コンテンツにスキップ
Blog

OpenVPNでMikroTikを安全に管理する方法

概要
OpenVPNとMikroTik、VPSを使った実践ガイド:OpenVPNの仕組み、Ubuntuでのサーバー構築、MikroTikクライアント設定、アクセス方法、最新ソリューションとの比較、セキュリティのポイント。

OpenVPNを使ったMikroTikのリモート管理

OpenVPNはルーターやデバイスにリモート接続するための堅牢で実績ある手段です。

WireGuardやTailscaleより古い技術ですが、その柔軟性と互換性で今なお有用です。

本記事では仕組みと理由を解説し、VPSサーバーとMikroTikクライアントのコマンド例も紹介します。

OpenVPNとは?

OpenVPNは2001年からのオープンソースVPN実装で、TCPまたはUDP上に暗号化トンネルを構築します。

暗号化とTLS認証にはOpenSSLを使用します。

主な特徴:

  • 強力な暗号化(AES-256、SHA256、TLS)。
  • IPv4とIPv6両対応。
  • ルーティング(TUN)とブリッジ(TAP)モード対応。
  • RouterOSを含む幅広いOS・機器と互換性。

注意: OpenVPNの豊富なエコシステムとツールは、証明書管理が明確でレガシーデバイス対応が必要な環境に適しています。

OpenVPNの動作概要

OpenVPNはサーバー(通常は公共のVPS)と複数のクライアント(MikroTikルーターやノートPCなど)の間に暗号化トンネルを構築します。

認証はCA、証明書、オプションのTLS認証(ta.key)で行います。

代表的なモード:

  • TUN(ルーティング): ネットワーク間でIPルーティングを行う、最も一般的。
  • TAP(ブリッジ): レイヤ2ブリッジ。ブロードキャスト依存のアプリに有用だが負荷が大きい。

長所と短所

メリット

  • 実績あるセキュリティモデル(TLS + OpenSSL)。
  • 非常に柔軟な設定(TCP/UDP、ポート、ルート、プッシュオプション)。
  • 混在した機器を含む環境に強い互換性。
  • RouterOSでも限定的ながらネイティブ対応。

デメリット

  • WireGuardよりハードウェア負荷が大きい。
  • PKI(CA、証明書)構築を伴い設定に手間がかかる。
  • RouterOSはTCPのみ対応(サーバー側は通常UDP使用)。

Ubuntu(VPS)でOpenVPNサーバーを構築する

以下は簡潔かつ実践的なセットアップ例。環境に応じて名前、IP、DNSを調整してください。

1) パッケージのインストール

Terminal window
apt update && apt install -y openvpn easy-rsa

2) PKIとサーバー鍵を作成

Terminal window
make-cadir ~/openvpn-ca
cd ~/openvpn-ca
source vars
./clean-all
./build-ca            # CA作成
./build-key-server server
./build-dh
openvpn --genkey --secret keys/ta.key

ヒント: CAの秘密鍵は厳重に管理し、バックアップも忘れずに。運用上のシークレットとして扱ってください。

3) サーバー設定ファイル作成(/etc/openvpn/server.conf)

以下の最小構成でファイルを作成します:

port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
cipher AES-256-CBC
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3

4) サービス有効化と起動

Terminal window
systemctl enable openvpn@server
systemctl start openvpn@server

5) ファイアウォールでポートを許可

Terminal window
ufw allow 1194/udp

警告: ポート1194をインターネット全体に公開する場合は、fail2banや厳密なSSHキー管理、送信元IP制限などの対策を行ってください。

クライアント証明書と設定の作成

easy-rsaスクリプトでクライアント証明書を作成します(例:build-key client1)。

クライアントに配布するファイル:

  • ca.crt
  • client1.crt
  • client1.key
  • ta.key(使用する場合)
  • client.ovpn(設定ファイル)

サーバーIPを環境に置き換えた最小限のclient.ovpn例:

client
dev tun
proto udp
remote YOUR.VPS.IP 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
remote-cert-tls server
cipher AES-256-CBC
verb 3

MikroTikをOpenVPNクライアントとして設定する

RouterOSはOpenVPNクライアント接続をサポートしますが、制限があります。

  1. クライアント鍵・証明書ファイル(ca.crt、client.crt、client.key)をMikroTikにアップロード。

  2. OVPNクライアントプロファイルを作成し接続を開始。

/interface ovpn-client add name=ovpn-out1 \
    connect-to=YOUR.VPS.IP port=1194 \
    user=vpnuser password="yourpassword" \
    profile=default-encryption add-default-route=no


/interface ovpn-client print

期待されるステータス例:

status: connected
uptime: 00:01:03
remote-address: 10.8.0.1
local-address: 10.8.0.6

注意: RouterOSの一部バージョンではOpenVPNがTCPに限定されています。UDP接続が必要な場合は中継サーバー(Linux等)を経由するか、近隣のPCでソフトウェアクライアントを利用してください。

トンネル経由で内部機器にアクセスする

内部機器(例:IPカメラ 192.168.88.100)にアクセスするために、MikroTikでNATによりローカルポートをトンネル越しに公開します。

  1. MikroTikにdst-natルールを追加:
/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80
  1. サーバーや他のクライアントからルーティング済みのアドレス・ポートへアクセス:
http://10.8.0.6:8081

トラフィックはOpenVPNトンネルを通り、内部ホストに到達します。

セキュリティとベストプラクティス

  • クライアントごとに一意の証明書を使う。
  • TLSクライアント証明書に加えユーザー名・パスワードを組み合わせて二要素風認証を実現。
  • キー・証明書は定期的に更新する。
  • VPSのファイアウォールで送信元IP制限を可能な限りかける。
  • パフォーマンス優先ならUDPを使うがRouterOSの互換性を確認する。
  • 接続状況やログ(syslog、openvpn-status.log)を監視する。

ヒント: 多数デバイス用の証明書発行はスクリプトで自動化可能。CAはネットワーク外で安全に管理しましょう。

最新の代替ソリューションとの簡単比較

ソリューション強み選ぶべき状況
OpenVPN広範な互換性、詳細な証明書管理混在環境、ISPセットアップ、企業向け機器
WireGuard高速でシンプル最新機器、小規模ルーター
Tailscale/ZeroTierメッシュ構成、ID管理、簡単導入ノートPC、サーバ、チーム作業

OpenVPNを使う場面

  • 証明書管理を細かく制御したいとき。
  • レガシー機器や非対応機器が混在している場合。
  • 既存のファイアウォールや企業PKIに連携が必要なとき。

軽量で最新の暗号を望むならWireGuardやTailscaleも優秀ですが、OpenVPNは依然として普遍的な互換性で勝ります。

MKControllerのメリット: 手動のトンネルや証明書管理を避けたい場合、MKControllerのリモートツール(NATCloud)でNAT/CGNAT背後のデバイスに集中監視・接続を実現。デバイスごとのPKI管理不要。

まとめ

OpenVPNは決して古臭い技術ではありません。

認証・ルーティングの明確な制御と互換性を必要とする場面で頼れるツールです。

VPSとMikroTikクライアントと組み合わせれば、カメラやルーター、内部サービスへ堅牢で監査可能なリモートアクセス経路を構築できます。

MKControllerについて

これらの情報がMikroTikやネットワーク管理の理解に役立てば幸いです!🚀
細かなチューニングでもネットワークの混沌に整理をつけるときでも、MKControllerがあなたの運用をシンプルにします。

集中管理クラウド、自動セキュリティ更新、誰でも使えるダッシュボード。運用アップグレードのサポートは万全です。

👉 3日間無料トライアルはこちら — mkcontroller.comで手間いらずのネットワーク管理を体験してください。