Gå til innholdet
Blog

Administrer MikroTik med OpenVPN sikkert

Sammendrag
En praktisk guide til bruk av OpenVPN med MikroTik og en VPS: hvordan OpenVPN fungerer, serveroppsett på Ubuntu, MikroTik-klientkonfigurasjon, tilgangsmønstre, sammenligninger med moderne løsninger og sikkerhetsrutiner.

Fjernstyring av MikroTik med OpenVPN

OpenVPN er fortsatt en solid og velprøvd metode for å nå rutere og enheter eksternt.

Den er eldre enn WireGuard og Tailscale, men fleksibiliteten og kompatibiliteten gjør den fortsatt relevant i dag.

Dette innlegget forklarer hvordan og hvorfor — og gir kommandoer du kan kopiere direkte for VPS-server og MikroTik-klient.

Hva er OpenVPN?

OpenVPN er en åpen kildekode VPN-implementering (siden 2001) som bygger krypterte tunneler over TCP eller UDP.

Den bruker OpenSSL for kryptering og TLS-basert autentisering.

Viktige punkter:

  • Sterk kryptering (AES-256, SHA256, TLS).
  • Fungerer med IPv4 og IPv6.
  • Støtter rutet (TUN) og brygget (TAP) modus.
  • Bred OS- og enhetskompatibilitet – inkludert RouterOS.

Merk: OpenVPNs økosystem og verktøy gjør den godt egnet for miljøer som krever eksplisitt sertifikatkontroll og støtte for eldre enheter.

Hvordan OpenVPN fungerer (kort oversikt)

OpenVPN etablerer en kryptert tunnel mellom en server (ofte en offentlig VPS) og en eller flere klienter (MikroTik-rutere, bærbare PCer, osv.).

Autentisering skjer med CA, sertifikater og valgfri TLS-auth (ta.key).

Vanlige moduser:

  • TUN (rutet): IP-ruting mellom nettverk (mest brukt).
  • TAP (brokobling): Lag 2-bro — nyttig for apper som er avhengig av kringkasting, men tyngre.

Fordeler og ulemper

Fordeler

  • Dokumentert sikkerhetsmodell (TLS + OpenSSL).
  • Svært konfigurerbar (TCP/UDP, porter, ruter, pushed opsjoner).
  • Bred kompatibilitet – ideell for blandede miljøer.
  • Innfødt (men begrenset) støtte i RouterOS.

Ulemper

  • Tyngre enn WireGuard på begrenset maskinvare.
  • Oppsett krever PKI (CA, sertifikater) og noen manuelle steg.
  • RouterOS støtter OpenVPN kun over TCP (serveroppsett bruker vanligvis UDP).

Bygg en OpenVPN-server på Ubuntu (VPS)

Nedenfor er et kompakt og praktisk oppsett. Tilpass navn, IP og DNS til ditt miljø.

1) Installer pakker

Terminal window
apt update && apt install -y openvpn easy-rsa

2) Opprett PKI og servernøkler

Terminal window
make-cadir ~/openvpn-ca
cd ~/openvpn-ca
source vars
./clean-all
./build-ca            # lag CA
./build-key-server server
./build-dh
openvpn --genkey --secret keys/ta.key

Tips: Hold CA privat og ta backup. Behandle CA-nøkler som produksjonshemmeligheter.

3) Serverkonfigurasjon (/etc/openvpn/server.conf)

Lag filen med dette minimale innholdet:

port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
cipher AES-256-CBC
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3

4) Aktiver og start tjenesten

Terminal window
systemctl enable openvpn@server
systemctl start openvpn@server

5) Brannmur: åpne porten

Terminal window
ufw allow 1194/udp

Advarsel: Hvis du eksponerer port 1194 mot hele Internett, sikre serveren (fail2ban, strenge SSH-nøkler, brannmurregler for å begrense kilde-IP der mulig).

Opprett klientsertifikater og konfigurasjoner

Bruk easy-rsa-skript for å lage et klientsertifikat (f.eks.: build-key client1).

Pakk disse filene for klienten:

  • ca.crt
  • client1.crt
  • client1.key
  • ta.key (hvis brukt)
  • client.ovpn (konfigurasjonsfil)

Et minimalt eksempel på client.ovpn (server-IP byttes med din VPS):

client
dev tun
proto udp
remote YOUR.VPS.IP 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
remote-cert-tls server
cipher AES-256-CBC
verb 3

Konfigurer MikroTik som OpenVPN-klient

RouterOS støtter OpenVPN-klientforbindelser, men med noen RouterOS-spesifikke begrensninger.

  1. Last opp klientnøkkel og sertifikatfiler (ca.crt, client.crt, client.key) til MikroTik.

  2. Opprett en OVPN-klientprofil og start tilkoblingen.

/interface ovpn-client add name=ovpn-out1 \
    connect-to=YOUR.VPS.IP port=1194 \
    user=vpnuser password="yourpassword" \
    profile=default-encryption add-default-route=no


/interface ovpn-client print

Forventet status-eksempel:

status: connected
uptime: 00:01:03
remote-address: 10.8.0.1
local-address: 10.8.0.6

Merk: RouterOS begrenser historisk OpenVPN til TCP i enkelte versjoner — sjekk din RouterOS-utgivelsesnotat. Trenger du UDP-klient, vurder mellomløsning (f.eks. Linux-maskin) eller bruk en programvareklient på en nærliggende enhet.

Nå en intern enhet gjennom tunnelen

For å nå en intern enhet (f.eks. IP-kamera 192.168.88.100), kan du bruke NAT på MikroTik for å eksponere en lokal port via tunnelen.

  1. Legg til en dst-nat-regel på MikroTik:
/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80
  1. Fra serveren eller en annen klient, koble til den routerte adressen og porten:
http://10.8.0.6:8081

Trafikken går gjennom OpenVPN-tunnelen og når den interne enheten.

Sikkerhet og beste praksis

  • Bruk unike sertifikater per klient.
  • Kombiner TLS-klientsertifikater med bruker/passord for todelt autentisering.
  • Roter nøkler og sertifikater jevnlig.
  • Begrens kilde-IP i VPS-brannmuren der det er praktisk.
  • Foretrekk UDP for ytelse, men bekreft RouterOS-kompatibilitet.
  • Overvåk tilkoblingsstatus og logger (syslog, openvpn-status.log).

Tips: Automatiser sertifikatutstedelse for mange enheter med skript, men hold CA offline der det er mulig.

Kort sammenligning med moderne alternativer

LøsningStyrkerNår velge den
OpenVPNKompatibilitet, detaljert sertifikatkontrollBlandede/eldre miljøer; ISP; bedriftsutstyr
WireGuardRask, enkelModerne enheter, små rutere
Tailscale/ZeroTierMesh, identitet, enkel utrullingBærbare, servere, teamarbeid

Når bruke OpenVPN

  • Du trenger finmasket sertifikatkontroll.
  • Flåten inkluderer eldre enheter uten moderne klienter.
  • Du må integrere med eksisterende brannmurregler og bedrifts-PKI.

Hvis du vil ha lavest mulig overhead og moderne kryptering, er WireGuard (eller Tailscale for brukervennlig kontroll) svært gode – men OpenVPN vinner fortsatt på universell kompatibilitet.

Hvor MKController hjelper: Vil du unngå manuell tunneling og sertifikatstyring, gjør MKControllers fjernverktøy (NATCloud) at du kan nå enheter bak NAT/CGNAT med sentralisert styring, overvåkning og automatisk tilkobling – uten PKI per enhet.

Konklusjon

OpenVPN er ikke en dinosaur.

Det er et pålitelig verktøy når du trenger kompatibilitet og eksplisitt kontroll av autentisering og ruting.

Kombiner det med en VPS og en MikroTik-klient, så får du en robust og revisjonssikker fjernadgangsløsning for kameraer, rutere og interne tjenester.

Om MKController

Håper innsiktene her hjalp deg å navigere bedre i MikroTik- og Internett-universet! 🚀
Enten du finjusterer konfigurasjoner eller bare prøver å skape orden i nettverkskaoset, er MKController her for å gjøre livet enklere.

Med sentralisert skystyring, automatiske sikkerhetsoppdateringer og et dashbord alle kan mestre, har vi det som trengs for å oppgradere driften din.

👉 Start din gratis 3-dagers prøveperiode nåmkcontroller.com – og opplev virkelig enkel nettverkskontroll.