Skip to content
Blog

MikroTiku haldamine OpenVPN-iga

Kokkuvõte
Praktiline juhend OpenVPN kasutamiseks koos MikroTiku ja VPS-iga: kuidas OpenVPN töötab, serveri seadistus Ubuntul, MikroTiku kliendi konfigureerimine, ühenduse mustrid, võrdlused kaasaegsete lahendustega ja turvaparimad tavad.

MikroTiku kaughaldus OpenVPN-i abil

OpenVPN on jätkuvalt tugev ja usaldusväärne viis ruuterite ja seadmeteni kaugühenduseks.

See eelneb WireGuardile ja Tailscale’ile, kuid selle paindlikkus ja ühilduvus hoiavad selle tänapäeval asjakohasena.

See postitus juhendab sind, kuidas ja miks — ning annab kopeeritavad käsud VPS serveri ja MikroTiku kliendi jaoks.

Mis on OpenVPN?

OpenVPN on avatud lähtekoodiga VPN tarkvara (alates 2001), mis loob krüpteeritud tunnelid TCP või UDP kaudu.

See kasutab krüpteerimiseks OpenSSL-i ja autentimiseks TLS-põhist mehhanismi.

Peamised omadused:

  • Tugev krüptograafia (AES-256, SHA256, TLS).
  • Töötab nii IPv4 kui IPv6-ga.
  • Toetab nii marsruutimist (TUN) kui ka sildamist (TAP) režiimis.
  • Lai platvormi ja seadmete ühilduvus — sh RouterOS.

Märkus: OpenVPNi ökosüsteem ja tööriistad sobivad hästi keskkondadesse, kus on vaja täpset sertifikaadikontrolli ja vanemate seadmete tuge.

Kuidas OpenVPN töötab (lühike ülevaade)

OpenVPN loob krüpteeritud tunnelit serveri (tavaliselt avalik VPS) ja ühe või mitme kliendi (MikroTik ruuterid, sülearvutid jne) vahel.

Autentimine toimub CA, sertifikaatide ja valikulise TLS auth (ta.key) abil.

Tavalised töörežiimid:

  • TUN (marsruutimine): IP marsruutimine võrkude vahel (levinuim).
  • TAP (sildamine): 2. kihi sildamine — kasulik leviedastust nõudvatele rakendustele, kuid koormavam.

Plussid ja miinused

Eelised

  • Tõestatud turvamudel (TLS + OpenSSL).
  • Väga konfigureeritav (TCP/UDP, pordid, marsruudid, push-valikud).
  • Lai ühilduvus — sobib segafleetidele.
  • Native (kuigi piiratud) tugi RouterOS-is.

Puudused

  • Koormavam kui WireGuard piiratud riistvaral.
  • Seadistamiseks on vaja PKI-d (CA, sertifikaadid) ja mõningaid käsitsi samme.
  • MikroTiku RouterOS toetab OpenVPN-i ainult TCP-s (serveripoolsed seadistused kasutavad tavaliselt ikka UDP-d).

Loo OpenVPN server Ubuntul (VPS)

Järgmine on kompaktselt praktiline seadistus. Kohanda nimesid, IP-sid ja DNS-e vastavalt oma keskkonnale.

1) Paigalda paketid

Terminal window
apt update && apt install -y openvpn easy-rsa

2) Loo PKI ja serverivõtmed

Terminal window
make-cadir ~/openvpn-ca
cd ~/openvpn-ca
source vars
./clean-all
./build-ca            # loo CA
./build-key-server server
./build-dh
openvpn --genkey --secret keys/ta.key

Nipp: Hoia CA privaatne ja varunda see. Treat CA keys lik produktsiooni saladusi.

3) Serveri seadistus (/etc/openvpn/server.conf)

Loo fail järgmise minimaalse sisuga:

port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
cipher AES-256-CBC
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3

4) Luba ja käivita teenus

Terminal window
systemctl enable openvpn@server
systemctl start openvpn@server

5) Firewall: luba port

Terminal window
ufw allow 1194/udp

Hoiatus: Kui avad pordi 1194 kogu interneti jaoks, turvasta server (fail2ban, range SSH võtmete kasutus, tulemüüri reeglid allika IP piiramiseks kui võimalik).

Loo kliendi sertifikaadid ja konfiguratsioonid

Kasuta easy-rsa skripte kliendi sertifikaadi genereerimiseks (nt build-key client1).

Paki need failid kliendi jaoks:

  • ca.crt
  • client1.crt
  • client1.key
  • ta.key (kui kasutatakse)
  • client.ovpn (konfiguratsioonifail)

Näide minimaalset kliendi ovpn failist (serveri IP asenda oma VPS-iga):

client
dev tun
proto udp
remote YOUR.VPS.IP 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
remote-cert-tls server
cipher AES-256-CBC
verb 3

MikroTiku seadistamine OpenVPN kliendiks

RouterOS toetab OpenVPN kliendiühendusi, kuid mõningate RouterOS spetsiifiliste piirangutega.

  1. Laadi kliendi võtme- ja sertifikaadifailid (ca.crt, client.crt, client.key) MikroTik ruuterisse.

  2. Loo OVPN kliendiprofiil ja alusta ühendust.

/interface ovpn-client add name=ovpn-out1 \
    connect-to=YOUR.VPS.IP port=1194 \
    user=vpnuser password="yourpassword" \
    profile=default-encryption add-default-route=no


/interface ovpn-client print

Oodatud oleku näide:

status: connected
uptime: 00:01:03
remote-address: 10.8.0.1
local-address: 10.8.0.6

Märkus: RouterOS piirab ajalooliselt OpenVPN-i TCP kasutusse mõnes versioonis — vaata oma RouterOS avaldamisinfo. Kui vajad UDP-d ruuteripoolsel ühendusel, kaalu vahepealset lahendust (nt Linux host) või kasuta tarkvarakliendi lähedal arvutis.

Juurdepääs sisemisele seadmele läbi tunneli

Sisemise seadmeni (nt IP-kaamera 192.168.88.100) jõudmiseks saab MikroTik-is teha NAT-i, et avada kohaliku pordi kaudu ligipääs tunnelile.

  1. Lisa MikroTikus dst-nat reegel:
/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80
  1. Ühendu serverist või teisest kliendist marsruuditud aadressi ja pordiga:
http://10.8.0.6:8081

Liiklus jookseb OpenVPN tunneli kaudu ja jõuab sisemisse seadmesse.

Turvalisus ja parimad tavad

  • Kasuta iga kliendi jaoks unikaalset sertifikaati.
  • Kombineeri TLS kliendi sertifikaadid kasutajanime/parooliga, kui vajad kahefaktorilist kontrolli.
  • Vaheta võtmeid ja sertifikaate regulaarse ajakava järgi.
  • Piira allika IP-sid VPS tulemüüris, kus võimalik.
  • Eelista UDP-d jõudluse huvides, kuid kontrolli RouterOS ühilduvust.
  • Jälgi ühenduse tervist ja logisid (syslog, openvpn-status.log).

Nipp: Automaatne sertifikaatide väljastamine paljudele seadmetele skriptidega, aga hoia CA võimalikult võrguühenduseta.

Lühike võrdlus kaasaegsete alternatiividega

LahendusTugevusedMillal valida
OpenVPNÜhilduvus, detailne sertifikaadikontrollSegakeskkonnad; ISP seadistused; ettevõtte seadmed
WireGuardKiirus, lihtsusKaasaegsed seadmed, väikese ressurssiga ruuterid
Tailscale/ZeroTierMesh, identiteet, lihtne juurutusSülearvutid, serverid, meeskonnatöö

Millal kasutada OpenVPN-i

  • Kui vajad peent sertifikaadikontrolli.
  • Kui su varustus sisaldab vanemaid seadmeid või appliance-e ilma kaasaegsete agentideta.
  • Kui pead integreerima olemasolevate tulemüüri reeglite ja ettevõtte PKI-ga.

Kui soovid võimalikult kerget koormust ja moodsat krüptograafiat, on WireGuard (või Tailscale kasutajasõbralikuks juhtimistasandiks) suurepärased — kuid OpenVPN võidab universaalse sobivuse poolest.

Kuidas MKController aitab: Kui tahad vältida käsitsi tunnelduse ja sertifikaatidega seotud raskusi, võimaldavad MKControlleri kaugtööriistad (NATCloud) pääseda seadmetele NAT/CGNAT taga tsentraalse halduse, järelevalve ja automaatse uuestiühendusega — ilma iga-seadme PKI halduseta.

Kokkuvõte

OpenVPN ei ole muinaslugu.

See on usaldusväärne tööriist, kui vajad ühilduvust ja autoriseerimise ning marsruutimise selget juhtimist.

Kombineeri see VPS-iga ja MikroTik kliendiga, saad robustse ja auditeeritava kaugligipääsu kaameratele, ruuteritele ja sisepalvelustele.

MKControllerist

Loodetavasti aitasid ülaltoodud teadmised sul oma MikroTiku ja internetikeskkonda paremini hallata! 🚀
Olgu sa konfiguratsioone täpsustamas või lihtsalt võrgu korrastamatust vähendamas, MKController teeb su elu lihtsamaks.

Keskselt haldatav pilv, automaatsed turvauuendused ja hõlpsasti kasutatav juhtpaneel pakuvad vajalikku, et oma tegevust tõsta uuele tasemele.

👉 Alusta tasuta 3-päevast prooviperioodi aadressil mkcontroller.com — saa teada, kui lihtne võib olla võrgu haldus.