Gå til indhold
MKController Blog
InstagramYouTubeFacebook

Remote Access

OpenVPN fjernbetjening af MikroTik

Konfigurer OpenVPN med en VPS-server og en MikroTik-klient til fjernbetjening — PKI-opsætning, certifikatarbejdsgang og sikkerhedsbedste praksis.

MKController5 min read

Resumé OpenVPN er en kampbeprøvet TLS-baseret VPN, der passer godt sammen med en VPS som nav og MikroTik-routere som klienter til fjernbetjening. Det går forud for WireGuard og Tailscale, men forbliver relevant på grund af dens brede kompatibilitet, detaljeret PKI-kontrol og fleksible routingsmuligheder. Denne guide gennemgår opsætningen af Ubuntu VPS-serveren med easy-rsa, certifikatets arbejdsgang, konfigurationen af MikroTik OVPN-klienten og sikkerhedstjeklisten, som holder implementeringen revisionabel over tid.

Hvordan muliggør OpenVPN fjernbetjening af MikroTik?

OpenVPN er en open source-VPN-implementering bygget på OpenSSL, der etablerer krypterede tunneler over TCP eller UDP. Til fjernbetjening af MikroTik parrer den typiske topologi en Ubuntu VPS som altid online-server med en eller flere MikroTik-routere som klienter. Routeren initierer tunnelen udgående, så NAT og CGNAT på kundesiden betyder ikke noget, og VPS’en holder ruternes og NAT-reglerne, der giver dig mulighed for at nå routeren (og enheder bag den) gennem tunnelen.

OpenVPN’s styrker er modnet kryptografi (AES-256, SHA-256, TLS), IPv4- og IPv6-understøttelse, både TUN (ruteret) og TAP (bro) tilstande og bred kompatibilitet på tværs af leverandører og operativsystemer, herunder RouterOS. Afvejningen er tyngre CPU-forbrug end WireGuard på små routere, et reelt PKI-opsætningsskridt (CA, certifikater, nøgler) og en RouterOS-specifik grænse, du skal vide om — historisk set understøtter MikroTik OVPN-klienten kun TCP-transport på nogle versioner. Se vores WireGuard fjernbetjening guide, SSTP guide og Tailscale guide for sammenligningsmønstre.

Hvordan OpenVPN fungerer

OpenVPN etablerer en krypteret tunnel mellem en server (typisk en offentlig VPS) og en eller flere klienter. Godkendelse bruger en CA, per-klient certifikater og valgfri TLS-auth (ta.key). To almindelige tilstande:

  • TUN (ruteret) — IP-routing mellem netværk. Standardvalget.
  • TAP (broet) — Layer-2 broering, nyttig for broadcast-afhængige applikationer. Tungere og sjældent nødvendig.

Trin 1: Installer OpenVPN på VPS’en

apt update && apt install -y openvpn easy-rsa

Trin 2: Byg PKI og serverkeys

make-cadir ~/openvpn-ca
cd ~/openvpn-ca
./easyrsa init-pki
./easyrsa build-ca nopass
./easyrsa gen-req server nopass
./easyrsa sign-req server server
./easyrsa gen-dh
openvpn --genkey --secret ta.key

Hold CA’en privat og sikkerhedskopiér den. Behandl CA-nøgler som produktionshemmeligheder — alle med CA’en kan forfalske legitime klientcertifikater.

Trin 3: Skriv serverkonfigurationen

/etc/openvpn/server.conf (minimum):

port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
cipher AES-256-CBC
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3

Trin 4: Start tjenesten og åbn firewallen

systemctl enable openvpn@server
systemctl start openvpn@server
ufw allow 1194/udp

Hvis du udsætter port 1194 for hele internettet, skal du sikre VPS’en — fail2ban, strenge SSH-nøgler og kildeIP firewall-begrænsninger, hvor det er praktisk. Interneteksponerede VPN-endepunkter bliver kontinuerligt sonderet.

Trin 5: Opret klientcertifikater og config

Generer et klientcertifikat med easy-rsa (./easyrsa build-client-full client1 nopass) og bundle disse for klienten:

  • ca.crt
  • client1.crt
  • client1.key
  • ta.key (hvis brugt)
  • client.ovpn — klientkonfigurationsfilen

En minimal client.ovpn:

client
dev tun
proto udp
remote YOUR.VPS.IP 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
remote-cert-tls server
cipher AES-256-CBC
verb 3

Trin 6: Konfigurer MikroTik som OpenVPN-klient

RouterOS understøtter OpenVPN-klientforbindelser med RouterOS-specifikke begrænsninger — navnlig at ældre versioner begrænses til TCP-transport.

  1. Upload ca.crt, client1.crt og client1.key til MikroTik via Winbox’s Files-vindue.
  2. I en terminal:
/interface ovpn-client add name=ovpn-out1 \
    connect-to=YOUR.VPS.IP port=1194 \
    user=vpnuser password="yourpassword" \
    profile=default-encryption add-default-route=no


/interface ovpn-client print

Forventet status:

status: connected
uptime: 00:01:03
remote-address: 10.8.0.1
local-address: 10.8.0.6

Kontroller dine RouterOS-udgivelsesnoter, hvis forbindelsen mislykkes med UDP — hvis din version begrænser OVPN-klienten til TCP, skal du skifte serverens proto til tcp og firewallreglen i overensstemmelse hermed. For et UDP-venligt alternativ på RouterOS er WireGuard den moderne standard.

Nå en intern enhed gennem tunnelen

Hvis du vil nå en enhed bag MikroTik (f.eks. et kamera på 192.168.88.100), skal du bruge dst-nat på MikroTik til at udsætte en lokal port over tunnelen:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

Fra serveren eller en anden VPN-klient skal du forbinde via den rutede adresse og port:

http://10.8.0.6:8081

Trafik flyder gennem OpenVPN-tunnelen og når den interne vært.

Sikkerhedsbedste praksis

  • Unikt certifikat pr. klient. Genbruge aldrig nøgler på tværs af enheder.
  • Kombiner TLS-klientcertifikater med et brugernavn/adgangskode, hvis du ønsker dual-factor-lignende kontrol.
  • Roter nøgler og certifikater på en tidsplan. Implementer CRL’er (certificate revocation lists) til tabte enheder.
  • Begræns kildeIP’er i VPS-firewallen, hvor det er praktisk.
  • Foretrækker UDP for performance; verificer RouterOS-kompatibilitet pr. udgivelse.
  • Overvåg forbindelsens sundhed og logfiler (syslog, openvpn-status.log).
  • Automatiser certifikatudstedelse til mange enheder med scripts, men hold CA’en offline, hvor det er muligt — en CA på en forbundet server er en phishing-email væk fra kompromis.

For bredere sikkerhedskontekst på ledelsesniveauet skal du se vores Winbox sikkerhedsbedste praksis artikel.

OpenVPN vs. moderne alternativer

LøsningStyrkerHvornår skal man vælge det
OpenVPNKompatibilitet, detaljeret certifikatkontrolBlandede/ældre flåder; virksomhedsapparater
WireGuardHastighed, enkelhed, moderne kryptografiModerne enheder, små routere
SSTPTLS over port 443, firewall-traversalNetværk, der blokerer UDP og andre VPN-porte
Tailscale / ZeroTierMesh, identitetsbaseret, let udrulningLaptops, teams, cross-platform samarbejde

Hvornår skal man bruge OpenVPN

Vælg OpenVPN, når detaljeret certifikatkontrol betyder noget, din flåde omfatter ældre enheder eller apparater uden moderne VPN-agenter, eller du har brug for at integrere med eksisterende firewall-regler og virksomheds-PKI. Hvis rå gennemstrømning og minimal CPU-overhead betyder mere, vinder WireGuard — se WireGuard tutorial og Tailscale guide.

Tag det næste skridt

OpenVPN er ikke en relikvie. Det er et pålideligt værktøj, når du har brug for kompatibilitet og eksplicit kontrol over godkendelse og routing. Par det med en VPS og en MikroTik-klient, og du får en robust, revisionabel fjernadgangsvej til kameraer, routere og interne tjenester.

Hvis du hellere vil springe PKI-ceremonien pr. enhed over, leverer MKController’s NATCloud fjernadgang til enheder bag NAT eller CGNAT med centraliseret styring, overvågning og automatisk genudbindelse — ingen certifikater at vedligeholde pr. router.

Start din gratis MKController-prøveperiode