Настройка OpenVPN сервера на оборудовании MikroTik: Полное руководство

Подготовка к настройке OpenVPN на MikroTik

Любая настройка openvpn на микротик начинается с криптографии. В отличие от простых протоколов вроде PPTP или L2TP без IPsec, OpenVPN требует строгой аутентификации на основе сертификатов. Это обеспечивает высокий уровень безопасности, но добавляет несколько шагов на старте.

Создание и экспорт сертификатов (CA, Server, Client)

Нам потребуется создать собственный центр сертификации (CA), выпустить сертификат для сервера и сертификат для клиента. Все это можно сделать прямо внутри RouterOS. Откройте терминал вашего роутера и выполните следующие команды.

Сначала создаем корневой сертификат:

certificate add name=ca-template common-name=myca key-usage=key-cert-sign,crl-sign days-valid=3650
certificate sign ca-template name=CA

Процесс подписи может занять пару минут в зависимости от мощности процессора вашего устройства. Далее генерируем сертификат для сервера:

certificate add name=server-template common-name=server key-usage=digital-signature,key-encipherment,tls-server days-valid=3650
certificate sign server-template name=server ca=CA

И, наконец, создаем клиентский сертификат. Если вам нужна mikrotik openvpn client настройка для нескольких устройств, создавайте уникальный сертификат для каждого:

certificate add name=client1-template common-name=client1 key-usage=tls-client days-valid=3650
certificate sign client1-template name=client1 ca=CA

Чтобы mikrotik openvpn сертификаты можно было использовать на сторонних устройствах, их нужно экспортировать. Для клиента нам понадобится сам сертификат, закрытый ключ и корневой сертификат CA:

certificate export-certificate CA export-passphrase=""
certificate export-certificate client1 export-passphrase="your_strong_password"

Файлы появятся в разделе Files, откуда их можно скачать на компьютер.

Настройка IP Pool и PPP профиля

Когда микротик openvpn сервер принимает подключение, он должен выдать клиенту внутренний IP-адрес. Для этого создадим пул адресов. Допустим, наша виртуальная сеть будет использовать подсеть 10.8.0.0/24.

ip pool add name=ovpn-pool ranges=10.8.0.10-10.8.0.100

Теперь свяжем этот пул с профилем PPP. Профиль определяет базовые параметры туннеля, включая локальный адрес роутера в этой виртуальной сети и DNS-серверы.

ppp profile add name=ovpn-profile local-address=10.8.0.1 remote-address=ovpn-pool dns-server=8.8.8.8,1.1.1.1 use-encryption=yes

На этом базовая подготовка завершена. Мы создали криптографический фундамент и логическую структуру для будущих туннелей.

Настройка OpenVPN сервера на MikroTik (RouterOS 7)

С выходом седьмой версии операционной системы многое изменилось. Если раньше пользователи жаловались на отсутствие поддержки UDP, то настройка openvpn mikrotik 7 стала настоящим праздником для сетевиков, так как протокол UDP теперь полностью поддерживается, что радикально снижает задержки (ping) и убирает проблему TCP Meltdown.

Включение OVPN Server Binding и настройка TLS

Переходим к активации самого сервиса. Нам нужно указать профиль, сертификат и порт. Стандартный порт — 1194.

interface ovpn-server server set enabled=yes certificate=server default-profile=ovpn-profile port=1194 protocol=udp require-client-certificate=yes auth=sha256,sha512 cipher=aes128,aes256

Здесь мы жестко задаем mikrotik openvpn tls параметры, требуя от клиентов предъявления сертификата. Это защищает от несанкционированного сканирования портов.

Далее создаем учетную запись (Secrets) для нашего клиента:

ppp secret add name=user1 password=pass1 profile=ovpn-profile service=ovpn

Настройка Firewall и NAT для OpenVPN

Даже самая идеальная mikrotik openvpn server настройка не будет работать, если фаервол блокирует входящие соединения. Нам нужно разрешить трафик на порт 1194.

ip firewall filter add action=accept chain=input dst-port=1194 protocol=udp comment="Allow OpenVPN"

Это правило нужно поднять выше запрещающих правил в цепочке Input.

Чтобы клиенты могли выходить в интернет через ваш роутер или получать доступ к локальной сети, необходимо настроить маскарадинг (NAT) для подсети VPN:

ip firewall nat add action=masquerade chain=srcnat src-address=10.8.0.0/24 comment="NAT for OVPN clients"

Если вы все сделали правильно, ваш openvpn сервер на mikrotik готов к приему входящих соединений.

Настройка OpenVPN клиента на MikroTik

Часто возникает задача, когда нужно настроить openvpn клиент mikrotik для подключения к удаленному офису или стороннему провайдеру. В качестве клиентского устройства отлично подойдет любая модель, например, популярный mikrotik hap openvpn потянет без проблем для небольшого офиса.

Импорт сертификатов и OVPN файла

Если удаленный сервер выдал вам файлы .crt и .key, их нужно загрузить в раздел Files вашего роутера. Затем импортируем их через терминал:

certificate import file-name=CA.crt
certificate import file-name=client.crt
certificate import file-name=client.key

К сожалению, RouterOS не умеет напрямую парсить единый mikrotik openvpn ovpn файл конфигурации, как это делают десктопные приложения. Все параметры нужно вводить руками.

Создаем клиентский интерфейс:

interface ovpn-client add name=ovpn-out1 connect-to=IP_УДАЛЕННОГО_СЕРВЕРА port=1194 user=user1 password=pass1 profile=default certificate=client protocol=udp cipher=aes256 auth=sha256

После включения интерфейса статус должен измениться на connected. Это означает, что микротик настройка openvpn клиента выполнена успешно.

Подключение MikroTik к MikroTik (Site-to-Site)

Один из самых частых сценариев — это openvpn между mikrotik для объединения двух офисов. В этом случае один роутер выступает сервером, а второй — клиентом.

Когда openvpn server mikrotik client соединяются, образуется туннель. Но чтобы компьютеры из офиса А видели компьютеры из офиса Б, недостаточно просто поднять линк. Здесь в игру вступает маршрутизация.

Настройка маршрутизации (Routing) для OpenVPN

Правильная mikrotik routing openvpn конфигурация — это то, на чем спотыкаются 80% новичков. Туннель работает, пинги между адресами 10.8.0.1 и 10.8.0.2 идут, но локальные сети недоступны.

Прописывание статических маршрутов

Допустим, за сервером находится сеть 192.168.1.0/24, а за клиентом — 192.168.2.0/24.
На сервере нужно указать, что сеть клиента находится за туннелем:

ip route add distance=1 dst-address=192.168.2.0/24 gateway=ovpn-user1

На клиенте прописываем обратный маршрут:

ip route add distance=1 dst-address=192.168.1.0/24 gateway=ovpn-out1

Такие mikrotik openvpn routes позволяют пакетам понимать, в какой интерфейс им нужно отправляться.

Доступ к локальной сети за роутером

Помимо маршрутов, убедитесь, что в цепочке Forward вашего Firewall разрешен трафик между локальным интерфейсом (bridge) и интерфейсом OpenVPN.

ip firewall filter add action=accept chain=forward in-interface=ovpn-out1 out-interface=bridge
ip firewall filter add action=accept chain=forward in-interface=bridge out-interface=ovpn-out1

Без этих правил микротик openvpn клиент подключится, но пакеты данных будут отбрасываться политиками безопасности.

Подключение сторонних клиентов к MikroTik OpenVPN

Ваш роутер может обслуживать не только другие маршрутизаторы, но и обычные пользовательские устройства. Рассмотрим, как настроить openvpn на mikrotik для различных операционных систем.

Настройка клиента на Windows

Для интеграции openvpn mikrotik windows вам потребуется скачать официальный клиент с сайта сообщества. Далее необходимо создать конфигурационный файл с расширением .ovpn.

Пример структуры файла:

client
dev tun
proto udp
remote ВАШ_БЕЛЫЙ_IP 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
remote-cert-tls server
cipher AES-256-CBC
auth SHA256
auth-user-pass
redirect-gateway def1

Положите этот файл вместе с сертификатами в папку config программы, и mikrotik openvpn подключение пройдет в один клик.

Настройка клиента на Android

Связка mikrotik openvpn android работает предельно просто. Скачайте приложение OpenVPN Connect из Google Play. Соберите единый .ovpn файл, встроив в него сертификаты с помощью тегов:

<ca>
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
</ca>

Отправьте этот файл на телефон (например, через Telegram в Избранное) и импортируйте в приложение.

Настройка клиента на Ubuntu (Linux)

Для openvpn mikrotik ubuntu процесс сводится к установке пакета через терминал:

sudo apt update
sudo apt install openvpn

Затем поместите ваш .ovpn файл в директорию /etc/openvpn/ и запустите службу:

sudo systemctl start openvpn@имя_вашего_файла

Для проверки статуса используйте команду systemctl status. Если все настроено верно, появится новый сетевой интерфейс tun0.

Интеграция туннеля с Kerio Control

Иногда в корпоративной среде требуется связать разные шлюзы. Связка kerio openvpn вполне жизнеспособна. Kerio Control имеет встроенный VPN-клиент, но он проприетарный. Однако, начиная с определенных версий, Kerio поддерживает стандартные IPsec и сторонние туннели.

Чтобы kerio control openvpn заработал корректно, на стороне MikroTik нужно убедиться, что отключена компрессия (lzo), так как сторонние фаерволы часто с ней конфликтуют. Также строго сверьте алгоритмы шифрования (cipher) на обеих сторонах.

Сравнительная таблица решений для VPN

Чтобы лучше понимать, какой инструмент выбрать для ваших задач, ознакомьтесь с таблицей ниже.

Как видно из таблицы, если ваша цель — объединить офисы, то openvpn через mikrotik — отличный выбор. Но если вам нужен стабильный доступ к заблокированным ресурсам, ComfyVPN выигрывает по всем статьям благодаря современным протоколам обхода DPI.

Практические кейсы

Глоссарий терминов

• CA (Certificate Authority) — центр сертификации. Сущность, которая выпускает и подписывает цифровые сертификаты, подтверждая их подлинность.
• TLS (Transport Layer Security) — криптографический протокол, обеспечивающий защищенную передачу данных между узлами в сети.
• NAT (Network Address Translation) — механизм преобразования IP-адресов транзитных пакетов. Позволяет скрыть локальную сеть за одним публичным IP-адресом.
• Site-to-Site — архитектура VPN-соединения, при которой объединяются две удаленные локальные сети (например, два офиса), а не отдельные пользователи.
• RouterOS — специализированная операционная система на базе ядра Linux, разработанная компанией MikroTik для своих аппаратных маршрутизаторов.
• DPI (Deep Packet Inspection) — технология глубокого анализа сетевых пакетов, используемая провайдерами и регуляторами (РКН) для блокировки специфического трафика.

Часто задаваемые вопросы (FAQ)

Отзывы пользователей

Алексей

Системный администратор

★★★★★

"Долго мучился с настройкой маршрутов между двумя микротиками. Статья очень помогла разобраться с ip route. Наконец-то пинги пошли в обе стороны. Переход на 7 версию ROS и включение UDP реально снизили задержки в туннеле."

Марина

Фрилансер

★★★★★

"Пыталась настроить VPN на домашнем роутере, чтобы обходить блокировки, но провайдер все равно резал скорость. По совету из статьи попробовала ComfyVPN. Это небо и земля! Никаких танцев с бубном, просто скачала приложение, вставила ключ и все летает. Инстаграм и рабочие сервисы открываются мгновенно."

Дмитрий

IT-директор

★★★★☆

"Хороший мануал по генерации сертификатов. Обычно делаю это через Easy-RSA на отдельном Linux-сервере, но функционал встроенного CA в RouterOS оказался вполне рабочим для небольшого филиала. Не хватило только примеров скриптов для автоматического бэкапа сертификатов."

Полезные ссылки для углубленного изучения

Для тех, кто хочет погрузиться в тему еще глубже, рекомендуем ознакомиться с официальной документацией и профильными ресурсами:

1. Официальная документация MikroTik по OpenVPN

   Первоисточник всех команд и параметров.
2. Статья на Wikipedia о протоколе OpenVPN

   Подробный разбор архитектуры и криптографии.
3. Сообщество Habr: Маршрутизация в сетях

   Множество практических кейсов от системных администраторов.
4. Официальный сайт проекта OpenVPN

   Исходные коды, клиенты для всех платформ и новости безопасности.

Заключение