Skip to content
MKController Blog
InstagramYouTubeFacebook

Remote Access

OpenVPN MikroTik управление

Конфигурирайте OpenVPN с VPS сървър и MikroTik клиент за отдалечено управление — PKI и сигурност.

MKController6 min read

Резюме OpenVPN е боен TLS-базиран VPN, който се сдвоява чисто с VPS като център и MikroTik маршрутизатори като клиенти за отдалечено управление. Той предшества WireGuard и Tailscale, но остава релевантен поради своята широка съвместимост, гранулиран PKI контрол и гъвкави опции за маршрутизация. Това ръководство преминава през настройката на Ubuntu VPS сървър с easy-rsa, работния поток на сертификатите на клиента, конфигурацията на MikroTik OVPN-клиент и списъка за проверка на сигурност, който поддържа разгръщането проверимо с течение на времето.

Как OpenVPN позволява отдалечено управление на MikroTik?

OpenVPN е реализация с отворен код на VPN, изградена върху OpenSSL, която установява криптирани тунели по TCP или UDP. За отдалечено управление на MikroTik, типичната топология сдвоява Ubuntu VPS като постоянно включен сървър с един или повече MikroTik маршрутизатори като клиенти. Маршрутизаторът инициира тунела навън, така че NAT и CGNAT от страната на клиента не имат значение, а VPS държи маршрутите и правилата за NAT, които ви позволяват да достигнете маршрутизатора (и устройствата зад него) през тунела.

Силните страни на OpenVPN са зрелата криптография (AES-256, SHA-256, TLS), подкрепата на IPv4 и IPv6, както режимите TUN (маршрутизиран), така и TAP (мост) и широката съвместимост в различни доставчици и операционни системи, включително RouterOS. Компромисите са по-голямо потребление на CPU от WireGuard на малки маршрутизатори, реална стъпка на настройка на PKI (CA, сертификати, ключове) и RouterOS-специфично ограничение, което трябва да знаете — исторически MikroTik OVPN клиентът поддържа само TCP транспорт на някои версии. За сравнение на моделите вижте нашето ръководство за отдалечено управление с WireGuard, ръководство за SSTP и ръководство за Tailscale.

Как работи OpenVPN?

OpenVPN установява криптиран тунел между сървър (обикновено публичен VPS) и един или повече клиенти. Удостоверяването използва CA, сертификати за всеки клиент и опционален TLS-auth (ta.key). Два често срещани режима:

  • TUN (маршрутизиран) — IP маршрутизация между мрежи. Стандартният избор.
  • TAP (мост) — Мост на слой 2, полезен за приложения, зависими от излъчване. По-тежко и рядко необходимо.

Стъпка 1: Инсталирайте OpenVPN на VPS

``` apt update && apt install -y openvpn easy-rsa ```

Стъпка 2: Изградете PKI и ключовете на сървъра

``` make-cadir ~/openvpn-ca cd ~/openvpn-ca ./easyrsa init-pki ./easyrsa build-ca nopass ./easyrsa gen-req server nopass ./easyrsa sign-req server server ./easyrsa gen-dh openvpn —genkey —secret ta.key ```

Държете CA частна и я архивирайте. Третирайте ключовете на CA като производствени тайни — всеки с CA може да създаде легитимни сертификати на клиента.

Стъпка 3: Напишете конфигурацията на сървъра

`/etc/openvpn/server.conf` (минимум):

``` port 1194 proto udp dev tun ca ca.crt cert server.crt key server.key dh dh.pem server 10.8.0.0 255.255.255.0 push “redirect-gateway def1 bypass-dhcp” push “dhcp-option DNS 8.8.8.8” keepalive 10 120 cipher AES-256-CBC user nobody group nogroup persist-key persist-tun status openvpn-status.log verb 3 ```

Стъпка 4: Стартирайте услугата и отворете защитната стена

``` systemctl enable openvpn@server systemctl start openvpn@server ufw allow 1194/udp ```

Ако излагате порт 1194 на целия интернет, защитете VPS — fail2ban, строги SSH ключове и ограничения на IP адреса на източника където е практично. Излаганите в интернет VPN крайни точки постоянно се сондират.

Стъпка 5: Създайте сертификати и конфигурация на клиента

Генерирайте сертификат на клиента с easy-rsa (`./easyrsa build-client-full client1 nopass`) и свържете тези за клиента:

  • `ca.crt`
  • `client1.crt`
  • `client1.key`
  • `ta.key` (ако се използва)
  • `client.ovpn` — файл с конфигурация на клиента

Минимален `client.ovpn`:

``` client dev tun proto udp remote YOUR.VPS.IP 1194 resolv-retry infinite nobind persist-key persist-tun ca ca.crt cert client1.crt key client1.key remote-cert-tls server cipher AES-256-CBC verb 3 ```

Стъпка 6: Конфигурирайте MikroTik като OpenVPN клиент

RouterOS поддържа OpenVPN клиентски връзки с RouterOS-специфични ограничения — забележимо, че по-старите версии са ограничени до TCP транспорт.

  1. Качете `ca.crt`, `client1.crt` и `client1.key` на MikroTik през прозореца на файлове на Winbox.
  2. В терминал:

``` /interface ovpn-client add name=ovpn-out1
connect-to=YOUR.VPS.IP port=1194
user=vpnuser password=“yourpassword”
profile=default-encryption add-default-route=no

/interface ovpn-client print ```

Очакван статус:

``` status: connected uptime: 00:01:03 remote-address: 10.8.0.1 local-address: 10.8.0.6 ```

Проверете бележките към вашето издание на RouterOS, ако връзката се провали с UDP — ако вашата версия ограничава OVPN клиента до TCP, превключете сървъра `proto` на `tcp` и правилото на защитната стена съответно. За UDP-приятелна алтернатива на RouterOS, WireGuard е съвременният стандарт.

Достигнете вътрешно устройство през тунела

За да достигнете устройство зад MikroTik (например, камера на `192.168.88.100`), използвайте dst-nat на MikroTik, за да излагате локален портър през тунела:

``` /ip firewall nat add chain=dstnat protocol=tcp dst-port=8081
action=dst-nat to-addresses=192.168.88.100 to-ports=80 ```

От сървъра или друг VPN клиент, свържете се през маршрутизирания адрес и портър:

``` http://10.8.0.6:8081 ```

Трафикът преминава през OpenVPN тунела и достига вътрешния хост.

Най-добрите практики за сигурност

  • Уникален сертификат за всеки клиент. Никога не преизползвайте ключове в различни устройства.
  • Комбинирайте TLS сертификати на клиента с потребителско име/пароля, ако искате двуфакторен контрол.
  • Ротирайте ключове и сертификати по график. Внедрете CRL (списъци за отозване на сертификати) за загубени устройства.
  • Ограничете IP адреси на източника във защитната стена на VPS, където е практично.
  • Предпочитайте UDP за производителност; проверете съвместимостта на RouterOS на издание.
  • Мониторирайте здравето на връзката и логовете (syslog, `openvpn-status.log`).
  • Автоматизирайте издаването на сертификатите за много устройства с скриптове, но държите CA офлайн, където е възможно — CA на свързан сървър е един фишинг имейл от компрометирането.

За по-широк контекст на сигурност на равнина за управление, вижте нашата статия най-добрите практики за сигурност на Winbox.

OpenVPN срещу съвременни алтернативи

РешениеСилни страниКога да го изберете
OpenVPNСъвместимост, гранулиран контрол на сертификатитеСмесени/наследствени флотили; корпоративни уреди
WireGuardСкорост, простота, съвременна криптографияСъвременни устройства, маршрутизатори с малко място
SSTPTLS по порт 443, преминаване на защитна стенаМрежи, които блокират UDP и други портове на VPN
Tailscale / ZeroTierМрежа, удостоверение-базирана, лесно разгръщанеЛаптопи, екипи, кросплатформна сътрудничество

Кога да използвате OpenVPN

Изберете OpenVPN, когда гранулираният контрол на сертификатите е важен, вашият флот включва наследствени устройства или уреди без съвременни VPN агенти, или трябва да се интегрирате със съществуващи правила на защитната стена и корпоративен PKI. Ако необходимостта от чист пропускателен капацитет и минимална CPU натовареност е по-важна, WireGuard печели — вижте наръчника за WireGuard и ръководството за Tailscale.

Направете следващата стъпка

OpenVPN не е реликва. Това е надежден инструмент, когато се нуждаете от съвместимост и явен контрол върху удостоверяване и маршрутизация. Сдвойте го с VPS и MikroTik клиент и получавате надежден, проверим път за отдалечен достъп до камери, маршрутизатори и вътрешни услуги.

Ако предпочитате да пропуснете церемониалния PKI по устройство, NATCloud на MKController осигурява отдалечен достъп до устройства зад NAT или CGNAT с централизирано управление, наблюдение и автоматично преконектване — без сертификати за поддържане на маршрутизатор.

Стартирайте вашия безплатен опит на MKController