Skip to content
MKController Blog
InstagramYouTubeFacebook

Remote Access

OpenVPN nuotolinis MikroTik valdymas

Sukonfigūruokite OpenVPN su VPS serveriu ir MikroTik klientu nuotoliam valdymui — PKI sąranka, sertifikato darbo eiga ir saugos geriausios praktikos.

MKController5 min read

Santrauka OpenVPN yra patikrintą TLS pagrindą turintis VPN sprendimas, kuris puikiai suderinamas su VPS serveriu kaip centrine dalimi ir MikroTik maršrutizatoriais kaip klientais nuotoliam valdymui. Jis seniau nei WireGuard ir Tailscale, bet lieka aktualus dėl plataus suderymo, detalios PKI kontrolės ir lanksčių maršruto parinkčių. Šis vadovas aprašo Ubuntu VPS serverio sąranką su easy-rsa, kliento sertifikato darbo eigą, MikroTik OVPN-client konfigūraciją ir saugos kontroll sąrašą, kuris užtikrina dieginio audituojamumą laikui bėgant.

Kaip OpenVPN įgalina nuotolį MikroTik valdymą?

OpenVPN yra atvirojo kodo VPN įgyvendinimas, pagrįstas OpenSSL, kuris nustato šifruotus tuneliu per TCP arba UDP. MikroTik nuotoliam valdymui tipinė topologija sujungia Ubuntu VPS kaip visada veikiančią serverį su vienu ar daugiau MikroTik maršrutizatorių kaip klientų. Maršrutizatorius iš pradžių inicijuoja tunelį, todėl NAT ir CGNAT kliento pusėje netrukdo, o VPS laiko maršrutus ir NAT taisykles, kurios leidžia pasiekti maršrutizatorių (ir šio metu esančius įrenginius) per tunelį.

OpenVPN stiprybės yra geros kriptografija (AES-256, SHA-256, TLS), IPv4 ir IPv6 palaikymas, tiek TUN (nukreipti) tiek TAP (tiltas) režimai, ir platus suderymas keliems tiekėjams ir operacinėms sistemoms, įskaitant RouterOS. Kompromisai yra didesnis CPU sunaudojimas nei WireGuard mažose maršrutinimo įrangose, realus PKI sąrankos žingsnis (CA, sertifikatai, raktai), ir RouterOS specifinis apribojimas, kurį turite žinoti — istoriškai MikroTik OVPN klientas kai kurioremis versijomis palaiko tik TCP transportą. Palyginimo modeliams žiūrėkite mūsų WireGuard nuotolinio valdymo vadovą, SSTP vadovą ir Tailscale vadovą.

Kaip veikia OpenVPN?

OpenVPN nustato šifruotą tunelį tarp serverio (paprastai viešo VPS) ir vieno ar kelių klientų. Autentifikacija naudoja CA, kiekvienam klientui skirtus sertifikatus ir pasirinktinai TLS-auth (ta.key). Dvi dažnos režimos:

  • TUN (nukreiptas) — IP maršrutavimas tarp tinklų. Standartinis pasirinkimas.
  • TAP (tiltas) — 2-asis sluoksnis tiltas, naudingas transliacijai priklausomiems taikymams. Sunkesnis ir retai reikalingas.

1 žingsnis: Instaliuokite OpenVPN VPS

apt update && apt install -y openvpn easy-rsa

2 žingsnis: Sudarykite PKI ir serverio raktus

make-cadir ~/openvpn-ca
cd ~/openvpn-ca
./easyrsa init-pki
./easyrsa build-ca nopass
./easyrsa gen-req server nopass
./easyrsa sign-req server server
./easyrsa gen-dh
openvpn --genkey --secret ta.key

Išlaipykite CA privačią ir padaryti jos atsarginę kopią. Elgtis su CA raktais kaip su gamybos paslaptimis — kas nors turintis CA gali suklastoti tinkamus kliento sertifikatus.

3 žingsnis: Parašykite serverio konfigūraciją

/etc/openvpn/server.conf (minimumas):

port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
cipher AES-256-CBC
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3

4 žingsnis: Paleiskite paslaugą ir atidarykite užkardą

systemctl enable openvpn@server
systemctl start openvpn@server
ufw allow 1194/udp

Jei 1194 prievadą atidarysite visam internetui, saugokite VPS — fail2ban, griežtus SSH raktus ir šaltinio IP užkardą apribojimai kur praktiškai. Internete atidaryti VPN galai nuolat tikrinami.

5 žingsnis: Sukurkite kliento sertifikatus ir konfigūraciją

Sugeneruokite kliento sertifikatą su easy-rsa (./easyrsa build-client-full client1 nopass) ir susitraukite šiuos klientui:

  • ca.crt
  • client1.crt
  • client1.key
  • ta.key (jei naudojama)
  • client.ovpn — kliento konfigūracijos failas

Minimali client.ovpn:

client
dev tun
proto udp
remote YOUR.VPS.IP 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
remote-cert-tls server
cipher AES-256-CBC
verb 3

6 žingsnis: Sukonfigūruokite MikroTik kaip OpenVPN klientą

RouterOS palaiko OpenVPN kliento jungtis su RouterOS specifiniais apribojimais — įskaitant tai, kad senesnes versijos apriboja tik TCP transportą.

  1. Įkelkite ca.crt, client1.crt ir client1.key į MikroTik per Winbox failų langą.
  2. Terminale:
/interface ovpn-client add name=ovpn-out1 \
    connect-to=YOUR.VPS.IP port=1194 \
    user=vpnuser password="yourpassword" \
    profile=default-encryption add-default-route=no


/interface ovpn-client print

Tikėtas būsena:

status: connected
uptime: 00:01:03
remote-address: 10.8.0.1
local-address: 10.8.0.6

Patikrinkite savo RouterOS leidimo naudojimo pastabas, jei ryšys nepavykus su UDP — jei jūsų versija apriboja OVPN klientą tik TCP, perjunkite serverio proto į tcp ir užkardą atitinkamai. UDP draugiškam alternatyvai RouterOS, WireGuard yra šiuolaikinis numatytasis.

Pasiekite vidinį įrenginį per tunelį

Norėdami pasiekti įrenginį už MikroTik (pvz., kamerą 192.168.88.100), naudokite dst-nat MikroTik eksponuoti vietinį prievadą per tunelį:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

Iš serverio arba kito VPN kliento, jungtis per nukreiptą adresą ir prievadą:

http://10.8.0.6:8081

Srautas teka per OpenVPN tunelį ir pasiekia vidinį šaltinį.

Saugos geriausios praktikos

  • Unikalus sertifikatas kiekvienam klientui. Niekuomet nepanaudokite raktų keliems įrenginiams.
  • Sujunkite TLS kliento sertifikatus su vartotojo vardu/slaptažodžiu, jei norite dvigubos faktoriaus kontrolės.
  • Pasukite raktus ir sertifikatus pagal grafiką. Įgyvendinkite CRL (sertifikato atšaukimo sąrašai) nurastiems įrenginiams.
  • Apribokite šaltinio IP adresus VPS užkardoje, kur praktiškai.
  • Pageidaukite UDP našumui; patikrinkite RouterOS suderymo pagal leidimą.
  • Stebėkite ryšio sveikatą ir žurnalus (syslog, openvpn-status.log).
  • Automatizuokite sertifikato išdavimą daugeliui įrenginių su scenarijais, bet laikykite CA neprisijungusią kur galima — CA prijungtuose serveryje yra vienas sukčiavimą siuntęs el. laiškas nuo sudarymo.

Platesniam valdymo plokštumos saugumo kontekstui, žiūrėkite mūsų Winbox saugos geriausios praktikos straipsnį.

OpenVPN ir šiuolaikinės alternatyvos

SprendimasStiprybėsKada jį pasirinkti
OpenVPNSuderymas, detaliai sertifikato kontrolėMišrūs / senų sistemų parkai; įmonės prietaisai
WireGuardGreitis, paprastumas, šiuolaikinė kriptografijaŠiuolaikiniai įrenginiai, mažos apimties maršrutizatoriai
SSTPTLS per 443 prievadą, užkardos perėjimasTinklai, kurie blokuoja UDP ir kitus VPN prievadus
Tailscale / ZeroTierTinklas, tapatybės pagrindu, lengva diegimasNešiojamieji kompiuteriai, komandos, tarpplatforminė bendradarbiavimas

Kada naudoti OpenVPN

Pasirinkite OpenVPN, kai svarbi smulkiagranulinė sertifikato kontrolė, jūsų parkas apima pasenusias įrenginius arba prietaisus be šiuolaikinių VPN agentų, arba turite integruoti su esama užkardos taisyklėmis ir įmonės PKI. Jei didžioji sparta ir minimalūs CPU kaštai svarbiau, WireGuard laimi — žiūrėkite WireGuard mokymo vadovą ir Tailscale vadovą.

Atlikite kitą veiksmą

OpenVPN nėra relikvija. Tai patikima priemonė, kai reikalingas suderymas ir aiški kontrolė autentifikacijos ir maršruto atžvilgiu. Suporuokite ją su VPS ir MikroTik klientu, ir jūs gausite stiprų, audituojamą nuotolinio prieigos kelią kameroms, maršrutizatoriams ir vidinėms paslaugoms.

Jei negalėtumėte praleisti kiekvienam įrenginiui tenkančią PKI ceremoniją, MKController NATCloud pristatyti nuotolį prieiga prie įrenginių už NAT arba CGNAT su centralizuota nuostatų nustatymu, stebėjimu ir automatinio iš naujo sujungimo — jokių sertifikatų, kuriuos reikėtų prižiūrėti kiekvienam maršrutizatoriui.

Pradėkite nemokami MKController bandomąjį laikotarpį