Керування вашим MikroTik через OpenVPN

Коротко
Практичний посібник із використання OpenVPN з MikroTik і VPS: принцип роботи, налаштування сервера на Ubuntu, конфігурація MikroTik клієнта, сценарії доступу, порівняння з новітніми рішеннями та рекомендації з безпеки.

Віддалене керування MikroTik через OpenVPN

OpenVPN залишається надійним, перевіреним способом віддаленого доступу до маршрутизаторів та пристроїв.

Він з’явився раніше за WireGuard і Tailscale, але через гнучкість і сумісність є актуальним досі.

У цій статті ми покажемо, як і чому це працює, з готовими командами для сервера на VPS та клієнта MikroTik.

Що таке OpenVPN?

OpenVPN — це open-source VPN-рішення (від 2001 року) для створення зашифрованих тунелів поверх TCP або UDP.

Використовує OpenSSL для шифрування й автентифікації на базі TLS.

Основні моменти:

Надійне шифрування (AES-256, SHA256, TLS).
Працює з IPv4 та IPv6.
Підтримує маршрутизовані (TUN) та місткові (TAP) режими.
Широка сумісність ОС та пристроїв, включно з RouterOS.

Примітка: Екосистема OpenVPN і його інструменти ідеально підходять для середовищ з вимогою явного контролю сертифікатів і підтримкою застарілих девайсів.

Як працює OpenVPN (коротко)

OpenVPN створює зашифрований тунель між сервером (зазвичай публічним VPS) і одним або кількома клієнтами (Маршрутизатори MikroTik, ноутбуки тощо).

Аутентифікація здійснюється за допомогою CA, сертифікатів і опціонального TLS auth (ta.key).

Поширені режими:

TUN (маршрутизований): IP маршрутизація між мережами (найпоширеніший).
TAP (містковий): мостовий рівень 2 — корисний для застосунків, які залежать від широкомовлення, але важчий.

Переваги та недоліки

Переваги

Перевірена модель безпеки (TLS + OpenSSL).
Дуже налаштовуваний (TCP/UDP, порти, маршрути, pushed опції).
Широка сумісність — ідеально для змішаних мереж.
Рідна (хоч і обмежена) підтримка в RouterOS.

Недоліки

Важчий за WireGuard на обмеженому залізі.
Потрібна PKI (CA, сертифікати) та ручне налаштування.
RouterOS підтримує OpenVPN лише через TCP (на боці сервера частіше UDP).

Створення OpenVPN сервера на Ubuntu (VPS)

Нижче компактний, практичний набір команд. Підлаштуйте імена, IP та DNS під своє середовище.

1) Встановлення пакетів

apt update && apt install -y openvpn easy-rsa

2) Створення PKI та ключів сервера

make-cadir ~/openvpn-ca
cd ~/openvpn-ca
source vars
./clean-all
./build-ca            # створити CA
./build-key-server server
./build-dh
openvpn --genkey --secret keys/ta.key

Порада: Тримайте CA приватним та робіть резервні копії. Ставтесь до ключів CA як до виробничих секретів.

3) Конфігурація сервера (/etc/openvpn/server.conf)

Створіть файл з таким мінімальним вмістом:

port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
cipher AES-256-CBC
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3

4) Увімкнення і запуск сервісу

systemctl enable openvpn@server
systemctl start openvpn@server

5) Брандмауер: дозвіл порта

ufw allow 1194/udp

Увага: Якщо відкривати порт 1194 в інтернеті, обезпечте сервер (fail2ban, суворі ключі SSH, firewall для обмеження IP-адрес, де можливо).

Створення клієнтських сертифікатів та конфігів

Використовуйте easy-rsa для генерації клієнтського сертифікату (наприклад: build-key client1).

Підготуйте для клієнта ці файли:

ca.crt
client1.crt
client1.key
ta.key (якщо використовується)
client.ovpn (конфіг)

Приклад простого client.ovpn (замініть IP сервера на ваш VPS):

client
dev tun
proto udp
remote YOUR.VPS.IP 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
remote-cert-tls server
cipher AES-256-CBC
verb 3

Налаштування MikroTik як OpenVPN клієнта

RouterOS підтримує підключення клієнтів OpenVPN, але з кількома специфічними обмеженнями.

Завантажте файли ключа і сертифікату клієнта (ca.crt, client.crt, client.key) на MikroTik.
Створіть клієнтський профіль OVPN і запустіть підключення.

/interface ovpn-client add name=ovpn-out1 \
    connect-to=YOUR.VPS.IP port=1194 \
    user=vpnuser password="yourpassword" \
    profile=default-encryption add-default-route=no

/interface ovpn-client print

Очікуваний приклад статусу:

status: connected
uptime: 00:01:03
remote-address: 10.8.0.1
local-address: 10.8.0.6

Примітка: RouterOS історично обмежує OpenVPN TCP у певних версіях — перевірте нотатки випуску. Якщо потрібен UDP клієнт на роутері – розгляньте проміжне рішення (Linux-хост) або софт-клієнт на сусідньому ПК.

Доступ до внутрішнього пристрою через тунель

Щоб дістатись внутрішнього пристрою (наприклад IP-камери 192.168.88.100), можна використати NAT на MikroTik для експорту локального порта через тунель.

Додайте правило dst-nat на MikroTik:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

З сервера або іншого клієнта підключіться до маршрутизованої адреси і порту:

http://10.8.0.6:8081

Трафік пройде через OpenVPN тунель і досягне внутрішнього хоста.

Безпека та рекомендовані практики

Використовуйте унікальний сертифікат на клієнта.
Поєднуйте TLS клієнтські сертифікати з логіном/паролем для двофакторної аутентифікації.
Регулярно обновляйте ключі та сертифікати.
Обмежуйте IP-адреси джерел у брандмауері VPS, де це можливо.
Для кращої продуктивності використовуйте UDP, але перевіряйте сумісність RouterOS.
Моніторьте стан з’єднання і логи (syslog, openvpn-status.log).

Порада: Автоматизуйте видачу сертифікатів для великої кількості пристроїв скриптами, зберігаючи CA офлайн при можливості.

Коротке порівняння з сучасними альтернативами

Рішення	Переваги	Коли обрати
OpenVPN	Сумісність, точний контроль сертифікатів	Змішані/застарілі середовища; налаштування ISP; корпоративні пристрої
WireGuard	Швидкість, простота	Сучасні девайси, роутери з невеликим ресурсом
Tailscale/ZeroTier	Mesh, ідентичність, легке розгортання	Ноутбуки, сервери, командна робота

Коли варто використовувати OpenVPN

Якщо потрібен детальний контроль сертифікатів.
В мережі є застарілі пристрої чи апарати без сучасних агентів.
Необхідна інтеграція з існуючими firewall правилами та корпоративним PKI.

Якщо шукаєте мінімальні накладні витрати й сучасне шифрування, WireGuard (або Tailscale для зручності управління) — відмінний вибір. Але OpenVPN досі переважає в сумісності.

Де допомагає MKController: Якщо не хочете морочитися з тунелюванням і сертифікатами, віддалені інструменти MKController (NATCloud) дозволяють керувати пристроями за NAT/CGNAT з централізованим контролем, моніторингом та авто-перепідключенням — без індивідуального PKI для кожного пристрою.

Висновок

OpenVPN — не застарілий інструмент.

Це надійний спосіб, коли потрібна сумісність і чіткий контроль аутентифікації та маршрутизації.

Поєднання VPS і клієнта MikroTik дає міцний, перевірений шлях віддаленого доступу до камер, маршрутизаторів і внутрішніх сервісів.

Про MKController

Сподіваємось, наведена інформація допомогла краще орієнтуватись у вашому світі MikroTik та Інтернету! 🚀
Чи налаштовуєте ви конфіги, чи просто впорядковуєте мережевий хаос — MKController зробить вашу роботу простішою.

З централізованим хмарним керуванням, автоматичними оновленнями безпеки та інтуїтивним дашбордом, у нас є все, щоб підняти вашу роботу на новий рівень.

👉 Почніть безкоштовне 3-денне тестування на mkcontroller.com — і побачте, що таке справжній простий контроль мережі.