Skip to content
MKController Blog
InstagramYouTubeFacebook

Remote Access

OpenVPN kaugjuhtimiseks MikroTikis

Konfigureerige OpenVPN VPS-serveriga ja MikroTik-klendiga kaugjuhtimiseks — PKI häälestus, sertifikaatide töövoog ja turvameetmed.

MKController5 min read

Kokkuvõte OpenVPN on TLS-põhine VPN, mis sobib ideaalselt VPS-serveriga keskkonnana ja MikroTik-ruuterite klientidena kaugjuhtimiseks. See on eelnev WireGuardi ja Tailscale’i väljatöötamise põhimõtete järgi, kuid jääb populaarseks oma laia ühilduvuse, peeneteaduse PKI kontrolli ja paindliku marsruutimise võimaluste tõttu. Käesolev juhend käsitleb Ubuntu VPS-i konfiguratsiooni easy-rsa abil, kliendiatsertifikaatide töövoogu, MikroTik OVPN-kliendi konfiguratsiooni ja turvakontrollnimekirja, mis tagab juurutamise auditeeritavuse aja jooksul.

Kuidas lubab OpenVPN MikroTik kaugjuhtimist?

OpenVPN on avatud lähtekoodiga VPN-i rakendus, mis põhineb OpenSSL-il ja loob krüpteeritud tunnelid TCP või UDP kaudu. MikroTik kaugjuhtimiseks kasutatakse tavaliselt Ubuntu VPS-i alati võrgus oleva serverina ja üht või mitut MikroTik-ruuterit klientidena. Ruter alustab tunnelit väljaminevat teed, seega NAT ja CGNAT kliendi poolel ei ole olulised, ja VPS hoiab marsruute ning NAT-reegleid, mis võimaldavad teil jõuda ruurteri (ja seadmete, mis on selle taga) juurde tunnelis.

OpenVPN tugevused on küpsed krüptograafia (AES-256, SHA-256, TLS), IPv4 ja IPv6 tugi, nii TUN (marsruutimine) kui ka TAP (võrgustamine) režiimid ning laia ühilduvus kõigi müüjate ja operatsioonisüsteemide vahel, kaasaarvatud RouterOS. Kompromissid on suurem CPU-tarbimine kui WireGuardil väikestel ruuteritel, päris PKI-häälestuse samm (CA, sertifikaadid, võtmed) ja RouterOS-i omane piirang, mida peate teadma — ajalooliselt MikroTik OVPN klient toetab TCP-transporti ainult mõnedel versioonidel. Võrdlused leiate meie WireGuard kaugjuhtimisjuhist, SSTP juhist ja Tailscale juhist.

Kuidas OpenVPN töötab

OpenVPN loob krüpteeritud tunneli serverisse (tavaliselt avaliku VPS-i) ja ühest või mitmest kliendist. Autentimine kasutab CA-d, kliendispetsiifilisi sertifikaate ja valikut TLS-auth (ta.key). Kaks ühist režiimi:

  • TUN (marsruutimine) — IP-marsruutimine võrkude vahel. Standardne valik.
  • TAP (võrgustamine) — 2. kihi võrgustamine, kasulik ringluse sõltuvate rakenduste jaoks. Raskem ja harva vajalik.

Samm 1: Installige OpenVPN VPS-ile

apt update && apt install -y openvpn easy-rsa

Samm 2: Konstrueerige PKI ja serveri võtmed

make-cadir ~/openvpn-ca
cd ~/openvpn-ca
./easyrsa init-pki
./easyrsa build-ca nopass
./easyrsa gen-req server nopass
./easyrsa sign-req server server
./easyrsa gen-dh
openvpn --genkey --secret ta.key

Hoida CA-d privaatne ja selle varukoopia. Käsitlege CA võtmeid kui tootmissaladusi — kõik, kellel on CA, saavad luua legitiimseid kliendiatsertifikaate.

Samm 3: Kirjutage serveri konfiguratsioon

/etc/openvpn/server.conf (minimaalne):

port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
cipher AES-256-CBC
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3

Samm 4: Käivitage teenus ja avage tulemüür

systemctl enable openvpn@server
systemctl start openvpn@server
ufw allow 1194/udp

Kui eksponeerite pordi 1194 kogu internetti, turvake VPS-i — fail2ban, rangad SSH võtmed ja lähte-IP tulemüüri piirangud praktiliselt. Internetile avatud VPN-lõpp-punktid on pidevalt uuritud.

Samm 5: Looge kliendiatsertifikaadid ja konfiguratsioon

Looge kliendiatsertifikaat easy-rsa abil (./easyrsa build-client-full client1 nopass) ja pakige need kliendi jaoks:

  • ca.crt
  • client1.crt
  • client1.key
  • ta.key (kui kasutusel)
  • client.ovpn — kliendi konfiguratsioonifail

Minimaalne client.ovpn:

client
dev tun
proto udp
remote YOUR.VPS.IP 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
remote-cert-tls server
cipher AES-256-CBC
verb 3

Samm 6: Konfigureerige MikroTik OpenVPN kliendina

RouterOS toetab OpenVPN klientühendusi RouterOS-i spetsiifiliste piirangute puhul — eriti et vanemad versioonid piiravad TCP-transporti.

  1. Laadige ca.crt, client1.crt ja client1.key MikroTik-isse Winboxi failiakna kaudu.
  2. Terminallis:
/interface ovpn-client add name=ovpn-out1 \
    connect-to=YOUR.VPS.IP port=1194 \
    user=vpnuser password="yourpassword" \
    profile=default-encryption add-default-route=no


/interface ovpn-client print

Oodatud olek:

status: connected
uptime: 00:01:03
remote-address: 10.8.0.1
local-address: 10.8.0.6

Kontrollige oma RouterOS väljalaskepealkiri, kui ühendus ebaõnnestub UDP-ga — kui teie versioon piirab OVPN klienti TCP-ga, muutke serveri proto võrra tcp ja tulemüüri reegel vastavalt. UDP-sõbraliku alternatiivina RouterOS-is on WireGuard modernne vaikimisi valik.

Jõudke sisemisele seadmele läbi tunneli

Seadmele, mis on MikroTik taga (nt kaamerad aadressil 192.168.88.100), kasutage dst-nat-i MikroTik-is et paljastada kohalik port tunneli kaudu:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

Serverist või teisest VPN-i kliendist ühendage marsruuditud aadressi ja pordi kaudu:

http://10.8.0.6:8081

Liiklus liigub OpenVPN tunneli kaudu ja jõuab sisemisele hostile.

Turvakontrollnimekiri

  • Kordumatu sertifikaat klieniti. Ärge kunagi taaskasutage võtmeid seadmete vahel.
  • Kombineerige TLS kliendiatsertifikaadid kasutajanime/parooliga, kui soovite kahekordset kontrolli.
  • Pöörake võtmeid ja sertifikaate ajakava järgi. Juurutage CRL-id (sertifikaatide tühistamise nimekirjad) kadunud seadmete jaoks.
  • Piirate lähte-IP-d VPS tulemüüris praktiliselt.
  • Eelistage UDP jõudluse jaoks; kontrollige RouterOS ühilduvust versiooni kaupa.
  • Jälgige ühenduse tervist ja logisid (syslog, openvpn-status.log).
  • Automatiseerige sertifikaatide väljastamist paljudele seadmetele skriptide abil, kuid hoida CA võrgus võimalusel võrgust ära — CA-d ühendatud serveris on üks phishing-e-kiri ära kompromissist.

Laiemaks juhtimistasandi turvalisuse konteksti jaoks vaadake meie Winbox turvakontrollnimekirja artiklit.

OpenVPN vs modernid alternatiivid

LahendusTugevusedMillal valida
OpenVPNÜhilduvus, peeneteadus sertifikaatide kontrollSegatudsed/pärandist vood; ettevõtte seadmed
WireGuardKiirus, lihtsus, modernne krüptograafiaModernid seadmed, väikeste jalgadega ruuterid
SSTPTLS üle pordi 443, tulemüüri läbimineVõrgud, mis blokeerivad UDP-d ja muud VPN-i pordid
Tailscale / ZeroTierVõrgustamine, identiteedipõhine, lihtne juurutamineSülearvutid, meeskonnad, platvormideülene koostöö

Millal kasutada OpenVPN-i

Valige OpenVPN, kui peeneteadus sertifikaatide kontroll on oluline, teie vood sisaldavad pärandist seadmeid või seadmeid ilma modernsete VPN agentideta, või peate integreerima olemasolevate tulemüüri reeglite ja ettevõtte PKI-ga. Kui toorvõimsus ja minimaalne CPU-üleheide on tähtsam, WireGuard võidab — vaadake WireGuard juhist ja Tailscale juhist.

Tehke järgmine samm

OpenVPN pole relikt. See on usaldusväärne tööriist, kui vaja on ühilduvust ja selgesõnalist kontrolli autentimise ja marsruutimise üle. Paariline see VPS-i ja MikroTik-klendiga ja saate tugeva, auditeeritava kaugjuhtimistee kaameratele, ruurteritele ja sisemistele teenustele.

Kui sooviksite vahele jätta iga seadme PKI seremoonia, MKController NATCloud pakub kaugjuhtimist NAT-i või CGNAT-i taga olevate seadmete jaoks, millel on tsentraliseeritud valitsus, jälgimine ja automaatne taasühendamine — pole sertifikaate hallata ruurteri kohta.

Alusta oma tasuta MKController katset