Preskočiť na obsah
Blog

Správa Mikrotiku cez OpenVPN: Praktický návod

Zhrnutie
Praktický návod na používanie OpenVPN s MikroTik a VPS: princíp fungovania, nastavenie servera na Ubuntu, konfigurácia MikroTik klienta, prístupové vzory, porovnanie s modernými riešeniami a bezpečnostné odporúčania.

Vzdialená správa MikroTik cez OpenVPN

OpenVPN je stále spoľahlivý a overený spôsob, ako sa bezpečne pripojiť k routerom a zariadeniam na diaľku.

Je starší ako WireGuard a Tailscale, no jeho flexibilita a kompatibilita ho udržujú relevantný aj dnes.

Tento článok vás prevedie dôvodmi a postupom — a poskytne príkazy, ktoré stačí skopírovať pre server VPS aj MikroTik klienta.

Čo je OpenVPN?

OpenVPN je open-source VPN riešenie (od roku 2001), ktoré vytvára šifrované tunely cez TCP alebo UDP.

Na šifrovanie používa OpenSSL a autentifikáciu založenú na TLS.

Kľúčové vlastnosti:

  • Silná kryptografia (AES-256, SHA256, TLS).
  • Podpora IPv4 aj IPv6.
  • Podpora režimov routed (TUN) aj bridged (TAP).
  • Široká kompatibilita s OS a zariadeniami — vrátane RouterOS.

Poznámka: Ekosystém a nástroje OpenVPN sú ideálne pre prostredia, kde je potrebná explicitná kontrola certifikátov a podpora starších zariadení.

Ako OpenVPN funguje (stručný prehľad)

OpenVPN vytvára šifrovaný tunel medzi serverom (spravidla verejný VPS) a jedným alebo viacerými klientmi (MikroTik routery, notebooky atď.).

Autentifikácia prebieha pomocou CA, certifikátov a voliteľného TLS auth (ta.key).

Bežné režimy:

  • TUN (routed): smerovanie IP medzi sieťami (najčastejšie).
  • TAP (bridge): vrstvy 2 mostovanie — vhodné pre aplikácie závislé na broadcastoch, no náročnejšie.

Výhody a nevýhody

Výhody

  • Overený bezpečnostný model (TLS + OpenSSL).
  • Veľmi konfigurovateľný (TCP/UDP, porty, trasy, pushované možnosti).
  • Široká kompatibilita — vhodný pre zmiešané zariadenia.
  • Nativná (aj keď obmedzená) podpora v RouterOS.

Nevýhody

  • Náročnejší na zdroje oproti WireGuard na obmedzenom hardvéri.
  • Nastavenie vyžaduje PKI (CA, certifikáty) a manuálne kroky.
  • MikroTik RouterOS podporuje OpenVPN iba cez TCP (server zvyčajne používá UDP).

Vytvorenie OpenVPN servera na Ubuntu (VPS)

Nižšie je stručné, praktické nastavenie. Zmeňte názvy, IP a DNS podľa vašej siete.

1) Inštalácia balíkov

Terminal window
apt update && apt install -y openvpn easy-rsa

2) Vytvorenie PKI a serverových kľúčov

Terminal window
make-cadir ~/openvpn-ca
cd ~/openvpn-ca
source vars
./clean-all
./build-ca            # vytvorenie CA
./build-key-server server
./build-dh
openvpn --genkey --secret keys/ta.key

Tip: CA držte v súkromí a zálohujte. Kľúče CA považujte za kritické tajomstvá.

3) Konfigurácia servera (/etc/openvpn/server.conf)

Vytvorte súbor s týmto minimálnym obsahom:

port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
cipher AES-256-CBC
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3

4) Aktivácia a spustenie služby

Terminal window
systemctl enable openvpn@server
systemctl start openvpn@server

5) Firewall: povolenie portu

Terminal window
ufw allow 1194/udp

Upozornenie: Ak vystavujete port 1194 na verejný internet, zabezpečte server (fail2ban, silné SSH kľúče, obmedzenia prístupových IP vo firewalli).

Vytvorenie klientskych certifikátov a konfigurácií

Pomocou easy-rsa skriptov vygenerujte klientský certifikát (napr. build-key client1).

Zabaliť pre klienta treba tieto súbory:

  • ca.crt
  • client1.crt
  • client1.key
  • ta.key (ak je použitý)
  • client.ovpn (konfiguračný súbor)

Ukážka minimálneho client.ovpn (nahraďte IP adresu VPS vašou):

client
dev tun
proto udp
remote YOUR.VPS.IP 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
remote-cert-tls server
cipher AES-256-CBC
verb 3

Konfigurácia MikroTik ako OpenVPN klienta

RouterOS podporuje OpenVPN klientské spojenia, ale s niekoľkými špecifikami.

  1. Nahrajte na MikroTik klientske súbory (ca.crt, client.crt, client.key).

  2. Vytvorte OVPN klientsky profil a spustite spojenie.

/interface ovpn-client add name=ovpn-out1 \
    connect-to=YOUR.VPS.IP port=1194 \
    user=vpnuser password="yourpassword" \
    profile=default-encryption add-default-route=no


/interface ovpn-client print

Príklad očakávaného stavu:

status: connected
uptime: 00:01:03
remote-address: 10.8.0.1
local-address: 10.8.0.6

Poznámka: RouterOS tradične obmedzuje OpenVPN iba na TCP — skontrolujte poznámky k vašej verzii. Ak potrebujete UDP na strane routera, zvážte medzikrok (napr. Linux server) alebo použite softvérového klienta na blízkom počítači.

Prístup k vnútornému zariadeniu cez tunel

Na prístup k vnútornému zariadeniu (napr. IP kamera 192.168.88.100) môžete použiť NAT na MikroTik, ktorý presmeruje lokálny port cez tunel.

  1. Pridajte dst-nat pravidlo do MikroTik firewallu:
/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80
  1. Zo servera alebo iného klienta sa pripojte na túto IP a port:
http://10.8.0.6:8081

Traffic prechádza OpenVPN tunelom k vnútornému zariadeniu.

Bezpečnosť a osvedčené postupy

  • Každý klient používajte s unikátnym certifikátom.
  • Kombinujte TLS certifikáty s prihlasovacím menom/heslom pre dvojfaktorové riadenie.
  • Pravidelne rotujte kľúče a certifikáty.
  • Obmedzte zdrojové IP vo firewalli VPS, ak je to možné.
  • Preferujte UDP kvôli výkonu, overte však kompatibilitu RouterOS.
  • Sledujte stav spojenia a logy (syslog, openvpn-status.log).

Tip: Automatizujte vydávanie certifikátov skriptami, pričom CA nechajte offline, ak sa dá.

Krátke porovnanie s modernými alternatívami

RiešenieSilné stránkyKedy použiť
OpenVPNKompatibilita, granularita certifikátovZmiešané/legacy siete; ISP; firemné zariadenia
WireGuardRýchlosť, jednoduchosťModerné zariadenia, routery s nízkym výkonem
Tailscale/ZeroTierMesh topológia, identita, jednoduché nasadenieNotebooky, servery, tímová spolupráca

Kedy použiť OpenVPN

  • Keď potrebujete detailnú kontrolu nad certifikátmi.
  • Ak máte staršie zariadenia bez moderných klientov.
  • Ak musíte integrovať existujúce pravidlá firewallu a podnikové PKI.

Ak chcete čo najnižšiu záťaž a modernú kryptografiu, WireGuard (alebo Tailscale pre jednoduché ovládanie) sú výborné, no OpenVPN stále vedie v univerzálnej kompatibilite.

Kde MKController pomáha: Ak chcete obísť manuálne riešenia tunelovania a správy certifikátov, nástroje MKController (NATCloud) umožňujú prístup k zariadeniam za NAT/CGNAT s centrálnym dohľadom, monitorovaním a automatickým znovu-pripojením — bez nutnosti správy PKI pre každé zariadenie.

Záver

OpenVPN nie je zastaralý nástroj.

Je spoľahlivým riešením, keď potrebujete kompatibilitu a explicitnú kontrolu autentifikácie a smerovania.

V spojení s VPS a MikroTik klientom poskytuje robustný a auditovateľný vzdialený prístup ku kamerám, routerom a vnútorným službám.

O MKController

Dúfame, že vám tieto informácie pomohli lepšie sa orientovať vo svete MikroTik a internetu! 🚀
Či už dolaďujete konfigurácie alebo sa snažíte dať poriadok do siete, MKController vám uľahčí život.

S centralizovanou cloud správou, automatickými bezpečnostnými aktualizáciami a prehľadným dashboardom prejdem všetkými úlohami bez stresu.

👉 Vyskúšajte bezplatnú 3-dňovú skúšobnú verziu na mkcontroller.com a objavte, aké jednoduché môže byť riadenie siete.