Перейти до вмісту
MKController Blog
InstagramYouTubeFacebook

Remote Access

Віддалене керування MikroTik через VPS

Використовуйте публічний VPS як захищений тунельний хаб до роутерів MikroTik і пристроїв LAN за NAT або CGNAT — OpenVPN наскрізно.

MKController5 min read

Summary Публічний VPS — це надійний міст до роутерів MikroTik за NAT, подвійним NAT або CGNAT: роутер ініціює вихідний тунель OpenVPN до VPS, а ви досягаєте роутера (або будь-якого пристрою LAN за ним) через цей тунель. У цьому посібнику описано підготовку VPS, налаштування сервера OpenVPN з easy-rsa, налаштування клієнта MikroTik, проброс портів для WebFig і сервісів LAN та чек-лист загартовування, що тримає систему безпечною надовго.

Як працює віддалений доступ до MikroTik через VPS?

Публічний VPS виступає стабільною точкою зустрічі з постійним публічним IP. MikroTik ініціює вихідний VPN-тунель до VPS (він ніколи не приймає вхідних з’єднань, тож NAT і CGNAT на стороні клієнта не мають значення), а VPS тримає правила DNAT, що зіставляють публічні порти з дальнім кінцем тунелю. Адміністратори досягають роутера й пристроїв LAN через публічний IP VPS, трафік шифрується наскрізно через VPN.

Потік виглядає так: Адміністратор ⇄ Публічний VPS ⇄ MikroTik (за NAT) ⇄ внутрішній пристрій. Цей шаблон працює з OpenVPN (розглянуто тут), WireGuard (див. наш посібник з WireGuard), Tailscale (див. туторіал Tailscale) або зворотними SSH-тунелями — принципи ті самі, відрізняється протокол.

Крок 1: створити VPS

Підготуйте невеликий VPS у будь-якого провайдера — DigitalOcean, Vultr, Hetzner, AWS Lightsail усі підходять. Параметри:

  • ОС: Ubuntu 22.04 LTS.
  • Розмір: 1 vCPU, 1 ГБ RAM достатньо для керування та жменьки клієнтів.
  • SSH: додайте свій публічний SSH-ключ для безпечного root-доступу.

Для цього посібника:

  • IP VPS: 138.197.120.24
  • Користувач: root

Крок 2: підготувати VPS з OpenVPN

Підключіться по SSH до VPS і встановіть передумови:

ssh root@138.197.120.24
apt update && apt upgrade -y
apt install -y openvpn easy-rsa iptables

Створіть PKI та серверні сертифікати з easy-rsa:

make-cadir ~/openvpn-ca
cd ~/openvpn-ca
./easyrsa init-pki
./easyrsa build-ca nopass
./easyrsa gen-req server nopass
./easyrsa sign-req server server
openvpn --genkey --secret ta.key

Увімкніть IP-форвардинг (збережіть у /etc/sysctl.conf, щоб витримати ребути):

sysctl -w net.ipv4.ip_forward=1

Додайте правило NAT masquerade, щоб клієнти тунелю виходили через публічний інтерфейс VPS (eth0):

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

Створіть мінімальний /etc/openvpn/server.conf (вміст файлу описаний в офіційній документації OpenVPN) і запустіть службу. Загартуйте SSH (тільки ключі), увімкніть фаєрвол хоста і подумайте про fail2ban для додаткового захисту — VPS тепер доступний з інтернету і вартий серйозного захисту.

Крок 3: створити клієнтські облікові дані

На VPS згенеруйте клієнтський сертифікат і зберіть файли, які знадобляться MikroTik:

  • ca.crt
  • client1.crt
  • client1.key
  • ta.key (якщо використовується)
  • client.ovpn (конфіг клієнта)

Мінімальний client.ovpn:

client
dev tun
proto udp
remote 138.197.120.24 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
cipher AES-256-CBC
verb 3

Крок 4: налаштувати MikroTik як клієнт OpenVPN

Завантажте клієнтські сертифікати і client.ovpn у MikroTik (киньте їх у список Files). У терміналі Winbox:

/interface ovpn-client add name=vpn-to-vps connect-to=138.197.120.24 port=1194 \
    user=vpnuser password="senha123" profile=default-encryption add-default-route=no


/interface ovpn-client print

Очікуваний статус:

status: connected
uptime: 00:00:45
remote-address: 10.8.0.1
local-address: 10.8.0.2

Скоригуйте add-default-route, щоб контролювати, чи відправляє MikroTik увесь WAN-трафік через тунель — для випадків «лише керування» залиште no.

Крок 5: доступ до MikroTik через VPS

DNAT на VPS пробрасує публічний порт на WebFig роутера (або інший сервіс):

iptables -t nat -A PREROUTING -p tcp --dport 8081 -j DNAT --to-destination 10.8.0.2:80
iptables -t nat -A POSTROUTING -p tcp -d 10.8.0.2 --dport 80 -j MASQUERADE

Тепер http://138.197.120.24:8081 досягає WebFig роутера через тунель.

Крок 6: доступ до внутрішніх пристроїв LAN

Щоб досягти пристрою за MikroTik (наприклад, камеру 192.168.88.100), додайте правило DNAT на VPS і dst-nat на MikroTik:

На VPS:

iptables -t nat -A PREROUTING -p tcp --dport 8082 -j DNAT --to-destination 10.8.0.2:8082

На MikroTik пробросьте вхідний порт тунелю до внутрішнього хоста:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8082 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

Доступ до камери за http://138.197.120.24:8082. Потік: публічний IP → DNAT VPS → тунель OpenVPN → dst-nat MikroTik → внутрішній пристрій.

Крок 7: автоматизація та загартовування

Декілька практичних звичок, що окуповуються в довгій:

  • Використовуйте SSH-ключі для доступу до VPS та надійні паролі на MikroTik.
  • Додайте watchdog-скрипт на MikroTik для автоматичного перезапуску тунелю в разі обриву.
  • Використовуйте статичний IP або DDNS для VPS на випадок зміни провайдера.
  • Відкривайте лише ті порти, які реально потрібні; решту тримайте за фаєрволом.
  • Логуйте з’єднання та сповіщайте про несподівані спроби доступу.

Приклад watchdog-скрипта MikroTik (перезапускає тунель, якщо він зупинився):

:if ([/interface ovpn-client get vpn-to-vps running] = false) do={
    /interface ovpn-client disable vpn-to-vps
    /delay 3
    /interface ovpn-client enable vpn-to-vps
}

Чек-лист безпеки

  • Тримайте ОС VPS і OpenVPN оновленими.
  • Використовуйте унікальні клієнтські сертифікати на кожен MikroTik. Скомпрометовані ключі негайно відкликайте, перевипускаючи CRL.
  • Обмежте фаєрвол VPS відомими IP-адресами адміністраторів, де це можливо.
  • Використовуйте HTTPS та автентифікацію на кожному пробросованому сервісі. Голий HTTP через DNAT — зайва поверхня атак.
  • Запускайте OpenVPN на нестандартному UDP-порту та обмежуйте швидкість підключень, щоб уповільнити масштабний brute force.

Наступний крок

Тунель «VPS + OpenVPN» працює надійно і дає повний контроль. Компроміс — операційний: кожен новий MikroTik потребує свіжого клієнтського сертифіката, кожна ротація ключів — координації, кожен сайт, що ресетувався, втрачає тунель, поки ви не онбордите його заново вручну. На одному сайті керовано; на п’ятдесяти — з’їдає години щотижня.

NATCloud від MKController прибирає ручне «прокладання» тунелів. Кожен MikroTik виходить онлайн через вихідний тунель до площини керування — без няньчення сертифікатів на кожному пристрої й без VPS, який треба обслуговувати. Ви отримуєте централізований моніторинг, безпечний віддалений доступ і онбординг, виміряний хвилинами, а не годинами. Для ручного варіанта на WireGuard див. посібник з WireGuard; для SSTP як альтернативи TLS-поверх-TCP, коли UDP заблокований, див. SSTP remote management.

Розпочніть безкоштовну пробну версію MKController