Hoppa till innehåll
Blog

Hantera din Mikrotik med OpenVPN

Sammanfattning
En praktisk guide för att använda OpenVPN med MikroTik och en VPS: hur OpenVPN fungerar, serversättning på Ubuntu, MikroTik-klientkonfiguration, åtkomstmönster, jämförelser med moderna lösningar och bästa säkerhetspraxis.

Fjärrhantering av MikroTik med OpenVPN

OpenVPN är fortfarande ett stabilt och väl beprövat sätt att nå routrar och enheter på distans.

Det kom före WireGuard och Tailscale, men dess flexibilitet och kompatibilitet håller det aktuellt än idag.

I detta inlägg går vi igenom hur och varför — och ger kopiera-klistra-kommandon för en VPS-server och en MikroTik-klient.

Vad är OpenVPN?

OpenVPN är en öppen källkods-VPN-lösning (sedan 2001) som bygger krypterade tunnlar över TCP eller UDP.

Den förlitar sig på OpenSSL för kryptering och TLS-baserad autentisering.

Viktiga punkter:

  • Stark kryptering (AES-256, SHA256, TLS).
  • Fungerar med IPv4 och IPv6.
  • Stöd för routade (TUN) och bryggade (TAP) lägen.
  • Bred kompatibilitet med OS och enheter — inklusive RouterOS.

Not: OpenVPN:s ekosystem och verktyg gör det lämpligt för miljöer som behöver tydlig kontroll över certifikat och stöd för äldre enheter.

Hur OpenVPN fungerar (kort översikt)

OpenVPN etablerar en krypterad tunnel mellan en server (vanligtvis en publik VPS) och en eller flera klienter (MikroTik-routrar, laptops, med flera).

Autentisering sker via CA, certifikat och valfri TLS-auth (ta.key).

Vanliga lägen:

  • TUN (routad): IP-routing mellan nätverk (vanligast).
  • TAP (brygga): Länk-lager brygga — användbart för broadcast-beroende appar men mer resurskrävande.

Fördelar och nackdelar

Fördelar

  • Beprövad säkerhetsmodell (TLS + OpenSSL).
  • Mycket konfigurerbart (TCP/UDP, portar, routes, pushade alternativ).
  • Bred kompatibilitet — perfekt för blandade miljöer.
  • Inbyggt (om än begränsat) stöd i RouterOS.

Nackdelar

  • Tyngre än WireGuard på hårdvara med begränsningar.
  • Kräver PKI (CA, certifikat) och vissa manuella steg vid installation.
  • MikroTik RouterOS stödjer OpenVPN endast över TCP (serverdelen använder dock vanligtvis UDP).

Bygg en OpenVPN-server på Ubuntu (VPS)

Nedan är en kompakt och praktisk setup. Anpassa namn, IP-adresser och DNS efter din miljö.

1) Installera paket

Terminal window
apt update && apt install -y openvpn easy-rsa

2) Skapa PKI och servernycklar

Terminal window
make-cadir ~/openvpn-ca
cd ~/openvpn-ca
source vars
./clean-all
./build-ca            # skapa CA
./build-key-server server
./build-dh
openvpn --genkey --secret keys/ta.key

Tips: Håll CA privat och säkerhetskopiera det. Behandla CA-nycklar som produktionshemligheter.

3) Serverkonfiguration (/etc/openvpn/server.conf)

Skapa filen med detta minimala innehåll:

port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
cipher AES-256-CBC
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3

4) Aktivera och starta tjänsten

Terminal window
systemctl enable openvpn@server
systemctl start openvpn@server

5) Brandvägg: tillåt porten

Terminal window
ufw allow 1194/udp

Varning: Om du öppnar port 1194 mot hela internet, säkra servern (fail2ban, strikt SSH-nyckelhantering, brandväggsregler för att begränsa källa-IP där möjligt).

Skapa klientcertifikat och konfigurationer

Använd easy-rsa-skript för att skapa ett klientcertifikat (t.ex. build-key client1).

Pakka dessa filer för klienten:

  • ca.crt
  • client1.crt
  • client1.key
  • ta.key (om används)
  • client.ovpn (konfigfil)

Ett minimalt client.ovpn-exempel (byt ut server-IP mot din VPS):

client
dev tun
proto udp
remote YOUR.VPS.IP 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
remote-cert-tls server
cipher AES-256-CBC
verb 3

Konfigurera MikroTik som OpenVPN-klient

RouterOS stödjer OpenVPN-klientanslutningar, men med vissa RouterOS-specifika begränsningar.

  1. Ladda upp klientnyckel och certifikatfiler (ca.crt, client.crt, client.key) till MikroTik.

  2. Skapa en OVPN-klientprofil och starta anslutningen.

/interface ovpn-client add name=ovpn-out1 \
    connect-to=YOUR.VPS.IP port=1194 \
    user=vpnuser password="yourpassword" \
    profile=default-encryption add-default-route=no


/interface ovpn-client print

Exempel på förväntad status:

status: connected
uptime: 00:01:03
remote-address: 10.8.0.1
local-address: 10.8.0.6

Not: Historiskt har RouterOS begränsat OpenVPN till TCP i vissa versioner — kontrollera din RouterOS-versions anteckningar. Om du behöver UDP på router-sidan, överväg en mellanlösning (t.ex. en Linux-värd) eller använd en mjukvaruklient på en närliggande maskin.

Åtkomst till intern enhet via tunneln

För att nå en intern enhet (t.ex. IP-kamera 192.168.88.100) kan du använda NAT på MikroTik för att exponera en lokal port över tunneln.

  1. Lägg till en dst-nat regel på MikroTik:
/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80
  1. Från servern eller en annan klient anslut till routad adress och port:
http://10.8.0.6:8081

Trafiken leds genom OpenVPN-tunneln och når den interna hosten.

Säkerhet och bästa praxis

  • Använd unika certifikat för varje klient.
  • Kombinera TLS-klientcertifikat med användarnamn/lösenord vid behov av tvåfaktorsliknande kontroll.
  • Roter nycklar och certifikat regelbundet.
  • Begränsa källa-IP i VPS-brandväggen när det är praktiskt.
  • Föredra UDP för prestanda, men verifiera kompatibilitet med RouterOS.
  • Övervaka anslutningsstatus och loggar (syslog, openvpn-status.log).

Tips: Automatisera certifikatutgivning för många enheter med skript, men håll CA offline så mycket som möjligt.

Kort jämförelse med moderna alternativ

LösningStyrkorNär man ska välja den
OpenVPNKompatibilitet, detaljerad certkontrollBlandade/äldre miljöer; ISP-konfigurationer; företagsenheter
WireGuardHastighet, enkelhetModerna enheter, små routrar
Tailscale/ZeroTierMesh, identitet, enkel distributionLaptops, servrar, teamarbete

När ska man använda OpenVPN

  • Om du behöver detaljerad certifikathantering.
  • Om din miljö innehåller äldre enheter eller enheter utan moderna klienter.
  • Om du måste integrera med befintliga brandväggsregler och företags-PKI.

Om du vill ha minimal overhead och modern kryptering är WireGuard (eller Tailscale för användarvänlig styrning) utmärkta — men OpenVPN vinner fortfarande på universell kompatibilitet.

Var MKController hjälper: Vill du undvika manuell tunnling och certifikathantering? MKControllers fjärrverktyg (NATCloud) ger dig åtkomst till enheter bakom NAT/CGNAT med central styrning, övervakning och automatisk återanslutning — utan per-enhets PKI att sköta.

Slutsats

OpenVPN är ingen relik.

Det är ett pålitligt verktyg när du behöver kompatibilitet och tydlig kontroll över autentisering och routing.

I kombination med en VPS och en MikroTik-klient får du en robust och granskbar fjärråtkomst till kameror, routrar och interna tjänster.

Om MKController

Vi hoppas att insikterna ovan hjälpte dig navigera din MikroTik- och internetmiljö bättre! 🚀
Oavsett om du finjusterar konfigurationer eller bara vill skapa ordning i nätverkskaoset, är MKController här för att göra livet enklare.

Med centraliserad molnhantering, automatiska säkerhetsuppdateringar och en dashboard som vem som helst kan behärska, har vi vad som krävs för att uppgradera din verksamhet.

👉 Starta din kostnadsfria 3-dagars testperiod numkcontroller.com — och upplev verklig enkel nätverkskontroll.