Перейти к содержимому
Blog

Управление MikroTik через OpenVPN

Кратко
Практическое руководство по OpenVPN с MikroTik и VPS: принцип работы, настройка сервера на Ubuntu, конфигурация клиента MikroTik, схемы доступа, сравнение с современными решениями и лучшие подходы по безопасности.

Удалённое управление MikroTik через OpenVPN

OpenVPN — это надёжный и проверенный способ удалённого доступа к маршрутизаторам и устройствам.

Он появился раньше WireGuard и Tailscale, но его гибкость и совместимость сохраняют актуальность.

В этой статье мы подробно рассмотрим, как и почему использовать OpenVPN, а также приведём готовые команды для сервера VPS и MikroTik клиента.

Что такое OpenVPN?

OpenVPN — это свободный VPN-софтовый пакет (с 2001 года), создающий зашифрованные туннели поверх TCP или UDP.

Он основан на OpenSSL для шифрования и аутентификации через TLS.

Основные характеристики:

  • Надёжное шифрование (AES-256, SHA256, TLS).
  • Работает с IPv4 и IPv6.
  • Поддерживает маршрутизируемый (TUN) и мостовой (TAP) режимы.
  • Широкая совместимость с ОС и оборудованием, включая RouterOS.

Примечание: экосистема и инструменты OpenVPN идеально подходят для среды с жёстким контролем сертификатов и поддержки старых устройств.

Как работает OpenVPN (кратко)

OpenVPN создаёт зашифрованный туннель между сервером (обычно публичным VPS) и одним или несколькими клиентами (маршрутизаторы MikroTik, ноутбуки и т.д.).

Аутентификация происходит через CA, сертификаты и опциональную TLS-авторизацию (ta.key).

Основные режимы:

  • TUN (маршрутизируемый): IP-маршрутизация между сетями (чаще всего).
  • TAP (мост): уровень 2 — полезно для приложений, зависящих от широковещания, но более ресурсоёмко.

Плюсы и минусы

Преимущества

  • Надёжная модель безопасности (TLS + OpenSSL).
  • Максимально настраиваемый (TCP/UDP, порты, маршруты, опции push).
  • Широкая совместимость — идеально для смешанных сетей.
  • Родная (хоть и ограниченная) поддержка в RouterOS.

Недостатки

  • Тяжелее WireGuard на ограниченных ресурсах.
  • Требуется PKI (CA, сертификаты) и ручная настройка.
  • MikroTik RouterOS поддерживает OpenVPN только через TCP (серверы обычно на UDP).

Настройка OpenVPN сервера на Ubuntu (VPS)

Приведён компактный, практичный пример. Настройте имена, IP и DNS под свою среду.

1) Установить пакеты

Terminal window
apt update && apt install -y openvpn easy-rsa

2) Создать PKI и серверные ключи

Terminal window
make-cadir ~/openvpn-ca
cd ~/openvpn-ca
source vars
./clean-all
./build-ca            # создать CA
./build-key-server server
./build-dh
openvpn --genkey --secret keys/ta.key

Совет: Храните CA в безопасности и делайте резервные копии. Рассматривайте ключи CA как секреты уровня производства.

3) Конфигурация сервера (/etc/openvpn/server.conf)

Создайте файл с минимальным содержимым:

port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
cipher AES-256-CBC
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3

4) Включить и запустить сервис

Terminal window
systemctl enable openvpn@server
systemctl start openvpn@server

5) Фаервол: открыть порт

Terminal window
ufw allow 1194/udp

Предупреждение: Если открываете порт 1194 в интернет, надёжно защитите сервер (fail2ban, строгие SSH-ключи, правила фаервола с ограничением исходящих IP, где возможно).

Создание клиентских сертификатов и конфигураций

Используйте easy-rsa для генерации сертификата клиента (например: build-key client1).

Соберите для клиента файлы:

  • ca.crt
  • client1.crt
  • client1.key
  • ta.key (если используется)
  • client.ovpn (конфигурация)

Пример минимального client.ovpn (замените IP сервера на ваш VPS):

client
dev tun
proto udp
remote YOUR.VPS.IP 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
remote-cert-tls server
cipher AES-256-CBC
verb 3

Настройка MikroTik как клиента OpenVPN

RouterOS поддерживает клиентские подключения OpenVPN, но с некоторыми особенностями.

  1. Загрузите ключ и сертификаты клиента (ca.crt, client.crt, client.key) на MikroTik.

  2. Создайте профиль OVPN клиента и запустите соединение.

/interface ovpn-client add name=ovpn-out1 \
    connect-to=YOUR.VPS.IP port=1194 \
    user=vpnuser password="yourpassword" \
    profile=default-encryption add-default-route=no


/interface ovpn-client print

Ожидаемый статус:

status: connected
uptime: 00:01:03
remote-address: 10.8.0.1
local-address: 10.8.0.6

Примечание: В некоторых версиях RouterOS OpenVPN ограничен TCP — проверьте релизы. Для UDP стоит использовать промежуточные решения (например Linux-хост) или программных клиентов на соседних устройствах.

Доступ к внутреннему устройству через туннель

Чтобы получить доступ к внутреннему устройству (например, IP-камера 192.168.88.100), можно использовать NAT на MikroTik, пробросив локальный порт через туннель.

  1. Добавьте правило dst-nat на MikroTik:
/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80
  1. Подключайтесь с сервера или другого клиента к маршрутизируемому адресу и порту:
http://10.8.0.6:8081

Трафик проходит через OpenVPN туннель к внутреннему хосту.

Безопасность и лучшие практики

  • Используйте отдельный сертификат на клиента.
  • Совмещайте TLS-сертификаты с логином/паролем для двухфакторной защиты.
  • Периодически обновляйте ключи и сертификаты.
  • Ограничивайте исходящие IP в фаерволе VPS по возможности.
  • Предпочитайте UDP ради производительности, но учитывайте поддержку RouterOS.
  • Следите за состоянием соединения и логами (syslog, openvpn-status.log).

Совет: Автоматизируйте выдачу сертификатов с помощью скриптов, но храните CA оффлайн.

Краткое сравнение с современными аналогами

РешениеПреимуществаКогда выбирать
OpenVPNСовместимость, точный контроль сертификатовСмешанные/старые сети; ISP; корпоративное оборудование
WireGuardСкорость, простотаСовременные устройства, лёгкие маршрутизаторы
Tailscale/ZeroTierМеш-сеть, идентификация, простая настройкаНоутбуки, серверы, командная работа

Когда использовать OpenVPN

  • Требуется детальный контроль сертификатов.
  • В инфраструктуре есть устаревшие устройства без современных клиентов.
  • Нужно интегрировать с существующими правилами фаервола и корпоративным PKI.

Если нужна минимальная нагрузка и современное шифрование, выбирайте WireGuard (или Tailscale для удобного контроля), но OpenVPN всё ещё выигрывает в универсальной совместимости.

Как помогает MKController: для избежания ручной настройки туннелей и сертификатов, инструменты MKController (NATCloud) позволяют доступ к устройствам за NAT/CGNAT с централизованным управлением, мониторингом и авто-подключением — без PKI на каждое устройство.

Заключение

OpenVPN — это не устаревшее решение.

Это надёжный инструмент, когда нужна совместимость и явный контроль аутентификации и маршрутизации.

Используйте вместе с VPS и MikroTik клиентом — получите крепкий, прозрачный канал удалённого доступа к камерам, маршрутизаторам и внутренним сервисам.

О MKController

Надеемся, эти советы помогут вам лучше управлять вашим MikroTik и сетью! 🚀
Вне зависимости от того, тонко ли вы настраиваете конфигурации или просто хотите навести порядок в сети, MKController здесь, чтобы упростить вашу работу.

Централизованное облачное управление, автоматические обновления безопасности и удобная панель — всё, чтобы вывести вашу сеть на новый уровень.

👉 Начните бесплатный 3-дневный тест на mkcontroller.com и оцените, что значит лёгкое управление сетью.