İçeriğe geç
Blog

MikroTik’inizi VPS ile Yönetmek

Özet
CGNAT arkasındaki MikroTik ve iç cihazlara erişmek için halka açık VPS’i güvenli tünel merkezi olarak kullanın. Bu rehber VPS oluşturma, OpenVPN kurulumu, MikroTik istemci yapılandırması, port yönlendirme ve güvenlik ipuçlarını kapsar.

VPS Üzerinden Uzaktan MikroTik Yönetimi

Genel IP’si olmayan MikroTik arkasındaki cihazlara erişim klasik bir sorundur.

Halka açık bir VPS güvenilir bir köprü sağlar.

Yönlendirici VPS’e dışa doğru bir tünel açar ve bu tünel üzerinden yönlendiriciye veya herhangi bir LAN cihazına erişirsiniz.

Bu yöntem DigitalOcean gibi bir VPS ve OpenVPN kullanır, ancak aynı desen WireGuard, SSH ters tünelleri veya diğer VPN’lerde de çalışır.

Mimari genel görünüm

Akış:

Yönetici ⇄ Halka Açık VPS ⇄ MikroTik (NAT arkasında) ⇄ İç cihaz

MikroTik tüneli VPS’e başlatır. VPS, genel IP’ye sahip kalıcı buluşma noktasıdır.

Tünel kurulduğunda, VPS portlar yönlendirebilir veya trafiği MikroTik LAN’a route edebilir.

Adım 1 — VPS Oluşturma (DigitalOcean örneği)

  • Seçtiğiniz sağlayıcıda hesap açın.
  • Ubuntu 22.04 LTS çalıştıran bir Droplet / VPS oluşturun.
  • Yönetim yükleri için küçük plan yeterlidir (1 vCPU, 1GB RAM).
  • Güvenli root erişimi için SSH açık anahtarınızı ekleyin.

Örnek (sonuç):

  • VPS IP: 138.197.120.24
  • Kullanıcı: root

Adım 2 — VPS’i Hazırlama (OpenVPN sunucusu)

VPS’e SSH ile bağlanın:

Terminal window
ssh root@138.197.120.24
apt update && apt upgrade -y
apt install -y openvpn easy-rsa iptables

PKI ve sunucu sertifikalarını oluşturun (easy-rsa):

Terminal window
make-cadir ~/openvpn-ca
cd ~/openvpn-ca
./easyrsa init-pki
./easyrsa build-ca nopass
./easyrsa gen-req server nopass
./easyrsa sign-req server server
openvpn --genkey --secret ta.key

IP yönlendirmeyi etkinleştirin:

Terminal window
sysctl -w net.ipv4.ip_forward=1
# İsterseniz /etc/sysctl.conf içine kalıcı yapabilirsiniz

Tünel istemcilerinin VPS’in genel arabirimi (eth0) üzerinden çıkış yapabilmesi için NAT kuralı ekleyin:

Terminal window
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

Minimal bir sunucu yapılandırması /etc/openvpn/server.conf oluşturun ve servisi başlatın.

İpucu: SSH erişimini kilitleyin (sadece anahtar), UFW/iptables kurallarını etkinleştirin ve ek koruma için fail2ban düşünün.

Adım 3 — İstemci kimlik bilgileri ve yapılandırma oluşturma

VPS üzerinde client1 için istemci sertifikası üretin ve MikroTik’e göndermek üzere şu dosyaları toplayın:

  • ca.crt
  • client1.crt
  • client1.key
  • ta.key (kullanılıyorsa)
  • client.ovpn (istemci yapılandırması)

Minimal client.ovpn:

client
dev tun
proto udp
remote 138.197.120.24 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
cipher AES-256-CBC
verb 3

Adım 4 — MikroTik’i OpenVPN istemcisi olarak yapılandırma

İstemci sertifikalarını ve client.ovpn dosyasını MikroTik’e yükleyin (Dosyalar listesi), ardından bir OVPN istemci arabirimi oluşturun:

/interface ovpn-client add name=vpn-to-vps connect-to=138.197.120.24 port=1194 \
    user=vpnuser password="senha123" profile=default-encryption add-default-route=no


/interface ovpn-client print

Durum şu şekilde olmalı:

status: connected
uptime: 00:00:45
remote-address: 10.8.0.1
local-address: 10.8.0.2

Not: add-default-route seçeneğini tünel üzerinden tüm trafiğin gidip gitmeyeceğini kontrol etmek için ayarlayın.

Adım 5 — VPS ile MikroTik’e erişim

VPS üzerinde DNAT kullanarak halka açık bir portu yönlendiricinin WebFig veya başka servisine aktarın.

VPS’de:

Terminal window
iptables -t nat -A PREROUTING -p tcp --dport 8081 -j DNAT --to-destination 10.8.0.2:80
iptables -t nat -A POSTROUTING -p tcp -d 10.8.0.2 --dport 80 -j MASQUERADE

Artık http://138.197.120.24:8081 tünel üzerinden yönlendiricinin WebFig’ine erişir.

Adım 6 — İç LAN cihazlarına erişim

MikroTik arkasındaki cihazlara (örneğin kamera 192.168.88.100) erişmek için VPS’de bir DNAT ve gerekirse MikroTik’te dst-nat kuralı ekleyin.

VPS’de (halka açık port 8082’den tünel eşine yönlendirme):

Terminal window
iptables -t nat -A PREROUTING -p tcp --dport 8082 -j DNAT --to-destination 10.8.0.2:8082

MikroTik’te, tünelden gelen portu iç ağdaki cihaza yönlendirin:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8082 action=dst-nat to-addresses=192.168.88.100 to-ports=80

Kameraya erişim:

http://138.197.120.24:8082

Trafik akışı: genel IP → VPS DNAT → OpenVPN tüneli → MikroTik dst-nat → iç cihaz.

Adım 7 — Otomasyon ve sertleştirme

Bazı pratik ipuçları:

  • VPS erişimi için SSH anahtarları kullanın ve MikroTik’te güçlü parolalar belirleyin.
  • OVPN arabirimini kontrol eden ve tüneli otomatik yeniden başlatan MikroTik script’i kullanarak tüneli izleyin.
  • Sağlayıcı değiştiriyorsanız VPS için statik IP veya DDNS kullanın.
  • Yalnızca ihtiyaç duyduğunuz portları açın, geri kalanları firewall ile koruyun.
  • Bağlantıları kaydedin, beklenmeyen erişimler için uyarılar ayarlayın.

MikroTik watchdog script örneği (OVPN kapalıysa yeniden başlatır):

:if ([/interface ovpn-client get vpn-to-vps running] = false) do={
    /interface ovpn-client disable vpn-to-vps
    /delay 3
    /interface ovpn-client enable vpn-to-vps
}

Güvenlik kontrol listesi

  • VPS işletim sistemi ve OpenVPN’i güncel tutun.
  • Her MikroTik için ayrı sertifikalar kullanın, sızdırılan anahtarları derhal iptal edin.
  • VPS firewall kurallarını yönetim IP’leriyle sınırlandırın.
  • Yönlendirdiğiniz servislerde HTTPS ve kimlik doğrulama kullanın.
  • VPN’i standart dışı UDP portunda çalıştırmayı ve bağlantı hız sınırı koymayı değerlendirin.

MKController nasıl yardımcı olur: Manuel tünel kurulumu zahmetliyse, MKController’ın NATCloud çözümü aygıt başı tünel yönetimi olmadan merkezi uzak erişim ve güvenli bağlantı sağlar.

Sonuç

Halka açık VPS, MikroTik cihazlarına ve NAT arkasındaki iç ağ cihazlarına ulaşmak için basit ve kontrollü bir yöntemdir.

OpenVPN yaygın bir tercihtir, ancak yöntem WireGuard, SSH tünelleri ve diğer VPN’lerde de geçerlidir.

Sertifikalar, sıkı firewall kuralları ve otomasyon kullanarak yapılandırmayı güvenli ve kararlı tutun.

MKController Hakkında

Umarız yukarıdaki bilgiler MikroTik ve internet ortamınızda gezinmenize yardımcı olmuştur! 🚀
Konfigürasyonları ayarlıyor veya ağ karmaşasını biraz düzene sokmaya çalışıyorsanız, MKController hayatınızı kolaylaştırmak için burada.

Merkezi bulut yönetimi, otomatik güvenlik güncellemeleri ve herkesin kullanabileceği bir gösterge paneli ile operasyonunuzu üst seviyeye taşıyacak güç bizde.

👉 Ücretsiz 3 günlük denemenizi başlatın — ve gerçek kolay ağ kontrolünü keşfedin.