Skip to content
MKController Blog
InstagramYouTubeFacebook

Remote Access

OpenVPN MikroTik-hallinta etänä

Määritä OpenVPN VPS-palvelimella ja MikroTik-asiakkaalla etähallintaa varten — PKI-asennus, varmenteiden työnkulku ja suojauskäytännöt.

MKController5 min read

Yhteenveto OpenVPN on vakiintunut TLS-pohjainen VPN, joka toimii hyvin VPS-palvelimella keskuksena ja MikroTik-reitittimillä asiakkaina etähallintaa varten. Se on vanhempi kuin WireGuard ja Tailscale, mutta pysyy relevanttina laajan yhteensopivuutensa, tarkan PKI-hallinnan ja joustavien reititysvaihtoehtojen ansiosta. Tämä opas käsittelee Ubuntu VPS -palvelimen määritystä easy-rsan kanssa, asiakassertifikaatin työnkulkua, MikroTik OVPN-asiakkaan konfigurointia ja suojaustarkistusluetteloa, joka pitää käyttöympäristön auditoitavana.

Miten OpenVPN mahdollistaa MikroTik-hallinnan etänä?

OpenVPN on avoimeen lähdekoodiin perustuva VPN-toteutus, joka on rakennettu OpenSSL-pohjalla ja joka muodostaa salatuja tunneleita TCP:n tai UDP:n välityksellä. MikroTik-hallinnan etänä tyypillinen topologia yhdistää Ubuntu VPS:n aina online-palvelimena ja yhden tai useamman MikroTik-reitittimen asiakkaina. Reititin aloittaa tunnelin lähtevänä, joten asiakaspuolen NAT ja CGNAT eivät merkitse mitään, ja VPS pitää hallinnassa reitit ja NAT-säännöt, jotka mahdollistavat reitittimen (ja sen takana olevien laitteiden) tavoittamisen tunnelin kautta.

OpenVPN:n vahvuuksia ovat kypsä kryptografia (AES-256, SHA-256, TLS), IPv4 ja IPv6 -tuki, sekä TUN (reititetyt) että TAP (sillatut) tilat, sekä laaja yhteensopivuus toimittajien ja käyttöjärjestelmien välillä, mukaan lukien RouterOS. Kompromissit ovat raskaampi CPU-kuormitus kuin WireGuard pienissä reitittimissä, todellinen PKI-asennusvaihe (CA, sertifikaatit, avaimet) ja RouterOS-erityinen rajoitus, joka sinun on tiedettävä — historiallisesti MikroTik OVPN -asiakas tukee vain TCP-siirtoa joissakin versioissa. Vertailumalleista katso meidän WireGuard etähallinta-opas, SSTP-opas ja Tailscale-opas.

Kuinka OpenVPN toimii

OpenVPN muodostaa salatun tunnelin palvelimen (yleensä julkinen VPS) ja yhden tai useamman asiakkaan välille. Todennus käyttää CA:ta, asiakas-kohtaisia sertifikaatteja ja valinnaista TLS-autentikointia (ta.key). Kaksi yleistä tilaa:

  • TUN (reititetty) — IP-reititys verkkojen välillä. Vakiovaihtoehto.
  • TAP (sillattu) — Layer-2-silta, hyödyllinen lähetykseen riippuvaisille sovelluksille. Raskaampi ja harvoin tarvitaan.

Vaihe 1: Asenna OpenVPN VPS:lle

apt update && apt install -y openvpn easy-rsa

Vaihe 2: Rakenna PKI ja palvelimen avaimet

make-cadir ~/openvpn-ca
cd ~/openvpn-ca
./easyrsa init-pki
./easyrsa build-ca nopass
./easyrsa gen-req server nopass
./easyrsa sign-req server server
./easyrsa gen-dh
openvpn --genkey --secret ta.key

Pidä CA yksityinen ja varmuuskopioi se. Kohtele CA-avaimia kuten tuotannon salaisuuksia — jokainen, jolla on CA, voi tehdä oikeutettuja asiakassertifikaatteja.

Vaihe 3: Kirjoita palvelimen konfiguraatio

/etc/openvpn/server.conf (minimi):

port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
cipher AES-256-CBC
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3

Vaihe 4: Käynnistä palvelu ja avaa palomuuri

systemctl enable openvpn@server
systemctl start openvpn@server
ufw allow 1194/udp

Jos paljastet porttia 1194 koko internetille, suojaa VPS — fail2ban, tiukat SSH-avaimet ja lähde-IP-palomuurirajoitukset missä mahdollista. Internet-paljastetut VPN-päätepisteet ovat jatkuvan tutkimisen kohteena.

Vaihe 5: Luo asiakassertifikaatit ja -konfiguraatio

Luo asiakassertifikaatti easy-rsan kanssa (./easyrsa build-client-full client1 nopass) ja niputa nämä asiakkaalle:

  • ca.crt
  • client1.crt
  • client1.key
  • ta.key (jos käytetty)
  • client.ovpn — asiakkaan konfiguraatiotiedosto

Minimaalinen client.ovpn:

client
dev tun
proto udp
remote YOUR.VPS.IP 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
remote-cert-tls server
cipher AES-256-CBC
verb 3

Vaihe 6: Konfiguroi MikroTik OpenVPN-asiakkaaksi

RouterOS tukee OpenVPN-asiakasyhteyksien RouterOS-erityisillä rajoituksilla — erityisesti sillä, että vanhemmat versiot rajoittuvat TCP-siirtoon.

  1. Lataa ca.crt, client1.crt ja client1.key MikroTikille Winbox-tiedostot-ikkunan kautta.
  2. Päätteessä:
/interface ovpn-client add name=ovpn-out1 \
    connect-to=YOUR.VPS.IP port=1194 \
    user=vpnuser password="yourpassword" \
    profile=default-encryption add-default-route=no


/interface ovpn-client print

Odotettu tila:

status: connected
uptime: 00:01:03
remote-address: 10.8.0.1
local-address: 10.8.0.6

Tarkista RouterOS-julkaisun muistiinpanot, jos yhteys epäonnistuu UDP:llä — jos versio rajoittaa OVPN-asiakasta TCP:hen, vaihda palvelimen proto ja palomuurisääntö vastaavasti. Nykyaikaiselle UDP-ystävälliselle vaihtoehdolle RouterOS:ssa WireGuard on nykyaikainen oletusarvo.

Tavoita sisäinen laite tunnelin yli

Saavuttaaksesi laitteen MikroTikin takana (esim. kamera osoitteessa 192.168.88.100), käytä dst-nat-sääntöä MikroTikissa paikallisen portin paljastamiseksi tunnelin yli:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

Palvelimelta tai toiselta VPN-asiakkaalta muodosta yhteys reititetyn osoitteen ja portin kautta:

http://10.8.0.6:8081

Liikenne kulkee OpenVPN-tunnelin kautta ja tavoittaa sisäisen isännän.

Suojauskäytännöt

  • Ainutlaatuinen sertifikaatti per asiakas. Älä koskaan käytä avaimia uudelleen laitteiden välillä.
  • Yhdistä TLS-asiakassertifikaatit käyttäjänimeen ja salasanaan, jos haluat kahden tekijän kaltaista hallintaa.
  • Kierrä avaimia ja sertifikaatteja aikataulun mukaan. Ota käyttöön CRL:t (sertifikaatinperuutusluettelot) kadonneille laitteille.
  • Rajoita lähde-IP-osoitteita VPS-palomuurissa missä mahdollista.
  • Valitse UDP suorituskyvyn vuoksi; tarkista RouterOS-yhteensopivuus julkaisun perusteella.
  • Valvo yhteystilan terveyttä ja lokeja (syslog, openvpn-status.log).
  • Automatisoi sertifikaattien myöntäminen monille laitteille skripteillä, mutta pidä CA offline-tilassa missä mahdollista — CA-palvelimessa olevalla yhteydellä on yksi kalastelu-sähköpostia pois kompromissista.

Laajemman hallintotason suojauskontekstista katso meidän Winbox-suojauskäytäntöjen artikkeli.

OpenVPN vs. nykyaikaiset vaihtoehdot

RatkaisuVahvuudetMilloin valita se
OpenVPNYhteensopivuus, tarkat sertifikaatitSekalainen/vanha varasto; koululaitokset
WireGuardNopeus, yksinkertaisuus, nykyaikainen salausNykyaikaiset laitteet, pienet reittimet
SSTPTLS portissa 443, palomuurin läpikulkuVerkot, jotka estävät UDP:n ja muut VPN
Tailscale / ZeroTierMesh, identiteetti-pohjainen, helppo käyttöönottoKannettavat, tiimit, monialustainen yhteys

Milloin käyttää OpenVPN

Valitse OpenVPN, kun yksityiskohtainen sertifikaatinhallinta on tärkeää, varasto sisältää vanhoja laitteita tai laitteita ilman nykyaikaisia VPN-agentteja, tai sinun on integroitava olemassa oleviin palomuurisääntöihin ja yrityksen PKI:hin. Jos raa’an läpäisyn ja minimaalisen CPU-ylikuormituksen merkitys on suurempi, WireGuard voittaa — katso WireGuard-opetusohjelma ja Tailscale-opas.

Seuraava vaihe

OpenVPN ei ole vanha jäänne. Se on luotettava työkalu, kun tarvitset yhteensopivuutta ja nimenomaista hallintaa todennuksesta ja reitityksestä. Yhdistä se VPS:ään ja MikroTik-asiakkaaseen, ja saat vankkaa, auditoitavaa etäkäyttöpolkua kameroille, reitittimille ja sisäisille palveluille.

Jos haluat ohittaa per-laite PKI:n seremonian, MKController:in NATCloud toimittaa etäkäyttöä NAT:n tai CGNAT:n takana oleville laitteille keskitetyllä hallinnalla, valvonnalla ja automaattisella uudelleenyhdistämisellä — ei sertifikaatteja per reititin.

Aloita MKController-kokeiluversio