การจัดการ Mikrotik ของคุณด้วย VPS

สรุป
ใช้ VPS สาธารณะเป็นศูนย์กลางอุโมงค์ที่ปลอดภัยเพื่อเข้าถึงอุปกรณ์ MikroTik และอุปกรณ์ภายในที่อยู่หลัง CGNAT คู่มือนี้ครอบคลุมการสร้าง VPS, การตั้งค่า OpenVPN, การกำหนดค่า MikroTik client, การส่งต่อพอร์ต และคำแนะนำด้านความปลอดภัย

การจัดการ MikroTik ระยะไกลผ่าน VPS

การเข้าถึงอุปกรณ์ที่อยู่หลัง MikroTik ที่ไม่มี IP สาธารณะเป็นปัญหาคลาสสิก

VPS สาธารณะช่วยสร้างสะพานเชื่อมที่น่าเชื่อถือ

เราเตอร์จะเปิดอุโมงค์ขาออกไปยัง VPS และคุณจะเข้าถึงเราเตอร์หรืออุปกรณ์ LAN ต่าง ๆ ผ่านอุโมงค์นั้นได้

สูตรนี้ใช้ VPS (ตัวอย่างเช่น DigitalOcean) และ OpenVPN แต่รูปแบบนี้ใช้ได้กับ WireGuard, SSH reverse tunnels หรือ VPN อื่นๆ

ภาพรวมสถาปัตยกรรม

ลำดับการทำงาน:

ผู้ดูแลระบบ ⇄ VPS สาธารณะ ⇄ MikroTik (หลัง NAT) ⇄ อุปกรณ์ภายใน

MikroTik จะเริ่มต้นอุโมงค์ไปยัง VPS ซึ่งเป็นจุดนัดพบที่มี IP สาธารณะและเสถียร

เมื่ออุโมงค์ถูกเปิดแล้ว VPS สามารถส่งต่อพอร์ตหรือกำหนดเส้นทางทราฟฟิกเข้าไปยัง LAN ของ MikroTik ได้

ขั้นตอนที่ 1 — สร้าง VPS (ตัวอย่าง DigitalOcean)

สร้างบัญชีในผู้ให้บริการที่คุณเลือก
สร้าง Droplet / VPS ด้วย Ubuntu 22.04 LTS
แผนเล็กเหมาะสำหรับงานจัดการ (1 vCPU, 1GB RAM)
เพิ่มกุญแจสาธารณะ SSH ของคุณเพื่อเข้าถึง root อย่างปลอดภัย

ตัวอย่าง (ผลลัพธ์):

IP VPS: 138.197.120.24
ผู้ใช้: root

ขั้นตอนที่ 2 — เตรียม VPS (เซิร์ฟเวอร์ OpenVPN)

เข้าสู่ระบบ VPS ด้วย SSH:

ssh root@138.197.120.24
apt update && apt upgrade -y
apt install -y openvpn easy-rsa iptables

สร้าง PKI และใบรับรองเซิร์ฟเวอร์ (easy-rsa):

make-cadir ~/openvpn-ca
cd ~/openvpn-ca
./easyrsa init-pki
./easyrsa build-ca nopass
./easyrsa gen-req server nopass
./easyrsa sign-req server server
openvpn --genkey --secret ta.key

เปิดใช้งาน IP forwarding:

sysctl -w net.ipv4.ip_forward=1
# เก็บค่าถาวรใน /etc/sysctl.conf หากต้องการ

เพิ่มกฎ NAT เพื่อให้ไคลเอนต์ท่อลอดทางออกผ่านอินเทอร์เฟซสาธารณะของ VPS (eth0):

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

สร้างไฟล์คอนฟิกเซิร์ฟเวอร์ขั้นต่ำ /etc/openvpn/server.conf และเริ่มเปิดใช้บริการ

คำแนะนำ: ล็อก SSH ให้อนุญาตเฉพาะกุญแจ, เปิดใช้งานกฎ UFW/iptables และพิจารณาใช้ fail2ban เพื่อป้องกันเพิ่มเติม

ขั้นตอนที่ 3 — สร้างข้อมูลประจำตัวและคอนฟิกไคลเอนต์

บน VPS สร้างใบรับรองไคลเอนต์ (client1) และรวบรวมไฟล์เหล่านี้สำหรับ MikroTik:

ca.crt
client1.crt
client1.key
ta.key (ถ้าใช้)
client.ovpn (ไฟล์คอนฟิกไคลเอนต์)

ตัวอย่าง client.ovpn ขั้นพื้นฐาน:

client
dev tun
proto udp
remote 138.197.120.24 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
cipher AES-256-CBC
verb 3

ขั้นตอนที่ 4 — กำหนดค่า MikroTik เป็นไคลเอนต์ OpenVPN

อัปโหลดใบรับรองและ client.ovpn ไปที่ MikroTik (ในรายการ Files) จากนั้นสร้างอินเทอร์เฟซ OVPN client:

/interface ovpn-client add name=vpn-to-vps connect-to=138.197.120.24 port=1194 \
    user=vpnuser password="senha123" profile=default-encryption add-default-route=no

/interface ovpn-client print

สถานะที่คาดหวัง:

status: connected
uptime: 00:00:45
remote-address: 10.8.0.1
local-address: 10.8.0.2

หมายเหตุ: ปรับ add-default-route เพื่อควบคุมว่าเราเตอร์จะส่งทราฟฟิกทั้งหมดผ่านอุโมงค์หรือไม่

ขั้นตอนที่ 5 — เข้าถึง MikroTik ผ่าน VPS

ใช้ DNAT บน VPS เพื่อส่งต่อพอร์ตสาธารณะไปยัง WebFig หรือบริการอื่นของเราเตอร์

บน VPS:

iptables -t nat -A PREROUTING -p tcp --dport 8081 -j DNAT --to-destination 10.8.0.2:80
iptables -t nat -A POSTROUTING -p tcp -d 10.8.0.2 --dport 80 -j MASQUERADE

ตอนนี้ http://138.197.120.24:8081 จะเข้าถึง WebFig ของเราเตอร์ผ่านอุโมงค์

ขั้นตอนที่ 6 — เข้าถึงอุปกรณ์ LAN ภายใน

เพื่อเข้าถึงอุปกรณ์หลัง MikroTik (ตัวอย่างเช่น กล้อง 192.168.88.100) เพิ่มกฎ DNAT บน VPS และ dst-nat บน MikroTik ถ้าจำเป็น

บน VPS (แมปพอร์ตสาธารณะ 8082 ไปยังเพียร์อุโมงค์):

iptables -t nat -A PREROUTING -p tcp --dport 8082 -j DNAT --to-destination 10.8.0.2:8082

บน MikroTik ส่งต่อพอร์ตที่เข้ามาจากอุโมงค์ไปยังโฮสต์ภายใน:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8082 action=dst-nat to-addresses=192.168.88.100 to-ports=80

เข้าถึงกล้อง:

http://138.197.120.24:8082

ทราฟฟิกเดินทาง: IP สาธารณะ → VPS DNAT → อุโมงค์ OpenVPN → MikroTik dst-nat → อุปกรณ์ภายใน

ขั้นตอนที่ 7 — อัตโนมัติและเสริมความปลอดภัย

เคล็ดลับเล็ก ๆ ที่ใช้จริง:

ใช้กุญแจ SSH เพื่อเข้าถึง VPS และรหัสผ่านที่แข็งแรงบน MikroTik
ตรวจสอบและรีสตาร์ทอุโมงค์อัตโนมัติด้วยสคริปต์ MikroTik ที่เช็คสถานะ OVPN interface
ใช้ IP คงที่หรือ DDNS สำหรับ VPS หากเปลี่ยนผู้ให้บริการ
เปิดเผยเฉพาะพอร์ตที่จำเป็น รักษากฎไฟร์วอลล์ในส่วนที่เหลือ
บันทึกการเชื่อมต่อและตั้งค่าการแจ้งเตือนเมื่อมีการเข้าถึงที่ไม่คาดคิด

ตัวอย่างสคริปต์ watchdog ของ MikroTik (รีสตาร์ท OVPN หากไม่ทำงาน):

:if ([/interface ovpn-client get vpn-to-vps running] = false) do={
    /interface ovpn-client disable vpn-to-vps
    /delay 3
    /interface ovpn-client enable vpn-to-vps
}

รายการตรวจสอบความปลอดภัย

อัปเดตระบบปฏิบัติการ VPS และ OpenVPN ให้ทันสมัยเสมอ
ใช้ใบรับรองเฉพาะแต่ละ MikroTik และเพิกถอนคีย์ที่ถูกโจมตี
จำกัดกฎไฟร์วอลล์ VPS ให้เข้าถึงได้เฉพาะ IP สำหรับจัดการ
ใช้ HTTPS และระบบยืนยันตัวตนบนบริการที่ส่งต่อพอร์ต
พิจารณารัน VPN บนพอร์ต UDP ที่ไม่มาตรฐานและจำกัดอัตราการเชื่อมต่อ

MKController ช่วยได้อย่างไร: ถ้าการตั้งค่าอุโมงค์ด้วยมือยุ่งยากเกินไป NATCloud ของ MKController มีระบบเข้าถึงระยะไกลรวมศูนย์และเชื่อมต่อที่ปลอดภัยโดยไม่ต้องบริหารจัดการอุโมงค์ทีละเครื่อง

สรุป

VPS สาธารณะเป็นวิธีที่ง่ายและควบคุมได้ในการเข้าถึงอุปกรณ์ MikroTik และโฮสต์ภายในที่อยู่หลัง NAT

OpenVPN เป็นตัวเลือกที่พบบ่อย แต่รูปแบบนี้ใช้ได้กับ WireGuard, อุโมงค์ SSH และ VPN อื่นๆ

ใช้ใบรับรอง กฎไฟร์วอลล์เข้มงวด และระบบอัตโนมัติเพื่อความเสถียรและความปลอดภัย

เกี่ยวกับ MKController

หวังว่าข้อมูลข้างต้นจะช่วยให้คุณจัดการ MikroTik และโลกอินเทอร์เน็ตของคุณได้ดีขึ้น! 🚀
ไม่ว่าคุณจะปรับแต่งการตั้งค่าหรือเพียงต้องการสร้างความเรียบร้อยในเครือข่ายที่วุ่นวาย, MKController พร้อมช่วยให้ชีวิตคุณง่ายขึ้น

ด้วยการจัดการผ่านคลาวด์ครบวงจร, การอัปเดตความปลอดภัยอัตโนมัติ และแดชบอร์ดที่ใคร ๆ ก็ใช้งานได้ เรามีทุกอย่างที่คุณต้องการเพื่อพัฒนาการดำเนินงาน

👉 เริ่มทดลองใช้ฟรี 3 วันของคุณตอนนี้ ที่ mkcontroller.com — และสัมผัสการควบคุมเครือข่ายที่ไม่ยุ่งยากอย่างแท้จริง