Přeskočit na obsah
Blog

Správa vašeho Mikrotiku pomocí OpenVPN

Shrnutí
Praktický průvodce použitím OpenVPN s MikroTikem a VPS: jak OpenVPN funguje, nastavení serveru na Ubuntu, konfigurace MikroTik klienta, způsoby přístupu, srovnání s moderními řešeními a bezpečnostní doporučení.

Vzdálená správa MikroTiku přes OpenVPN

OpenVPN je stále spolehlivý a osvědčený způsob přístupu k routerům a zařízením na dálku.

Vznikl před WireGuardem a Tailscalem, jeho flexibilita a kompatibilita ho však udržují relevantním i dnes.

Tento článek vás provede tím, jak a proč ho používat — a poskytne příkazy pro VPS server i MikroTik klienta připravené ke kopírování.

Co je OpenVPN?

OpenVPN je open-source implementace VPN (od roku 2001), která vytváří šifrované tunely přes TCP nebo UDP.

Používá OpenSSL pro šifrování a TLS pro autentizaci.

Klíčové vlastnosti:

  • Silná kryptografie (AES-256, SHA256, TLS).
  • Podpora IPv4 i IPv6.
  • Možnost směrovaného (TUN) a mostového (TAP) režimu.
  • Vysoká kompatibilita s OS a zařízeními — včetně RouterOS.

Poznámka: Ekosystém a nástroje OpenVPN dobře vyhovují prostředím, která vyžadují explicitní kontrolu certifikátů a podporu starších zařízení.

Jak OpenVPN funguje (rychlý přehled)

OpenVPN zřizuje šifrovaný tunel mezi serverem (obvykle veřejným VPS) a jedním či více klienty (MikroTik routery, notebooky atd.).

Autentizace probíhá pomocí CA, certifikátů a volitelné TLS autentizace (ta.key).

Běžné režimy:

  • TUN (směrovaný): IP směrování mezi sítěmi (nejběžnější).
  • TAP (most): L2 bridging — užitečné pro aplikace závislé na broadcastech, ale náročnější.

Výhody a nevýhody

Výhody

  • Osvědčený bezpečnostní model (TLS + OpenSSL).
  • Velmi přizpůsobitelný (TCP/UDP, porty, trasy, pushované volby).
  • Široká kompatibilita — vhodný pro smíšené prostředí.
  • Nativní (i když omezená) podpora v RouterOS.

Nevýhody

  • Náročnější než WireGuard na slabším hardwaru.
  • Nastavení vyžaduje PKI (CA, certifikáty) a manuální kroky.
  • MikroTik RouterOS podporuje OpenVPN pouze přes TCP (server obvykle používá UDP).

Vytvoření OpenVPN serveru na Ubuntu (VPS)

Níže najdete stručné a praktické nastavení. Přizpůsobte názvy, IP adresy a DNS vaší infrastruktuře.

1) Instalace balíčků

Terminal window
apt update && apt install -y openvpn easy-rsa

2) Vytvoření PKI a klíčů serveru

Terminal window
make-cadir ~/openvpn-ca
cd ~/openvpn-ca
source vars
./clean-all
./build-ca            # vytvoření CA
./build-key-server server
./build-dh
openvpn --genkey --secret keys/ta.key

Tip: Chraňte CA a zálohujte ji. Klíče CA zacházejte jako s produkčním tajemstvím.

3) Konfigurace serveru (/etc/openvpn/server.conf)

Vytvořte soubor s tímto minimálním obsahem:

port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
cipher AES-256-CBC
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3

4) Povolte a spusťte službu

Terminal window
systemctl enable openvpn@server
systemctl start openvpn@server

5) Firewall: povolit port

Terminal window
ufw allow 1194/udp

Varování: Pokud port 1194 otevřete na internetu, zabezpečte server (fail2ban, striktní SSH klíče, firewall pravidla pro omezení IP zdrojů).

Vytvoření klientských certifikátů a konfigurací

Použijte easy-rsa skripty k vygenerování klientského certifikátu (např. build-key client1).

Pro klienta zabalte tyto soubory:

  • ca.crt
  • client1.crt
  • client1.key
  • ta.key (pokud je používán)
  • client.ovpn (konfigurační soubor)

Minimalistický příklad client.ovpn (nahraďte IP VPS):

client
dev tun
proto udp
remote YOUR.VPS.IP 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
remote-cert-tls server
cipher AES-256-CBC
verb 3

Konfigurace MikroTik jako OpenVPN klienta

RouterOS podporuje OpenVPN klientské připojení, ale s určitými specifickými omezeními.

  1. Nahrajte klientské klíče a certifikáty (ca.crt, client.crt, client.key) na MikroTik.

  2. Vytvořte OVPN klientský profil a spusťte připojení.

/interface ovpn-client add name=ovpn-out1 \
    connect-to=YOUR.VPS.IP port=1194 \
    user=vpnuser password="yourpassword" \
    profile=default-encryption add-default-route=no


/interface ovpn-client print

Příklad očekávaného stavu:

status: connected
uptime: 00:01:03
remote-address: 10.8.0.1
local-address: 10.8.0.6

Poznámka: RouterOS historicky omezuje OpenVPN na TCP v některých verzích — zkontrolujte release notes vaší verze. Pokud potřebujete UDP na straně routeru, zvažte mezilehlé řešení (např. Linux server) nebo software klienta na sousedním zařízení.

Přístup k internímu zařízení přes tunel

Pro přístup k internímu zařízení (např. IP kamera 192.168.88.100) můžete na MikroTiku použít NAT pro zpřístupnění lokálního portu přes tunel.

  1. Přidejte pravidlo dst-nat na MikroTiku:
/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80
  1. Ze serveru nebo jiného klienta se připojte na směrovanou adresu a port:
http://10.8.0.6:8081

Data proudí OpenVPN tunelem a dosahují interního zařízení.

Bezpečnost a doporučené postupy

  • Používejte unikátní certifikát pro každého klienta.
  • Kombinujte TLS klientské certifikáty s uživatelským jménem a heslem pro dvoufaktorovou kontrolu.
  • Pravidelně rotujte klíče a certifikáty.
  • Omezení zdrojových IP adres ve firewallu VPS dle možností.
  • Preferujte UDP kvůli výkonu, ovšem ověřte kompatibilitu s RouterOS.
  • Sledujte stav spojení a logy (syslog, openvpn-status.log).

Tip: Automatizujte vydávání certifikátů pro mnoho zařízení pomocí skriptů, ale CA mějte co nejvíce offline.

Krátké srovnání s moderními alternativami

ŘešeníSilné stránkyKdy použít
OpenVPNKompatibilita, detailní kontrola certifikátůSmíšená/stará zařízení; ISP nastavení; firemní zařízení
WireGuardRychlost, jednoduchostModerní zařízení, malé routery
Tailscale/ZeroTierMesh síť, identita, snadné nasazeníNotebooky, servery, týmová spolupráce

Kdy použít OpenVPN

  • Potřebujete precizní kontrolu certifikátů.
  • Ve vaší síti jsou starší zařízení bez moderních agentů.
  • Musíte integrovat s existujícími firewally a podnikovým PKI.

Pokud hledáte nejnižší režii a moderní kryptografii, WireGuard (nebo Tailscale pro uživatelsky přívětivou správu) jsou skvělé — ale OpenVPN stále vítězí v univerzální kompatibilitě.

Kde pomáhá MKController: Pokud chcete vyhnout se ručnímu nastavování tunelů a správě certifikátů, nástroje MKController (NATCloud) umožňují přístup k zařízením za NAT/CGNAT s centralizovanou správou, monitorováním a automatickým znovupřipojením — bez nutnosti správy PKI pro každé zařízení.

Závěr

OpenVPN není zastaralý.

Je to spolehlivý nástroj, pokud potřebujete kompatibilitu a explicitní kontrolu autentizace a směrování.

Ve spojení s VPS a MikroTik klientem získáte robustní a auditovatelnou cestu pro vzdálený přístup ke kamerám, routerům a interním službám.

O MKController

Doufáme, že vám tyto informace pomohly lépe se orientovat ve světě MikroTiku a internetu! 🚀
Ať už ladíte konfigurace, nebo se snažíte uspořádat síťový chaos, MKController je tu, aby vám život usnadnil.

Se centralizovanou cloud správou, automatickými bezpečnostními aktualizacemi a přehledným panelem, který zvládne každý, máme vše, co potřebujete ke vylepšení vaší správy.

👉 Vyzkoušejte bezplatnou 3denní zkušební verzi na mkcontroller.com — a uvidíte, jak jednoduchá může být správa sítě.