Керування Mikrotik через VPS
Коротко
Використовуйте публічний VPS як захищений тунельний хаб для доступу до MikroTik і внутрішніх пристроїв за CGNAT. Посібник охоплює створення VPS, налаштування OpenVPN, конфігурацію MikroTik, переадресацію портів і поради щодо безпеки.
Дистанційне керування MikroTik через VPS
Доступ до пристроїв за MikroTik без публічної IP-адреси — класична задача.
Публічний VPS створює надійний міст.
Роутер відкриває вихідний тунель до VPS, і ви можете дістатися до роутера або будь-якого пристрою LAN через цей тунель.
У цьому прикладі використовується VPS (наприклад, DigitalOcean) та OpenVPN, але схема працює також з WireGuard, SSH-зворотними тунелями чи іншими VPN.
Огляд архітектури
Схема:
Адміністратор ⇄ Публічний VPS ⇄ MikroTik (за NAT) ⇄ Внутрішній пристрій
MikroTik ініціює тунель до VPS. VPS — це стабільна точка з публічною IP.
Після підняття тунелю VPS може пробросити порти або направити трафік у локальну мережу MikroTik.
Крок 1 — Створення VPS (приклад DigitalOcean)
- Зареєструйтесь у обраному провайдера.
- Створіть Droplet / VPS з Ubuntu 22.04 LTS.
- Достатньо маленький план для керування (1 vCPU, 1GB ОЗП).
- Додайте свій публічний SSH-ключ для надійного доступу root.
Приклад (результат):
- IP VPS:
138.197.120.24 - Користувач:
root
Крок 2 — Підготовка VPS (OpenVPN-сервер)
Підключіться по SSH до VPS:
ssh root@138.197.120.24apt update && apt upgrade -yapt install -y openvpn easy-rsa iptablesСтворіть PKI та серверні сертифікати (easy-rsa):
make-cadir ~/openvpn-cacd ~/openvpn-ca./easyrsa init-pki./easyrsa build-ca nopass./easyrsa gen-req server nopass./easyrsa sign-req server serveropenvpn --genkey --secret ta.keyУвімкніть IP forwarding:
sysctl -w net.ipv4.ip_forward=1# для постійності додайте у /etc/sysctl.conf за потребиДодайте NAT-правило, щоб тунельні клієнти виходили через публічний інтерфейс VPS (eth0):
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADEСтворіть мінімальну конфігурацію сервера /etc/openvpn/server.conf і запустіть сервіс.
Порада: Закрийте SSH-доступ лише ключами, увімкніть правила UFW/iptables, розгляньте fail2ban для додаткового захисту.
Крок 3 — Створення клієнтських сертифікатів і конфігурації
На VPS згенеруйте клієнтський сертифікат (client1) і зберіть ці файли для MikroTik:
ca.crtclient1.crtclient1.keyta.key(якщо використовується)client.ovpn(клієнтська конфігурація)
Мінімальний client.ovpn:
clientdev tunproto udpremote 138.197.120.24 1194resolv-retry infinitenobindpersist-keypersist-tunca ca.crtcert client1.crtkey client1.keycipher AES-256-CBCverb 3Крок 4 — Налаштування MikroTik як OpenVPN-клієнта
Завантажте клієнтські сертифікати та client.ovpn до MikroTik (список Files), потім створіть інтерфейс OVPN клієнта:
/interface ovpn-client add name=vpn-to-vps connect-to=138.197.120.24 port=1194 \ user=vpnuser password="senha123" profile=default-encryption add-default-route=no
/interface ovpn-client printОчікуваний статус:
status: connecteduptime: 00:00:45remote-address: 10.8.0.1local-address: 10.8.0.2Примітка: Відкоригуйте
add-default-routeдля контролю, чи буде роутер відправляти весь трафік через тунель.
Крок 5 — Доступ до MikroTik через VPS
На VPS зробіть DNAT, щоб впередити публічний порт до WebFig роутера чи іншої служби.
На VPS:
iptables -t nat -A PREROUTING -p tcp --dport 8081 -j DNAT --to-destination 10.8.0.2:80iptables -t nat -A POSTROUTING -p tcp -d 10.8.0.2 --dport 80 -j MASQUERADEТепер http://138.197.120.24:8081 буде вести до WebFig роутера через тунель.
Крок 6 — Доступ до внутрішніх пристроїв LAN
Щоб дістатися пристрою за MikroTik (наприклад камери 192.168.88.100), додайте DNAT правило на VPS і dst-nat на MikroTik, якщо потрібно.
На VPS (мапа публічного порту 8082 до тунельного пірінга):
iptables -t nat -A PREROUTING -p tcp --dport 8082 -j DNAT --to-destination 10.8.0.2:8082На MikroTik, переадресуйте вхідний порт тунелю на внутрішній хост:
/ip firewall nat add chain=dstnat protocol=tcp dst-port=8082 action=dst-nat to-addresses=192.168.88.100 to-ports=80Доступ до камери:
http://138.197.120.24:8082
Трафік проходить: публічна IP → VPS DNAT → тунель OpenVPN → MikroTik dst-nat → внутрішній пристрій.
Крок 7 — Автоматизація та підвищення безпеки
Кілька практичних порад:
- Використовуйте SSH-ключі для доступу до VPS і надійні паролі в MikroTik.
- Моніторте та авто-перезапускайте тунель скриптом MikroTik, що перевіряє інтерфейс OVPN.
- Використовуйте статичні IP або DDNS для VPS при зміні провайдера.
- Відкривайте лише потрібні порти; інші тримайте зафайрволеними.
- Логуйте підключення і налаштуйте сповіщення про підозрілий доступ.
Приклад watchdog-скрипту MikroTik (перезапуск OVPN якщо одноковий):
:if ([/interface ovpn-client get vpn-to-vps running] = false) do={ /interface ovpn-client disable vpn-to-vps /delay 3 /interface ovpn-client enable vpn-to-vps}Перевірка безпеки
- Підтримуйте ОС VPS та OpenVPN у актуальному стані.
- Використовуйте унікальні сертифікати для кожного MikroTik і відкликайте скомпрометовані ключі.
- Обмежуйте правила брандмауера VPS лише IP керування.
- Використовуйте HTTPS та автентифікацію на переадресованих службах.
- Розгляньте VPN на нестандартному UDP-порті та лімітуйте з’єднання.
Де допомагає MKController: Якщо ручне налаштування тунелів надто трудомістке, NATCloud MKController пропонує централізований віддалений доступ і захищене з’єднання без управління тунелями на кожному пристрої.
Висновок
Публічний VPS — це простий і контрольований спосіб дістатися до пристроїв MikroTik та внутрішніх хостів за NAT.
OpenVPN — поширений вибір, але схема працює і з WireGuard, SSH-тунелями чи іншими VPN.
Використовуйте сертифікати, суворі правила брандмауера та автоматизацію для надійності й безпеки.
Про MKController
Сподіваємося, наведені поради допомогли краще зорієнтуватися у вашому світі MikroTik та інтернету! 🚀
Чи то налаштування, чи впорядкування мережевого безладу — MKController зробить ваше життя простішим.
Централізоване управління у хмарі, автоматичні оновлення безпеки та панель керування для будь-кого — це все, щоб підняти вашу мережу на новий рівень.
👉 Почніть безкоштовну 3-денну пробну версію зараз на mkcontroller.com — і побачте, що таке справжній простий контроль мережі.