Перейти до вмісту
MKController Blog
InstagramYouTubeFacebook

Remote Access

Віддалене керування MikroTik через OpenVPN

Налаштуйте OpenVPN з VPS-сервером і клієнтом MikroTik для віддаленого керування: настройка PKI, робота з сертифікатами та практики безпеки.

MKController5 min read

Резюме OpenVPN — це перевірена часом VPN на основі TLS, яка чудово поєднується з VPS як хабом і маршрутизаторами MikroTik як клієнтами для віддаленого керування. Вона з’явилася раніше за WireGuard і Tailscale, але залишається актуальною завдяки широкій сумісності, гранульованому керуванню PKI та гнучким опціям маршрутизації. Цей посібник проводить через налаштування сервера на Ubuntu VPS з easy-rsa, роботу з клієнтськими сертифікатами, конфігурацію OVPN-клієнта на MikroTik і чек-лист безпеки, що тримає розгортання придатним до аудиту з часом.

Як OpenVPN забезпечує віддалене керування MikroTik?

OpenVPN — це open-source реалізація VPN на базі OpenSSL, яка встановлює зашифровані тунелі поверх TCP або UDP. Для віддаленого керування MikroTik типова топологія поєднує Ubuntu VPS, що завжди онлайн, як сервер з одним або кількома маршрутизаторами MikroTik як клієнтами. Маршрутизатор ініціює тунель назовні, тож NAT і CGNAT на стороні клієнта не мають значення, а VPS тримає маршрути та правила NAT, що дозволяють дістатися маршрутизатора (і пристроїв за ним) через тунель.

Сильні сторони OpenVPN — зріла криптографія (AES-256, SHA-256, TLS), підтримка IPv4 та IPv6, режими TUN (маршрутизація) і TAP (міст) та широка сумісність з виробниками й операційними системами, включаючи RouterOS. Компроміси — важче споживання CPU, ніж у WireGuard, на маленьких маршрутизаторах, реальний крок налаштування PKI (CA, сертифікати, ключі) та специфічне обмеження RouterOS, про яке варто знати: історично OVPN-клієнт MikroTik підтримує лише транспорт TCP у деяких версіях. Для порівняльних шаблонів див. наші посібники віддалене керування з WireGuard, з SSTP та з Tailscale.

Як працює OpenVPN

OpenVPN встановлює зашифрований тунель між сервером (зазвичай публічний VPS) і одним або кількома клієнтами. Автентифікація використовує CA, сертифікати на клієнта і необов’язковий TLS-auth (ta.key). Два поширені режими:

  • TUN (маршрутизація) — IP-маршрутизація між мережами. Стандартний вибір.
  • TAP (міст) — міст на канальному рівні, корисний для застосунків, що залежать від broadcast. Важчий і рідко потрібний.

Крок 1: Встановити OpenVPN на VPS

apt update && apt install -y openvpn easy-rsa

Крок 2: Побудувати PKI та ключі сервера

make-cadir ~/openvpn-ca
cd ~/openvpn-ca
./easyrsa init-pki
./easyrsa build-ca nopass
./easyrsa gen-req server nopass
./easyrsa sign-req server server
./easyrsa gen-dh
openvpn --genkey --secret ta.key

Тримайте CA приватним і робіть резервні копії. Ставтеся до ключів CA як до секретів рівня production — будь-хто з CA може підробити легітимні клієнтські сертифікати.

Крок 3: Написати конфігурацію сервера

/etc/openvpn/server.conf (мінімум):

port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
cipher AES-256-CBC
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3

Крок 4: Запустити службу і відкрити фаєрвол

systemctl enable openvpn@server
systemctl start openvpn@server
ufw allow 1194/udp

Якщо ви відкриваєте порт 1194 для всього інтернету, захистіть VPS — fail2ban, суворі SSH-ключі та обмеження за IP-адресами джерела на фаєрволі там, де це доцільно. Відкриті в інтернет VPN-точки безперервно скануються.

Крок 5: Створити клієнтські сертифікати та конфігурацію

Згенеруйте клієнтський сертифікат з easy-rsa (./easyrsa build-client-full client1 nopass) і запакуйте для клієнта:

  • ca.crt
  • client1.crt
  • client1.key
  • ta.key (якщо використовується)
  • client.ovpn — файл конфігурації клієнта

Мінімальний client.ovpn:

client
dev tun
proto udp
remote YOUR.VPS.IP 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
remote-cert-tls server
cipher AES-256-CBC
verb 3

Крок 6: Налаштувати MikroTik як OpenVPN-клієнт

RouterOS підтримує клієнтські OpenVPN-з’єднання з обмеженнями, специфічними для RouterOS, — зокрема, старіші версії обмежені транспортом TCP.

  1. Завантажте ca.crt, client1.crt і client1.key на MikroTik через вікно Files у Winbox.
  2. У терміналі:
/interface ovpn-client add name=ovpn-out1 \
    connect-to=YOUR.VPS.IP port=1194 \
    user=vpnuser password="yourpassword" \
    profile=default-encryption add-default-route=no


/interface ovpn-client print

Очікуваний статус:

status: connected
uptime: 00:01:03
remote-address: 10.8.0.1
local-address: 10.8.0.6

Перевірте release notes вашого RouterOS, якщо з’єднання не встановлюється через UDP: якщо ваша версія обмежує OVPN-клієнт TCP, перемкніть proto сервера на tcp та відповідне правило фаєрвола. Як дружню до UDP альтернативу на RouterOS WireGuard — сучасний варіант за замовчуванням.

Дістатися внутрішнього пристрою через тунель

Щоб дістатися пристрою за MikroTik (наприклад, камери на 192.168.88.100), використайте dst-nat на MikroTik, щоб виставити локальний порт через тунель:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

З сервера або іншого VPN-клієнта підключайтеся за маршрутизованою адресою і портом:

http://10.8.0.6:8081

Трафік іде через тунель OpenVPN і досягає внутрішнього хоста.

Найкращі практики безпеки

  • Унікальний сертифікат на кожного клієнта. Ніколи не повторно використовуйте ключі між пристроями.
  • Поєднуйте TLS-клієнтські сертифікати з логіном/паролем, якщо хочете контроль, схожий на двофакторний.
  • Ротуйте ключі та сертифікати за графіком. Впровадьте CRL (списки відкликання сертифікатів) для загублених пристроїв.
  • Обмежуйте IP-адреси джерел у фаєрволі VPS там, де це доцільно.
  • Надавайте перевагу UDP заради продуктивності; перевіряйте сумісність RouterOS за релізом.
  • Моніторте стан з’єднання та логи (syslog, openvpn-status.log).
  • Автоматизуйте видачу сертифікатів для великого парку скриптами, але тримайте CA офлайн там, де можливо, — CA на підключеному сервері за один фішинговий лист від компрометації.

Для ширшого контексту безпеки площини керування див. нашу статтю найкращі практики безпеки Winbox.

OpenVPN проти сучасних альтернатив

РішенняСильні сторониКоли обирати
OpenVPNСумісність, гранульований контроль сертифікатівМішані/застарілі парки; корпоративні пристрої
WireGuardШвидкість, простота, сучасна криптографіяСучасні пристрої, компактні маршрутизатори
SSTPTLS на порту 443, проходження фаєрволівМережі, що блокують UDP та інші VPN-порти
Tailscale / ZeroTierMesh, на основі ідентичності, легке розгортанняНоутбуки, команди, кросплатформенна співпраця

Коли використовувати OpenVPN

Обирайте OpenVPN, коли важливий тонкий контроль над сертифікатами, ваш парк включає застарілі пристрої або appliance-пристрої без сучасних VPN-агентів, або коли потрібна інтеграція з існуючими правилами фаєрвола та корпоративним PKI. Якщо важливіша чиста пропускна здатність і мінімальні накладні витрати CPU — перемагає WireGuard; див. туторіал WireGuard і посібник з Tailscale.

Зробіть наступний крок

OpenVPN не є реліктом. Це надійний інструмент, коли потрібна сумісність і явний контроль над автентифікацією та маршрутизацією. Поєднайте його з VPS і клієнтом MikroTik — і ви отримаєте надійний, придатний до аудиту шлях віддаленого доступу до камер, маршрутизаторів і внутрішніх сервісів.

Якщо ви воліли б обійтися без церемонії PKI на кожен пристрій, NATCloud від MKController забезпечує віддалений доступ до пристроїв за NAT або CGNAT з централізованим керуванням, моніторингом і автоматичним перепідключенням — без сертифікатів, які потрібно підтримувати на кожному маршрутизаторі.

Розпочніть безкоштовну пробну версію MKController