Przejdź do głównej zawartości
Blog

Zarządzanie Mikrotikiem przez OpenVPN – poradnik

Podsumowanie
Praktyczny przewodnik korzystania z OpenVPN z MikroTik i VPS: działanie OpenVPN, konfiguracja serwera na Ubuntu, ustawienia klienta MikroTik, schematy dostępu, porównanie z nowoczesnymi rozwiązaniami i najlepsze praktyki bezpieczeństwa.

Zdalne zarządzanie MikroTik przez OpenVPN

OpenVPN to sprawdzony sposób na zdalny dostęp do routerów i urządzeń.

Istniał przed WireGuard i Tailscale, ale jego elastyczność i kompatybilność czynią go nadal aktualnym.

W tym wpisie przeczytasz jak i dlaczego — wraz z gotowymi poleceniami dla VPS i klienta MikroTik.

Co to jest OpenVPN?

OpenVPN to otwartoźródłowa implementacja VPN (od 2001), tworząca zaszyfrowane tunele przez TCP lub UDP.

Wykorzystuje OpenSSL do szyfrowania i uwierzytelniania opartego na TLS.

Kluczowe cechy:

  • Silne szyfrowanie (AES-256, SHA256, TLS).
  • Działa z IPv4 i IPv6.
  • Obsługuje tryby routowane (TUN) i mostkowane (TAP).
  • Szeroka kompatybilność systemowa i sprzętowa — także RouterOS.

Uwaga: Ekosystem OpenVPN i narzędzia czynią go świetnym wyborem, gdy potrzebna jest kontrola certyfikatów i wsparcie starszych urządzeń.

Jak działa OpenVPN (skrót)

OpenVPN tworzy zaszyfrowany tunel między serwerem (zwykle publiczny VPS) a jednym lub wieloma klientami (routery MikroTik, laptopy itp.).

Uwierzytelnianie odbywa się za pomocą CA, certyfikatów oraz opcjonalnego TLS auth (ta.key).

Popularne tryby:

  • TUN (routowany): trasowanie IP między sieciami (najczęściej).
  • TAP (mostkowy): warstwa 2 — przydatna dla aplikacji zależnych od rozgłoszeń, lecz bardziej zasobożerna.

Zalety i wady

Plusy

  • Sprawdzony model bezpieczeństwa (TLS + OpenSSL).
  • Bardzo konfigurowalny (TCP/UDP, porty, trasy, dodatkowe opcje).
  • Szeroka kompatybilność — doskonały dla mieszanych środowisk.
  • Wbudowane (choć ograniczone) wsparcie RouterOS.

Minusy

  • Cięższy niż WireGuard na słabszym sprzęcie.
  • Konfiguracja wymaga PKI (CA, certyfikaty) i kilku manualnych kroków.
  • RouterOS obsługuje OpenVPN tylko przez TCP (serwery zwykle używają UDP).

Jak zbudować serwer OpenVPN na Ubuntu (VPS)

Poniżej zwięzła, praktyczna konfiguracja. Dostosuj nazwy, IP i DNS do swojego środowiska.

1) Instalacja pakietów

Terminal window
apt update && apt install -y openvpn easy-rsa

2) Utworzenie PKI i kluczy serwera

Terminal window
make-cadir ~/openvpn-ca
cd ~/openvpn-ca
source vars
./clean-all
./build-ca            # utworzenie CA
./build-key-server server
./build-dh
openvpn --genkey --secret keys/ta.key

Wskazówka: Przechowuj prywatne CA bezpiecznie i wykonuj backup. Traktuj klucze CA jak tajemnice produkcyjne.

3) Konfiguracja serwera (/etc/openvpn/server.conf)

Stwórz plik z minimalną zawartością:

port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
cipher AES-256-CBC
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3

4) Włącz i uruchom usługę

Terminal window
systemctl enable openvpn@server
systemctl start openvpn@server

5) Firewall: zezwól na port

Terminal window
ufw allow 1194/udp

Ostrzeżenie: Jeśli wystawiasz port 1194 na cały internet, zabezpiecz serwer (fail2ban, silne klucze SSH, reguły firewall ograniczające IP źródłowe).

Tworzenie certyfikatów i konfiguracji klienta

Użyj skryptów easy-rsa, aby wygenerować certyfikat klienta (np. build-key client1).

Spakuj do klienta pliki:

  • ca.crt
  • client1.crt
  • client1.key
  • ta.key (jeśli używasz)
  • client.ovpn (plik konfiguracyjny)

Przykładowy minimalny client.ovpn (z IP serwera zastąpionym własnym VPS):

client
dev tun
proto udp
remote YOUR.VPS.IP 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
remote-cert-tls server
cipher AES-256-CBC
verb 3

Konfiguracja MikroTik jako klienta OpenVPN

RouterOS wspiera połączenia OpenVPN klient, ale z kilkoma ograniczeniami specyficznymi dla RouterOS.

  1. Prześlij pliki klucza i certyfikatu klienta (ca.crt, client.crt, client.key) do MikroTik.

  2. Utwórz profil klienta OVPN i rozpocznij połączenie.

/interface ovpn-client add name=ovpn-out1 \
    connect-to=YOUR.VPS.IP port=1194 \
    user=vpnuser password="yourpassword" \
    profile=default-encryption add-default-route=no


/interface ovpn-client print

Przykładowy status:

status: connected
uptime: 00:01:03
remote-address: 10.8.0.1
local-address: 10.8.0.6

Uwaga: RouterOS historycznie ogranicza OpenVPN do TCP w niektórych wersjach — sprawdź release notes. Jeśli potrzebujesz UDP na routerze, rozważ pośrednie rozwiązanie (np. host Linux) lub klienta softwarowego na pobliskim urządzeniu.

Dostęp do urządzenia wewnętrznego przez tunel

Aby połączyć się z urządzeniem wewnętrznym (np. kamerą IP 192.168.88.100), możesz użyć NAT na MikroTik do wystawienia portu lokalnego przez tunel.

  1. Dodaj regułę dst-nat na MikroTik:
/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80
  1. Z serwera lub innego klienta łącz się na adres i port tunelu:
http://10.8.0.6:8081

Ruch przechodzi przez tunel OpenVPN i trafia do hosta wewnętrznego.

Bezpieczeństwo i najlepsze praktyki

  • Używaj unikalnego certyfikatu na klienta.
  • Łącz certyfikaty TLS klienta z użytkownikiem/hasłem, jeśli potrzebujesz podwójnej kontroli.
  • Regularnie rotuj klucze i certyfikaty.
  • Ograniczaj źródłowe IP we firewallu VPS, gdy to możliwe.
  • Preferuj UDP dla wydajności, ale potwierdź kompatybilność RouterOS.
  • Monitoruj stan połączeń i logi (syslog, openvpn-status.log).

Wskazówka: Automatyzuj wydawanie certyfikatów przy wielu urządzeniach przez skrypty, ale trzymaj CA offline, jeśli to możliwe.

Krótkie porównanie z nowoczesnymi alternatywami

RozwiązanieZaletyKiedy wybrać
OpenVPNKompatybilność, precyzyjna kontrola certyfikatówŚrodowiska mieszane/legacy; zestawy ISP; korporacyjne urządzenia
WireGuardSzybkość, prostotaNowoczesne urządzenia, routery o niskim zużyciu zasobów
Tailscale/ZeroTierSieć mesh, identyfikacja, łatwość wdrożeniaLaptopy, serwery, współpraca zespołowa

Kiedy korzystać z OpenVPN

  • Potrzebujesz precyzyjnej kontroli certyfikatów.
  • Twoja flota to urządzenia legacy lub sprzęt bez nowoczesnych agentów.
  • Musisz zintegrować się z istniejącymi regułami firewall i PKI korporacyjnym.

Jeśli chcesz minimalne opóźnienia i nowoczesne szyfrowanie, WireGuard (lub Tailscale dla użytkowników) są świetne — ale OpenVPN pozostaje najbardziej kompatybilny.

Gdzie pomaga MKController: Jeśli chcesz uniknąć ręcznej konfiguracji tuneli i certyfikatów, narzędzia zdalne MKController (NATCloud) umożliwiają dostęp do urządzeń za NAT/CGNAT z centralnym zarządzaniem, monitoringiem i automatycznym ponownym łączeniem — bez indywidualnych PKI dla urządzeń.

Podsumowanie

OpenVPN to nie relikt.

To niezawodne narzędzie gdy potrzebujesz kompatybilności i kontroli nad uwierzytelnianiem i trasowaniem.

Połącz go z VPS i klientem MikroTik, a uzyskasz solidną, audytowalną ścieżkę zdalnego dostępu do kamer, routerów i usług wewnętrznych.

O MKController

Mamy nadzieję, że powyższe wskazówki pomogły lepiej zrozumieć twoje środowisko MikroTik i Internet! 🚀
Czy dopracowujesz konfiguracje, czy wprowadzasz porządek w sieciowy chaos, MKController ułatwia ci życie.

Dzięki scentralizowanemu zarządzaniu w chmurze, automatycznym aktualizacjom bezpieczeństwa i panelowi, którym każdy potrafi zarządzać, mamy to, co trzeba do rozwoju twojej sieci.

👉 Rozpocznij darmowy 3-dniowy trial na mkcontroller.com — i zobacz, jak wygląda naprawdę łatwe zarządzanie siecią.