Skip to content
MKController Blog
InstagramYouTubeFacebook

Remote Access

OpenVPN upravljanje MikroTik-om na daljinu

Konfigurirajte OpenVPN s VPS poslužiteljem i MikroTik klijentom za upravljanje na daljinu — PKI postavka, tok certifikata i sigurnosne prakse.

MKController5 min read

Sažetak OpenVPN je pouzdani VPN na osnovi TLS-a koji se savršeno uparuje s VPS-om kao središtnom točkom i MikroTik usmjerivačima kao klijentima za upravljanje na daljinu. Starijeg je datuma od WireGuard-a i Tailscale-a, ali ostaje relevantan zbog široke kompatibilnosti, precizne PKI kontrole i fleksibilnih mogućnosti usmjeravanja. Ovaj vodič prolazi kroz postavljanje Ubuntu VPS poslužitelja s easy-rsa, radni tok certifikata klijenta, konfiguraciju MikroTik OVPN-klijenta i sigurnosnu listu koja čini implementaciju revidirajućom tijekom vremena.

Kako OpenVPN omogućava upravljanje MikroTik-om na daljinu?

OpenVPN je otvoreni VPN koji se temelji na OpenSSL-u i uspostavlja šifrirane tunele preko TCP-a ili UDP-a. Za upravljanje MikroTik-om na daljinu, uobičajena topologija uparuje Ubuntu VPS kao uvijek dostupan poslužitelj s jednim ili više MikroTik usmjerivača kao klijentima. Usmjerivač pokreće tunel prema van, tako da NAT i CGNAT na strani kupca nisu važni, a VPS drži rute i NAT pravila koja vam omogućavaju pristup usmjerivaču (i uređajima iza njega) kroz tunel.

Prednosti OpenVPN-a su zrela kriptografija (AES-256, SHA-256, TLS), podrška za IPv4 i IPv6, brojevi TUN (usmjeravanje) i TAP (most) te široka kompatibilnost s različitim dobavljačima i operacijskim sustavima uključujući RouterOS. Kompromisi su veća potrošnja CPU-a nego WireGuard na malim usmjerivačima, pravi korak PKI postavljanja (CA, certifikati, ključevi) i specifično ograničenje RouterOS-a koje trebate znati — povijest, MikroTik OVPN klijent podržava samo TCP transport na nekim verzijama. Za usporedne obrasce, pogledajte naš vodič za upravljanje WireGuard-om na daljinu, vodič za SSTP i vodič za Tailscale.

Kako funkcionira OpenVPN

OpenVPN uspostavlja šifrirani tunel između poslužitelja (obično javnog VPS-a) i jednog ili više klijentâ. Autentifikacija koristi CA, certifikate po klijentu i opcionalni TLS-auth (ta.key). Dva česta načina rada:

  • TUN (usmjeravanje) — IP usmjeravanje između mreža. Standardni izbor.
  • TAP (most) — Most na sloju 2, koristan za aplikacije koje ovise o broadcast-u. Teže i rijetko potrebno.

Korak 1: Instalirajte OpenVPN na VPS

apt update && apt install -y openvpn easy-rsa

Korak 2: Izgradite PKI i ključeve poslužitelja

make-cadir ~/openvpn-ca
cd ~/openvpn-ca
./easyrsa init-pki
./easyrsa build-ca nopass
./easyrsa gen-req server nopass
./easyrsa sign-req server server
./easyrsa gen-dh
openvpn --genkey --secret ta.key

Čuvajte CA u tajnosti i napravite sigurnosnu kopiju. Tretirajte CA ključeve kao tajne proizvodnje — bilo tko s CA-om može falsificirati legitimne certifikate klijenta.

Korak 3: Napišite konfiguraciju poslužitelja

/etc/openvpn/server.conf (minimum):

port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
cipher AES-256-CBC
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3

Korak 4: Pokrenite uslugu i otvorite vatrozid

systemctl enable openvpn@server
systemctl start openvpn@server
ufw allow 1194/udp

Ako izložite port 1194 cijelom internetu, osigurajte VPS — fail2ban, strogi SSH ključevi i ograničenja vatrozida s izvorne IP adrese gdje je moguće. Internet-izložene VPN krajnje točke su kontinuirano testirane.

Korak 5: Kreirajte certifikate i konfiguraciju klijenta

Generirajte certifikat klijenta s easy-rsa (./easyrsa build-client-full client1 nopass) i skupite ove datoteke za klijenta:

  • ca.crt
  • client1.crt
  • client1.key
  • ta.key (ako se koristi)
  • client.ovpn — datoteka konfiguracije klijenta

Minimalna client.ovpn:

client
dev tun
proto udp
remote YOUR.VPS.IP 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
remote-cert-tls server
cipher AES-256-CBC
verb 3

Korak 6: Konfigurirajte MikroTik kao OpenVPN klijent

RouterOS podržava klijentske veze OpenVPN-a s ograničenjima specifičnom za RouterOS — posebno što starije verzije ograničavaju na TCP transport.

  1. Učitajte ca.crt, client1.crt i client1.key na MikroTik putem Winbox prozora Datoteke.
  2. U terminalu:
/interface ovpn-client add name=ovpn-out1 \
    connect-to=YOUR.VPS.IP port=1194 \
    user=vpnuser password="yourpassword" \
    profile=default-encryption add-default-route=no


/interface ovpn-client print

Očekivani status:

status: connected
uptime: 00:01:03
remote-address: 10.8.0.1
local-address: 10.8.0.6

Provjerite napomene o izdanju RouterOS-a ako veza ne uspije s UDP-om — ako vaša verzija ograničava OVPN klijent na TCP, prebacite server proto na tcp i vatrozidsku pravilo na sljedeći način. Za UDP-povoljnu alternativu na RouterOS-u, WireGuard je moderni zadani izbor.

Dosiježite interni uređaj preko tunela

Da dosiježete uređaj iza MikroTik-a (npr. kameru na 192.168.88.100), koristite dst-nat na MikroTik-u kako biste izložili lokalnu priključnicu preko tunela:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

S poslužitelja ili drugog VPN klijenta, povežite se preko usmjeravane adrese i priključnice:

http://10.8.0.6:8081

Promet teče kroz OpenVPN tunel i dostiže unutrašnjeg domaćina.

Sigurnosne najbolje prakse

  • Jedinstveni certifikat po klijentu. Nikada ne ponovno koristite ključeve između uređaja.
  • Kombinirajte TLS certifikate klijenta s imenom korisnika/lozinkom ako želite dvostruku kontrolu sličnu faktoru.
  • Izmijenite ključeve i certifikate prema rasporedu. Implementirajte CRL-ove (popise opoziva certifikata) za izgubljene uređaje.
  • Ograničite izvorne IP adrese u vatrozidu VPS-a gdje je moguće.
  • Preferira UDP za performanse; provjerite kompatibilnost RouterOS-a po izdanju.
  • Nadzrite zdravlje veze i logove (syslog, openvpn-status.log).
  • Automatizirajte izdavanje certifikata za mnoge uređaje sa skriptama, ali čuvajte CA izvan mreže gdje je moguće — CA na povezanom poslužitelju je jedno phishing e-pošte dalje od kompromisa.

Za širi kontekst sigurnosti upravljačke ravnine, pogledajte naš članak o sigurnosnim boljim praksama Winbox-a.

OpenVPN vs. suvremene alternative

RješenjePrednostiKada ga odabrati
OpenVPNKompatibilnost, precizna kontrola certMješovite/starije flote; korporativni uređaji
WireGuardBrzina, jednostavnost, moderna kriptografijaModerni uređaji, mali usmjerivači
SSTPTLS preko priključnice 443, provjera vatrozidaMreže koje blokiraju UDP i druge VPN portove
Tailscale / ZeroTierMreža, identitet, lako razmještanjePrijenosni računali, timovi, suradnja

Kada koristiti OpenVPN

Odaberite OpenVPN kada je precizna kontrola certifikata važna, vaša flota uključuje starije uređaje ili uređaje bez modernih VPN agenata ili trebate integrirati s postojećim vatrozidskim pravilima i korporativnom PKI. Ako je surova propusnost i minimalna potrošnja CPU-a važnija, WireGuard pobjeđuje — pogledajte vodiča za WireGuard i vodič za Tailscale.

Slijedeći korak

OpenVPN nije ostatak. To je pouzdalni alat kada trebate kompatibilnost i eksplicitnu kontrolu nad autentifikacijom i usmjeravanjem. Uparirajte ga s VPS-om i MikroTik klijentom i dobivate robustan, revidirajući put za daljinski pristup kamerama, usmjerivačima i unutrašnjim uslugama.

Ako biste radije izbjegavali ceremoniju PKI po uređaju, NATCloud MKController-a pruža daljinski pristup uređajima iza NAT-a ili CGNAT-a s centraliziranim upravljanjem, nadzorom i automatiskom ponovnom vezom — bez certifikata za održavanje po usmjerivaču.

Pokrenite besplatan MKController pokus