Skip to content
Blog

Upravljanje Mikrotikom putem OpenVPN-a

Sažetak
Praktični vodič za korištenje OpenVPN-a s MikroTikom i VPS-om: kako OpenVPN funkcionira, postavljanje servera na Ubuntuu, konfiguracija MikroTik klijenta, obrasci pristupa, usporedbe s modernim rješenjima i sigurnosne preporuke.

Daljinsko upravljanje MikroTikom pomoću OpenVPN-a

OpenVPN i dalje ostaje pouzdan i isproban način za daljinski pristup routerima i uređajima.

Postoji prije WireGuarda i Tailscalea, ali njegova fleksibilnost i kompatibilnost čine ga relevantnim i danas.

Ovaj članak vodi vas kroz kako i zašto — te nudi kopiraj-zalijepi naredbe za VPS server i MikroTik klijenta.

Što je OpenVPN?

OpenVPN je open-source VPN implementacija (od 2001) koja uspostavlja šifrirane tunele preko TCP ili UDP.

Bazira se na OpenSSL-u za enkripciju i TLS provjeru autentičnosti.

Ključne točke:

  • Snažna kriptografija (AES-256, SHA256, TLS).
  • Radi s IPv4 i IPv6.
  • Podržava rutirane (TUN) i bridged (TAP) načine rada.
  • Široka kompatibilnost OS-a i uređaja — uključujući RouterOS.

Napomena: OpenVPN-ov ekosustav i alati čine ga odličnim za okruženja koja traže eksplicitnu kontrolu certifikata i podršku za naslijeđene uređaje.

Kako OpenVPN funkcionira (brzi pregled)

OpenVPN uspostavlja šifrirani tunel između servera (koji je obično javni VPS) i jednog ili više klijenata (MikroTik routeri, prijenosna računala itd.).

Autentikacija se vrši putem CA, certifikata i opcionalne TLS autentifikacije (ta.key).

Najčešći načini rada:

  • TUN (rutirana): IP rutiranje između mreža (najčešće).
  • TAP (most): Layer-2 mostovanje — korisno za aplikacije koje ovise o broadcastu, ali zahtjevnije.

Prednosti i nedostaci

Prednosti

  • Dokazan sigurnosni model (TLS + OpenSSL).
  • Izuzetno konfigurabilan (TCP/UDP, portovi, rute, push opcije).
  • Široka kompatibilnost — idealan za mješovite okoline.
  • Nativna (iako ograničena) podrška u RouterOS-u.

Nedostaci

  • Zahtjevniji za resurse od WireGuarda na ograničenom hardveru.
  • Postavljanje zahtijeva PKI (CA, certifikate) i nekoliko ručnih koraka.
  • MikroTik-ov RouterOS podržava OpenVPN samo preko TCP-a (server obično ide preko UDP-a).

Izgradnja OpenVPN servera na Ubuntuu (VPS)

Ispod je kompaktno, praktično postavljanje. Prilagodite imena, IP adrese i DNS svojem okruženju.

1) Instalirajte pakete

Terminal window
apt update && apt install -y openvpn easy-rsa

2) Kreirajte PKI i server ključeve

Terminal window
make-cadir ~/openvpn-ca
cd ~/openvpn-ca
source vars
./clean-all
./build-ca            # kreiraj CA
./build-key-server server
./build-dh
openvpn --genkey --secret keys/ta.key

Savjet: Čuvajte CA privatnim i napravite sigurnosnu kopiju. CA ključeve tretirajte kao proizvodne tajne.

3) Konfiguracija servera (/etc/openvpn/server.conf)

Napravite datoteku s ovom minimalnom sadržajem:

port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
cipher AES-256-CBC
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3

4) Omogućite i pokrenite servis

Terminal window
systemctl enable openvpn@server
systemctl start openvpn@server

5) Firewall: dopustite port

Terminal window
ufw allow 1194/udp

Upozorenje: Ako izlažete port 1194 na cijeli internet, osigurajte server (fail2ban, strogi SSH ključevi, pravila firewalla za ograničenje izvora gdje je moguće).

Kreiranje certifikata i konfiguracija za klijente

Koristite easy-rsa skripte za generiranje certifikata klijenta (npr. build-key client1).

Spakirajte ove datoteke za klijenta:

  • ca.crt
  • client1.crt
  • client1.key
  • ta.key (ako se koristi)
  • client.ovpn (konfiguracijska datoteka)

Primjer minimalne client.ovpn datoteke (zamijenite IP vašim VPS-om):

client
dev tun
proto udp
remote YOUR.VPS.IP 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
remote-cert-tls server
cipher AES-256-CBC
verb 3

Konfiguriranje MikroTika kao OpenVPN klijenta

RouterOS podržava OpenVPN klijentske veze, ali s nekoliko RouterOS-specifičnih ograničenja.

  1. Učitajte client key i cert datoteke (ca.crt, client.crt, client.key) na MikroTik.

  2. Kreirajte OVPN klijentski profil i pokrenite vezu.

/interface ovpn-client add name=ovpn-out1 \
    connect-to=YOUR.VPS.IP port=1194 \
    user=vpnuser password="yourpassword" \
    profile=default-encryption add-default-route=no


/interface ovpn-client print

Primjer očekivanog statusa:

status: connected
uptime: 00:01:03
remote-address: 10.8.0.1
local-address: 10.8.0.6

Napomena: RouterOS povijesno ograničava OpenVPN na TCP u nekim verzijama — provjerite bilješke izdanja RouterOS-a. Ako trebate UDP na router strani, razmislite o posredničkom rješenju (poput Linux hosta) ili softverskom klijentu na susjednom računalu.

Pristup unutarnjem uređaju preko tunela

Za pristup unutarnjem uređaju (npr. IP kamera 192.168.88.100), možete koristiti NAT na MikroTiku za izlaganje lokalnog porta preko tunela.

  1. Dodajte dst-nat pravilo na MikroTiku:
/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80
  1. S servera ili drugog klijenta povezati se na rutiranu adresu i port:
http://10.8.0.6:8081

Promet prolazi kroz OpenVPN tunel i stiže do unutarnjeg uređaja.

Sigurnost i najbolje prakse

  • Koristite jedinstveni certifikat za svakog klijenta.
  • Kombinirajte TLS certifikate klijenata s korisničkim imenom/lozinkom za dvofaktorsku kontrolu.
  • Redovito rotirajte ključeve i certifikate.
  • Ograničite dolazne IP adrese u VPS firewallu gdje je moguće.
  • Preferirajte UDP radi bolje performanse, ali provjerite kompatibilnost RouterOS-a.
  • Pratite stanje veze i zapise (syslog, openvpn-status.log).

Savjet: Automatizirajte izdavanje certifikata za veći broj uređaja skriptama, ali držite CA offline gdje je moguće.

Kratka usporedba s modernim alternativama

RješenjePrednostiKada odabrati
OpenVPNKompatibilnost, detaljna kontrola certifikataMješovita/nasljeđena okruženja; ISP konfiguracije; korporativni uređaji
WireGuardBrzina, jednostavnostModerni uređaji, ruteri s malim resursima
Tailscale/ZeroTierMesh mreža, identitet, jednostavna implementacijaLaptopi, serveri, timski rad

Kada koristiti OpenVPN

  • Potrebna vam je detaljna kontrola certifikata.
  • Vaša mreža uključuje naslijeđene uređaje ili opremu bez modernih agenata.
  • Morate se integrirati s postojećim firewall pravilima i korporativnim PKI-jem.

Ako želite minimalno opterećenje i modernu kriptografiju, WireGuard (ili Tailscale za jednostavnu kontrolu) je odličan izbor — ali OpenVPN i dalje vodi u univerzalnoj kompatibilnosti.

Kako MKController pomaže: Ako želite izbjeći ručno postavljanje tunela i problema s certifikatima, MKController-ovi alati za daljinsko upravljanje (NATCloud) omogućuju pristup uređajima iza NAT/CGNAT-a s centraliziranim nadzorom, upravljanjem i automatskim ponovnim povezivanjem — bez potrebe za pojedinačnim PKI-jem.

Zaključak

OpenVPN nije zastarjela tehnologija.

Pouzdan je alat kad trebate kompatibilnost i kontrolu nad autentikacijom i rutiranjem.

Kombinirajte ga s VPS-om i MikroTik klijentom za snažan, auditabilan daljinski pristup kamerama, ruterima i internim servisima.

O MKController-u

Nadamo se da su vam gore navedene informacije pomogle bolje se snaći u svijetu MikroTika i interneta! 🚀
Bilo da fino podešavate konfiguracije ili želite unijeti red u mrežni kaos, MKController je ovdje da vam olakša život.

S centraliziranim upravljanjem u oblaku, automatskim sigurnosnim ažuriranjima i nadzornom pločom koju svatko može savladati, imamo sve što vam treba za novu razinu operacija.

👉 Započnite svoj besplatan probni period od 3 dana na mkcontroller.com — i uvjerite se kako izgleda prava kontrola mreže bez muke.