Skip to content
Blog

Upravljanje Mikrotikom preko OpenVPN-a

Rezime
Praktičan vodič za upotrebu OpenVPN-a sa MikroTikom i VPS-om: kako funkcioniše OpenVPN, postavljanje servera na Ubuntu, podešavanje MikroTik klijenta, obrasci pristupa, poređenja sa modernim rešenjima i bezbednosne preporuke.

Daljinsko upravljanje MikroTikom putem OpenVPN-a

OpenVPN je i dalje pouzdano i isprobano rešenje za daljinski pristup ruterima i uređajima.

Postoji pre WireGuarda i Tailscale-a, a njegova fleksibilnost i kompatibilnost ga i dalje čine korisnim.

U ovom tekstu ćete saznati kako i zašto, uz gotove komande za VPS server i MikroTik klijenta.

Šta je OpenVPN?

OpenVPN je open-source VPN implementacija (od 2001) koja pravi enkriptovane tunele preko TCP ili UDP protokola.

Koristi OpenSSL za enkripciju i TLS autentifikaciju.

Ključne tačke:

  • Snažna enkripcija (AES-256, SHA256, TLS).
  • Radi sa IPv4 i IPv6.
  • Podržava rutirane (TUN) i bridžovane (TAP) režime rada.
  • Široka kompatibilnost sa OS-ima i uređajima — uključujući RouterOS.

Napomena: OpenVPN ekosistem i alati ga čine idealnim za okruženja koja zahtevaju jasnu kontrolu sertifikata i podršku za stare uređaje.

Kako OpenVPN funkcioniše (kratak pregled)

OpenVPN uspostavlja enkriptovani tunel između servera (obično javnog VPS-a) i jednog ili više klijenata (MikroTik ruteri, laptopovi itd.).

Autentifikacija se vrši preko CA, sertifikata i opcionog TLS auth (ta.key).

Najčešći režimi:

  • TUN (routed): IP rutiranje između mreža (najčešće korišćeno).
  • TAP (bridge): Layer-2 bridžing — koristan za aplikacije koje zavise od broadcast-a, ali je zahtevniji.

Prednosti i mane

Prednosti

  • Dokazan sigurnosni model (TLS + OpenSSL).
  • Izuzetno podesiv (TCP/UDP, portovi, rute, opcije koje server šalje).
  • Široka kompatibilnost — idealno za mešovite infrastrukture.
  • Nativna (iako ograničena) podrška u RouterOS-u.

Mane

  • Teži je od WireGuarda na slabijem hardveru.
  • Podešavanje zahteva PKI (CA, sertifikate) i neke manuelne korake.
  • RouterOS podržava OpenVPN klijenta samo preko TCP (server i dalje obično koristi UDP).

Pravljenje OpenVPN servera na Ubuntu (VPS)

Ispod je sažet, praktičan opis. Prilagodite imena, IP adrese i DNS vašem okruženju.

1) Instalirajte pakete

Terminal window
apt update && apt install -y openvpn easy-rsa

2) Napravite PKI i ključeve servera

Terminal window
make-cadir ~/openvpn-ca
cd ~/openvpn-ca
source vars
./clean-all
./build-ca            # kreiranje CA
./build-key-server server
./build-dh
openvpn --genkey --secret keys/ta.key

Savet: Čuvajte CA privatno i pravite rezervne kopije. Postupajte sa CA ključevima kao sa proizvodnim tajnama.

3) Konfiguracija servera (/etc/openvpn/server.conf)

Napravite fajl sa sledećim minimalnim sadržajem:

port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
cipher AES-256-CBC
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3

4) Omogućite i startujte servis

Terminal window
systemctl enable openvpn@server
systemctl start openvpn@server

5) Firewall: dozvolite port

Terminal window
ufw allow 1194/udp

Upozorenje: Ako izlažete port 1194 ka internetu, obezbedite server (fail2ban, striktne SSH ključeve, firewall pravila za ograničenje izvora gde je moguće).

Pravljenje klijentskih sertifikata i konfiguracija

Koristite easy-rsa skripte za generisanje klijentskog sertifikata (na primer: build-key client1).

Spakujte sledeće fajlove za klijenta:

  • ca.crt
  • client1.crt
  • client1.key
  • ta.key (ako se koristi)
  • client.ovpn (konfiguracioni fajl)

Primer minimalnog client.ovpn fajla (ip servera zamenite vašim VPS-om):

client
dev tun
proto udp
remote YOUR.VPS.IP 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
remote-cert-tls server
cipher AES-256-CBC
verb 3

Podešavanje MikroTik-a kao OpenVPN klijenta

RouterOS podržava OpenVPN klijentske konekcije, ali sa nekim ograničenjima specifičnim za RouterOS.

  1. Učitajte fajlove ključeva i sertifikata (ca.crt, client.crt, client.key) na MikroTik.

  2. Napravite OVPN klijentski profil i pokrenite konekciju.

/interface ovpn-client add name=ovpn-out1 \
    connect-to=YOUR.VPS.IP port=1194 \
    user=vpnuser password="yourpassword" \
    profile=default-encryption add-default-route=no


/interface ovpn-client print

Primer očekivanog statusa:

status: connected
uptime: 00:01:03
remote-address: 10.8.0.1
local-address: 10.8.0.6

Napomena: RouterOS istorijski podržava OpenVPN samo preko TCP u nekim verzijama — proverite beleške o izdanju. Ako vam treba UDP na strani rutera, razmotrite posredničko rešenje (poput Linux hosta) ili softverskog klijenta na obližnjem računaru.

Pristup unutrašnjem uređaju preko tunela

Da biste pristupili unutrašnjem uređaju (npr. IP kamera 192.168.88.100), možete koristiti NAT na MikroTiku da izložite lokalni port preko tunela.

  1. Dodajte dst-nat pravilo na MikroTik:
/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80
  1. Sa servera ili drugog klijenta pristupite rutiranoj adresi i portu:
http://10.8.0.6:8081

Saobraćaj ide kroz OpenVPN tunel i stiže do unutrašnjeg uređaja.

Bezbednost i najbolje prakse

  • Koristite jedinstveni sertifikat po klijentu.
  • Kombinujte TLS sertifikate sa korisničkim imenom/lozinkom za dvostruku autentifikaciju ako je potrebno.
  • Redovno rotirajte ključeve i sertifikate.
  • Ograničite IP adrese izvora u firewallu VPS-a gde je moguće.
  • Preporučuje se UDP zbog bolje performanse, ali proverite kompatibilnost sa RouterOS-om.
  • Pratite zdravlje konekcije i logove (syslog, openvpn-status.log).

Savet: Automatizujte izdavanje sertifikata za veći broj uređaja skriptama, ali držite CA van mreže gde je moguće.

Kratko poređenje sa modernim rešenjima

RešenjePrednostiKada odabrati
OpenVPNKompatibilnost, kontrola sertifikataMešovita/legacy okruženja; ISP konfiguracije; korporativni uređaji
WireGuardBrzina, jednostavnostModerni uređaji, ruteri sa malim resursima
Tailscale/ZeroTierMesh, identitet, laka implementacijaLaptopovi, serveri, timski rad

Kada koristiti OpenVPN

  • Kada vam je potrebna precizna kontrola sertifikata.
  • Kada imate flotu sa starijim uređajima ili uređajima bez podrške za moderne agente.
  • Kada morate integrisati postojeća pravila u firewall i korporativni PKI.

Ako tražite najmanje opterećenje i modernu kriptografiju, WireGuard (ili Tailscale za korisnički orijentisan kontrolni sloj) su odlični izbori — ali OpenVPN i dalje prednjači u univerzalnoj kompatibilnosti.

Kako MKController pomaže: Ako želite da izbegnete manuelno upravljanje tunelima i sertifikatima, MKController-ovi alati za daljinsko upravljanje (NATCloud) omogućavaju pristup uređajima iza NAT/CGNAT-a sa centralizovanom kontrolom, nadzorom i automatskim ponovnim povezivanjem — bez potrebe za PKI po uređaju.

Zaključak

OpenVPN nije zastareo.

To je pouzdan alat kada vam je potrebna kompatibilnost i jasna kontrola autentifikacije i rutiranja.

Uparite ga sa VPS-om i MikroTik klijentom da biste dobili stabilan, proverljiv daljinski pristup kamerama, ruterima i unutrašnjim servisima.

O MKController-u

Nadamo se da su vam gore navedene informacije pomogle da bolje upravljate svojim MikroTik uređajima i internet okruženjem! 🚀
Bilo da dorađujete konfiguracije ili samo pokušavate da unesete red u mrežni haos, MKController je tu da vam olakša posao.

Sa centralizovanim upravljanjem u oblaku, automatizovanim bezbednosnim ažuriranjima i kontrolnom tablom koju može da koristi svako, imamo sve što je potrebno za unapređenje vašeg sistema.

👉 Isprobajte besplatno 3 dana na mkcontroller.com — i otkrijte šta znači jednostavna kontrola mreže.