إدارة MikroTik عن بعد عبر OpenVPN

ملخص OpenVPN هي شبكة افتراضية خاصة موثوقة قائمة على TLS تتزاوج بشكل نظيف مع VPS كمركز وأجهزة MikroTik كعملاء للإدارة عن بعد. إنها تسبق WireGuard و Tailscale لكنها تبقى ذات صلة بسبب توافقيتها الواسعة والتحكم الدقيق في PKI والخيارات المرنة للتوجيه. يرشدك هذا الدليل عبر إعداد خادم Ubuntu VPS مع easy-rsa وسير عمل شهادة العميل وتكوين MikroTik OVPN-client وقائمة الأمان التي تحافظ على النشر قابلاً للتدقيق بمرور الوقت.

كيف يتمكن OpenVPN من الإدارة عن بعد لـ MikroTik؟

OpenVPN هي تطبيق شبكة افتراضية خاصة مفتوح المصدر مبني على OpenSSL يُنشئ أنفاقاً مشفرة عبر TCP أو UDP. لإدارة MikroTik عن بعد، تجمع الطوبولوجيا النموذجية خادم Ubuntu VPS كخادم يعمل على مدار الساعة مع جهاز MikroTik واحد أو أكثر كعملاء. يبدأ الجهاز النفق بشكل خارجي، لذلك لا يهم NAT و CGNAT على جانب العميل، ويحتفظ VPS بالمسارات وقواعد NAT التي تتيح لك الوصول إلى الجهاز (والأجهزة خلفه) عبر النفق.

تتمثل نقاط قوة OpenVPN في التشفير الناضج (AES-256، SHA-256، TLS) وعدم الاعتماد على IPv4 و IPv6 وكلا الوضعين TUN (التوجيه) و TAP (الجسر) والتوافقية الواسعة بين الموردين وأنظمة التشغيل بما في ذلك RouterOS. المقايضات هي استهلاك وحدة المعالجة المركزية الأثقل من WireGuard على أجهزة المسارات الصغيرة وخطوة إعداد PKI الحقيقية (CA والشهادات والمفاتيح) وحد خاص بـ RouterOS تحتاج إلى معرفته — تاريخياً يدعم عميل MikroTik OVPN فقط نقل TCP على بعض الإصدارات. بالنسبة لأنماط المقارنة، انظر إلى دليل إدارة WireGuard عن بعد و دليل SSTP و دليل Tailscale.

كيف يعمل OpenVPN

OpenVPN ينشئ نفقاً مشفراً بين خادم (عادةً VPS عام) وعميل واحد أو أكثر. المصادقة تستخدم CA وشهادات لكل عميل و TLS-auth اختياري (ta.key). وضعان شائعان:

• TUN (التوجيه) — التوجيه عبر الشبكات. الخيار القياسي.
• TAP (الجسر) — ربط الطبقة 2، مفيد للتطبيقات التي تعتمد على البث. أثقل وبالكاد يكون مطلوباً.

الخطوة 1: تثبيت OpenVPN على VPS

apt update && apt install -y openvpn easy-rsa

الخطوة 2: بناء PKI ومفاتيح الخادم

make-cadir ~/openvpn-ca
cd ~/openvpn-ca
./easyrsa init-pki
./easyrsa build-ca nopass
./easyrsa gen-req server nopass
./easyrsa sign-req server server
./easyrsa gen-dh
openvpn --genkey --secret ta.key

احتفظ بـ CA بشكل خاص وقم بعمل نسخة احتياطية منها. عامل مفاتيح CA مثل أسرار الإنتاج — أي شخص لديه CA يمكنه تزوير شهادات عميل شرعية.

الخطوة 3: كتابة تكوين الخادم

/etc/openvpn/server.conf (الحد الأدنى):

port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
cipher AES-256-CBC
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3

الخطوة 4: بدء الخدمة وفتح جدار الحماية

systemctl enable openvpn@server
systemctl start openvpn@server
ufw allow 1194/udp

إذا أفشيت المنفذ 1194 على الإنترنت بالكامل، فقم بتأمين VPS — fail2ban وتصاريح SSH صارمة وقيود جدار الحماية على عناوين IP المصدرية حيث يكون عملياً. نقاط نهاية VPN المكشوفة على الإنترنت تتعرض باستمرار للاختبار.

الخطوة 5: إنشاء شهادات وتكوين العميل

قم بإنشاء شهادة عميل باستخدام easy-rsa (./easyrsa build-client-full client1 nopass) وقم بحزم هذه الملفات للعميل:

• ca.crt
• client1.crt
• client1.key
• ta.key (إذا تم استخدامه)
• client.ovpn — ملف تكوين العميل

حد أدنى من client.ovpn:

client
dev tun
proto udp
remote YOUR.VPS.IP 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
remote-cert-tls server
cipher AES-256-CBC
verb 3

الخطوة 6: تكوين MikroTik كعميل OpenVPN

يدعم RouterOS اتصالات عميل OpenVPN مع حدود محددة لـ RouterOS — على الأخص أن الإصدارات الأقدم تقيد نقل TCP.

1. قم بتحميل ca.crt و client1.crt و client1.key إلى MikroTik عبر نافذة ملفات Winbox.
2. في محطة طرفية:

/interface ovpn-client add name=ovpn-out1 \
    connect-to=YOUR.VPS.IP port=1194 \
    user=vpnuser password="yourpassword" \
    profile=default-encryption add-default-route=no

/interface ovpn-client print

الحالة المتوقعة:

status: connected
uptime: 00:01:03
remote-address: 10.8.0.1
local-address: 10.8.0.6

تحقق من ملاحظات إصدار RouterOS إذا فشل الاتصال مع UDP — إذا كان إصدارك يقيد عميل OVPN إلى TCP، فقم بتبديل خادم proto إلى tcp وقاعدة جدار الحماية وفقاً لذلك. للحصول على بديل ودود لـ UDP على RouterOS، WireGuard هو الخيار الحديث الافتراضي.

الوصول إلى جهاز داخلي عبر النفق

للوصول إلى جهاز خلف MikroTik (مثل كاميرا على 192.168.88.100)، استخدم dst-nat على MikroTik لكشف منفذ محلي عبر النفق:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

من الخادم أو عميل VPN آخر، اتصل عبر عنوان التوجيه والمنفذ:

http://10.8.0.6:8081

تتدفق الحركة عبر نفق OpenVPN وتصل إلى المضيف الداخلي.

أفضل الممارسات الأمنية

• شهادة فريدة لكل عميل. لا تعيد استخدام المفاتيح عبر الأجهزة.
• دمج شهادات TLS العميل مع اسم مستخدم/كلمة مرور إذا كنت تريد تحكماً يشبه العامل المزدوج.
• قم بتدوير المفاتيح والشهادات حسب جدول زمني. طبق قوائم إلغاء الشهادات (CRLs) للأجهزة المفقودة.
• حد من عناوين IP المصدرية في جدار حماية VPS حيث يكون عملياً.
• فضّل UDP للأداء؛ تحقق من توافق RouterOS لكل إصدار.
• راقب صحة الاتصال والسجلات (syslog, openvpn-status.log).
• أتمتة إصدار الشهادات للعديد من الأجهزة باستخدام البرامج النصية، لكن احتفظ بـ CA دون الاتصال حيث أمكن — CA على خادم متصل يعتبر بعيداً عن رسالة تصيد احتيالية واحدة من الاختراق.

للحصول على سياق أمان أوسع لمستوى الإدارة، انظر إلى مقالة أفضل الممارسات الأمنية في Winbox.

OpenVPN مقابل البدائل الحديثة

متى تستخدم OpenVPN

اختر OpenVPN عندما يكون التحكم الدقيق بالشهادات مهماً أو تتضمن أسطولك أجهزة موروثة أو أجهزة بدون وكلاء VPN حديثة أو تحتاج إلى التكامل مع قواعد جدار الحماية الموجودة و PKI المؤسسية. إذا كان الإنتاجية الخام وحد الحد الأدنى من استهلاك وحدة المعالجة المركزية أكثر أهمية، فإن WireGuard يفوز — انظر دليل WireGuard و دليل Tailscale.

اتخذ الخطوة التالية

OpenVPN ليست حفرية. إنها أداة موثوقة عندما تحتاج إلى التوافقية والتحكم الصريح في المصادقة والتوجيه. قم بإقرانها مع VPS وعميل MikroTik وستحصل على مسار وصول آمن وقابل للتدقيق للكاميرات والموجهات والخدمات الداخلية.

إذا كنت تفضل تخطي حفل PKI لكل جهاز، فإن NATCloud من MKController توفر وصولاً عن بعد إلى الأجهزة خلف NAT أو CGNAT مع الحوكمة المركزية والمراقبة وإعادة الاتصال التلقائي — بدون شهادات للحفاظ عليها لكل موجه.

ابدأ تجربتك المجانية من MKController