Skip to content
MKController Blog
InstagramYouTubeFacebook

Remote Access

OpenVPN MikroTik Távoli Menedzsment

OpenVPN konfigurálása VPS szerveren és MikroTik klienssel — PKI beállítás, tanúsítvány munkafolyamat és biztonsági bevált gyakorlatok.

MKController5 min read

Összefoglalás Az OpenVPN egy bevált, TLS-alapú VPN, amely jól működik egy VPS-sel központként és MikroTik routerekkel kliensként a távoli menedzsmènthez. A WireGuard és Tailscale előfutára, de továbbra is releváns széleskörű kompatibilitása, részletes PKI-vezérlése és rugalmas útválasztási lehetőségei miatt. Ez az útmutató végigmegy az Ubuntu VPS szerver beállításán az easy-rsa használatával, a kliens tanúsítvány munkafolyamaton, a MikroTik OVPN-kliens konfigurációján, valamint a biztonsági ellenőrzőlistán, amely a telepítést auditálhatóvá teszi az idő múlásával.

Hogyan teszi lehetővé az OpenVPN a MikroTik távoli menedzsmentét?

Az OpenVPN egy nyílt forráskódú VPN-megvalósítás, amely az OpenSSL-re épül, és titkosított alagutakat létesít TCP vagy UDP felett. A MikroTik távoli menedzsmènthez a tipikus topológia egy Ubuntu VPS-t párosít mindig online szerver gyanánt egy vagy több MikroTik routerrel klientként. A router az alagút kimenő irányába indítja el, így az ügyfél oldali NAT és CGNAT nem számít, a VPS pedig az útokat és NAT szabályokat tartalmazza, amelyek lehetővé teszik, hogy az alagúton keresztül elérje a routert (és az mögötte lévő eszközöket).

Az OpenVPN erősségei az érett titkosítás (AES-256, SHA-256, TLS), az IPv4 és IPv6 támogatás, mind a TUN (útválasztott) mint a TAP (híd) módok, valamint a RouterOS-t tartalmazó széleskörű kompatibilitás szállítók és operációs rendszerek között. A kompromisszumok a WireGuardhoz képest nagyobb CPU-fogyasztás a kis routereken, egy valós PKI-beállítási lépés (CA, tanúsítványok, kulcsok), valamint egy RouterOS-specifikus korlát, amelyről tudnia kell — történelmileg a MikroTik OVPN kliens csak TCP szállítást támogat bizonyos verziókban. Az összehasonlítási mintákért tekintse meg a WireGuard távoli menedzsment útmutatót, az SSTP útmutatót, és a Tailscale útmutatót.

Hogyan működik az OpenVPN

Az OpenVPN titkosított alagút létesít szerver (jellemzően egy nyilvános VPS) és egy vagy több kliens között. A hitelesítés egy CA, kliensenként tanúsítványok és opcionális TLS-auth (`ta.key`) használatával történik. Két közös mód:

  • TUN (útválasztott) — IP útválasztás hálózatok között. A standard választás.
  • TAP (híd) — Layer-2 híd, hasznos a szórdásra függő alkalmazásokhoz. Nehezebb és ritkán szükséges.

1. lépés: OpenVPN telepítése a VPS-re

``` apt update && apt install -y openvpn easy-rsa ```

2. lépés: A PKI és szerver kulcsok felépítése

``` make-cadir ~/openvpn-ca cd ~/openvpn-ca ./easyrsa init-pki ./easyrsa build-ca nopass ./easyrsa gen-req server nopass ./easyrsa sign-req server server ./easyrsa gen-dh openvpn —genkey —secret ta.key ```

Tartsuk a CA-t privátan és készítsünk biztonsági mentést. Kezeljük a CA kulcsokat mint termelési titkokat — az azt birtokló bárki hamisított érvényes kliens tanúsítványokat készíthet.

3. lépés: A szerver konfigurációjának megírása

`/etc/openvpn/server.conf` (minimum):

``` port 1194 proto udp dev tun ca ca.crt cert server.crt key server.key dh dh.pem server 10.8.0.0 255.255.255.0 push “redirect-gateway def1 bypass-dhcp” push “dhcp-option DNS 8.8.8.8” keepalive 10 120 cipher AES-256-CBC user nobody group nogroup persist-key persist-tun status openvpn-status.log verb 3 ```

4. lépés: A szolgáltatás indítása és a tűzfal megnyitása

``` systemctl enable openvpn@server systemctl start openvpn@server ufw allow 1194/udp ```

Ha az 1194-es portot az egész internetre kitesszük, biztosítsuk a VPS-t — fail2ban, szigorú SSH-kulcsok és forrás IP-tűzfal korlátozások, ahol lehetséges. Az internetre kitett VPN-végpontokat folyamatosan vizsgálják.

5. lépés: Kliens tanúsítványok és konfiguráció létrehozása

Hozzon létre egy kliens tanúsítványt az easy-rsa segítségével (`./easyrsa build-client-full client1 nopass`) és csomagolja be ezeket a kliens számára:

  • `ca.crt`
  • `client1.crt`
  • `client1.key`
  • `ta.key` (ha használjuk)
  • `client.ovpn` — a kliens konfigurációs fájl

Egy minimális `client.ovpn`:

``` client dev tun proto udp remote YOUR.VPS.IP 1194 resolv-retry infinite nobind persist-key persist-tun ca ca.crt cert client1.crt key client1.key remote-cert-tls server cipher AES-256-CBC verb 3 ```

6. lépés: A MikroTik konfigurálása OpenVPN klientként

A RouterOS támogatja az OpenVPN kliens kapcsolatokat RouterOS-specifikus korlátozásokkal — különösen a régebbi verziók TCP szállításra korlátozódnak.

  1. Töltse fel a `ca.crt`, `client1.crt` és `client1.key` fájlokat a MikroTik-re a Winbox Fájlok ablakán keresztül.
  2. Egy terminálban:

``` /interface ovpn-client add name=ovpn-out1 \ connect-to=YOUR.VPS.IP port=1194 \ user=vpnuser password=“yourpassword” \ profile=default-encryption add-default-route=no

/interface ovpn-client print ```

Várt állapot:

``` status: connected uptime: 00:01:03 remote-address: 10.8.0.1 local-address: 10.8.0.6 ```

Ellenőrizze a RouterOS kibocsátási megjegyzéseit, ha az UDP-vel való kapcsolat meghiúsul — ha az Ön verziója az OVPN klienst TCP-re korlátozza, váltson a szerver `proto` értéke `tcp`-re és a tűzfal szabály ennek megfelelően. Az UDP-barát alternatíváért a RouterOS-on a WireGuard a modern alapértelmezett.

Egy belső eszköz elérése az alagúton keresztül

Egy MikroTik mögött lévő eszköz (például egy kamera a `192.168.88.100` címen) eléréséhez használjon dst-nat értéket a MikroTik-en egy helyi port kitéléséhez az alagúton:

``` /ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \ action=dst-nat to-addresses=192.168.88.100 to-ports=80 ```

A szerveren vagy másik VPN klienséről csatlakozzon az útválasztott cím és port használatával:

``` http://10.8.0.6:8081 ```

A forgalom az OpenVPN alagúton keresztül folyik és eléri a belső gazdát.

Biztonsági bevált gyakorlatok

  • Egyedi tanúsítvány klienenként. Soha ne használjunk újra kulcsokat az eszközök között.
  • Kombináljunk TLS kliens tanúsítványokat felhasználónévvel/jelszóval, ha kettős faktoros szerű vezérlést szeretnénk.
  • Forgatjunk kulcsokat és tanúsítványokat ütemezésben. Implementáljuk a CRL-eket (tanúsítvány-visszavonási listákat) az elveszett eszközökhöz.
  • Korlátozzuk a forrás IP-eket a VPS tűzfalban, ahol lehetséges.
  • Részesítsük előnyben az UDP-t a teljesítmény miatt; ellenőrizzük a RouterOS kompatibilitást verziónként.
  • Figyeljük a kapcsolat egészségét és naplóit (syslog, `openvpn-status.log`).
  • Automatizáljuk a tanúsítványok kiadását számos eszközökhöz szkriptekkel, de tartsuk a CA-t offline, ahol lehetséges — egy csatlakoztatott szerveren lévő CA egyetlen adathalászat e-mail távolságára van a kompromisszumtól.

A szélesebb körű menedzsmentplán biztonsági kontextusáért tekintse meg a Winbox biztonsági bevált gyakorlatokat cikkünket.

OpenVPN vs. modern alternatívák

MegoldásErősségekMikor válasszuk ki
OpenVPNKompatibilitás, részletes tanúsítványvezérlésVegyes/örökölt flották; vállalati készülékek
WireGuardSebesség, egyszerűség, modern titkosításModern eszközök, kis lábnyomú routerek
SSTPTLS az 443-as porton, tűzfal áthaladásHálózatok, amely blokkol UDP és egyéb VPN portokat
Tailscale / ZeroTierHáló, identitás-alapú, könnyű telepítésLaptopok, csapatok, cross-platform együttműködés

Mikor használjuk az OpenVPN-t

Válassza az OpenVPN-t, ha a részletes tanúsítványvezérlés fontos, a flottája magában foglalja az örökölt eszközöket vagy készülékeket modern VPN ügynökök nélkül, vagy integrálnia kell a meglévő tűzfal szabályokkal és vállalati PKI-val. Ha a nyers átviteli sebesség és minimális CPU-terhelés fontosabb, a WireGuard győz — tekintse meg a WireGuard oktatóanyagot és a Tailscale útmutatót.

Tegyük meg a következő lépést

Az OpenVPN nem egy maradványa a múltnak. Ez egy megbízható eszköz, ha kompatibilitásra és a hitelesítés és útválasztás kifejezett vezérlésére van szükség. Párosítsd egy VPS-vel és egy MikroTik klienssel, és egy robusztus, auditálható távoli hozzáférési útvonalat kapsz kamerákhoz, routerekhez és belső szolgáltatásokhoz.

Ha inkább megkerülnéd az eszközönkénti PKI szertartást, az MKController NATCloud-ja központosított irányítással, monitorozással és automatikus újracsatlakozással biztosít hozzáférést a NAT vagy CGNAT mögött lévő eszközökhöz — nincs tanúsítvány karbantartása routerenként.

Indítsd el az ingyenes MKController próbaverziót