Bỏ qua nội dung
Blog

Quản lý Mikrotik của bạn với OpenVPN

Tóm tắt
Hướng dẫn thực tế sử dụng OpenVPN với MikroTik và VPS: cách hoạt động của OpenVPN, cài đặt máy chủ trên Ubuntu, cấu hình client MikroTik, cách truy cập, so sánh với giải pháp hiện đại và các thực hành bảo mật tốt nhất.

Quản lý MikroTik từ xa với OpenVPN

OpenVPN vẫn là cách ổn định và đã được kiểm chứng để truy cập router và thiết bị từ xa.

Nó xuất hiện trước WireGuard và Tailscale, nhưng tính linh hoạt và khả năng tương thích giúp nó vẫn phù hợp ngày nay.

Bài viết này sẽ hướng dẫn bạn cách thức và lý do — cùng với các lệnh sao chép-dán cho máy chủ VPS và client MikroTik.

OpenVPN là gì?

OpenVPN là một giải pháp VPN mã nguồn mở (từ năm 2001) xây dựng các kênh mã hóa qua TCP hoặc UDP.

Nó dựa vào OpenSSL để mã hóa và xác thực dựa trên TLS.

Điểm chính:

  • Mã hóa mạnh mẽ (AES-256, SHA256, TLS).
  • Hoạt động với IPv4 và IPv6.
  • Hỗ trợ chế độ định tuyến (TUN) và cầu nối (TAP).
  • Tương thích rộng rãi với hệ điều hành và thiết bị — bao gồm cả RouterOS.

Lưu ý: Hệ sinh thái và công cụ của OpenVPN rất phù hợp với môi trường cần kiểm soát chứng chỉ rõ ràng và hỗ trợ thiết bị cũ.

Cách OpenVPN hoạt động (tổng quan nhanh)

OpenVPN thiết lập một kênh mã hóa giữa máy chủ (thường là VPS công khai) và một hoặc nhiều client (router MikroTik, laptop, v.v.).

Xác thực dùng CA, chứng chỉ và tùy chọn TLS auth (ta.key).

Chế độ phổ biến:

  • TUN (định tuyến): Định tuyến IP giữa các mạng (phổ biến nhất).
  • TAP (cầu nối): Cầu nối lớp 2 — hữu ích cho ứng dụng cần phát sóng nhưng nặng hơn.

Ưu và nhược điểm

Ưu điểm

  • Mô hình bảo mật đã được chứng minh (TLS + OpenSSL).
  • Cấu hình cực kỳ linh hoạt (TCP/UDP, cổng, định tuyến, tùy chọn đẩy).
  • Tương thích rộng — thích hợp cho đội thiết bị hỗn hợp.
  • Hỗ trợ bản địa (mặc dù hạn chế) trong RouterOS.

Nhược điểm

  • Nặng hơn WireGuard trên phần cứng hạn chế.
  • Cài đặt yêu cầu PKI (CA, chứng chỉ) và một số bước thủ công.
  • RouterOS chỉ hỗ trợ OpenVPN qua TCP (máy chủ thường dùng UDP).

Xây dựng máy chủ OpenVPN trên Ubuntu (VPS)

Dưới đây là một thiết lập ngắn gọn và thực tiễn. Điều chỉnh tên, IP và DNS theo môi trường của bạn.

1) Cài đặt gói

Terminal window
apt update && apt install -y openvpn easy-rsa

2) Tạo PKI và khóa máy chủ

Terminal window
make-cadir ~/openvpn-ca
cd ~/openvpn-ca
source vars
./clean-all
./build-ca            # tạo CA
./build-key-server server
./build-dh
openvpn --genkey --secret keys/ta.key

Mẹo: Giữ CA ở chế độ riêng tư và sao lưu. Xử lý khóa CA như bí mật sản xuất quan trọng.

3) Cấu hình máy chủ (/etc/openvpn/server.conf)

Tạo file với nội dung tối giản này:

port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
cipher AES-256-CBC
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3

4) Bật và khởi động dịch vụ

Terminal window
systemctl enable openvpn@server
systemctl start openvpn@server

5) Tường lửa: mở cổng

Terminal window
ufw allow 1194/udp

Cảnh báo: Nếu mở cổng 1194 trên toàn internet, hãy bảo mật máy chủ (fail2ban, khóa SSH nghiêm ngặt, quy tắc firewall giới hạn IP nguồn khi có thể).

Tạo chứng chỉ và cấu hình client

Dùng script easy-rsa để tạo chứng chỉ client (ví dụ: build-key client1).

Đóng gói các file này cho client:

  • ca.crt
  • client1.crt
  • client1.key
  • ta.key (nếu dùng)
  • client.ovpn (file cấu hình)

Ví dụ cấu hình client.ovpn tối giản (thay IP máy chủ bằng IP VPS của bạn):

client
dev tun
proto udp
remote YOUR.VPS.IP 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
remote-cert-tls server
cipher AES-256-CBC
verb 3

Cấu hình MikroTik làm client OpenVPN

RouterOS hỗ trợ kết nối OpenVPN client, nhưng với một số hạn chế riêng của RouterOS.

  1. Tải lên các file khóa và chứng chỉ client (ca.crt, client.crt, client.key) lên MikroTik.

  2. Tạo profile client OVPN và bắt đầu kết nối.

/interface ovpn-client add name=ovpn-out1 \
    connect-to=YOUR.VPS.IP port=1194 \
    user=vpnuser password="yourpassword" \
    profile=default-encryption add-default-route=no


/interface ovpn-client print

Ví dụ trạng thái mong đợi:

status: connected
uptime: 00:01:03
remote-address: 10.8.0.1
local-address: 10.8.0.6

Lưu ý: RouterOS một số phiên bản chỉ hỗ trợ OpenVPN qua TCP — kiểm tra ghi chú phát hành RouterOS của bạn. Nếu cần UDP ở phía router, xem xét giải pháp trung gian (như máy Linux) hoặc dùng client phần mềm trên máy gần đó.

Truy cập thiết bị nội bộ qua tunnel

Để truy cập thiết bị nội bộ (ví dụ: camera IP 192.168.88.100), bạn có thể dùng NAT ở MikroTik để mở cổng nội bộ trên tunnel.

  1. Thêm quy tắc dst-nat trên MikroTik:
/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80
  1. Từ máy chủ hoặc client khác kết nối tới địa chỉ và cổng được định tuyến:
http://10.8.0.6:8081

Lưu lượng đi qua tunnel OpenVPN và tới thiết bị nội bộ.

Bảo mật và thực hành tốt nhất

  • Dùng chứng chỉ riêng biệt cho từng client.
  • Kết hợp chứng chỉ client TLS với user/password nếu cần kiểm soát đa yếu tố.
  • Thay đổi khóa và chứng chỉ theo lịch trình.
  • Giới hạn IP nguồn trong firewall VPS khi có thể.
  • Ưu tiên UDP cho hiệu năng, nhưng kiểm tra tương thích RouterOS.
  • Giám sát trạng thái kết nối và nhật ký (syslog, openvpn-status.log).

Mẹo: Tự động phát hành chứng chỉ cho nhiều thiết bị bằng script, nhưng giữ CA offline khi có thể.

So sánh nhanh với các giải pháp hiện đại

Giải phápĐiểm mạnhKhi chọn dùng
OpenVPNTương thích, kiểm soát chứng chỉ chi tiếtMôi trường hỗn hợp/cũ; ISP; thiết bị doanh nghiệp
WireGuardNhanh, đơn giảnThiết bị hiện đại, router gọn nhẹ
Tailscale/ZeroTierMạng lưới, danh tính, dễ triển khaiLaptop, server, hợp tác nhóm

Khi nào nên dùng OpenVPN

  • Cần kiểm soát chứng chỉ chi tiết.
  • Có thiết bị cũ hoặc thiết bị không hỗ trợ agent hiện đại.
  • Phải tích hợp với firewall sẵn có và PKI doanh nghiệp.

Nếu muốn tối ưu nhẹ và mã hóa hiện đại, WireGuard (hoặc Tailscale cho điều khiển thân thiện) là lựa chọn tuyệt vời — nhưng OpenVPN vẫn vượt trội về khả năng tương thích toàn diện.

Nơi MKController hỗ trợ: Nếu bạn muốn tránh thủ công với tunnel và chứng chỉ, công cụ từ xa của MKController (NATCloud) cho phép truy cập thiết bị sau NAT/CGNAT với quản lý tập trung, giám sát và tự kết nối lại — không cần quản lý PKI từng thiết bị.

Kết luận

OpenVPN không phải là công nghệ lỗi thời.

Đó là công cụ đáng tin cậy khi cần tương thích và kiểm soát xác thực, định tuyến rõ ràng.

Kết hợp với VPS và client MikroTik, bạn có đường truy cập remote mạnh mẽ, có thể kiểm toán cho camera, router và dịch vụ nội bộ.

Về MKController

Hy vọng những thông tin trên giúp bạn điều hướng thế giới MikroTik và Internet tốt hơn! 🚀
Dù bạn đang tinh chỉnh cấu hình hay chỉ muốn tạo trật tự cho mạng phức tạp, MKController luôn đồng hành để đơn giản hóa công việc.

Với quản lý đám mây tập trung, cập nhật bảo mật tự động và bảng điều khiển dễ dùng, chúng tôi có mọi thứ để nâng cấp hoạt động của bạn.

👉 Bắt đầu dùng thử miễn phí 3 ngày ngay tại mkcontroller.com — và trải nghiệm kiểm soát mạng dễ dàng thật sự là như thế nào.