Gestió del teu Mikrotik amb OpenVPN

Resum
Guia pràctica per usar OpenVPN amb MikroTik i un VPS: funcionament, configuració del servidor Ubuntu, client MikroTik, esquemes d’accés, comparacions i millors pràctiques de seguretat.

Gestió remota de MikroTik amb OpenVPN

OpenVPN continua sent una solució sòlida i provada per accedir a routers i dispositius de forma remota.

Va aparèixer abans que WireGuard i Tailscale, però la seva flexibilitat i compatibilitat el mantenen vigent avui.

Aquest article t’explica el com i el per què — i proporciona ordres per copiar i enganxar per a un servidor VPS i un client MikroTik.

Què és OpenVPN?

OpenVPN és una implementació VPN de codi obert (des de 2001) que crea túnels xifrats sobre TCP o UDP.

Depèn d’OpenSSL per a l’encriptació i l’autenticació basada en TLS.

Punts clau:

Criptografia robusta (AES-256, SHA256, TLS).
Funciona amb IPv4 i IPv6.
Suporta modes encaminats (TUN) i en pont (TAP).
Ampli suport en sistemes operatius i dispositius, incloent RouterOS.

Nota: L’ecosistema i les eines d’OpenVPN el fan ideal per entorns que necessiten un control explícit de certificats i suport per dispositius antics.

Com funciona OpenVPN (resum ràpid)

OpenVPN estableix un túnel xifrat entre un servidor (normalment un VPS públic) i un o més clients (routers MikroTik, portàtils, etc.).

L’autenticació es fa amb una CA, certificats i una opció addicional de TLS auth (ta.key).

Modes comuns:

TUN (encaminat): encaminament IP entre xarxes (el més habitual).
TAP (pont): pont de capa 2 — útil per aplicacions que usen broadcast però més pesat.

Pros i contres

Avantatges

Model de seguretat provat (TLS + OpenSSL).
Altament configurable (TCP/UDP, ports, rutes, opcions impulsades).
Gran compatibilitat — ideal per flotes mixtes.
Suport natiu (encara que limitat) en RouterOS.

Desavantatges

Més pesat que WireGuard en maquinari limitat.
Requereix PKI (CA, certificats) i alguns passos manuals.
RouterOS només suporta OpenVPN sobre TCP (els servidors encara acostumen a usar UDP).

Crear un servidor OpenVPN a Ubuntu (VPS)

A continuació, una configuració compacta i pràctica. Ajusta noms, IPs i DNS al teu entorn.

1) Instal·lar paquets

apt update && apt install -y openvpn easy-rsa

2) Crear PKI i claus del servidor

make-cadir ~/openvpn-ca
cd ~/openvpn-ca
source vars
./clean-all
./build-ca            # crea la CA
./build-key-server server
./build-dh
openvpn --genkey --secret keys/ta.key

Consell: Conserva la CA privada i fes-ne còpia de seguretat. Tracta les claus CA com a secrets de producció.

3) Configuració del servidor (/etc/openvpn/server.conf)

Crea el fitxer amb aquest contingut mínim:

port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
cipher AES-256-CBC
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3

4) Habilitar i iniciar servei

systemctl enable openvpn@server
systemctl start openvpn@server

5) Tallafocs: permetre el port

ufw allow 1194/udp

Advertència: Si exposes el port 1194 a tota Internet, assegura el servidor (fail2ban, claus SSH estrictes, regles de tallafocs per limitar IPs d’origen quan sigui possible).

Crear certificats i configuracions de client

Usa els scripts easy-rsa per generar un certificat client (p. ex.: build-key client1).

Agrupa aquests fitxers per al client:

ca.crt
client1.crt
client1.key
ta.key (si s’usa)
client.ovpn (fitxer de configuració)

Exemple mínim de client.ovpn (canvia la IP del servidor pel teu VPS):

client
dev tun
proto udp
remote YOUR.VPS.IP 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
remote-cert-tls server
cipher AES-256-CBC
verb 3

Configurar MikroTik com a client OpenVPN

RouterOS permet connexions de client OpenVPN, amb algunes limitacions específiques.

Puja al MikroTik les claus i certificats del client (ca.crt, client.crt, client.key).
Crea un perfil de client OVPN i inicia la connexió.

/interface ovpn-client add name=ovpn-out1 \
    connect-to=YOUR.VPS.IP port=1194 \
    user=vpnuser password="yourpassword" \
    profile=default-encryption add-default-route=no

/interface ovpn-client print

Mostra d’estat esperat:

status: connected
uptime: 00:01:03
remote-address: 10.8.0.1
local-address: 10.8.0.6

Nota: Històricament RouterOS restringeix OpenVPN a TCP a algunes versions — comprova les notes de la teva versió. Si necessites UDP al client, considera una solució intermèdia (com un host Linux) o usa un client de programari a una màquina propera.

Accedir a un dispositiu intern a través del túnel

Per accedir a un dispositiu intern (exemple: càmera IP 192.168.88.100), pots usar NAT al MikroTik per exposar un port local pel túnel.

Afegeix una regla dst-nat al MikroTik:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

Des del servidor o un altre client connecta a l’adreça i port encaminats:

http://10.8.0.6:8081

El tràfic passa pel túnel OpenVPN i arriba a l’host intern.

Seguretat i millors pràctiques

Usa un certificat únic per cada client.
Combina certificats TLS client amb usuari/contrassenya per control tipus doble factor.
Rota claus i certificats periòdicament.
Limita les IPs d’origen al tallafocs del VPS quan sigui possible.
Prefereix UDP per rendiment, però verifica la compatibilitat amb RouterOS.
Supervisa l’estat de connexió i logs (syslog, openvpn-status.log).

Consell: Automatitza l’emissió de certificats per a molts dispositius amb scripts, però mantén la CA fora de línia quan sigui possible.

Comparació breu amb alternatives modernes

Solució	Fortaleses	Quan triar-la
OpenVPN	Compatibilitat, control detallat de certificats	Entorns mixtos/antics; configuracions ISP; dispositius d’empresa
WireGuard	Velocitat, simplicitat	Dispositius moderns, routers lleugers
Tailscale/ZeroTier	Malla, identitat, desplegament senzill	Portàtils, servidors, col·laboració d’equip

Quan usar OpenVPN

Necessites control detallat de certificats.
La teva flota inclou dispositius antics o sense agents moderns.
Has d’integrar-te amb regles de tallafocs i PKI d’empresa existents.

Per a l’overhead més lleuger i criptografia moderna, WireGuard (o Tailscale per control més fàcil) són excel·lents — però OpenVPN encara triomfa per compatibilitat universal.

On t’ajuda MKController: Si vols evitar problemes amb túnels manuals i certificats, les eines remotes de MKController (NATCloud) et permeten accedir a dispositius darrere de NAT/CGNAT amb governança centralitzada, monitoratge i reconexió automàtica — sense PKI per dispositiu.

Conclusió

OpenVPN no és un vestigi.

És una eina fiable quan necessites compatibilitat i control explícit d’autenticació i rutes.

Combina un VPS i un client MikroTik i obtindràs un accés remot sòlid i auditable per càmeres, routers i serveis interns.

Sobre MKController

Esperem que els consells anteriors t’hagin ajudat a navegar millor pel teu univers MikroTik i Internet! 🚀
Sigui afinant configuracions o posant ordre al caos de la xarxa, MKController és aquí per simplificar-te la vida.

Amb una gestió cloud centralitzada, actualitzacions automàtiques de seguretat i un panell que tothom pot dominar, tenim tot per millorar la teva operació.

👉 Comença ara la prova gratuïta de 3 dies a mkcontroller.com — i descobreix el control de xarxa senzill i real.