Quản lý Mikrotik của bạn với VPS

Tóm tắt
Sử dụng VPS công khai làm trung tâm đường hầm bảo mật để truy cập thiết bị MikroTik và thiết bị nội bộ phía sau CGNAT. Hướng dẫn này bao gồm tạo VPS, thiết lập OpenVPN, cấu hình client MikroTik, chuyển tiếp cổng và các mẹo bảo mật.

Quản lý MikroTik từ xa qua VPS

Truy cập thiết bị phía sau MikroTik không có IP công khai là một vấn đề phổ biến.

Một VPS công khai tạo cầu nối đáng tin cậy.

Router mở một đường hầm outbound tới VPS, và bạn có thể truy cập router hoặc bất kỳ thiết bị LAN nào qua đường hầm đó.

Cách làm này sử dụng VPS (ví dụ: DigitalOcean) và OpenVPN, nhưng mô hình cũng áp dụng với WireGuard, SSH reverse tunnel hoặc VPN khác.

Tổng quan kiến trúc

Luồng dữ liệu:

Quản trị viên ⇄ VPS công khai ⇄ MikroTik (phía sau NAT) ⇄ Thiết bị nội bộ

MikroTik khởi tạo đường hầm tới VPS. VPS là điểm hẹn ổn định với IP công khai.

Khi đường hầm đã thiết lập, VPS có thể chuyển tiếp cổng hoặc định tuyến lưu lượng vào LAN MikroTik.

Bước 1 — Tạo VPS (ví dụ DigitalOcean)

Tạo tài khoản trên nhà cung cấp bạn chọn.
Tạo Droplet / VPS với Ubuntu 22.04 LTS.
Gói nhỏ đủ dùng cho công việc quản lý (1 vCPU, 1GB RAM).
Thêm khóa công khai SSH để truy cập root an toàn.

Ví dụ (kết quả):

IP VPS: 138.197.120.24
Người dùng: root

Bước 2 — Chuẩn bị VPS (máy chủ OpenVPN)

SSH vào VPS:

ssh root@138.197.120.24
apt update && apt upgrade -y
apt install -y openvpn easy-rsa iptables

Tạo PKI và chứng chỉ máy chủ (easy-rsa):

make-cadir ~/openvpn-ca
cd ~/openvpn-ca
./easyrsa init-pki
./easyrsa build-ca nopass
./easyrsa gen-req server nopass
./easyrsa sign-req server server
openvpn --genkey --secret ta.key

Bật chuyển tiếp IP:

sysctl -w net.ipv4.ip_forward=1
# cấu hình tồn tại lâu dài trong /etc/sysctl.conf nếu muốn

Thêm luật NAT để client đường hầm có thể ra ngoài qua interface công khai VPS (eth0):

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

Tạo cấu hình máy chủ tối giản /etc/openvpn/server.conf và khởi động dịch vụ.

Mẹo: Khóa SSH (chỉ dùng key), bật quy tắc UFW/iptables, cân nhắc sử dụng fail2ban để tăng cường bảo vệ.

Bước 3 — Tạo chứng chỉ và cấu hình client

Trên VPS, tạo chứng chỉ client (client1) và thu thập các tập tin cho MikroTik:

ca.crt
client1.crt
client1.key
ta.key (nếu dùng)
client.ovpn (cấu hình client)

Ví dụ cấu hình tối giản client.ovpn:

client
dev tun
proto udp
remote 138.197.120.24 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
cipher AES-256-CBC
verb 3

Bước 4 — Cấu hình MikroTik làm client OpenVPN

Tải các chứng chỉ client và file client.ovpn lên MikroTik (danh sách Files), sau đó tạo giao diện OVPN client:

/interface ovpn-client add name=vpn-to-vps connect-to=138.197.120.24 port=1194 \
    user=vpnuser password="senha123" profile=default-encryption add-default-route=no

/interface ovpn-client print

Trạng thái mong đợi:

status: connected
uptime: 00:00:45
remote-address: 10.8.0.1
local-address: 10.8.0.2

Lưu ý: Điều chỉnh add-default-route để kiểm soát router có gửi toàn bộ lưu lượng qua đường hầm hay không.

Bước 5 — Truy cập MikroTik qua VPS

Dùng DNAT trên VPS để chuyển tiếp cổng công khai đến WebFig hoặc dịch vụ khác trên router.

Trên VPS:

iptables -t nat -A PREROUTING -p tcp --dport 8081 -j DNAT --to-destination 10.8.0.2:80
iptables -t nat -A POSTROUTING -p tcp -d 10.8.0.2 --dport 80 -j MASQUERADE

Giờ http://138.197.120.24:8081 sẽ truy cập được WebFig của router qua đường hầm.

Bước 6 — Truy cập thiết bị trong LAN nội bộ

Để đến thiết bị phía sau MikroTik (ví dụ camera 192.168.88.100), thêm quy tắc DNAT trên VPS và dst-nat trên MikroTik nếu cần.

Trên VPS (map cổng công khai 8082 tới peer đường hầm):

iptables -t nat -A PREROUTING -p tcp --dport 8082 -j DNAT --to-destination 10.8.0.2:8082

Trên MikroTik, chuyển tiếp cổng đến host nội bộ:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8082 action=dst-nat to-addresses=192.168.88.100 to-ports=80

Truy cập camera:

http://138.197.120.24:8082

Lưu lượng đi theo: IP công khai → VPS DNAT → đường hầm OpenVPN → MikroTik dst-nat → thiết bị nội bộ.

Bước 7 — Tự động hóa và tăng cường bảo mật

Một số mẹo nhỏ hữu ích:

Dùng khóa SSH để truy cập VPS và mật khẩu mạnh cho MikroTik.
Giám sát và tự động khởi động lại đường hầm với script MikroTik kiểm tra giao diện OVPN.
Dùng IP tĩnh hoặc DDNS cho VPS khi đổi nhà cung cấp.
Chỉ mở cổng cần thiết, giữ các cổng khác trong tường lửa.
Ghi nhật ký kết nối và cảnh báo truy cập bất thường.

Ví dụ script giám sát MikroTik (khởi động lại OVPN khi ngắt):

:if ([/interface ovpn-client get vpn-to-vps running] = false) do={
    /interface ovpn-client disable vpn-to-vps
    /delay 3
    /interface ovpn-client enable vpn-to-vps
}

Danh sách kiểm tra bảo mật

Giữ hệ điều hành VPS và OpenVPN luôn được cập nhật.
Dùng chứng chỉ riêng cho mỗi MikroTik và thu hồi khóa khi bị xâm phạm.
Giới hạn quy tắc tường lửa VPS chỉ cho IP quản lý khi có thể.
Dùng HTTPS và xác thực trên dịch vụ được chuyển tiếp.
Cân nhắc chạy VPN ở port UDP không chuẩn và giới hạn tốc độ kết nối.

Nơi MKController hỗ trợ: Nếu việc thiết lập đường hầm thủ công quá phức tạp, NATCloud của MKController cung cấp truy cập từ xa tập trung và kết nối an toàn không cần quản lý đường hầm từng thiết bị.

Kết luận

VPS công khai là cách đơn giản và kiểm soát để truy cập thiết bị MikroTik và máy nội bộ phía sau NAT.

OpenVPN là lựa chọn phổ biến, nhưng mô hình này cũng thích hợp với WireGuard, SSH tunnel và VPN khác.

Sử dụng chứng chỉ, quy tắc tường lửa nghiêm ngặt và tự động hóa để đảm bảo cấu hình ổn định và an toàn.

Về MKController

Hy vọng những thông tin trên giúp bạn điều hướng hệ sinh thái MikroTik và Internet tốt hơn! 🚀
Dù là tinh chỉnh cấu hình hoặc đơn giản chỉ muốn kiểm soát mạng lưới hỗn loạn, MKController có thể làm cuộc sống bạn trở nên dễ dàng hơn.

Với quản lý đám mây tập trung, cập nhật bảo mật tự động và bảng điều khiển thân thiện, chúng tôi có giải pháp để nâng cấp hệ thống của bạn.

👉 Bắt đầu dùng thử miễn phí 3 ngày tại mkcontroller.com — và khám phá cách điều khiển mạng dễ dàng thật sự là như thế nào.