean, Vultr, Hetzner, AWS Lightsail — все подходят. Параметры:

  • ОС: Ubuntu 22.04 LTS.
  • Размер: 1 vCPU, 1 ГБ RAM достаточно для управления и горсти клиентов.
  • SSH: добавьте свой публичный SSH-ключ для безопасного root-доступа.

Для этого руководства:

  • IP VPS: 138.197.120.24
  • Пользователь: root

Шаг 2: подготовить VPS с OpenVPN

Подключитесь по SSH к VPS и установите предварительные пакеты:

ssh root@138.197.120.24
apt update && apt upgrade -y
apt install -y openvpn easy-rsa iptables

Создайте PKI и серверные сертификаты с easy-rsa:

make-cadir ~/openvpn-ca
cd ~/openvpn-ca
./easyrsa init-pki
./easyrsa build-ca nopass
./easyrsa gen-req server nopass
./easyrsa sign-req server server
openvpn --genkey --secret ta.key

Включите IP-форвардинг (сохраните в /etc/sysctl.conf, чтобы пережить ребуты):

sysctl -w net.ipv4.ip_forward=1

Добавьте правило NAT masquerade, чтобы клиенты туннеля выходили через публичный интерфейс VPS (eth0):

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

Создайте минимальный /etc/openvpn/server.conf (содержимое описано в официальной документации OpenVPN) и запустите сервис. Ужесточите SSH (только ключи), включите хостовый фаервол и рассмотрите fail2ban для дополнительной защиты — VPS теперь доступен из интернета и стоит того, чтобы защищать его всерьёз.

Шаг 3: создать клиентские учётные данные

На VPS сгенерируйте клиентский сертификат и соберите файлы, которые понадобятся MikroTik:

  • ca.crt
  • client1.crt
  • client1.key
  • ta.key (если используется)
  • client.ovpn (конфиг клиента)

Минимальный client.ovpn:

client
dev tun
proto udp
remote 138.197.120.24 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
cipher AES-256-CBC
verb 3

Шаг 4: настроить MikroTik как клиент OpenVPN

Загрузите клиентские сертификаты и client.ovpn в MikroTik (положите в список Files). В терминале Winbox:

/interface ovpn-client add name=vpn-to-vps connect-to=138.197.120.24 port=1194 \
    user=vpnuser password="senha123" profile=default-encryption add-default-route=no


/interface ovpn-client print

Ожидайте статус вида:

status: connected
uptime: 00:00:45
remote-address: 10.8.0.1
local-address: 10.8.0.2

Скорректируйте add-default-route, чтобы контролировать, направляет ли MikroTik весь WAN-трафик через туннель — для кейсов «только управление» оставьте no.

Шаг 5: доступ к MikroTik через VPS

DNAT на VPS пробрасывает публичный порт на WebFig роутера (или другой сервис):

iptables -t nat -A PREROUTING -p tcp --dport 8081 -j DNAT --to-destination 10.8.0.2:80
iptables -t nat -A POSTROUTING -p tcp -d 10.8.0.2 --dport 80 -j MASQUERADE

Теперь http://138.197.120.24:8081 достигает WebFig роутера через туннель.

Шаг 6: доступ к внутренним устройствам LAN

Чтобы достичь устройства за MikroTik (например, камеру на 192.168.88.100), добавьте правило DNAT на VPS и dst-nat на MikroTik:

На VPS:

iptables -t nat -A PREROUTING -p tcp --dport 8082 -j DNAT --to-destination 10.8.0.2:8082

На MikroTik проброс входящего порта туннеля на внутренний хост:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8082 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

Доступ к камере по http://138.197.120.24:8082. Поток трафика: публичный IP → DNAT VPS → туннель OpenVPN → dst-nat MikroTik → внутреннее устройство.

Шаг 7: автоматизация и закалка

Несколько практичных привычек, которые окупаются:

  • Используйте SSH-ключи для доступа к VPS и надёжные пароли на MikroTik.
  • Добавьте watchdog-скрипт на MikroTik для авто-перезапуска туннеля при падении.
  • Используйте статический IP или DDNS для VPS на случай смены провайдера.
  • Открывайте только нужные порты; остальное держите за фаерволом.
  • Логируйте подключения и алертите на неожиданные попытки доступа.

Пример watchdog-скрипта MikroTik (перезапускает туннель, если он остановлен):

:if ([/interface ovpn-client get vpn-to-vps running] = false) do={
    /interface ovpn-client disable vpn-to-vps
    /delay 3
    /interface ovpn-client enable vpn-to-vps
}

Чек-лист безопасности

  • Держите ОС VPS и OpenVPN обновлёнными.
  • Используйте уникальные клиентские сертификаты на каждый MikroTik. При компрометации немедленно отзывайте ключи, обновляя CRL.
  • Ограничьте фаервол VPS известными исходными IP администраторов, где это возможно.
  • Используйте HTTPS и аутентификацию на каждом проброшенном сервисе. Голый HTTP через DNAT — лишняя поверхность атаки.
  • Запускайте OpenVPN на нестандартном UDP-порту и ограничивайте количество подключений, чтобы замедлить массовый brute force.

Следующий шаг

Туннель «VPS + OpenVPN» работает надёжно и даёт полный контроль. Компромисс — операционный: каждый новый MikroTik требует свежий клиентский сертификат, каждая ротация ключей — координации, каждый сайт, который сбрасывается, теряет туннель, пока вы вручную не подключите его заново. На одном сайте управляемо; на пятидесяти — съедает часы каждую неделю.

NATCloud от MKController убирает ручное «прокладывание» туннелей. Каждый MikroTik выходит на связь через исходящий туннель к управляющему слою без возни с сертификатами и без VPS, который нужно обслуживать. Вы получаете централизованный мониторинг, безопасный удалённый доступ и онбординг, измеряемый минутами, а не часами. Для ручного варианта в WireGuard см. гайд по WireGuard; для SSTP как альтернативы TLS-поверх-TCP, когда UDP заблокирован, см. SSTP remote management.

Начните бесплатную пробную версию MKController