Upravljanje Mikrotika prek VPS
Povzetek
Uporabite javni VPS kot varen tunelski vozlišče za dostop do MikroTik in notranjih naprav za CGNAT. Vodnik vključuje ustvarjanje VPS, nastavitev OpenVPN, MikroTik klienta, posredovanje vrat in nasvete za utrditev.
Oddaljeno upravljanje MikroTika prek VPS
Dostop do naprav za MikroTik brez javnega IP je klasičen problem.
Javni VPS je zanesljiv most.
Usmerjevalnik odpre odhodni tunel do VPS, vi pa dostopate do usmerjevalnika ali katere koli notranje naprave preko tega tunela.
Ta recept uporablja VPS (primer DigitalOcean) in OpenVPN, vendar deluje tudi z WireGuard, SSH obratnimi tuneli ali drugimi VPN.
Pregled arhitekture
Tok:
Administrator ⇄ Javni VPS ⇄ MikroTik (za NAT) ⇄ Notranja naprava
MikroTik začne tunel do VPS. VPS je stabilna referenčna točka z javnim IP.
Ko je tunel vzpostavljen, VPS lahko posreduje porte ali usmerja promet v MikroTik LAN.
Korak 1 — Ustvarite VPS (primer DigitalOcean)
- Ustvarite račun pri izbranem ponudniku.
- Ustvarite Droplet/VPS z Ubuntu 22.04 LTS.
- Majhen načrt je primeren za upravljanje (1 vCPU, 1GB RAM).
- Dodajte javni SSH ključ za varen root dostop.
Primer (rezultat):
- IP VPS:
138.197.120.24 - Uporabnik:
root
Korak 2 — Priprava VPS (OpenVPN strežnik)
Prijavite se prek SSH na VPS:
ssh root@138.197.120.24apt update && apt upgrade -yapt install -y openvpn easy-rsa iptablesUstvarite PKI in strežniške certifikate (easy-rsa):
make-cadir ~/openvpn-cacd ~/openvpn-ca./easyrsa init-pki./easyrsa build-ca nopass./easyrsa gen-req server nopass./easyrsa sign-req server serveropenvpn --genkey --secret ta.keyOmogočite IP forwarding:
sysctl -w net.ipv4.ip_forward=1# shranite nastavitve v /etc/sysctl.conf po željiDodajte NAT pravilo, da lahko tunelirani klienti izhajajo preko javnega vmesnika VPS (eth0):
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADEUstvarite minimalno konfiguracijo strežnika /etc/openvpn/server.conf in zaženite storitev.
Nasvet: Zaprite SSH na ključe, omogočite pravila UFW/iptables in razmislite o fail2ban za dodatno varnost.
Korak 3 — Ustvarite klientove poverilnice in konfiguracijo
Na VPS ustvarite klientski certifikat (client1) in zberite te datoteke za MikroTik:
ca.crtclient1.crtclient1.keyta.key(če ga uporabljate)client.ovpn(konfiguracija klienta)
Primer minimalnega client.ovpn:
clientdev tunproto udpremote 138.197.120.24 1194resolv-retry infinitenobindpersist-keypersist-tunca ca.crtcert client1.crtkey client1.keycipher AES-256-CBCverb 3Korak 4 — Nastavite MikroTik kot OpenVPN klienta
Naložite klientske certifikate in client.ovpn na MikroTik (datoteke), nato ustvarite OVPN klientsko vmesnik:
/interface ovpn-client add name=vpn-to-vps connect-to=138.197.120.24 port=1194 \ user=vpnuser password="senha123" profile=default-encryption add-default-route=no
/interface ovpn-client printStatus bi moral biti nekaj takega:
status: connecteduptime: 00:00:45remote-address: 10.8.0.1local-address: 10.8.0.2Opomba: Prilagodite
add-default-route, ali želite preusmeriti ves promet preko tunela.
Korak 5 — Dostop do MikroTik prek VPS
Uporabite DNAT na VPS za posredovanje javnega porta do WebFig ali druge storitve na usmerjevalniku.
Na VPS:
iptables -t nat -A PREROUTING -p tcp --dport 8081 -j DNAT --to-destination 10.8.0.2:80iptables -t nat -A POSTROUTING -p tcp -d 10.8.0.2 --dport 80 -j MASQUERADEZdaj http://138.197.120.24:8081 dostopa do WebFig MikroTika preko tunela.
Korak 6 — Dostop do notranjih LAN naprav
Za dostop do naprave za MikroTik (npr. kamera 192.168.88.100), na VPS dodajte DNAT pravilo in po potrebi na MikroTiku dst-nat.
Na VPS (javni port 8082 mapiran na tunel):
iptables -t nat -A PREROUTING -p tcp --dport 8082 -j DNAT --to-destination 10.8.0.2:8082Na MikroTik posredujte vhodni port do notranje naprave:
/ip firewall nat add chain=dstnat protocol=tcp dst-port=8082 action=dst-nat to-addresses=192.168.88.100 to-ports=80Dostop do kamere:
http://138.197.120.24:8082
Promet poteka: javni IP → VPS DNAT → OpenVPN tunel → MikroTik dst-nat → notranja naprava.
Korak 7 — Avtomatizacija in utrditev
Majhni praktični nasveti:
- Uporabljajte SSH ključe za VPS in močna gesla na MikroTiku.
- Nadzorujte in avtomatsko znova zaženite tunel z MikroTik skripto, ki preverja OVPN vmesnik.
- Za VPS uporabljajte statične IP-je ali DDNS, če menjate ponudnike.
- Odprite samo potrebne porte; ostalo zaščitite z požarnim zidom.
- Beležite povezave in nastavite opozorila za nepričakovan dostop.
Primer MikroTik skripte za watchdog (ponovni zagon OVPN, če je down):
:if ([/interface ovpn-client get vpn-to-vps running] = false) do={ /interface ovpn-client disable vpn-to-vps /delay 3 /interface ovpn-client enable vpn-to-vps}Varnostni seznam
- Vzdržujte VPS OS in OpenVPN s posodobitvami.
- Uporabljajte unikatne certifikate za vsak MikroTik in prekličite ogrožene ključe.
- Omejite požarne zidove VPS na upravljalske IP-je kjer je mogoče.
- Uporabljajte HTTPS in avtentikacijo na preusmerjenih storitvah.
- Razmislite o ne-standarnem UDP portu za VPN in omejevanju hitrosti povezav.
Kako pomaga MKController: Če je ročna nastavitev tunelov preveč zapletena, MKController NATCloud omogoča centraliziran daljinski dostop in varno povezljivost brez upravljanja tunelov za vsako napravo.
Zaključek
Javni VPS je preprost in kontroliran način za dostop do MikroTik naprav in notranjih gostiteljev za NAT.
OpenVPN je pogosta izbira, vendar ta pristop deluje tudi z WireGuard, SSH tuneli in drugimi VPN.
Uporabljajte certifikate, stroga pravila požarnega zidu in avtomatizacijo za zanesljivo in varno nastavitev.
O MKController
Upamo, da so vam zgornji nasveti pomagali bolje krmariti v vašem svetu MikroTik in interneta! 🚀
Ne glede na to, ali nastavljate konfiguracije ali urejate red v mrežnem kaosu, vam MKController olajša delo.
S centraliziranim upravljanjem v oblaku, avtomatiziranimi varnostnimi posodobitvami in enostavnim nadzornim ploščam smo pripravljeni nadgraditi vaše upravljanje.
👉 Začnite svojo 3-dnevno brezplačno preizkušnjo na mkcontroller.com — in odkrijte, kako preprosto je upravljanje omrežja.