Přeskočit na obsah
MKController Blog
InstagramYouTubeFacebook

Remote Access

Vzdálená správa MikroTik přes OpenVPN

Konfigurace OpenVPN se VPS serverem a MikroTik klientem pro vzdálenou správu — nastavení PKI, workflow certifikátů a bezpečnostní osvědčené postupy.

MKController5 min read

Shrnutí OpenVPN je osvědčená VPN založená na TLS, která se ideálně hodí spolu s VPS serverem jako rozbočovačem a MikroTik routery jako klienty pro vzdálenou správu. Předchází WireGuardu a Tailscale, ale zůstává relevantní díky své širší kompatibilitě, granulární kontrole PKI a flexibilním možnostem routování. Tato příručka vás provede nastavením Ubuntu VPS serveru s easy-rsa, workflow certifikátů klientů, konfigurací MikroTik OVPN klienta a kontrolním seznamem bezpečnosti, který udržuje nasazení auditovatelné v čase.

Jak OpenVPN umožňuje vzdálenou správu MikroTik?

OpenVPN je open-source implementace VPN postavená na OpenSSL, která vytváří šifrované tunely přes TCP nebo UDP. Pro vzdálenou správu MikroTik je typická topologie spárování Ubuntu VPS jako vždy online serveru s jedním nebo více MikroTik routery jako klienty. Router iniciuje tunel ven, takže NAT a CGNAT na straně zákazníka nejsou problém, a VPS drží trasy a pravidla NAT, která vám umožňují dosáhnout routeru (a zařízení za ním) přes tunel.

Přednosti OpenVPN jsou vyspělá kryptografie (AES-256, SHA-256, TLS), podpora IPv4 a IPv6, režimy TUN (routovaný) i TAP (bridge) a široká kompatibilita napříč dodavateli a operačními systémy včetně RouterOS. Nevýhody jsou vyšší spotřeba CPU než WireGuard na malých routerech, skutečný krok nastavení PKI (CA, certifikáty, klíče) a omezení specifické pro RouterOS, které potřebujete vědět — historicky klient MikroTik OVPN podporoval pouze TCP přenos v některých verzích. Porovnáním si můžete prohlédnout naše pokyny WireGuard vzdálená správa, příručka SSTP a příručka Tailscale.

Jak OpenVPN funguje

OpenVPN vytváří šifrovaný tunel mezi serverem (obvykle veřejným VPS) a jedním nebo více klienty. Ověření používá CA, certifikáty na klienta a volitelně TLS-auth (ta.key). Dva běžné režimy:

  • TUN (routovaný) — IP routování mezi sítěmi. Standardní volba.
  • TAP (bridge) — Propojování vrstvy 2, užitečné pro aplikace závislé na broadcastu. Těžší a zřídka potřebné.

Krok 1: Instalace OpenVPN na VPS

apt update && apt install -y openvpn easy-rsa

Krok 2: Vytvoření PKI a serverových klíčů

make-cadir ~/openvpn-ca
cd ~/openvpn-ca
./easyrsa init-pki
./easyrsa build-ca nopass
./easyrsa gen-req server nopass
./easyrsa sign-req server server
./easyrsa gen-dh
openvpn --genkey --secret ta.key

Udržujte CA private a zálohujte ji. Zacházejte s CA klíči jako s produkčními tajemstvími — každý, kdo má CA, může vytvořit legitimní klientské certifikáty.

Krok 3: Zápis serverové konfigurace

/etc/openvpn/server.conf (minimum):

port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
cipher AES-256-CBC
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3

Krok 4: Spuštění služby a otevření firewallu

systemctl enable openvpn@server
systemctl start openvpn@server
ufw allow 1194/udp

Pokud vystavíte port 1194 celému internetu, zabezpečte VPS — fail2ban, přísné SSH klíče a omezení firewallu zdrojové IP kde je to praktické. Internet-vystavené VPN endpointy jsou nepřetržitě skenováni.

Krok 5: Vytvoření certifikátů klienta a konfigurace

Vygenerujte klientský certifikát s easy-rsa (./easyrsa build-client-full client1 nopass) a balíček těchto souborů pro klienta:

  • ca.crt
  • client1.crt
  • client1.key
  • ta.key (pokud se používá)
  • client.ovpn — konfigurační soubor klienta

Minimální client.ovpn:

client
dev tun
proto udp
remote YOUR.VPS.IP 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
remote-cert-tls server
cipher AES-256-CBC
verb 3

Krok 6: Konfigurace MikroTik jako OpenVPN klienta

RouterOS podporuje připojení klientů OpenVPN s omezeními specifickými pro RouterOS — zejména že starší verze omezují přenos na TCP.

  1. Nahrajte ca.crt, client1.crt a client1.key na MikroTik přes okno Soubory v Winboxu.
  2. V terminálu:
/interface ovpn-client add name=ovpn-out1 \
    connect-to=YOUR.VPS.IP port=1194 \
    user=vpnuser password="yourpassword" \
    profile=default-encryption add-default-route=no


/interface ovpn-client print

Očekávaný stav:

status: connected
uptime: 00:01:03
remote-address: 10.8.0.1
local-address: 10.8.0.6

Zkontrolujte poznámky k verzi RouterOS, pokud se připojení nezdaří s UDP — pokud vaše verze omezuje klienta OVPN na TCP, změňte proto serveru na tcp a odpovídajícím způsobem pravidlo firewallu. Pro alternativu vhodnou pro UDP na RouterOS je WireGuard moderní standardem.

Dosažení interního zařízení přes tunel

Chcete-li dosáhnout zařízení za MikroTik (např. kameru na 192.168.88.100), použijte dst-nat na MikroTik k vystavení místního portu přes tunel:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

Ze serveru nebo jiného klienta VPN se připojte prostřednictvím routované adresy a portu:

http://10.8.0.6:8081

Provoz teče přes tunel OpenVPN a dosáhne interního hostitele.

Bezpečnostní osvědčené postupy

  • Jedinečný certifikát na klienta. Nikdy znovu nepoužívejte klíče na různých zařízeních.
  • Kombinujte certifikáty TLS klienta s uživatelským jménem/heslem, pokud chcete duální faktorovou kontrolu.
  • Rotujte klíče a certifikáty podle plánu. Implementujte CRL (seznamy zneplatnění certifikátů) pro ztracená zařízení.
  • Kde je to praktické, omezte zdrojové IP v firewallu VPS.
  • Dávejte přednost UDP pro výkon; ověřte kompatibilitu RouterOS podle verze.
  • Monitorujte zdraví připojení a protokoly (syslog, openvpn-status.log).
  • Automatizujte vydávání certifikátů pro mnoho zařízení pomocí skriptů, ale kde je to možné, udržujte CA offline — CA na připojeném serveru je jen jeden phishingový e-mail vzdálen od kompromitace.

Obecnější bezpečnostní kontext roviny správy najdete v našem článku Osvědčené postupy bezpečnosti Winbox.

OpenVPN versus moderní alternativy

ŘešeníPřednostiKdy to vybrat
OpenVPNKompatibilita, granulární kontrola certifikátůSmíšené/starší flotily; podnikové přístroje
WireGuardRychlost, jednoduchost, moderní kryptografieModerní zařízení, routery malého rozsahu
SSTPTLS přes port 443, průchodnost firewallemSítě blokující UDP a ostatní porty VPN
Tailscale / ZeroTierMesh, identitou řízené, snadné nasazeníLaptopy, týmy, spolupráce na více platf.

Kdy používat OpenVPN

Vyberte OpenVPN, když na granulární kontrolu certifikátů záleží, vaše flotila obsahuje starší zařízení nebo přístroje bez moderních VPN agentů, nebo potřebujete integraci se stávajícími pravidly firewallu a podnikovou PKI. Pokud je pro vás důležitější čisté průchodnosti a minimální režie CPU, WireGuard vyhrává — podívejte se na tutoriál WireGuard a příručku Tailscale.

Udělejte další krok

OpenVPN není relikt. Je to spolehlivý nástroj, když potřebujete kompatibilitu a explicitní kontrolu nad ověřováním a routováním. Spárujte jej s VPS a klientem MikroTik a získáte robustní, auditovatelnou cestu vzdáleného přístupu k kamerám, routerům a interním službám.

Pokud byste raději přeskočili ceremoniál PKI na zařízení, NATCloud od MKController poskytuje vzdálený přístup k zařízením za NAT nebo CGNAT s centralizovaným řízením, monitorováním a auto-reconnectem — bez certifikátů na údržbu na router.

Začněte bezplatnou MKController zkoušku