Skip to content
Blog

Upravljanje Mikrotik uređajem putem VPS servera

Rezime
Koristite javni VPS kao siguran tunelski čvor za pristup MikroTik i internim uređajima iza CGNAT-a. Vodič obuhvata kreiranje VPS-a, podešavanje OpenVPN-a, MikroTik konfiguraciju, prosleđivanje portova i savete za bezbednost.

Udaljeno upravljanje MikroTik uređajem preko VPS-a

Pristupanje uređajima iza MikroTik-a bez javne IP adrese je čest problem.

Javni VPS predstavlja pouzdan most.

Ruter uspostavlja izlazni tunel ka VPS-u, a vi preko tog tunela pristupate ruteru ili bilo kojem LAN uređaju.

Ovaj recept koristi VPS (primer: DigitalOcean) i OpenVPN, ali isto se može primeniti i sa WireGuard-om, SSH reverznim tunelima ili drugim VPN protokolima.

Pregled arhitekture

Tok komunikacije:

Administrator ⇄ Javni VPS ⇄ MikroTik (iza NAT-a) ⇄ Interni uređaj

MikroTik pokreće tunel prema VPS-u. VPS je stabilna tačka sa javnom IP adresom.

Kada je tunel aktivan, VPS može prosleđivati portove ili usmeravati saobraćaj ka LAN mreži MikroTik-a.

Korak 1 — Kreiranje VPS-a (primer DigitalOcean)

  • Napravite nalog kod odabranog provajdera.
  • Kreirajte Droplet / VPS sa Ubuntu 22.04 LTS.
  • Mali plan je dovoljan za upravljanje (1 vCPU, 1GB RAM).
  • Dodajte svoj SSH javni ključ za siguran root pristup.

Primer (rezultat):

  • VPS IP: 138.197.120.24
  • Korisnik: root

Korak 2 — Priprema VPS-a (OpenVPN server)

Prijavite se na VPS:

Terminal window
ssh root@138.197.120.24
apt update && apt upgrade -y
apt install -y openvpn easy-rsa iptables

Kreirajte PKI i server sertifikate (easy-rsa):

Terminal window
make-cadir ~/openvpn-ca
cd ~/openvpn-ca
./easyrsa init-pki
./easyrsa build-ca nopass
./easyrsa gen-req server nopass
./easyrsa sign-req server server
openvpn --genkey --secret ta.key

Omogućite IP forward:

Terminal window
sysctl -w net.ipv4.ip_forward=1
# za trajno čuvanje izmena u /etc/sysctl.conf

Dodajte NAT pravilo da tunelski klijenti mogu izlaziti preko javnog interfejsa VPS-a (eth0):

Terminal window
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

Kreirajte minimalnu server konfiguraciju /etc/openvpn/server.conf i pokrenite servis.

Savet: Zaključajte SSH pristup (samo ključevi), omogućite UFW/iptables pravila i razmislite o fail2ban za dodatnu zaštitu.

Korak 3 — Kreiranje klijentskih kredencijala i konfiguracije

Na VPS-u generišite klijentski sertifikat (client1) i sakupite sledeće fajlove za MikroTik:

  • ca.crt
  • client1.crt
  • client1.key
  • ta.key (ako se koristi)
  • client.ovpn (konfiguracija klijenta)

Primer minimalnog client.ovpn:

client
dev tun
proto udp
remote 138.197.120.24 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
cipher AES-256-CBC
verb 3

Korak 4 — Podesite MikroTik kao OpenVPN klijent

Otpremite klijentske sertifikate i client.ovpn na MikroTik (lista fajlova), zatim kreirajte OVPN klijent interfejs:

/interface ovpn-client add name=vpn-to-vps connect-to=138.197.120.24 port=1194 \
    user=vpnuser password="senha123" profile=default-encryption add-default-route=no


/interface ovpn-client print

Očekivani status:

status: connected
uptime: 00:00:45
remote-address: 10.8.0.1
local-address: 10.8.0.2

Napomena: Podesite add-default-route da kontrolišete da li ruter šalje sav saobraćaj kroz tunel.

Korak 5 — Pristup MikroTik-u preko VPS-a

Koristite DNAT na VPS-u da prosledite javni port ka WebFig ili nekoj drugoj usluzi rutera.

Na VPS-u:

Terminal window
iptables -t nat -A PREROUTING -p tcp --dport 8081 -j DNAT --to-destination 10.8.0.2:80
iptables -t nat -A POSTROUTING -p tcp -d 10.8.0.2 --dport 80 -j MASQUERADE

Sada http://138.197.120.24:8081 pristupa WebFig-u rutera preko tunela.

Korak 6 — Pristup internim LAN uređajima

Da biste pristupili uređaju iza MikroTik-a (primer kamera 192.168.88.100), dodajte DNAT pravilo na VPS-u i dst-nat na MikroTik-u ako treba.

Na VPS-u (prosljedite javni port 8082 na tunelskog klijenta):

Terminal window
iptables -t nat -A PREROUTING -p tcp --dport 8082 -j DNAT --to-destination 10.8.0.2:8082

Na MikroTik-u prosledite ulazni port ka internom hostu:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8082 action=dst-nat to-addresses=192.168.88.100 to-ports=80

Pristup kameri:

http://138.197.120.24:8082

Saobraćaj ide: javna IP → VPS DNAT → OpenVPN tunel → MikroTik dst-nat → interni uređaj.

Korak 7 — Automatizacija i povećanje bezbednosti

Praktični saveti:

  • Koristite SSH ključeve za pristup VPS-u i jake lozinke na MikroTik-u.
  • Nadgledajte i automatski ponovo pokrenite tunel skriptom na MikroTik-u koja proverava OVPN interfejs.
  • Koristite statičke IP ili DDNS za VPS ako menjate provajdere.
  • Otvorite samo neophodne portove i ostale držite iza firewall-a.
  • Beležite konekcije i podesite obaveštenja za neočekivane pristupe.

Primer MikroTik watchdog skripte (restart OVPN ako je ugašen):

:if ([/interface ovpn-client get vpn-to-vps running] = false) do={
    /interface ovpn-client disable vpn-to-vps
    /delay 3
    /interface ovpn-client enable vpn-to-vps
}

Lista provere bezbednosti

  • Čuvajte VPS OS i OpenVPN ažuriranim.
  • Koristite jedinstvene sertifikate za svaki MikroTik i opozovite kompromitovane ključeve.
  • Ograničite VPS firewall pravila na IP-ove za upravljanje kad je moguće.
  • Koristite HTTPS i autentifikaciju na prosleđenim servisima.
  • Razmislite o VPN serviranju na nestandardnom UDP portu i ograničavanju brzine veza.

Kako MKController pomaže: Ako ručno podešavanje tunela zahteva previše posla, MKController-ov NATCloud nudi centralizovan daljinski pristup i sigurnu konekciju bez upravljanja tunelima po uređaju.

Zaključak

Javni VPS je jednostavan i kontrolisan način da pristupite MikroTik uređajima i internim hostovima iza NAT-a.

OpenVPN je čest izbor, ali koncept funkcioniše i sa WireGuard-om, SSH tunelima i drugim VPN-ovima.

Koristite sertifikate, stroga firewall pravila i automatizaciju za pouzdanu i sigurnu konfiguraciju.

O MKController-u

Nadamo se da su vam ovi saveti pomogli da bolje razumete svoj MikroTik i mrežni svet! 🚀
Bilo da podešavate konfiguracije ili samo pokušavate da unesete red u mrežni haos, MKController je tu da vam olakša rad.

Sa centralizovanim oblakom za upravljanje, automatskim bezbednosnim ažuriranjima i kontrolnim panelom jednostavnim za korišćenje, imamo sve što vam treba za nadogradnju vaše mreže.

👉 Pokrenite besplatnu probu od 3 dana na mkcontroller.com — i otkrijte kako izgleda jednostavna kontrola mreže.