Saltar al contingut
MKController Blog
InstagramYouTubeFacebook

Remote Access

Gestió remota de MikroTik amb OpenVPN

Configura OpenVPN amb un servidor VPS i un client MikroTik per a la gestió remota: configuració PKI, flux de certificats i millors pràctiques de seguretat.

MKController6 min read

Resum OpenVPN és una VPN sòlida basada en TLS que funciona bé amb un VPS com a centre i encaminadors MikroTik com a clients per a la gestió remota. Prové d’abans de WireGuard i Tailscale però segueix sent pertinent per la seva compatibilitat ampla, control granular de PKI i opcions de encaminament flexibles. Esta guia explora la configuració del servidor Ubuntu VPS amb easy-rsa, el flux de certificats dels clients, la configuració de client OVPN en MikroTik i la llista de verificació de seguretat que manté la instal·lació auditable al llarg del temps.

Com OpenVPN permet la gestió remota de MikroTik?

OpenVPN és una implementació de VPN de codi obert construïda sobre OpenSSL que estableix túnels xifrats sobre TCP o UDP. Per a la gestió remota de MikroTik, la topologia típica combina un servidor Ubuntu VPS sempre en línia amb un o més encaminadors MikroTik com a clients. L’encaminador inicia el túnel cap a l’exterior, de manera que la NAT i CGNAT al costat del client no importa, i el VPS manté les rutes i regles NAT que et permeten arribar a l’encaminador (i els dispositius darrere seu) a través del túnel.

Les fortaleses d’OpenVPN són la criptografia madura (AES-256, SHA-256, TLS), suport IPv4 i IPv6, modes TUN (encaminat) i TAP (pont), i compatibilitat ampla entre fornidors i sistemes operatius inclòs RouterOS. Els inconvenients són un consum de CPU més alt que WireGuard en encaminadors petits, un pas de configuració real de PKI (CA, certificats, claus) i una limitació específica de RouterOS que has de conèixer: històricament el client OVPN de MikroTik només suporta transport TCP en algunes versions. Per a patrons de comparació, consulta la nostra guia de gestió remota de WireGuard, guia SSTP i guia Tailscale.

Com funciona OpenVPN

OpenVPN estableix un túnel xifrat entre un servidor (típicament un VPS públic) i un o més clients. L’autenticació utilitza una CA, certificats per client i TLS-auth opcional (ta.key). Dos modes comuns:

  • TUN (encaminat) — Encaminament IP entre xarxes. L’opció estàndard.
  • TAP (pont) — Pont de capa 2, útil per a aplicacions que depenen de difusió. Més pesat i rarament necessari.

Pas 1: Instal·lar OpenVPN al VPS

apt update && apt install -y openvpn easy-rsa

Pas 2: Construir la PKI i les claus del servidor

make-cadir ~/openvpn-ca
cd ~/openvpn-ca
./easyrsa init-pki
./easyrsa build-ca nopass
./easyrsa gen-req server nopass
./easyrsa sign-req server server
./easyrsa gen-dh
openvpn --genkey --secret ta.key

Manté la CA privada i fes una còpia de seguretat. Tracta les claus de CA com a secrets de producció: qualsevol que tingui la CA pot forjar certificats de client legítims.

Pas 3: Escriure la configuració del servidor

/etc/openvpn/server.conf (mínim):

port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
cipher AES-256-CBC
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3

Pas 4: Iniciar el servei i obrir el firewall

systemctl enable openvpn@server
systemctl start openvpn@server
ufw allow 1194/udp

Si exposes el port 1194 a tot Internet, protegeix el VPS: fail2ban, claus SSH estrictes i restriccions de firewall d’IP origen on sigui pràctic. Els endpoints de VPN exposats a Internet són constantment sondeats.

Pas 5: Crear certificats i configuració del client

Genera un certificat de client amb easy-rsa (./easyrsa build-client-full client1 nopass) i agrupa aquests per al client:

  • ca.crt
  • client1.crt
  • client1.key
  • ta.key (si s’utilitza)
  • client.ovpn — el fitxer de configuració del client

Un client.ovpn mínim:

client
dev tun
proto udp
remote YOUR.VPS.IP 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
remote-cert-tls server
cipher AES-256-CBC
verb 3

Pas 6: Configurar MikroTik com a client OpenVPN

RouterOS suporta connexions de client OpenVPN amb limitacions específiques de RouterOS: notablement que versions més antigues es restringeixen al transport TCP.

  1. Penja ca.crt, client1.crt i client1.key al MikroTik a través de la finestra Fitxers de Winbox.
  2. En una terminal:
/interface ovpn-client add name=ovpn-out1 \
    connect-to=YOUR.VPS.IP port=1194 \
    user=vpnuser password="yourpassword" \
    profile=default-encryption add-default-route=no


/interface ovpn-client print

Estat esperat:

status: connected
uptime: 00:01:03
remote-address: 10.8.0.1
local-address: 10.8.0.6

Consulta les notes de versió de RouterOS si la connexió falla amb UDP: si la teva versió restringeix el client OVPN a TCP, canvia el proto del servidor a tcp i la regla del firewall en conseqüència. Per a una alternativa amigable amb UDP a RouterOS, WireGuard és l’estàndard modern.

Arribar a un dispositiu intern a través del túnel

Per arribar a un dispositiu darrere del MikroTik (per exemple, una càmera a 192.168.88.100), utilitza dst-nat al MikroTik per exposar un port local sobre el túnel:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

Des del servidor o un altre client VPN, connecta mitjançant l’adreça encaminada i el port:

http://10.8.0.6:8081

El tràfic flueix a través del túnel OpenVPN i arriba a l’amfitrió intern.

Millors pràctiques de seguretat

  • Certificat únic per client. Mai reutilitzis claus entre dispositius.
  • Combina certificats TLS de client amb un nom d’usuari/contrasenya si vols control de doble factor.
  • Rota claus i certificats en un horari. Implementa LCR (llistes de revocació de certificats) per a dispositius perduts.
  • Limita adreces IP d’origen al firewall del VPS on sigui pràctic.
  • Prefereix UDP per al rendiment; verifica la compatibilitat de RouterOS per versió.
  • Monitoritza la salut de la connexió i els registres (syslog, openvpn-status.log).
  • Automatitza l’expedició de certificats per a molts dispositius amb scripts, però manté la CA fora de línia on sigui possible: una CA en un servidor connectat està a només un correu electrònic de phishing de comprometiment.

Per a context de seguretat més ampli del pla de gestió, consulta el nostre article millors pràctiques de seguretat de Winbox.

OpenVPN versus alternatives modernes

SolucióFortalesesQuan escollir-lo
OpenVPNCompatibilitat, control granular de certificatsFlotes mixtes/heretades; aparells corporatius
WireGuardVelocitat, simplicitat, criptografia modernaDispositius moderns, encaminadors petits
SSTPTLS sobre port 443, travessia de firewallXarxes que bloquegen UDP i altres ports VPN
Tailscale / ZeroTierMalla, basada en identitat, fàcil desplegamentPortàtils, equips, col·laboració multiplataforma

Quan utilitzar OpenVPN

Escull OpenVPN quan el control granular de certificats importa, la teva flota inclou dispositius heretats o aparells sense agents VPN moderns, o necessites integrar-te amb regles de firewall existents i PKI empresarial. Si el rendiment brut i l’overhead mínim de CPU importa més, WireGuard guanya: consulta el tutorial de WireGuard i la guia de Tailscale.

Pren el següent pas

OpenVPN no és un relliquiari. És una eina fiable quan necessites compatibilitat i control explícit sobre autenticació i encaminament. Combina-la amb un VPS i un client MikroTik i obtens un camí d’accés remot robust i auditable per a càmeres, encaminadors i serveis interns.

Si prefereixes saltar la cerimònia de PKI per dispositiu, el NATCloud de MKController ofereix accés remot a dispositius darrere de NAT o CGNAT amb governança centralitzada, monitoratge i reconnexió automàtica: sense certificats a mantenir per encaminador.

Inicia la teva prova gratuïta de MKController