Správa Mikrotiku cez verejný VPS
Zhrnutie
Použite verejný VPS ako bezpečný tunelový uzol na prístup k zariadeniam MikroTik a vnútorným zariadeniam za CGNAT. Tento návod pokrýva vytvorenie VPS, nastavenie OpenVPN, konfiguráciu klienta MikroTik, presmerovanie portov a rady na spevnenie.
Vzdialená správa MikroTik cez VPS
Prístup k zariadeniam za MikroTik bez verejnej IP je klasický problém.
Verejný VPS vytvára spoľahlivý most.
Router otvorí odchádzajúci tunel na VPS a vy sa cez tento tunel dostanete k routeru alebo k akémukoľvek zariadeniu v LAN.
Tento postup používa VPS (napríklad DigitalOcean) a OpenVPN, ale princíp funguje aj s WireGuard, SSH reverznými tunelmi alebo inými VPN.
Prehľad architektúry
Tok dát:
Administrátor ⇄ Verejný VPS ⇄ MikroTik (za NAT) ⇄ Interné zariadenie
MikroTik iniciuje tunel na VPS, ktorý je stabilným miestom pripojenia s verejnou IP.
Po nadviazaní tunelu môže VPS presmerovávať porty alebo smerovať prevádzku do LAN MikroTik-u.
Krok 1 — Vytvorte VPS (príklad DigitalOcean)
- Založte si účet u vybraného poskytovateľa.
- Vytvorte Droplet / VPS s Ubuntu 22.04 LTS.
- Malý plán postačuje na správu (1 vCPU, 1 GB RAM).
- Pridajte svoju verejnú SSH kľučku pre bezpečný root prístup.
Príklad (výsledok):
- IP VPS:
138.197.120.24 - Používateľ:
root
Krok 2 — Príprava VPS (OpenVPN server)
Pripojte sa cez SSH na VPS:
ssh root@138.197.120.24apt update && apt upgrade -yapt install -y openvpn easy-rsa iptablesVytvorte PKI a serverové certifikáty (easy-rsa):
make-cadir ~/openvpn-cacd ~/openvpn-ca./easyrsa init-pki./easyrsa build-ca nopass./easyrsa gen-req server nopass./easyrsa sign-req server serveropenvpn --genkey --secret ta.keyPovoľte IP forwarding:
sysctl -w net.ipv4.ip_forward=1# uložte trvalo do /etc/sysctl.conf, ak chcetePridajte NAT pravidlo, aby tuneloví klienti mohli odchádzať cez verejný interface VPS (eth0):
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADEVytvorte minimálnu konfiguráciu servera v súbore /etc/openvpn/server.conf a spustite službu.
Tip: Uzamknite SSH (len s kľúčmi), aktivujte pravidlá UFW/iptables a zvážte fail2ban pre lepšiu ochranu.
Krok 3 — Vytvorte klientské poverenia a konfiguráciu
Na VPS vygenerujte klientsky certifikát (client1) a pripravte tieto súbory pre MikroTik:
ca.crtclient1.crtclient1.keyta.key(ak používané)client.ovpn(klientska konfigurácia)
Minimálny obsah client.ovpn:
clientdev tunproto udpremote 138.197.120.24 1194resolv-retry infinitenobindpersist-keypersist-tunca ca.crtcert client1.crtkey client1.keycipher AES-256-CBCverb 3Krok 4 — Konfigurácia MikroTik ako OpenVPN klienta
Nahrajte klientske certifikáty a client.ovpn do MikroTiku (zoznam súborov), potom vytvorte OpenVPN klientské rozhranie:
/interface ovpn-client add name=vpn-to-vps connect-to=138.197.120.24 port=1194 \ user=vpnuser password="senha123" profile=default-encryption add-default-route=no
/interface ovpn-client printOčakávaný stav:
status: connecteduptime: 00:00:45remote-address: 10.8.0.1local-address: 10.8.0.2Poznámka: Upravte
add-default-routepodľa toho, či chcete posielať všetku prevádzku cez tunel.
Krok 5 — Prístup k MikroTiku cez VPS
Použite DNAT na VPS na presmerovanie verejného portu na WebFig alebo inú službu routera.
Na VPS:
iptables -t nat -A PREROUTING -p tcp --dport 8081 -j DNAT --to-destination 10.8.0.2:80iptables -t nat -A POSTROUTING -p tcp -d 10.8.0.2 --dport 80 -j MASQUERADETeraz http://138.197.120.24:8081 dosiahne WebFig routera cez tunel.
Krok 6 — Prístup k interným LAN zariadeniam
Ak potrebujete pristupovať k zariadeniu za MikroTikom (napr. kamera 192.168.88.100), pridajte DNAT pravidlo na VPS a ak treba aj dst-nat na MikroTik.
Na VPS (zmapujte verejný port 8082 na tunelového partnera):
iptables -t nat -A PREROUTING -p tcp --dport 8082 -j DNAT --to-destination 10.8.0.2:8082Na MikroTik premoste prichádzajúci port z tunela na interné zariadenie:
/ip firewall nat add chain=dstnat protocol=tcp dst-port=8082 action=dst-nat to-addresses=192.168.88.100 to-ports=80Prístup ku kamere:
http://138.197.120.24:8082
Prevádzka prechádza: verejná IP → VPS DNAT → OpenVPN tunel → MikroTik dst-nat → interné zariadenie.
Krok 7 — Automatizácia a spevnenie
Praktické rady:
- Používajte SSH kľúče na prístup do VPS a silné heslá na MikroTiku.
- Sledujte a automaticky reštartujte tunel pomocou MikroTik skriptu kontrolujúceho OVPN rozhranie.
- Používajte statické IP alebo DDNS pre VPS, ak meníte poskytovateľa.
- Zverejnite len potrebné porty, zvyšok zdôraznite firewallom.
- Logujte pripojenia a nastavte upozornenia na nečakaný prístup.
Príklad watchdog skriptu na MikroTik (reštart OVPN ak nebeží):
:if ([/interface ovpn-client get vpn-to-vps running] = false) do={ /interface ovpn-client disable vpn-to-vps /delay 3 /interface ovpn-client enable vpn-to-vps}Kontrolný zoznam zabezpečenia
- Aktualizujte OS VPS a OpenVPN.
- Používajte unikátne certifikáty pre každý MikroTik a odoberajte kompromitované kľúče.
- Obmedzte pravidlá firewallu VPS na správcovské IP ak je to možné.
- Používajte HTTPS a autentifikáciu na presmerovaných službách.
- Zvážte VPN na neštandardnom UDP porte a limitujte počet spojení.
Kde MKController pomáha: Ak je ručné nastavovanie tunelov príliš komplikované, NATCloud od MKController poskytuje centralizovaný vzdialený prístup a bezpečné pripojenie bez správy tunelov na každom zariadení.
Záver
Verejný VPS je jednoduchý a kontrolovaný spôsob, ako sa pripojiť k zariadeniam MikroTik a interným hostom za NAT.
OpenVPN je bežnou voľbou, ale princíp funguje aj s WireGuard, SSH tunelmi a inými VPN.
Používajte certifikáty, prísne firewall pravidlá a automatizáciu pre spoľahlivé a bezpečné nastavenie.
O MKController
Dúfame, že vám tieto informácie pomohli lepšie sa orientovať vo vašom MikroTik a internetovom svete! 🚀
Či už dolaďujete konfigurácie alebo chcete udržať trochu poriadku v sieťovom chaose, MKController je tu, aby vám uľahčil život.
S centralizovanou správou v cloude, automatickými bezpečnostnými aktualizáciami a dashboardom, ktorý zvládne každý, máme to, čo potrebujete na modernizáciu vašej siete.
👉 Začnite s 3-dňovou bezplatnou skúšobnou verziou na mkcontroller.com — a presvedčte sa, čo znamená skutočne jednoduchá sieťová správa.