Skip to content
MKController Blog
InstagramYouTubeFacebook

Remote Access

OpenVPN διαχείριση MikroTik

Ρυθμίστε OpenVPN με VPS και MikroTik για απομακρυσμένη διαχείριση — PKI, πιστοποιητικά, ασφάλεια.

MKController6 min read

Περίληψη Το OpenVPN είναι ένα δοκιμασμένο VPN βασισμένο σε TLS που συνδυάζεται καλά με ένα VPS ως κέντρο και δρομολογητές MikroTik ως clients για απομακρυσμένη διαχείριση. Προηγείται του WireGuard και Tailscale αλλά παραμένει σχετικό λόγω της ευρείας συμβατότητας, της λεπτότερης ελέγχου PKI και των ευέλικτων επιλογών δρομολόγησης. Αυτός ο οδηγός περιγράφει τη ρύθμιση του server Ubuntu VPS με easy-rsa, τη ροή πιστοποιητικών client, τη ρύθμιση του MikroTik OVPN-client και τη λίστα ελέγχου ασφάλειας που διατηρεί την ανάπτυξη επικυρώσιμη με την πάροδο του χρόνου.

Πώς το OpenVPN ενεργοποιεί την απομακρυσμένη διαχείριση MikroTik;

Το OpenVPN είναι μια ανοιχτή εφαρμογή VPN βασισμένη στο OpenSSL που δημιουργεί κρυπτογραφημένες σήραγγες μέσω TCP ή UDP. Για την απομακρυσμένη διαχείριση MikroTik, η τυπική τοπολογία συνδυάζει ένα Ubuntu VPS ως πάντα διαθέσιμο server με έναν ή περισσότερους δρομολογητές MikroTik ως clients. Ο δρομολογητής ξεκινά την σήραγγα προς τα έξω, επομένως το NAT και το CGNAT στην πλευρά του πελάτη δεν έχουν σημασία, και το VPS διατηρεί τις διαδρομές και τους κανόνες NAT που σας επιτρέπουν να φτάσετε τον δρομολογητή (και τις συσκευές πίσω του) μέσω της σήραγγας.

Τα πλεονεκτήματα του OpenVPN είναι η ώριμη κρυπτογραφία (AES-256, SHA-256, TLS), υποστήριξη IPv4 και IPv6, τόσο τροπικές TUN (routed) όσο και TAP (bridge) και ευρεία συμβατότητα μεταξύ πωλητών και λειτουργικών συστημάτων, συμπεριλαμβανομένου του RouterOS. Οι ανταλλαγές είναι υψηλότερη κατανάλωση CPU από το WireGuard σε μικρούς δρομολογητές, ένα πραγματικό βήμα ρύθμισης PKI (CA, πιστοποιητικά, κλειδιά) και ένα όριο ειδικό για RouterOS που πρέπει να γνωρίζετε — ιστορικά ο MikroTik OVPN client υποστηρίζει μόνο μεταφορά TCP σε ορισμένες εκδόσεις. Για σύγκριση σχεδίων, δείτε τον WireGuard οδηγό απομακρυσμένης διαχείρισης, τον SSTP οδηγό και τον Tailscale οδηγό.

Πώς λειτουργεί το OpenVPN

Το OpenVPN δημιουργεί μια κρυπτογραφημένη σήραγγα μεταξύ ενός server (συνήθως ένα δημόσιο VPS) και ενός ή περισσότερων clients. Η ταυτοποίηση χρησιμοποιεί ένα CA, πιστοποιητικά ανά client και προαιρετικό TLS-auth (ta.key). Δύο κοινές λειτουργίες:

  • TUN (routed) — IP δρομολόγηση μεταξύ δικτύων. Η τυπική επιλογή.
  • TAP (bridged) — Layer-2 bridging, χρήσιμο για εφαρμογές που εξαρτώνται από broadcast. Βαρύτερο και σπάνια απαιτούμενο.

Βήμα 1: Εγκαταστήστε το OpenVPN στο VPS

apt update && apt install -y openvpn easy-rsa

Βήμα 2: Δημιουργήστε την PKI και τα κλειδιά server

make-cadir ~/openvpn-ca
cd ~/openvpn-ca
./easyrsa init-pki
./easyrsa build-ca nopass
./easyrsa gen-req server nopass
./easyrsa sign-req server server
./easyrsa gen-dh
openvpn --genkey --secret ta.key

Διατηρήστε το CA ιδιωτικό και δημιουργήστε ένα αντίγραφό του. Αποδίδετε τα κλειδιά CA ως απόρρητα παραγωγής — όποιος έχει το CA μπορεί να πλαστογραφήσει νόμιμα πιστοποιητικά client.

Βήμα 3: Γράψτε τη ρύθμιση του server

/etc/openvpn/server.conf (ελάχιστα):

port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
cipher AES-256-CBC
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3

Βήμα 4: Ξεκινήστε την υπηρεσία και ανοίξτε το firewall

systemctl enable openvpn@server
systemctl start openvpn@server
ufw allow 1194/udp

Εάν εκθέσετε τη θύρα 1194 σε όλο το διαδίκτυο, ασφαλίστε το VPS — fail2ban, αυστηρά κλειδιά SSH και περιορισμούς firewall ανά πηγής IP όπου είναι δυνατόν. Τα διαδικτυακά endpoints VPN εκτίθενται συνεχώς σε δοκιμές.

Βήμα 5: Δημιουργήστε πιστοποιητικά και ρύθμιση client

Δημιουργήστε ένα πιστοποιητικό client με easy-rsa (./easyrsa build-client-full client1 nopass) και συμπυκνώστε αυτά για τον client:

  • ca.crt
  • client1.crt
  • client1.key
  • ta.key (εάν χρησιμοποιείται)
  • client.ovpn — το αρχείο ρύθμισης του client

Ένα ελάχιστο client.ovpn:

client
dev tun
proto udp
remote YOUR.VPS.IP 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
remote-cert-tls server
cipher AES-256-CBC
verb 3

Βήμα 6: Ρυθμίστε το MikroTik ως OpenVPN client

Το RouterOS υποστηρίζει συνδέσεις client OpenVPN με όρια ειδικά για RouterOS — ιδίως που οι παλαιότερες εκδόσεις περιορίζονται στη μεταφορά TCP.

  1. Ανεβάστε ca.crt, client1.crt και client1.key στο MikroTik μέσω του παράθυρου Αρχεία του Winbox.
  2. Σε ένα τερματικό:
/interface ovpn-client add name=ovpn-out1 \
    connect-to=YOUR.VPS.IP port=1194 \
    user=vpnuser password="yourpassword" \
    profile=default-encryption add-default-route=no


/interface ovpn-client print

Αναμενόμενη κατάσταση:

status: connected
uptime: 00:01:03
remote-address: 10.8.0.1
local-address: 10.8.0.6

Ελέγξτε τις σημειώσεις έκδοσης RouterOS εάν η σύνδεση αποτύχει με UDP — εάν η έκδοσή σας περιορίζει τον OVPN client στο TCP, αλλάξτε το server proto σε tcp και τον κανόνα firewall ανάλογα. Για μια εναλλακτική φιλική προς UDP στο RouterOS, το WireGuard είναι το σύγχρονη προεπιλογή.

Φτάστε μια εσωτερική συσκευή απέναντι στη σήραγγα

Για να φτάσετε μια συσκευή πίσω από το MikroTik (π.χ., μια κάμερα στη διεύθυνση 192.168.88.100), χρησιμοποιήστε dst-nat στο MikroTik για να εκθέσετε μια τοπική θύρα πάνω από την σήραγγα:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

Από το server ή έναν άλλο VPN client, συνδεθείτε μέσω της δρομολογημένης διεύθυνσης και θύρας:

http://10.8.0.6:8081

Η κίνηση ρέει μέσα από την σήραγγα OpenVPN και φτάνει στην εσωτερική συσκευή.

Βέλτιστες πρακτικές ασφάλειας

  • Μοναδικό πιστοποιητικό ανά client. Μην ξαναχρησιμοποιήσετε κλειδιά σε όλες τις συσκευές.
  • Συνδυάστε πιστοποιητικά TLS client με όνομα χρήστη/κωδικό πρόσβασης εάν θέλετε έλεγχο διπλής παράγοντας.
  • Περιστρέψτε κλειδιά και πιστοποιητικά σε ένα πρόγραμμα. Εφαρμόστε CRLs (λίστες ανάκλησης πιστοποιητικών) για χαμένες συσκευές.
  • Περιορίστε τις πηγές IP στο firewall του VPS όπου είναι δυνατόν.
  • Προτιμήστε το UDP για απόδοση· επαληθεύστε τη συμβατότητα RouterOS ανά έκδοση.
  • Παρακολουθήστε την υγεία της σύνδεσης και τα αρχεία καταγραφής (syslog, openvpn-status.log).
  • Αυτοματοποιήστε την έκδοση πιστοποιητικών για πολλές συσκευές με σενάρια, αλλά διατηρήστε το CA offline όπου είναι δυνατόν — ένα CA σε ένα συνδεδεμένο server είναι ένα email phishing μακριά από την παραβίαση.

Για ευρύτερο πλαίσιο ασφάλειας επιπέδου διαχείρισης, δείτε τον άρθρο βέλτιστες πρακτικές ασφάλειας Winbox.

OpenVPN έναντι σύγχρονων εναλλακτικών λύσεων

ΛύσηΠλεονεκτήματαΠότε να τα επιλέξετε
OpenVPNΣυμβατότητα, λεπτόκοκκος έλεγχος πιστοποιητικούΜικτές/παλαιές στολές· εταιρικές συσκευές
WireGuardΤαχύτητα, απλότητα, σύγχρονη κρυπτογραφίαΣύγχρονες συσκευές, δρομολογητές μικρού μεγέθους
SSTPTLS μέσω θύρα 443, διάβαση firewallΔίκτυα που μπλοκάρουν UDP και άλλες θύρες VPN
Tailscale / ZeroTierMesh, ταυτότητα βάσης, εύκολη ανάπτυξηΦορητοί υπολογιστές, ομάδες, συνεργασία διασταυρουμένης πλατφόρμας

Πότε να χρησιμοποιήσετε το OpenVPN

Επιλέξτε το OpenVPN όταν ο λεπτοκοκκοσχετικός έλεγχος πιστοποιητικών έχει σημασία, η στόλος σας περιλαμβάνει παλαιές συσκευές ή συσκευές χωρίς σύγχρονα agents VPN, ή πρέπει να ενοποιήσετε με υπάρχοντες κανόνες firewall και enterprise PKI. Εάν η ακατέργαστη απόδοση και ο ελάχιστος έξοδος CPU έχουν μεγαλύτερη σημασία, το WireGuard κερδίζει — δείτε τον WireGuard σεμινάριο και τον Tailscale οδηγό.

Κάντε το επόμενο βήμα

Το OpenVPN δεν είναι παρελθόν. Είναι ένα αξιόπιστο εργαλείο όταν χρειάζεστε συμβατότητα και ρητό έλεγχο της ταυτοποίησης και της δρομολόγησης. Ζευγάρι με ένα VPS και ένα MikroTik client και λαμβάνετε μια ισχυρή, επικυρώσιμη διαδρομή απομακρυσμένης πρόσβασης για κάμερες, δρομολογητές και εσωτερικές υπηρεσίες.

Εάν προτιμάτε να παραλείψετε την τελετουργία ανά συσκευή PKI, το NATCloud του MKController παρέχει απομακρυσμένη πρόσβαση σε συσκευές πίσω από NAT ή CGNAT με κεντρική διακυβέρνηση, παρακολούθηση και αυτόματη επανασύνδεση — χωρίς πιστοποιητικά για διαχείριση ανά δρομολογητή.

Ξεκινήστε το δωρεάν δοκιμή MKController