تخطَّ إلى المحتوى
Blog

الإدارة باستخدام OpenVPN

ملخص
دليل عملي لاستخدام OpenVPN مع MikroTik وVPS: كيف يعمل OpenVPN، إعداد الخادم على Ubuntu، تهيئة عميل MikroTik، أنماط الوصول، مقارنة مع الحلول الحديثة، وممارسات الأمان الأفضل.

الإدارة البعيدة لأجهزة MikroTik باستخدام OpenVPN

يظل OpenVPN طريقة موثوقة ومجربة للوصول إلى أجهزة التوجيه والأجهزة عن بُعد.

سبق ظهوره حلول مثل WireGuard وTailscale، لكن مرونته وتوافقه تحافظان على أهميته اليوم.

يرشدك هذا المنشور إلى الكيفية والسبب — ويقدم أوامر جاهزة للنسخ واللصق على خادم VPS وعميل MikroTik.

ما هو OpenVPN؟

OpenVPN هو تنفيذ VPN مفتوح المصدر (منذ 2001) يبني أنفاقًا مشفرة فوق بروتوكول TCP أو UDP.

يعتمد على OpenSSL للتشفير والمصادقة القائمة على TLS.

نقاط رئيسية:

  • تشفير قوي (AES-256، SHA256، TLS).
  • يعمل مع IPv4 وIPv6.
  • يدعم أوضاع التوجيه (TUN) والجسر (TAP).
  • توافق واسع مع أنظمة التشغيل والأجهزة — بما في ذلك RouterOS.

ملاحظة: تجعل بيئة OpenVPN وأدواته منه خيارًا مناسبًا للبيئات التي تحتاج إلى تحكم صريح في الشهادات ودعم الأجهزة القديمة.

كيف يعمل OpenVPN (لمحة سريعة)

ينشئ OpenVPN نفقًا مشفرًا بين خادم (عادة VPS عام) وعميل أو أكثر (راوترات MikroTik، لابتوبات، إلخ).

تتم المصادقة باستخدام CA والشهادات وTLS auth الاختياري (ta.key).

الأوضاع الشائعة:

  • TUN (موجّه): توجيه IP بين الشبكات (الأكثر شيوعًا).
  • TAP (جسر): جسر طبقة 2 — مفيد للتطبيقات التي تعتمد على البث، لكنه أثقل من حيث الموارد.

الإيجابيات والسلبيات

المزايا

  • نموذج أمان مثبت (TLS + OpenSSL).
  • قابلية تكوين عالية جدًا (TCP/UDP، منافذ، مسارات، خيارات مدفوعة).
  • توافق واسع — مناسب للأساطيل المختلطة.
  • دعم أصلي (مع محدوديات) في RouterOS.

العيوب

  • أثقل من WireGuard على الأجهزة محدودة الموارد.
  • يتطلب الإعداد PKI (CA، شهادات) وبعض الخطوات اليدوية.
  • يدعم RouterOS من MikroTik OpenVPN عبر TCP فقط في بعض الإصدارات (غالبًا ما يستخدم جانب الخادم UDP).

إعداد خادم OpenVPN على Ubuntu (VPS)

فيما يلي إعداد عملي ومضغوط. اضبط الأسماء وعناوين IP وDNS حسب بيئتك.

1) تثبيت الحزم

Terminal window
apt update && apt install -y openvpn easy-rsa

2) إنشاء PKI ومفاتيح الخادم

Terminal window
make-cadir ~/openvpn-ca
cd ~/openvpn-ca
source vars
./clean-all
./build-ca            # create CA
./build-key-server server
./build-dh
openvpn --genkey --secret keys/ta.key

نصيحة: احفظ CA بشكل خاص وقم بعمل نسخ احتياطية. عامل مفاتيح CA كسِرية إنتاجية.

3) تكوين الخادم (/etc/openvpn/server.conf)

أنشئ الملف بالمحتوى الأدنى التالي:

port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
cipher AES-256-CBC
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3

4) تمكين وبدء الخدمة

Terminal window
systemctl enable openvpn@server
systemctl start openvpn@server

5) الجدار الناري: السماح بالمنفذ

Terminal window
ufw allow 1194/udp

تحذير: إذا عرضت المنفذ 1194 على كامل الإنترنت، فقم بتأمين الخادم (fail2ban، مفاتيح SSH صارمة، قواعد جدار نار لتقييد عناوين IP المصدر عندما يكون ذلك ممكنًا).

إنشاء شهادات وتكوينات العميل

استخدم سكربتات easy-rsa لإنشاء شهادة عميل (مثال: build-key client1).

اجمع هذه الملفات للعميل:

  • ca.crt
  • client1.crt
  • client1.key
  • ta.key (إذا استُخدم)
  • client.ovpn (ملف التكوين)

مثال client.ovpn أدنى (استبدل IP الخادم بـ VPS الخاص بك):

client
dev tun
proto udp
remote YOUR.VPS.IP 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
remote-cert-tls server
cipher AES-256-CBC
verb 3

تكوين MikroTik كعميل OpenVPN

يدعم RouterOS اتصالات عميل OpenVPN، ولكن مع بعض قيود RouterOS الخاصة.

  1. ارفع ملفات المفتاح والشهادة الخاصة بالعميل (ca.crt, client.crt, client.key) إلى MikroTik.

  2. أنشئ بروفايل عميل OVPN وابدأ الاتصال.

/interface ovpn-client add name=ovpn-out1 \
    connect-to=YOUR.VPS.IP port=1194 \
    user=vpnuser password="yourpassword" \
    profile=default-encryption add-default-route=no


/interface ovpn-client print

عينة حالة متوقعة:

status: connected
uptime: 00:01:03
remote-address: 10.8.0.1
local-address: 10.8.0.6

ملاحظة: تاريخيًا يقيد RouterOS OpenVPN على TCP في بعض الإصدارات — تحقق من ملاحظات الإصدار الخاصة بـ RouterOS. إذا احتجت UDP على جانب الراوتر، ففكر في حل وسيط (مثل مضيف Linux) أو استخدم عميل برمجي على جهاز قريب.

الوصول إلى جهاز داخلي عبر النفق

للوصول إلى جهاز داخلي (مثال: كاميرا IP 192.168.88.100)، يمكنك استخدام NAT على MikroTik لكشف منفذ محلي عبر النفق.

  1. أضف قاعدة dst-nat على MikroTik:
/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80
  1. من الخادم أو عميل آخر، اتصل بالعنوان والمنافذ الموجّهة:
http://10.8.0.6:8081

يتدفق المرور عبر نفق OpenVPN ويصل إلى المضيف الداخلي.

الأمن وأفضل الممارسات

  • استخدم شهادة فريدة لكل عميل.
  • ادمج شهادات TLS للعميل مع اسم مستخدم/كلمة مرور إذا احتجت إلى تحكم شبيه بالمصادقة المزدوجة.
  • دوّر المفاتيح والشهادات بجدول زمني محدد.
  • قصر عناوين IP المصدر في جدار ناری VPS عندما يكون ذلك عمليًا.
  • فضّل UDP للأداء، لكن تحقق من توافقه مع RouterOS.
  • راقب صحة الاتصال والـ logs (syslog, openvpn-status.log).

نصيحة: قم بأتمتة إصدار الشهادات للعديد من الأجهزة باستخدام سكربتات، لكن احتفظ بـ CA غير متصلة بالإنترنت كلما أمكن.

مقارنة قصيرة مع البدائل الحديثة

الحلنقاط القوةمتى تختاره
OpenVPNالتوافق، التحكم الدقيق عبر الشهاداتبيئات مختلطة/قديمة؛ إعدادات ISP؛ أجهزة الشركات
WireGuardالسرعة، البساطةأجهزة حديثة، راوترات بموارد محدودة
Tailscale/ZeroTierالشبكة المترابطة، الهوية، سهولة النشرلابتوبات، سيرفرات، تعاون الفرق

متى تستخدم OpenVPN

  • تحتاج إلى تحكم دقيق عبر الشهادات.
  • أسطولك يتضمن أجهزة قديمة أو appliances بدون وكلاء حديثين.
  • عليك التكامل مع قواعد جدار ناری الحالية وPKI المؤسسة.

إذا أردت أقل حمل ممكن و تشفير حديث، WireGuard (أو Tailscale لطبقة تحكم أبسط) ممتاز — لكن OpenVPN يفوز من حيث التوافق الشامل.

أين يساعد MKController: إذا أردت تجنب النفق اليدوي وتعقيدات الشهادات، فإن أدوات MKController البعيدة (NATCloud) تتيح الوصول إلى الأجهزة خلف NAT/CGNAT بحوكمة مركزية، مراقبة وإعادة اتصال تلقائي — دون PKI لكل جهاز لإدارته.

الخلاصة

OpenVPN ليس شيئًا من الماضي.

إنه أداة موثوقة عندما تحتاج إلى التوافق والتحكم الصريح في المصادقة والتوجيه.

اجمعه مع VPS وعميل MikroTik لتحصل على طريق وصول بعيد قوي وقابل للتدقيق إلى الكاميرات، الراوترات والخدمات الداخلية.

عن MKController

نأمل أن تكون الأفكار أعلاه قد ساعدتك على التنقل في عالم MikroTik والإنترنت بشكل أفضل! 🚀
سواء كنت تضبط الإعدادات أو تحاول إدخال القليل من النظام في فوضى الشبكة — MKController هنا لتبسيط حياتك.

مع إدارة مركزية سحابية، تحديثات أمان آلية ولوحة تحكم يسهل على أي شخص استخدامها، لدينا ما يلزم لترقية عمليتك.

👉 ابدأ تجربة مجانية لمدة 7 أيام الآن على mkcontroller.com — وشاهد كيف يبدو التحكم في الشبكة بلا جهد.