Zusammenfassung
Ein praktischer Leitfaden zur Verwendung von OpenVPN mit MikroTik und einem VPS: wie OpenVPN funktioniert, Servereinrichtung unter Ubuntu, MikroTik-Client-Konfiguration, Zugriffsarten, Vergleiche mit modernen Lösungen und Sicherheitsbest-practices.

Remote-Verwaltung von MikroTik mit OpenVPN

OpenVPN ist weiterhin eine verlässliche, erprobte Methode, um Router und Geräte aus der Ferne zu erreichen.

Es ist älter als WireGuard und Tailscale, aber seine Flexibilität und Kompatibilität machen es auch heute noch relevant.

Dieser Beitrag führt Sie durch das Wie und Warum — und liefert Befehle, die Sie auf einem VPS-Server und einem MikroTik-Client einfügen können.

Was ist OpenVPN?

OpenVPN ist eine Open-Source-VPN-Implementierung (seit 2001), die verschlüsselte Tunnel über TCP oder UDP aufbaut.

Es nutzt OpenSSL für Verschlüsselung und TLS-basierte Authentifizierung.

Wesentliche Punkte:

• Starke Kryptographie (AES-256, SHA256, TLS).
• Funktioniert mit IPv4 und IPv6.
• Unterstützt geroutete (TUN) und gebridge-te (TAP) Modi.
• Breite Betriebssystem- und Appliance-Kompatibilität — einschließlich RouterOS.

Hinweis: Das Ökosystem und die Tools von OpenVPN machen es zu einer guten Wahl für Umgebungen, die explizite Zertifikatkontrolle und Unterstützung für Legacy-Geräte benötigen.

Wie OpenVPN funktioniert (kurzer Überblick)

OpenVPN stellt einen verschlüsselten Tunnel zwischen einem Server (meist ein öffentlicher VPS) und einem oder mehreren Clients (MikroTik-Router, Laptops usw.) her.

Die Authentifizierung erfolgt über eine CA, Zertifikate und optional TLS auth (ta.key).

Gängige Modi:

• TUN (geroutet): IP-Routing zwischen Netzwerken (am gebräuchlichsten).
• TAP (Bridge): Layer-2-Bridge — nützlich für broadcast-abhängige Anwendungen, aber ressourcenintensiver.

Vor- und Nachteile

Vorteile

• Bewährtes Sicherheitsmodell (TLS + OpenSSL).
• Extrem konfigurierbar (TCP/UDP, Ports, Routen, gepushte Optionen).
• Breite Kompatibilität — ideal für gemischte Flotten.
• Nativ unterstützte (wenn auch eingeschränkte) Unterstützung in RouterOS.

Nachteile

• Schwerer als WireGuard auf eingeschränkter Hardware.
• Einrichtung erfordert PKI (CA, Zertifikate) und einige manuelle Schritte.
• MikroTik’s RouterOS unterstützt OpenVPN in einigen Versionen nur über TCP (Server-Seite läuft oft auf UDP).

OpenVPN-Server auf Ubuntu (VPS) einrichten

Unten eine kompakte, praktische Einrichtung. Passen Sie Namen, IPs und DNS an Ihre Umgebung an.

1) Pakete installieren

apt update && apt install -y openvpn easy-rsa

2) PKI und Server-Schlüssel erstellen

make-cadir ~/openvpn-ca
cd ~/openvpn-ca
source vars
./clean-all
./build-ca            # create CA
./build-key-server server
./build-dh
openvpn --genkey --secret keys/ta.key

Tipp: Bewahren Sie die CA privat auf und sichern Sie sie. Behandeln Sie CA-Schlüssel wie Produktionsgeheimnisse.

3) Server-Konfiguration (/etc/openvpn/server.conf)

Erstellen Sie die Datei mit folgendem Minimalinhalt:

port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
cipher AES-256-CBC
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3

4) Dienst aktivieren und starten

systemctl enable openvpn@server
systemctl start openvpn@server

5) Firewall: Port erlauben

ufw allow 1194/udp

Warnung: Wenn Sie Port 1194 dem gesamten Internet aussetzen, sichern Sie den Server (fail2ban, strenge SSH-Schlüssel, Firewall-Regeln zur Begrenzung von Quell-IP-Adressen, wo möglich).

Client-Zertifikate und -Konfigurationen erstellen

Verwenden Sie die easy-rsa-Skripte, um ein Client-Zertifikat zu erstellen (z. B.: build-key client1).

Packen Sie diese Dateien für den Client:

• ca.crt
• client1.crt
• client1.key
• ta.key (falls verwendet)
• client.ovpn (Konfigurationsdatei)

Eine minimale client.ovpn-Beispiel (ersetzen Sie die Server-IP durch Ihren VPS):

client
dev tun
proto udp
remote YOUR.VPS.IP 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
remote-cert-tls server
cipher AES-256-CBC
verb 3

MikroTik als OpenVPN-Client konfigurieren

RouterOS unterstützt OpenVPN-Client-Verbindungen, jedoch mit einigen RouterOS-spezifischen Einschränkungen.

1. Laden Sie die Client-Schlüssel- und Zertifikatsdateien (ca.crt, client.crt, client.key) auf das MikroTik hoch.

2. Erstellen Sie ein OVPN-Client-Interface und starten Sie die Verbindung.

/interface ovpn-client add name=ovpn-out1 \
    connect-to=YOUR.VPS.IP port=1194 \
    user=vpnuser password="yourpassword" \
    profile=default-encryption add-default-route=no

/interface ovpn-client print

Beispiel für erwarteten Status:

status: connected
uptime: 00:01:03
remote-address: 10.8.0.1
local-address: 10.8.0.6

Hinweis: RouterOS beschränkt OpenVPN historisch auf TCP in einigen Versionen — prüfen Sie die Release-Notes Ihres RouterOS. Wenn Sie UDP auf der Router-Seite benötigen, ziehen Sie eine Zwischenlösung (wie einen Linux-Host) in Betracht oder verwenden Sie einen Software-Client auf einem nahegelegenen Gerät.

Auf ein internes Gerät über den Tunnel zugreifen

Um ein internes Gerät (z. B. IP-Kamera 192.168.88.100) zu erreichen, können Sie NAT auf dem MikroTik verwenden, um einen lokalen Port über den Tunnel freizugeben.

1. Fügen Sie eine dst-nat-Regel auf dem MikroTik hinzu:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

2. Verbinden Sie sich vom Server oder einem anderen Client zur gerouteten Adresse und zum Port:

http://10.8.0.6:8081

Der Verkehr fließt durch den OpenVPN-Tunnel und erreicht den internen Host.

Sicherheit und Best Practices

• Verwenden Sie für jeden Client ein eigenes Zertifikat.
• Kombinieren Sie TLS-Client-Zertifikate mit Benutzer/Passwort, wenn Sie eine Art von Zwei-Faktor-Kontrolle benötigen.
• Rotieren Sie Schlüssel und Zertifikate nach einem definierten Zeitplan.
• Beschränken Sie Quell-IP-Adressen in der VPS-Firewall, wenn praktikabel.
• Bevorzugen Sie UDP für Leistung, prüfen Sie jedoch die Kompatibilität mit RouterOS.
• Überwachen Sie Verbindungszustand und Logs (syslog, openvpn-status.log).

Tipp: Automatisieren Sie die Ausstellung von Zertifikaten für viele Geräte mit Skripten, aber halten Sie die CA möglichst offline.

Kurzer Vergleich mit modernen Alternativen

Wann OpenVPN verwenden

• Sie benötigen feingranulare Zertifikatkontrolle.
• Ihre Flotte enthält Legacy-Geräte oder Appliances ohne moderne Agents.
• Sie müssen in vorhandene Firewall-Regeln und Unternehmens-PKI integrieren.

Wenn Sie den geringstmöglichen Overhead und moderne Kryptographie wollen, sind WireGuard (oder Tailscale für eine benutzerfreundliche Control-Plane) ausgezeichnet — aber OpenVPN gewinnt bei universeller Kompatibilität.

Wo MKController hilft: Wenn Sie manuelle Tunnel und Zertifikatsarbeit vermeiden möchten, ermöglichen die Remote-Tools von MKController (NATCloud) den Zugriff auf Geräte hinter NAT/CGNAT mit zentraler Steuerung, Monitoring und automatischer Wiederverbindung — ohne pro-Gerät PKI-Verwaltung.

Fazit

OpenVPN ist kein Relikt.

Es ist ein zuverlässiges Werkzeug, wenn Sie Kompatibilität und explizite Kontrolle über Authentifizierung und Routing benötigen.

Kombinieren Sie es mit einem VPS und einem MikroTik-Client, und Sie erhalten einen robusten, prüfbaren Remote-Zugangsweg für Kameras, Router und interne Dienste.

Über MKController

Wir hoffen, die obigen Erkenntnisse helfen Ihnen, sich in Ihrer MikroTik- und Internet-Welt besser zurechtzufinden! 🚀
Ob Sie Konfigurationen feinabstimmen oder versuchen, ein wenig Ordnung ins Netzwerkchaos zu bringen — MKController macht Ihr Leben einfacher.

Mit zentralisiertem Cloud-Management, automatischen Sicherheitsupdates und einem Dashboard, das jeder beherrscht, haben wir, was es braucht, um Ihren Betrieb zu verbessern.

👉 Starten Sie jetzt Ihre 7-tägige kostenlose Testversion auf mkcontroller.com — und sehen Sie, wie mühelos Network Control sein kann.