Gerenciando seu Mikrotik com OpenVPN

Resumo
Um guia prático para usar OpenVPN com MikroTik e um VPS: como o OpenVPN funciona, configuração do servidor no Ubuntu, configuração do cliente MikroTik, padrões de acesso, comparações com soluções modernas e melhores práticas de segurança.

Gerenciamento remoto de MikroTik com OpenVPN

OpenVPN continua sendo uma opção sólida e testada em batalha para acessar roteadores e dispositivos remotamente.

Ele precede o WireGuard e o Tailscale, mas sua flexibilidade e compatibilidade o mantêm relevante hoje.

Este post mostra o como e o porquê — e fornece comandos para copiar e colar em um servidor VPS e em um cliente MikroTik.

O que é OpenVPN?

OpenVPN é uma implementação de VPN de código aberto (desde 2001) que constrói túneis criptografados sobre TCP ou UDP.

Ele depende do OpenSSL para criptografia e autenticação baseada em TLS.

Pontos-chave:

Criptografia forte (AES-256, SHA256, TLS).
Funciona com IPv4 e IPv6.
Suporta modos roteado (TUN) e em puente (TAP).
Ampla compatibilidade com sistemas operacionais e appliances — incluindo RouterOS.

Nota: O ecossistema e as ferramentas do OpenVPN o tornam uma boa escolha para ambientes que precisam de controle explícito de certificados e suporte a dispositivos legados.

Como o OpenVPN funciona (visão rápida)

OpenVPN estabelece um túnel criptografado entre um servidor (normalmente um VPS público) e um ou mais clientes (roteadores MikroTik, laptops, etc.).

A autenticação é feita com uma CA, certificados e o TLS auth opcional (ta.key).

Modos comuns:

TUN (roteado): Roteamento IP entre redes (o mais comum).
TAP (bridge): Ponte de camada 2 — útil para apps que dependem de broadcast, mas mais pesado.

Prós e contras

Vantagens

Modelo de segurança comprovado (TLS + OpenSSL).
Extremamente configurável (TCP/UDP, portas, rotas, opções empurradas).
Grande compatibilidade — ótimo para frotas mistas.
Suporte nativo (embora limitado) no RouterOS.

Desvantagens

Mais pesado que WireGuard em hardware restrito.
A configuração exige PKI (CA, certificados) e alguns passos manuais.
O RouterOS do MikroTik suporta OpenVPN apenas via TCP em algumas versões (configurações do lado do servidor ainda costumam usar UDP).

Montando um servidor OpenVPN no Ubuntu (VPS)

Abaixo está uma configuração prática e compacta. Ajuste nomes, IPs e DNS conforme seu ambiente.

1) Instalar pacotes

apt update && apt install -y openvpn easy-rsa

2) Criar PKI e chaves do servidor

make-cadir ~/openvpn-ca
cd ~/openvpn-ca
source vars
./clean-all
./build-ca            # create CA
./build-key-server server
./build-dh
openvpn --genkey --secret keys/ta.key

Dica: Mantenha a CA privada e faça backup. Trate as chaves da CA como segredos de produção.

3) Configuração do servidor (/etc/openvpn/server.conf)

Crie o arquivo com este conteúdo mínimo:

port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
cipher AES-256-CBC
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3

4) Habilitar e iniciar o serviço

systemctl enable openvpn@server
systemctl start openvpn@server

5) Firewall: permitir a porta

ufw allow 1194/udp

Aviso: Se expuser a porta 1194 para toda a internet, proteja o servidor (fail2ban, chaves SSH rígidas, regras de firewall para limitar IPs de origem quando possível).

Criar certificados e configs do cliente

Use os scripts do easy-rsa para gerar um certificado de cliente (por exemplo: build-key client1).

Empacote estes arquivos para o cliente:

ca.crt
client1.crt
client1.key
ta.key (se usado)
client.ovpn (arquivo de configuração)

Um exemplo mínimo de client.ovpn (substitua o IP do servidor pelo seu VPS):

client
dev tun
proto udp
remote YOUR.VPS.IP 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
remote-cert-tls server
cipher AES-256-CBC
verb 3

Configurar o MikroTik como cliente OpenVPN

O RouterOS suporta conexões de cliente OpenVPN, mas com alguns limites específicos do RouterOS.

Faça upload dos arquivos de chave e certificado do cliente (ca.crt, client.crt, client.key) para o MikroTik.
Crie um perfil de cliente OVPN e inicie a conexão.

/interface ovpn-client add name=ovpn-out1 \
    connect-to=YOUR.VPS.IP port=1194 \
    user=vpnuser password="yourpassword" \
    profile=default-encryption add-default-route=no

/interface ovpn-client print

Exemplo de status esperado:

status: connected
uptime: 00:01:03
remote-address: 10.8.0.1
local-address: 10.8.0.6

Nota: O RouterOS historicamente restringe o OpenVPN ao TCP em algumas versões — verifique as notas de versão do seu RouterOS. Se precisar de UDP no lado do roteador, considere uma solução intermediária (como um host Linux) ou use um cliente de software em uma máquina próxima.

Acessar um dispositivo interno através do túnel

Para alcançar um dispositivo interno (exemplo: câmera IP 192.168.88.100), você pode usar NAT no MikroTik para expor uma porta local sobre o túnel.

Adicione uma regra dst-nat no MikroTik:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

Do servidor ou de outro cliente, conecte-se ao endereço roteado e porta:

http://10.8.0.6:8081

O tráfego flui pelo túnel OpenVPN e alcança o host interno.

Segurança e melhores práticas

Use um certificado único por cliente.
Combine certificados TLS de cliente com usuário/senha se precisar de controle em espécie de autenticação dupla.
Rode a rotação de chaves e certificados em uma cadência definida.
Limite IPs de origem no firewall do VPS quando prático.
Prefira UDP por desempenho, mas verifique a compatibilidade com RouterOS.
Monitore a saúde da conexão e logs (syslog, openvpn-status.log).

Dica: Automatize a emissão de certificados para muitos dispositivos com scripts, mas mantenha a CA offline sempre que possível.

Comparação breve com alternativas modernas

Solução	Pontos fortes	Quando escolher
OpenVPN	Compatibilidade, controle granular por certificados	Ambientes mistos/legados; setups de ISP; appliances corporativos
WireGuard	Velocidade, simplicidade	Dispositivos modernos, roteadores com recursos limitados
Tailscale/ZeroTier	Malha, identidade, implantação fácil	Laptops, servidores, colaboração em equipe

Quando usar OpenVPN

Você precisa de controle detalhado por certificados.
Sua frota inclui dispositivos legados ou appliances sem agentes modernos.
Precisa integrar com regras de firewall existentes e PKI corporativa.

Se quiser o menor overhead possível e criptografia moderna, o WireGuard (ou Tailscale para um plano de controle mais simples) são excelentes — mas o OpenVPN ainda vence em compatibilidade universal.

Onde o MKController ajuda: Se você quer evitar túneis manuais e trabalho com certificados, as ferramentas remotas do MKController (NATCloud) permitem acessar dispositivos atrás de NAT/CGNAT com governança centralizada, monitoramento e reconexão automática — sem PKI por dispositivo para gerenciar.

Conclusão

OpenVPN não é um artefato do passado.

É uma ferramenta confiável quando você precisa de compatibilidade e controle explícito sobre autenticação e roteamento.

Associe-a a um VPS e a um cliente MikroTik e você terá um caminho de acesso remoto robusto e auditável para câmeras, roteadores e serviços internos.

Sobre o MKController

Esperamos que as informações acima tenham ajudado você a navegar um pouco melhor pelo universo MikroTik e Internet! 🚀
Seja ajustando configs ou tentando trazer ordem ao caos da rede, MKController está aqui para facilitar sua vida.

Com gerenciamento centralizado na nuvem, atualizações de segurança automatizadas e um painel que qualquer pessoa domina, temos o que é necessário para elevar sua operação.

👉 Inicie seu teste grátis de 3 dias agora em mkcontroller.com — e veja como é ter controle de rede sem esforço.