Pular para o conteúdo
MKController Blog
InstagramYouTubeFacebook

Remote Access

Gerenciamento remoto MikroTik com OpenVPN

Configure OpenVPN com servidor VPS e cliente MikroTik para gerenciamento remoto — setup PKI, fluxo de certificados e boas práticas de segurança.

MKController6 min read

Resumo OpenVPN é uma VPN baseada em TLS já consolidada que combina muito bem com um VPS como hub e roteadores MikroTik como clientes para gerenciamento remoto. É anterior ao WireGuard e ao Tailscale, mas continua relevante por sua ampla compatibilidade, controle granular de PKI e opções flexíveis de roteamento. Este guia percorre a configuração do servidor em um VPS Ubuntu com easy-rsa, o fluxo de certificados de cliente, a configuração do OVPN-client no MikroTik e o checklist de segurança que mantém o ambiente auditável ao longo do tempo.

Como o OpenVPN viabiliza o gerenciamento remoto do MikroTik?

OpenVPN é uma implementação de VPN open source construída sobre OpenSSL que estabelece túneis criptografados sobre TCP ou UDP. Para gerenciamento remoto de MikroTik, a topologia típica combina um VPS Ubuntu sempre online como servidor com um ou mais roteadores MikroTik como clientes. O roteador inicia o túnel de saída, então NAT e CGNAT no lado do cliente não importam, e o VPS mantém as rotas e regras de NAT que permitem alcançar o roteador (e dispositivos atrás dele) através do túnel.

Os pontos fortes do OpenVPN são criptografia madura (AES-256, SHA-256, TLS), suporte a IPv4 e IPv6, modos TUN (roteado) e TAP (bridge), e ampla compatibilidade entre fabricantes e sistemas operacionais, incluindo RouterOS. As contrapartidas são consumo de CPU mais pesado que o WireGuard em roteadores pequenos, um passo real de configuração de PKI (CA, certificados, chaves) e um limite específico do RouterOS que você precisa conhecer — historicamente, o cliente OVPN do MikroTik só suporta transporte TCP em algumas versões. Para padrões comparativos, veja nossos guias gerenciamento remoto com WireGuard, com SSTP e com Tailscale.

Como o OpenVPN funciona

O OpenVPN estabelece um túnel criptografado entre um servidor (normalmente um VPS público) e um ou mais clientes. A autenticação usa uma CA, certificados por cliente e TLS-auth opcional (ta.key). Dois modos comuns:

  • TUN (roteado) — roteamento IP entre redes. Escolha padrão.
  • TAP (em bridge) — bridge de camada 2, útil para aplicações dependentes de broadcast. Mais pesado e raramente necessário.

Passo 1: Instalar OpenVPN no VPS

apt update && apt install -y openvpn easy-rsa

Passo 2: Construir a PKI e as chaves do servidor

make-cadir ~/openvpn-ca
cd ~/openvpn-ca
./easyrsa init-pki
./easyrsa build-ca nopass
./easyrsa gen-req server nopass
./easyrsa sign-req server server
./easyrsa gen-dh
openvpn --genkey --secret ta.key

Mantenha a CA privada e faça backup. Trate as chaves da CA como segredos de produção — quem tiver a CA pode forjar certificados de cliente legítimos.

Passo 3: Escrever a configuração do servidor

/etc/openvpn/server.conf (mínimo):

port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
cipher AES-256-CBC
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3

Passo 4: Iniciar o serviço e abrir o firewall

systemctl enable openvpn@server
systemctl start openvpn@server
ufw allow 1194/udp

Se você expõe a porta 1194 para toda a internet, proteja o VPS — fail2ban, chaves SSH estritas e restrições de IP de origem no firewall onde for prático. Endpoints VPN expostos à internet são sondados continuamente.

Passo 5: Criar certificados e configuração do cliente

Gere um certificado de cliente com easy-rsa (./easyrsa build-client-full client1 nopass) e empacote para o cliente:

  • ca.crt
  • client1.crt
  • client1.key
  • ta.key (se usado)
  • client.ovpn — o arquivo de configuração do cliente

Um client.ovpn mínimo:

client
dev tun
proto udp
remote YOUR.VPS.IP 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
remote-cert-tls server
cipher AES-256-CBC
verb 3

Passo 6: Configurar o MikroTik como cliente OpenVPN

O RouterOS suporta conexões OpenVPN cliente com limitações específicas — notadamente que versões mais antigas restringem ao transporte TCP.

  1. Envie ca.crt, client1.crt e client1.key para o MikroTik via janela Files do Winbox.
  2. Em um terminal:
/interface ovpn-client add name=ovpn-out1 \
    connect-to=YOUR.VPS.IP port=1194 \
    user=vpnuser password="yourpassword" \
    profile=default-encryption add-default-route=no


/interface ovpn-client print

Status esperado:

status: connected
uptime: 00:01:03
remote-address: 10.8.0.1
local-address: 10.8.0.6

Verifique as release notes do seu RouterOS se a conexão falhar com UDP — se sua versão restringe o cliente OVPN a TCP, altere o proto do servidor para tcp e a regra de firewall correspondente. Para uma alternativa amigável a UDP no RouterOS, WireGuard é o padrão moderno.

Acessar um dispositivo interno através do túnel

Para acessar um dispositivo atrás do MikroTik (por exemplo, uma câmera em 192.168.88.100), use dst-nat no MikroTik para expor uma porta local através do túnel:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

Do servidor ou de outro cliente VPN, conecte-se pelo endereço e porta roteados:

http://10.8.0.6:8081

O tráfego flui pelo túnel OpenVPN e chega ao host interno.

Boas práticas de segurança

  • Certificado único por cliente. Nunca reutilize chaves entre dispositivos.
  • Combine certificados TLS de cliente com usuário/senha se quiser um controle parecido com duplo fator.
  • Rotacione chaves e certificados em um cronograma. Implemente CRLs (listas de revogação de certificados) para dispositivos perdidos.
  • Limite IPs de origem no firewall do VPS onde for prático.
  • Prefira UDP por desempenho; verifique a compatibilidade do RouterOS por release.
  • Monitore a saúde da conexão e os logs (syslog, openvpn-status.log).
  • Automatize a emissão de certificados para muitos dispositivos com scripts, mas mantenha a CA offline sempre que possível — uma CA em servidor conectado está a um e-mail de phishing de ser comprometida.

Para um contexto mais amplo de segurança do plano de gerenciamento, veja nosso artigo sobre boas práticas de segurança do Winbox.

OpenVPN vs. alternativas modernas

SoluçãoPontos fortesQuando escolher
OpenVPNCompatibilidade, controle granular de certificadoFrotas mistas/legadas; appliances corporativos
WireGuardVelocidade, simplicidade, criptografia modernaDispositivos modernos, roteadores enxutos
SSTPTLS na porta 443, traversal de firewallRedes que bloqueiam UDP e outras portas VPN
Tailscale / ZeroTierMesh, baseado em identidade, fácil implantaçãoLaptops, equipes, colaboração multiplataforma

Quando usar OpenVPN

Escolha OpenVPN quando controle fino de certificados importa, sua frota inclui dispositivos legados ou appliances sem agentes VPN modernos, ou você precisa se integrar a regras de firewall e PKI corporativa existentes. Se throughput bruto e baixo overhead de CPU importam mais, WireGuard vence — veja o tutorial WireGuard e o guia Tailscale.

Dê o próximo passo

OpenVPN não é uma relíquia. É uma ferramenta confiável quando você precisa de compatibilidade e controle explícito sobre autenticação e roteamento. Combine-o com um VPS e um cliente MikroTik e você obtém um caminho robusto e auditável de acesso remoto para câmeras, roteadores e serviços internos.

Se preferir pular a cerimônia de PKI por dispositivo, o NATCloud do MKController oferece acesso remoto a dispositivos atrás de NAT ou CGNAT com governança centralizada, monitoramento e reconexão automática — sem certificados para manter por roteador.

Comece seu teste grátis no MKController