OpenVPN-Fernverwaltung von MikroTik

Zusammenfassung OpenVPN ist ein bewährtes TLS-basiertes VPN, das sich sauber mit einem VPS als Hub und MikroTik-Routern als Clients für die Fernverwaltung verbindet. Es stammt aus einer Zeit vor WireGuard und Tailscale, bleibt aber relevant wegen seiner breiten Kompatibilität, granularen PKI-Kontrolle und flexiblen Routing-Optionen. Dieses Handbuch geht durch das Ubuntu VPS-Server-Setup mit easy-rsa, den Client-Zertifikat-Workflow, die MikroTik OVPN-Client-Konfiguration und die Sicherheits-Checkliste, die die Bereitstellung über längere Zeit prüfbar hält.

Wie ermöglicht OpenVPN die Remote-Verwaltung von MikroTik?

OpenVPN ist eine Open-Source-VPN-Implementierung, die auf OpenSSL basiert und verschlüsselte Tunnel über TCP oder UDP aufbaut. Für die MikroTik-Fernverwaltung verbindet die typische Topologie einen Ubuntu VPS als ständig erreichbaren Server mit einem oder mehreren MikroTik-Routern als Clients. Der Router initiiert den Tunnel nach außen, sodass NAT und CGNAT auf Kundenseite keine Rolle spielen, und der VPS hält die Routen und NAT-Regeln, damit Sie den Router (und Geräte dahinter) durch den Tunnel erreichen können.

OpenVPNs Stärken sind reife Kryptographie (AES-256, SHA-256, TLS), IPv4- und IPv6-Unterstützung, sowohl TUN- (Routed) als auch TAP-Modi (Bridge) und breite Kompatibilität über Hersteller und Betriebssysteme hinweg, einschließlich RouterOS. Die Kompromisse sind höherer CPU-Verbrauch als WireGuard auf kleinen Routern, ein echtes PKI-Setup (CA, Zertifikate, Schlüssel) und eine RouterOS-spezifische Einschränkung, die Sie kennen müssen – historisch unterstützt der MikroTik OVPN-Client nur TCP-Transport auf einigen Versionen. Vergleichsmuster finden Sie in unserem WireGuard-Fernverwaltungshandbuch, SSTP-Handbuch und Tailscale-Handbuch.

So funktioniert OpenVPN

OpenVPN richtet einen verschlüsselten Tunnel zwischen einem Server (typischerweise ein öffentlicher VPS) und einem oder mehreren Clients ein. Die Authentifizierung verwendet eine CA, Zertifikate pro Client und optionales TLS-Auth (ta.key). Zwei häufige Modi:

• TUN (Routed) — IP-Routing zwischen Netzwerken. Die Standardwahl.
• TAP (Bridged) — Layer-2-Bridging, nützlich für Broadcast-abhängige Anwendungen. Schwerer und selten nötig.

Schritt 1: Installieren Sie OpenVPN auf dem VPS

apt update && apt install -y openvpn easy-rsa

Schritt 2: Bauen Sie die PKI und Server-Schlüssel

make-cadir ~/openvpn-ca
cd ~/openvpn-ca
./easyrsa init-pki
./easyrsa build-ca nopass
./easyrsa gen-req server nopass
./easyrsa sign-req server server
./easyrsa gen-dh
openvpn --genkey --secret ta.key

Halten Sie die CA privat und sichern Sie sie. Behandeln Sie CA-Schlüssel wie Produktionsgeheimnisse – jeder mit der CA kann legitime Client-Zertifikate fälschen.

Schritt 3: Schreiben Sie die Server-Konfiguration

/etc/openvpn/server.conf (Minimum):

port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
cipher AES-256-CBC
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3

Schritt 4: Starten Sie den Dienst und öffnen Sie die Firewall

systemctl enable openvpn@server
systemctl start openvpn@server
ufw allow 1194/udp

Wenn Sie Port 1194 dem gesamten Internet aussetzen, sichern Sie den VPS – fail2ban, strikte SSH-Schlüssel und Quellen-IP-Firewall-Einschränkungen, wo praktisch. Internet-exponierte VPN-Endpunkte werden kontinuierlich geprüft.

Schritt 5: Erstellen Sie Client-Zertifikate und Konfiguration

Generieren Sie ein Client-Zertifikat mit easy-rsa (./easyrsa build-client-full client1 nopass) und bündeln Sie diese für den Client:

• ca.crt
• client1.crt
• client1.key
• ta.key (wenn verwendet)
• client.ovpn – die Client-Konfigurationsdatei

Ein minimales client.ovpn:

client
dev tun
proto udp
remote YOUR.VPS.IP 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
remote-cert-tls server
cipher AES-256-CBC
verb 3

Schritt 6: Konfigurieren Sie den MikroTik als OpenVPN-Client

RouterOS unterstützt OpenVPN-Client-Verbindungen mit RouterOS-spezifischen Einschränkungen – insbesondere dass ältere Versionen auf TCP-Transport beschränkt sind.

1. Laden Sie ca.crt, client1.crt und client1.key auf den MikroTik über das Dateien-Fenster von Winbox hoch.
2. In einem Terminal:

/interface ovpn-client add name=ovpn-out1 \
    connect-to=YOUR.VPS.IP port=1194 \
    user=vpnuser password="yourpassword" \
    profile=default-encryption add-default-route=no

/interface ovpn-client print

Erwarteter Status:

status: connected
uptime: 00:01:03
remote-address: 10.8.0.1
local-address: 10.8.0.6

Überprüfen Sie Ihre RouterOS-Versionshinweise, wenn die Verbindung mit UDP fehlschlägt – wenn Ihre Version den OVPN-Client auf TCP beschränkt, wechseln Sie den Server proto zu tcp und die Firewall-Regel entsprechend. Für eine UDP-freundliche Alternative auf RouterOS ist WireGuard der moderne Standard.

Erreichen Sie ein internes Gerät über den Tunnel

Um ein Gerät hinter dem MikroTik zu erreichen (z.B. eine Kamera unter 192.168.88.100), verwenden Sie dst-nat auf dem MikroTik, um einen lokalen Port über den Tunnel freizulegen:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

Vom Server oder einem anderen VPN-Client aus verbinden Sie sich über die geroutete Adresse und den Port:

http://10.8.0.6:8081

Der Datenverkehr fließt durch den OpenVPN-Tunnel und erreicht den internen Host.

Sicherheitsrichtlinien

• Eindeutiges Zertifikat pro Client. Wiederverwendung von Schlüsseln über Geräte hinweg niemals.
• Kombinieren Sie TLS-Client-Zertifikate mit einem Benutzernamen/Passwort, wenn Sie eine Dual-Faktor-ähnliche Kontrolle wünschen.
• Rotieren Sie Schlüssel und Zertifikate nach einem Plan. Implementieren Sie CRLs (Zertifikat-Sperrlisten) für verlorene Geräte.
• Begrenzen Sie Quellen-IPs in der VPS-Firewall, wo praktisch.
• UDP bevorzugen für Leistung; RouterOS-Kompatibilität pro Version überprüfen.
• Überwachen Sie Verbindungsgesundheit und Protokolle (syslog, openvpn-status.log).
• Automatisieren Sie die Zertifikatausgabe für viele Geräte mit Scripts, aber halten Sie die CA offline, wo möglich – eine CA auf einem verbundenen Server ist nur eine Phishing-E-Mail entfernt von Kompromiss.

Für umfassenderen Management-Plane-Sicherheitskontext siehe unseren Winbox-Sicherheitsrichtlinien Artikel.

OpenVPN vs. moderne Alternativen

Wann OpenVPN verwenden

Wählen Sie OpenVPN, wenn granulare Zertifikat-Kontrolle wichtig ist, Ihre Flotte Geräte oder Appliances ohne moderne VPN-Agenten enthält, oder Sie sich mit vorhandenen Firewall-Regeln und Enterprise-PKI integrieren müssen. Wenn reine Durchsatzrate und minimaler CPU-Overhead wichtiger sind, gewinnt WireGuard – siehe das WireGuard-Tutorial und das Tailscale-Handbuch.

Machen Sie den nächsten Schritt

OpenVPN ist kein Relikt. Es ist ein zuverlässiges Werkzeug, wenn Sie Kompatibilität und explizite Kontrolle über Authentifizierung und Routing brauchen. Verbinden Sie es mit einem VPS und einem MikroTik-Client und Sie erhalten einen robusten, nachprüfbaren Remote-Access-Pfad für Kameras, Router und interne Services.

Wenn Sie die Pro-Gerät-PKI-Zeremonie lieber überspringen möchten, bietet MKControllers NATCloud Remote-Zugriff auf Geräte hinter NAT oder CGNAT mit zentraler Governance, Überwachung und Auto-Reconnect – keine Zertifikate pro Router zu verwalten.

Starten Sie Ihren kostenlosen MKController-Test