Skip to content
Blog

Valdykite savo MikroTik per OpenVPN

Santrauka
Praktinis vadovas, kaip naudoti OpenVPN su MikroTik ir VPS: kaip veikia OpenVPN, serverio nustatymas Ubuntu, MikroTik kliento konfigūracija, prieigos metodai, palyginimai su moderniomis alternatyvomis ir saugumo gerosios praktikos.

Nuotolinis MikroTik valdymas per OpenVPN

OpenVPN yra patikimas, laiko patikrintas būdas pasiekti maršrutizatorius ir įrenginius nuotoliniu būdu.

Jis buvo sukurtas dar prieš WireGuard ir Tailscale, tačiau dėl savo lankstumo ir suderinamumo išlieka aktualus.

Šiame įraše rasite kaip ir kodėl naudoti OpenVPN — su parengtais komandomis VPS serveriui ir MikroTik klientui.

Kas yra OpenVPN?

OpenVPN yra atviro kodo VPN sprendimas (nuo 2001 m.), kuris kuria užšifruotus tunelius per TCP arba UDP.

Saugumui naudoja OpenSSL šifravimą ir TLS pagrindu autentiškumą.

Pagrindiniai aspektai:

  • Stiprus šifravimas (AES-256, SHA256, TLS).
  • Veikia su IPv4 ir IPv6.
  • Palaiko maršrutizuotą (TUN) ir tiltinį (TAP) režimus.
  • Platus suderinamumas su OS ir įrenginiais — įskaitant RouterOS.

Pastaba: OpenVPN ekosistema ir įrankiai puikiai tinka aplinkoms, kur reikalinga griežta sertifikatų kontrolė ir senų įrenginių palaikymas.

Kaip veikia OpenVPN (trumpa apžvalga)

OpenVPN sukuria užšifruotą tunelį tarp serverio (dažniausiai viešo VPS) ir vieno ar kelių klientų (MikroTik maršrutizatorių, nešiojamųjų kompiuterių ir pan.).

Autentifikacija vykdoma su PKI sistema, naudojant CA, sertifikatus ir pasirenkamą TLS autentifikaciją (ta.key).

Dažniausiai naudojami režimai:

  • TUN (maršrutizuotas): IP maršrutizavimas tarp tinklų (dažniausias).
  • TAP (tiltas): 2-osios sluoksnio tiltinimas — naudingas transliacijų programoms, bet resursų reiklesnis.

Privalumai ir trūkumai

Privalumai

  • Patikimas saugumo modelis (TLS + OpenSSL).
  • Labai konfigūruojamas (TCP/UDP, prievadai, maršrutai, išstumiamos opcijos).
  • Platus suderinamumas — tinka mišrioms tinklų aplinkoms.
  • Nativus (nors ribotas) palaikymas RouterOS.

Trūkumai

  • Gana sunkus, palyginti su WireGuard, ribotos techninės įrangos atveju.
  • Nustatymas reikalauja PKI (CA, sertifikatai) ir keletos rankinių žingsnių.
  • MikroTik RouterOS palaiko OpenVPN tik per TCP (serveryje dažniausiai naudojamas UDP).

Sukurkite OpenVPN serverį Ubuntu (VPS)

Žemiau pateikta kompaktiška, praktiška konfigūracija. Pritaikykite vardus, IP ir DNS savo aplinkai.

1) Įdiekite paketus

Terminal window
apt update && apt install -y openvpn easy-rsa

2) Sukurkite PKI ir serverio raktus

Terminal window
make-cadir ~/openvpn-ca
cd ~/openvpn-ca
source vars
./clean-all
./build-ca            # sukurkite CA
./build-key-server server
./build-dh
openvpn --genkey --secret keys/ta.key

Patarimas: Laikykite CA privatų ir atsarginių kopijų. Elkitės su CA raktų failais kaip su svarbia gamybine paslaptimi.

3) Serverio konfigūracija (/etc/openvpn/server.conf)

Sukurkite failą su minimalia konfigūracija:

port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
cipher AES-256-CBC
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3

4) Įjunkite ir paleiskite paslaugą

Terminal window
systemctl enable openvpn@server
systemctl start openvpn@server

5) Ugniasienė: atidarykite prievadą

Terminal window
ufw allow 1194/udp

Įspėjimas: Jei atversite 1194 prievadą visam internetui, apsaugokite serverį (fail2ban, griežti SSH raktai, ugniasienės taisyklės ribojant šaltinių IP kur įmanoma).

Sukurkite kliento sertifikatus ir konfigūracijas

Naudokite easy-rsa skriptus kliento sertifikatui generuoti (pvz., build-key client1).

Suvyniokite šiuos failus klientui:

  • ca.crt
  • client1.crt
  • client1.key
  • ta.key (jei naudojamas)
  • client.ovpn (konfigūracinis failas)

Minimalus client.ovpn pavyzdys (serverio IP pakeiskite savo VPS adresu):

client
dev tun
proto udp
remote YOUR.VPS.IP 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
remote-cert-tls server
cipher AES-256-CBC
verb 3

Konfigūruokite MikroTik kaip OpenVPN klientą

RouterOS palaiko OpenVPN kliento ryšius, bet yra keletas RouterOS specifinių apribojimų.

  1. Įkelkite kliento raktų ir sertifikatų failus (ca.crt, client.crt, client.key) į MikroTik.

  2. Sukurkite OVPN kliento profilį ir pradėkite ryšį.

/interface ovpn-client add name=ovpn-out1 \
    connect-to=YOUR.VPS.IP port=1194 \
    user=vpnuser password="yourpassword" \
    profile=default-encryption add-default-route=no


/interface ovpn-client print

Laukiamas būsenos pavyzdys:

status: connected
uptime: 00:01:03
remote-address: 10.8.0.1
local-address: 10.8.0.6

Pastaba: RouterOS kai kuriose versijose istoriniu laikotarpiu riboja OpenVPN naudoti tik TCP režimu — patikrinkite savo RouterOS leidimo pastabas. Jei jums reikia UDP pusės maršrutizatoriuje, svarstykite tarpinį sprendimą (pvz., Linux serverį) arba naudokite programinį klientą šalia esančiame įrenginyje.

Pasiekite vidinį įrenginį per tunelį

Norėdami pasiekti vidinį įrenginį (pavyzdžiui: IP kamera 192.168.88.100), galite naudoti NAT MikroTik maršrutizatoriuje, kad vietinis prievadas būtų pritaikytas per tunelį.

  1. Pridėkite dst-nat taisyklę MikroTik:
/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80
  1. Iš serverio ar kito kliento jungkitės prie nukreipto adreso ir prievado:
http://10.8.0.6:8081

Srautas praeina per OpenVPN tunelį ir pasiekia vidinį įrenginį.

Saugumas ir gerosios praktikos

  • Naudokite unikalų sertifikatą kiekvienam klientui.
  • Derinkite TLS kliento sertifikatus su vartotojo/slaptažodžio autentifikacija, jei reikalinga dvigubos kontrolės forma.
  • Periodiškai keiskite raktus ir sertifikatus.
  • Ribokite šaltinių IP VPS ugniasienėje, kur įmanoma.
  • Rinkitės UDP dėl našumo, tačiau patikrinkite suderinamumą su RouterOS.
  • Stebėkite ryšio būklę ir žurnalus (syslog, openvpn-status.log).

Patarimas: Automatizuokite sertifikatų išdavimą daugeliui įrenginių su skriptais, tačiau laikykite CA offline kur tik įmanoma.

Trumpas palyginimas su moderniomis alternatyvomis

SprendimasPrivalumaiKada rinktis
OpenVPNSuderinamumas, detalus sertifikatų valdymasMišrios/senos aplinkos; ISP konfigūracijos; įmonių įrenginiai
WireGuardGreitis, paprastumasModernūs įrenginiai, mažos galios maršrutizatoriai
Tailscale/ZeroTierTinklų tinklai, tapatybė, paprasta diegtiNešiojamieji kompiuteriai, serveriai, komandinis darbas

Kada naudoti OpenVPN

  • Kai reikia išsamios sertifikatų kontrolės.
  • Jei jūsų tinkle yra senų įrenginių ar įrangos be modernių agentų.
  • Reikia integruotis su esamomis ugniasienės taisyklėmis ir įmonės PKI.

Jei siekiate lengvo sprendimo su modernia kriptografija, WireGuard (arba Tailscale dėl patogaus valdymo) yra puikūs pasirinkimai — tačiau OpenVPN išlieka universaliai suderinamas.

Kur MKController padeda: Jei norite išvengti rankinio tuneliavimo ir sertifikatų valdymo sunkumų, MKController nuotoliniai įrankiai (NATCloud) leidžia pasiekti įrenginius už NAT/CGNAT su centralizuotu valdymu, stebėjimu ir automatinio prisijungimo funkcijomis — be būtinybės valdyti PKI kiekvienam įrenginiui atskirai.

Išvada

OpenVPN nėra pasenęs.

Tai patikimas įrankis, kai reikalingas suderinamumas ir aiški autentifikacijos bei maršrutizacijos kontrolė.

Sujungus su VPS ir MikroTik klientu gaunama tvirta, auditui tinkama nuotolinė prieigos prie kamerų, maršrutizatorių ir vidinių paslaugų sistema.

Apie MKController

Tikimės, kad aukščiau pateikti patarimai padėjo geriau suprasti jūsų MikroTik ir interneto pasaulį! 🚀
Nesvarbu ar tobulinate konfiguracijas, ar tiesiog siekiate tvarkos tinkle, MKController padeda tai padaryti paprasčiau.

Su centralizuotu debesų valdymu, automatizuotais saugumo atnaujinimais ir lengvai naudotinu prietaisų skydeliu, turime viską, ko reikia jūsų veiklos atnaujinimui.

👉 Pradėkite nemokamą 3 dienų bandomąją versiją dabar adresu mkcontroller.com — ir įsitikinkite, kaip lengvai įmanoma valdyti tinklą.