Pāriet uz saturu
Blog

MikroTik pārvaldība ar OpenVPN: soli pa solim

Kopsavilkums
Praktisks ceļvedis OpenVPN izmantošanai ar MikroTik un VPS: kā darbojas OpenVPN, servera iestatīšana Ubuntu, MikroTik klienta konfigurācija, piekļuves veidi, salīdzinājums ar modernām iespējām un drošības labākās prakses.

Attālā MikroTik pārvaldība ar OpenVPN

OpenVPN joprojām ir stabils un pārbaudīts risinājums, lai attālināti sasniegtu maršrutētājus un ierīces.

Tas iepriekš pastāvēja nekā WireGuard un Tailscale, bet tā pielāgojamība un saderība nodrošina aktuālumu arī šodien.

Šajā rakstā atradīsiet pamācību kā un kāpēc izmantot — kā arī gatavas komandas VPS serverim un MikroTik klientam.

Kas ir OpenVPN?

OpenVPN ir atvērtā koda VPN īstenojums (kopš 2001. gada), kas veido šifrētus tunelus pār TCP vai UDP.

Tas balstās uz OpenSSL šifrēšanu un TLS autorizāciju.

Galvenie punkti:

  • Spēcīga kriptogrāfija (AES-256, SHA256, TLS).
  • Darbojas ar IPv4 un IPv6.
  • Atbalsta maršrutētas (TUN) un tilta (TAP) režīmus.
  • Plaša OS un ierīču saderība — ieskaitot RouterOS.

Piezīme: OpenVPN ekosistēma un rīki padara to lieliski piemērotu vidēm, kur nepieciešama skaidra sertifikātu kontrole un atbalsts vecākām ierīcēm.

Kā darbojas OpenVPN (īsais pārskats)

OpenVPN izveido šifrētu tuneli starp serveri (parasti publisku VPS) un vienu vai vairākiem klientiem (MikroTik maršrutētāji, portatīvie datori u.c.).

Autentifikācija tiek veikta, izmantojot CA, sertifikātus un neobligātu TLS auth (ta.key).

Biežākie režīmi:

  • TUN (maršrutēts): IP maršrutēšana starp tīkliem (biežāk lietots).
  • TAP (tilts): 2. slāņa tilta režīms — noderīgs raidījumu lietotnēm, bet resursu ziņā prasīgāks.

Priekšrocības un trūkumi

Ieguvumi

  • Pārbaudīts drošības modelis (TLS + OpenSSL).
  • Ļoti konfigurējams (TCP/UDP, porti, maršruti, piešķirtās opcijas).
  • Plaša saderība — labi lietojams jauktu ierīču vidēs.
  • Dabisks (lai arī ierobežots) atbalsts RouterOS.

Trūkumi

  • Prasa vairāk resursu nekā WireGuard ierobežotās iekārtās.
  • Iestatīšana prasa PKI (CA, sertifikātus) un dažas manuālas darbības.
  • MikroTik RouterOS atbalsta OpenVPN tikai pār TCP (servera iestatījumos bieži tiek izmantots UDP).

Izveidot OpenVPN serveri uz Ubuntu (VPS)

Zemāk ir kompakts un praktisks iestatījums. Pielāgojiet vārdus, IP un DNS atbilstoši jūsu videi.

1) Instalēt pakotnes

Terminal window
apt update && apt install -y openvpn easy-rsa

2) Izveidot PKI un servera atslēgas

Terminal window
make-cadir ~/openvpn-ca
cd ~/openvpn-ca
source vars
./clean-all
./build-ca            # izveidot CA
./build-key-server server
./build-dh
openvpn --genkey --secret keys/ta.key

Padoms: Sargājiet CA privāto atslēgu un izveidojiet rezerves kopijas. Apstrādājiet CA atslēgas kā īpaši slepenas.

3) Servera konfigurācija (/etc/openvpn/server.conf)

Izveidojiet failu ar šo minimālo saturu:

port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
cipher AES-256-CBC
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3

4) Iespējot un palaist pakalpojumu

Terminal window
systemctl enable openvpn@server
systemctl start openvpn@server

5) Ugunsmūris: atļaut portu

Terminal window
ufw allow 1194/udp

Brīdinājums: Ja atverat portu 1194 visai internetam, nodrošiniet servera drošību (fail2ban, stingras SSH atslēgas, ugunsmūra noteikumi IP ierobežošanai).

Izveidot klienta sertifikātus un konfigurācijas

Izmantojiet easy-rsa skriptus, lai ģenerētu klienta sertifikātu (piemēram, build-key client1).

Sagatavojiet šos failus klientam:

  • ca.crt
  • client1.crt
  • client1.key
  • ta.key (ja tiek lietots)
  • client.ovpn (konfigurācijas fails)

Paraugs minimālam client.ovpn (aizvietojiet servera IP ar jūsu VPS):

client
dev tun
proto udp
remote YOUR.VPS.IP 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
remote-cert-tls server
cipher AES-256-CBC
verb 3

Konfigurēt MikroTik kā OpenVPN klientu

RouterOS atbalsta OpenVPN klienta pieslēgumus ar dažiem RouterOS specifiskiem ierobežojumiem.

  1. Augšupielādējiet klienta atslēgas un sertifikāta failus (ca.crt, client.crt, client.key) MikroTik ierīcē.

  2. Izveidojiet OVPN klienta profilu un uzsāciet pieslēgumu.

/interface ovpn-client add name=ovpn-out1 \
    connect-to=YOUR.VPS.IP port=1194 \
    user=vpnuser password="yourpassword" \
    profile=default-encryption add-default-route=no


/interface ovpn-client print

Sagaidāms statusa piemērs:

status: connected
uptime: 00:01:03
remote-address: 10.8.0.1
local-address: 10.8.0.6

Piezīme: RouterOS dažādās versijās ierobežo OpenVPN tikai TCP režīmā — pārbaudiet RouterOS izmaiņu piezīmes. Ja vajadzīgs UDP routera pusē, apsveriet starpposma risinājumu (piemēram, Linux serveri) vai programmatūras klientu blakus ierīcē.

Piekļūt iekšējai ierīcei caur tuneli

Lai sasniegtu iekšējo ierīci (piemēram, IP kamera 192.168.88.100), MikroTik var izmantot NAT, lai publiskotu lokālu portu caur tuneli.

  1. Pievienojiet dst-nat likumu MikroTik:
/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80
  1. No servera vai cita klienta pieslēdzieties maršrutētajai adresei un portam:
http://10.8.0.6:8081

Satiksme plūdīs caur OpenVPN tuneli uz iekšējo hostu.

Drošība un labākās prakses

  • Izmantojiet unikālu sertifikātu katram klientam.
  • Apvienojiet TLS klienta sertifikātus ar lietotāja vārdu/paroli, ja nepieciešams dubultfaktoru līdzīgs kontroles līmenis.
  • Regulāri nomainiet atslēgas un sertifikātus.
  • Ierobežojiet avotu IP VPS ugunsmūrī, kur iespējams.
  • Dodiet priekšroku UDP veiktspējas dēļ, bet pārbaudiet RouterOS saderību.
  • Uzraugiet savienojuma statusu un žurnālus (syslog, openvpn-status.log).

Padoms: Automatizējiet sertifikātu izsniegšanu daudziem ierīcēm ar skriptiem, bet turiet CA fasē offline, kur iespējams.

Īss salīdzinājums ar mūsdienu alternatīvām

RisinājumsSpējasKad izvēlēties
OpenVPNSaderība, precīza sertifikātu kontroleJaukta/vecāka vide; ISP risinājumi; korporatīvie aparāti
WireGuardĀtrums, vienkāršībaMūsdienu ierīces, viegli maršrutētāji
Tailscale/ZeroTierTīklojums, identitāte, ērta izvēršanaPortatīvie datori, serveri, komandas sadarbība

Kad lietot OpenVPN

  • Nepieciešama precīza sertifikātu pārvaldība.
  • Jūsu saimē ir vecijas ierīces vai aparāti bez mūsdienu aģentiem.
  • Vajadzīga integrācija ar esošajiem ugunsmūriem un uzņēmuma PKI.

Ja vēlaties visvieglāko slodzi un modernu kriptogrāfiju, WireGuard (vai Tailscale ar ērtu vadības slāni) ir lieliski, tomēr OpenVPN joprojām uzvar universālajā saderībā.

Kur MKController palīdz: Ja gribat izvairīties no manuālas tunelēšanas un sertifikātu sarežģījumiem, MKController attālinātie rīki (NATCloud) ļauj piekļūt ierīcēm aiz NAT/CGNAT ar centralizētu pārvaldību, uzraudzību un automātisku savienojuma atjaunošanu — bez nepieciešamības pārvaldīt atsevišķu ierīču PKI.

Secinājums

OpenVPN nav relikts.

Tas ir uzticams instruments, ja nepieciešama saderība un skaidra autentifikācijas un maršrutēšanas kontrole.

Savienojiet to ar VPS un MikroTik klientu, lai iegūtu stabilu, auditējamu attālinātas piekļuves ceļu kamerām, maršrutētājiem un iekšējiem pakalpojumiem.

Par MKController

Ceru, ka šie ieskati palīdzēja jums labāk pārvaldīt MikroTik un interneta vidi! 🚀
Neatkarīgi no tā, vai konfigurējat iestatījumus vai kārtojiet tīkla kārtību, MKController ir šeit, lai atvieglotu jūsu darbu.

Ar centralizētu mākoņvadību, automātiskiem drošības atjauninājumiem un lietotājam draudzīgu paneli mēs esam gatavi uzlabot jūsu infrastruktūru.

👉 Sāciet bezmaksas 3 dienu izmēģinājumu tagad vietnē mkcontroller.com — un pārliecinieties par vienkāršu tīkla pārvaldību dzīvē.