Hantera din MikroTik med en VPS

Sammanfattning
Använd en offentlig VPS som en säker tunnelnav för att nå MikroTik och interna enheter bakom CGNAT. Guiden täcker VPS-skapande, OpenVPN, MikroTik-klient, portvidarebefordran och säkerhetstips.

Fjärrhantering av MikroTik via VPS

Att få åtkomst till enheter bakom en MikroTik utan offentlig IP är ett klassiskt problem.

En offentlig VPS fungerar som en tillförlitlig brygga.

Routern öppnar en utgående tunnel till VPS:en, och du når routern eller någon LAN-enhet via tunneln.

Detta recept använder en VPS (exempel: DigitalOcean) och OpenVPN, men mönstret fungerar också med WireGuard, SSH-omvända tunnlar eller andra VPN.

Arkitekturöversikt

Flöde:

Administratör ⇄ Offentlig VPS ⇄ MikroTik (bakom NAT) ⇄ Intern enhet

MikroTik initierar tunneln till VPS:en. VPS:en är den stabila mötesplatsen med offentlig IP.

När tunneln är uppe kan VPS göra portvidarebefordran eller routa trafik in i MikroTik LAN.

Steg 1 — Skapa en VPS (DigitalOcean-exempel)

Skapa ett konto hos din valda leverantör.
Skapa en Droplet / VPS med Ubuntu 22.04 LTS.
Liten plan räcker för hantering (1 vCPU, 1GB RAM).
Lägg till din SSH-nyckel för säker root-åtkomst.

Exempel (resultat):

VPS IP: 138.197.120.24
Användare: root

Steg 2 — Förbered VPS (OpenVPN-server)

SSH in i VPS:

ssh root@138.197.120.24
apt update && apt upgrade -y
apt install -y openvpn easy-rsa iptables

Skapa PKI och servercertifikat (easy-rsa):

make-cadir ~/openvpn-ca
cd ~/openvpn-ca
./easyrsa init-pki
./easyrsa build-ca nopass
./easyrsa gen-req server nopass
./easyrsa sign-req server server
openvpn --genkey --secret ta.key

Aktivera IP-forwarding:

sysctl -w net.ipv4.ip_forward=1
# kvarstå i /etc/sysctl.conf om önskat

Lägg till NAT-regel så att tunnelklienter kan gå ut via VPS offentlig interface (eth0):

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

Skapa en minimal serverkonfiguration /etc/openvpn/server.conf och starta tjänsten.

Tips: Begränsa SSH (endast nycklar), aktivera UFW/iptables-regler och överväg fail2ban för extra skydd.

Steg 3 — Skapa klientuppgifter och konfiguration

På VPS, skapa ett klientcertifikat (client1) och samla dessa filer för MikroTik:

ca.crt
client1.crt
client1.key
ta.key (om används)
client.ovpn (klientkonfiguration)

En minimal client.ovpn:

client
dev tun
proto udp
remote 138.197.120.24 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
cipher AES-256-CBC
verb 3

Steg 4 — Konfigurera MikroTik som OpenVPN-klient

Ladda upp klientcertifikat och client.ovpn till MikroTik (Filer-lista), skapa sedan en OVPN-klientgränssnitt:

/interface ovpn-client add name=vpn-to-vps connect-to=138.197.120.24 port=1194 \
    user=vpnuser password="senha123" profile=default-encryption add-default-route=no

/interface ovpn-client print

Förvänta status som:

status: connected
uptime: 00:00:45
remote-address: 10.8.0.1
local-address: 10.8.0.2

Notera: Justera add-default-route för att styra om routern skickar all trafik via tunneln.

Steg 5 — Nå MikroTik via VPS

Använd DNAT på VPS för att vidarebefordra en offentlig port till routerns WebFig eller annan tjänst.

På VPS:

iptables -t nat -A PREROUTING -p tcp --dport 8081 -j DNAT --to-destination 10.8.0.2:80
iptables -t nat -A POSTROUTING -p tcp -d 10.8.0.2 --dport 80 -j MASQUERADE

Nu når http://138.197.120.24:8081 routerns WebFig genom tunneln.

Steg 6 — Nå interna LAN-enheter

För att nå en enhet bakom MikroTik (exempel kamera 192.168.88.100), lägg till en DNAT-regel på VPS och dst-nat på MikroTik vid behov.

På VPS (mappa offentlig port 8082 till tunnelpeer):

iptables -t nat -A PREROUTING -p tcp --dport 8082 -j DNAT --to-destination 10.8.0.2:8082

På MikroTik, vidarebefordra inkommande port från tunneln till interna hosten:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8082 action=dst-nat to-addresses=192.168.88.100 to-ports=80

Nå kameran:

http://138.197.120.24:8082

Trafik: offentlig IP → VPS DNAT → OpenVPN-tunnel → MikroTik dst-nat → intern enhet.

Steg 7 — Automatisering och hårdning

Små praktiska tips:

Använd SSH-nycklar för VPS och starka lösenord på MikroTik.
Övervaka och automatstarta tunneln med MikroTik-script som kontrollerar OVPN-gränssnittet.
Använd statiska IP eller DDNS för VPS om leverantör ändras.
Exponera bara nödvändiga portar. Brandvägg resten.
Logga anslutningar och sätt upp varningar för oväntad åtkomst.

Exempel MikroTik watchdog-script (starta OVPN om den är nere):

:if ([/interface ovpn-client get vpn-to-vps running] = false) do={
    /interface ovpn-client disable vpn-to-vps
    /delay 3
    /interface ovpn-client enable vpn-to-vps
}

Säkerhetschecklista

Håll VPS OS och OpenVPN uppdaterade.
Använd unika certifikat per MikroTik och återkalla komprometterade nycklar.
Begränsa VPS brandväggsregler till hanterings-IP:n där möjligt.
Använd HTTPS och autentisering på vidarebefordrade tjänster.
Överväg att köra VPN på en icke-standard UDP-port och begränsa anslutningar.

Var MKController hjälper: Om manuell tunnelhantering är för tungt, erbjuder MKControllers NATCloud central access och säker anslutning utan enhetsspecifik tunnelhantering.

Slutsats

En offentlig VPS är en enkel och kontrollerad lösning för att nå MikroTik-enheter och interna nätverk bakom NAT.

OpenVPN är ett vanligt val, men mönstret fungerar med WireGuard, SSH-tunnlar och andra VPN.

Använd certifikat, strikta brandväggsregler och automation för att hålla lösningen pålitlig och säker.

Om MKController

Vi hoppas insikterna ovan hjälpte dig navigera din MikroTik- och internetmiljö bättre! 🚀
Oavsett om du finjusterar konfigurationer eller bara vill skapa ordning i nätverkskaoset, finns MKController för att underlätta.

Med centraliserad molnhantering, automatiska säkerhetsuppdateringar och en dashboard för alla nivåer har vi vad som krävs för att uppgradera din drift.

👉 Starta din kostnadsfria 3-dagars provperiod nu på mkcontroller.com — och upplev vad enkel nätverkshantering verkligen innebär.