Mikrotik-kezelés OpenVPN-nel lépésről lépésre

Összefoglaló
Gyakorlati útmutató az OpenVPN használatához MikroTikkel és VPS-sel: működés, Ubuntu szerver beállítás, MikroTik kliens konfiguráció, hozzáférés, modern megoldásokkal összehasonlítás és biztonsági ajánlások.

Távoli MikroTik-kezelés OpenVPN-nel

Az OpenVPN továbbra is megbízható, kipróbált módja a routerek és eszközök távoli elérésének.

Megelőzi a WireGuardot és a Tailscale-t, de rugalmassága és kompatibilitása miatt még ma is releváns.

Ebben a cikkben bemutatjuk a működését és okát — valamint példákat VPS szerverre és MikroTik kliensre másolható parancsokkal.

Mi az az OpenVPN?

Az OpenVPN egy nyílt forráskódú VPN megoldás (2001 óta), amely titkosított alagutakat épít TCP vagy UDP felett.

Az OpenSSL-t használja titkosításhoz és TLS-alapú hitelesítéshez.

Fő jellemzők:

Erős titkosítás (AES-256, SHA256, TLS).
Működik IPv4 és IPv6 hálózatokkal.
Támogatja az útválasztott (TUN) és hidalt (TAP) üzemmódot.
Széles körű OS és eszköz kompatibilitás – beleértve a RouterOS-t is.

Megjegyzés: Az OpenVPN ökoszisztéma és eszközök jól illeszkednek olyen környezetekhez, ahol explicit tanúsítvány-kezelésre és régebbi eszközök támogatására van szükség.

Hogyan működik az OpenVPN (gyors áttekintés)

Az OpenVPN létrehoz egy titkosított alagutat egy szerver (többnyire nyilvános VPS) és egy vagy több kliens (például MikroTik routerek, laptopok stb.) között.

Azonosítás CA-val, tanúsítványokkal és opcionális TLS hitelesítéssel (ta.key) történik.

Gyakori üzemmódok:

TUN (útválasztott): IP útválasztás hálózatok között (leggyakoribb).
TAP (hídkapcsolt): 2. rétegű híd — broadcast-igényes alkalmazásokhoz jó, de erőforrásigényesebb.

Előnyök és hátrányok

Előnyök

Bizonyított biztonsági modell (TLS + OpenSSL).
Rendkívül testreszabható (TCP/UDP, portok, útvonalak, nyomott opciók).
Széles kompatibilitás – ideális vegyes eszközparkokhoz.
Natív (bár korlátozott) támogatás RouterOS-ben.

Hátrányok

Nehezebb, mint a WireGuard korlátozott hardveren.
Beállítása PKI-t (CA, tanúsítványok) és némi kézi lépést igényel.
MikroTik RouterOS csak TCP-n támogatja az OpenVPN-t (szerver oldalon általában UDP-t használnak).

OpenVPN szerver építése Ubuntu VPS-en

Lent egy tömör, gyakorlati beállítás. A neveket, IP-ket és DNS-t az ön környezetéhez igazítsa.

1) Csomagok telepítése

apt update && apt install -y openvpn easy-rsa

2) PKI és szerver kulcsok létrehozása

make-cadir ~/openvpn-ca
cd ~/openvpn-ca
source vars
./clean-all
./build-ca            # CA létrehozása
./build-key-server server
./build-dh
openvpn --genkey --secret keys/ta.key

Tipp: Tartsa privátban a CA-t, és készítsen róla biztonsági mentést. A CA kulcsokat kezelje bizalmas gyártási titkokként.

3) Szerver konfiguráció (/etc/openvpn/server.conf)

Hozza létre ezt a minimális fájlt:

port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
cipher AES-256-CBC
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3

4) Szolgáltatás engedélyezése és indítása

systemctl enable openvpn@server
systemctl start openvpn@server

5) Tűzfal: port megnyitása

ufw allow 1194/udp

Figyelem: Ha a 1194-es portot nyilvánosan kiteszi az internetre, biztosítsa a szervert (fail2ban, szigorú SSH kulcsok, lehetőleg IP korlátozó tűzfalszabályok).

Kliens tanúsítványok és konfigurációk létrehozása

Az easy-rsa szkripttel generálhat kliens tanúsítványt (például: build-key client1).

A következő fájlokat csomagolja össze a kliens számára:

ca.crt
client1.crt
client1.key
ta.key (ha használja)
client.ovpn (konfigurációs fájl)

Minimális client.ovpn példa (szerver IP-je a VPS-ével helyettesítendő):

client
dev tun
proto udp
remote YOUR.VPS.IP 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
remote-cert-tls server
cipher AES-256-CBC
verb 3

MikroTik OpenVPN kliensként történő konfigurálása

A RouterOS támogatja az OpenVPN kliens kapcsolatot, de néhány RouterOS-specifikus korlátozással.

Töltse fel a MikroTik-re a klienskulcs és tanúsítvány fájlokat (ca.crt, client.crt, client.key).
Hozzon létre egy OVPN kliens profilt és indítsa el a kapcsolatot.

/interface ovpn-client add name=ovpn-out1 \
    connect-to=YOUR.VPS.IP port=1194 \
    user=vpnuser password="yourpassword" \
    profile=default-encryption add-default-route=no

/interface ovpn-client print

Várható állapot példa:

status: connected
uptime: 00:01:03
remote-address: 10.8.0.1
local-address: 10.8.0.6

Megjegyzés: RouterOS egyes verzióiban az OpenVPN csak TCP-t engedélyez – nézze meg az adott RouterOS kiadási jegyzeteit. Ha UDP kell az eszközön, fontoljon meg köztes megoldást (pl. Linux gépet) vagy szoftverkliens használatát egy közeli gépen.

Belső eszköz elérése az alagúton keresztül

Belső eszköz (például IP kamera 192.168.88.100) eléréséhez használhat NAT-ot a MikroTik-en, hogy helyi portot tegyen elérhetővé az alagút felett.

Adjon hozzá dst-nat szabályt a MikroTik-re:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

A szerverről vagy más kliensről csatlakozzon a továbbított címhez és porthoz:

http://10.8.0.6:8081

A forgalom az OpenVPN alagúton átjut és eléri a belső gazdagépet.

Biztonság és legjobb gyakorlatok

Használjon egyedi tanúsítványt minden klienshez.
Kombinálja TLS kliens tanúsítványokat felhasználónév / jelszóval kétfaktoros kontrollhoz.
Rendszeresen forgassa a kulcsokat és tanúsítványokat.
Korlátozza a forrás IP-ket a VPS tűzfalban, ahol lehetséges.
Teljesítmény miatt részesítse előnyben az UDP-t, de ellenőrizze RouterOS kompatibilitást.
Figyelje a kapcsolat állapotát és naplókat (syslog, openvpn-status.log).

Tipp: Automatizálhatja a tanúsítványkiadást sok eszközre szkriptekkel, de a CA-t lehetőség szerint tartsa offline.

Rövid összehasonlítás a modern alternatívákkal

Megoldás	Erősségek	Mikor válassza
OpenVPN	Kompatibilitás, részletes tanúsítvány kezelés	Vegyes/régi környezetek, ISP és vállalati eszközök
WireGuard	Sebesség, egyszerűség	Modern eszközök, kis routerek
Tailscale/ZeroTier	Mesh, azonosítás, könnyű telepítés	Laptopok, szerverek, csapatmunka

Mikor érdemes OpenVPN-t használni

Precíz tanúsítványkezelésre van szüksége.
A flottában vannak régebbi eszközök vagy modern ügynök nélküli készülékek.
Meglévő tűzfalszabályokkal és vállalati PKI-val kell integrálni.

Ha a legkisebb overhead és modern kriptográfia kell, a WireGuard (vagy Tailscale, ha felhasználóbarát vezérlőpanel kell) kiváló. Mégis az OpenVPN az univerzális kompatibilitás bajnoka.

Hol segít a MKController: Ha el akarja kerülni a kézi alagutazást és a tanúsítványokkal járó nehézségeket, a MKController távoli eszközkezelői (NATCloud) lehetővé teszik eszközök NAT/CGNAT mögötti elérését központosított felügyelettel, monitorozással és automatikus újracsatlakozással – eszközönkénti PKI kezelés nélkül.

Összegzés

Az OpenVPN nem maradvány.

Megbízható eszköz, ha kompatibilitásra és explicit hitelesítésre, útválasztásra van szükség.

VPS-sel és MikroTik klienssel együtt stabil, auditálható távoli hozzáférést biztosít kamerákhoz, routerekhez és belső szolgáltatásokhoz.

A MKController-ről

Reméljük, a fenti tudás segített jobban eligazodni a MikroTik és internetes világában! 🚀
Akár finomhangolja konfigurációit, akár rendet próbál vinni a hálózati káoszba, a MKController megkönnyíti az életét.

Központosított felhőmenedzsmenttel, automatikus biztonsági frissítésekkel és egyszerűen kezelhető irányítópulttal rendelkezünk, hogy feljavítsuk működését.

👉 Indítsa el ingyenes 3 napos próbaidőszakát most a mkcontroller.com oldalon – és tapasztalja meg a valódi könnyű hálózatkezelést.