Skip to content
Blog

Управление на MikroTik чрез OpenVPN

Резюме
Практическо ръководство за използване на OpenVPN с MikroTik и VPS: как работи OpenVPN, настройка на сървър в Ubuntu, конфигуриране на MikroTik клиент, модели на достъп, сравнение с модерни решения и препоръки за сигурност.

Отдалечено управление на MikroTik чрез OpenVPN

OpenVPN остава стабилен и доказан метод за отдалечен достъп до рутери и устройства.

Той предшества WireGuard и Tailscale, но гъвкавостта и съвместимостта му го правят актуален и днес.

В тази статия ще научите как и защо — с готови команди за VPS сървър и MikroTik клиент.

Какво е OpenVPN?

OpenVPN е отворен VPN софтуер (от 2001), който създава криптирани тунели върху TCP или UDP.

Той използва OpenSSL за криптиране и TLS автентикация.

Основни характеристики:

  • Силно криптиране (AES-256, SHA256, TLS).
  • Работи с IPv4 и IPv6.
  • Поддържа маршрутизирани (TUN) и мостови (TAP) режими.
  • Широка съвместимост с ОС и устройства — включително RouterOS.

Бележка: Екосистемата и инструментите на OpenVPN го правят подходящ за среди, които изискват ясно управление на сертификати и поддръжка на стари устройства.

Как работи OpenVPN (бърз преглед)

OpenVPN установява криптиран тунел между сървър (обикновено публичен VPS) и един или повече клиенти (MikroTik рутери, лаптопи и др.).

Автентикацията се извършва с помощта на CA, сертификати и опционален TLS auth (ta.key).

Често използвани режими:

  • TUN (маршрутиран): IP маршрутизиране между мрежи (най-често използван).
  • TAP (мостов): Layer‑2 мостуване — за приложения, зависещи от излъчвания, но по-тежък.

Плюсове и минуси

Предимства

  • Доказан модел за сигурност (TLS + OpenSSL).
  • Многонастройваем (TCP/UDP, портове, маршрути, push опции).
  • Широка съвместимост — подходящ за смесени инсталации.
  • Вградена (макар и ограничена) поддръжка в RouterOS.

Недостатъци

  • По-тежък от WireGuard на ограничен хардуер.
  • Настройката изисква PKI (CA, сертификати) и някои ръчни стъпки.
  • RouterOS поддържа OpenVPN само през TCP (сървърните инсталации обикновено използват UDP).

Създаване на OpenVPN сървър на Ubuntu (VPS)

По-долу е компресирана и практична настройка. Коригирайте имена, IP адреси и DNS според вашата среда.

1) Инсталирайте пакетите

Terminal window
apt update && apt install -y openvpn easy-rsa

2) Създайте PKI и ключове на сървъра

Terminal window
make-cadir ~/openvpn-ca
cd ~/openvpn-ca
source vars
./clean-all
./build-ca            # създаване на CA
./build-key-server server
./build-dh
openvpn --genkey --secret keys/ta.key

Съвет: Запазете CA частния ключ и го архивирайте. Третирайте CA ключовете като производствени тайни.

3) Конфигурация на сървъра (/etc/openvpn/server.conf)

Създайте файла със следното минимално съдържание:

port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
cipher AES-256-CBC
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3

4) Активирайте и стартирайте услугата

Terminal window
systemctl enable openvpn@server
systemctl start openvpn@server

5) Файъруол: разрешете порта

Terminal window
ufw allow 1194/udp

Предупреждение: Ако отворите порт 1194 за целия интернет, осигурете сървъра (fail2ban, строги SSH ключове, правила във файъруола за ограничаване на източниците).

Създаване на клиентски сертификати и конфигурации

Използвайте easy-rsa скриптовете, за да генерирате клиентски сертификат (например: build-key client1).

Опаковайте следните файлове за клиента:

  • ca.crt
  • client1.crt
  • client1.key
  • ta.key (ако се използва)
  • client.ovpn (конфигурационен файл)

Пример за минимален client.ovpn (заменете IP на вашия VPS):

client
dev tun
proto udp
remote YOUR.VPS.IP 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
remote-cert-tls server
cipher AES-256-CBC
verb 3

Конфигуриране на MikroTik за OpenVPN клиент

RouterOS поддържа OpenVPN клиентски връзки, но с някои специфични ограничения.

  1. Качете ключовете и сертификатите на клиента (ca.crt, client.crt, client.key) в MikroTik.

  2. Създайте OVPN клиентски профил и стартирайте връзката.

/interface ovpn-client add name=ovpn-out1 \
    connect-to=YOUR.VPS.IP port=1194 \
    user=vpnuser password="yourpassword" \
    profile=default-encryption add-default-route=no


/interface ovpn-client print

Очакван статус:

status: connected
uptime: 00:01:03
remote-address: 10.8.0.1
local-address: 10.8.0.6

Бележка: RouterOS обикновено ограничава OpenVPN до TCP — проверете бележките за вашата версия. Ако ви е нужен UDP на рутера, обмислете междинно решение (Linux хост) или софтуерен клиент наблизо.

Достъп до вътрешно устройство през тунела

За достъп до вътрешно устройство (пример: IP камера 192.168.88.100) използвайте NAT на MikroTik за пренасочване на локален порт през тунела.

  1. Добавете dst-nat правило на MikroTik:
/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80
  1. Свържете се от сървъра или друг клиент към маршрутизирания адрес и порт:
http://10.8.0.6:8081

Трафикът преминава през OpenVPN тунела до вътрешното устройство.

Сигурност и добри практики

  • Използвайте уникален сертификат за всеки клиент.
  • Комбинирайте TLS клиентски сертификати с потребител/парола при нужда от двуфакторна защита.
  • Редовно въртете ключове и сертификати.
  • Ограничете източниците в VPS файъруола, когато е възможно.
  • Предпочитайте UDP за производителност, проверявайте съвместимост с RouterOS.
  • Следете здравето на връзките и логовете (syslog, openvpn-status.log).

Съвет: Автоматизирайте издаването на сертификати с скриптове, но пазете CA офлайн когато е възможно.

Кратко сравнение с модерни алтернативи

РешениеПредимстваКога да изберете
OpenVPNСъвместимост, детайлен контрол на сертификатиСмесени/стари среди; ISP инсталации; фирмени устройства
WireGuardСкорост, простотаМодерни устройства, рутери с малки ресурси
Tailscale/ZeroTierМрежова изграда, идентичност, лесно внедряванеЛаптопи, сървъри, екипна работа

Кога да използвате OpenVPN

  • Ако ви трябва фина контрола върху сертификати.
  • Ако имате стари устройства или уреди без съвременни агенти.
  • Ако трябва да интегрирате с настоящи правила във файъруола и корпоративно PKI.

За най-леко натоварване и модерна криптография WireGuard (или Tailscale за по-лесно управление) са отличен избор — но OpenVPN все още печели със своята универсална съвместимост.

Къде MKController помага: Ако искате да избегнете ръчни тунели и сертификатни усложнения, MKController (NATCloud) осигурява централизирано управление, мониторинг и автоматично повторно свързване за устройства зад NAT/CGNAT — без нужда от PKI на устройство.

Заключение

OpenVPN не е остарял.

Това е надежден инструмент, ако търсите съвместимост и ясен контрол над автентикация и маршрутизация.

Комбиниран с VPS и MikroTik клиент осигурява стабилен и проверим отдалечен достъп до камери, рутери и вътрешни услуги.

За MKController

Надяваме се горната информация да ви помогне да управлявате по-добре вашите MikroTik и интернет! 🚀
Независимо дали настройвате конфигурации или подреждате мрежовия хаос, MKController е тук, за да улесни живота ви.

С централизиран облачен мениджмънт, автоматични ъпдейти за сигурността и контролен панел, който всеки може да овладее, имаме всичко за подобряване на вашата работа.

👉 Започнете 3-дневен безплатен пробен период на mkcontroller.com — и вижте как изглежда лесният контрол на мрежата.