Open VPN MikroTik: повне покрокове налаштування для сервера і клієнтів (MikroTik & Windows)

Open VPN MikroTik дозволяє безпечно підключати віддалених користувачів або об’єднувати офіси в єдину мережу. На сьогодні OpenVPN — один з найбільш захищених і гнучких стандартів для MikroTik. Тут наведено сучасне покрокове налаштування з прикладами для WinBox, терміналу та інструкціями для обох типів клієнтів.

Серверна частина: Open VPN MikroTik – сервер

Крок 1. Генерація сертифікатів на MikroTik

Для роботи OpenVPN на MikroTik необхідно створити власний центр сертифікації (CA) та серверний сертифікат із ключем. Це забезпечить шифрування трафіку і підтвердження справжності сервера.

Пояснення

Сертифікат CA буде підписувати сертифікати сервера та клієнтів. На MikroTik ця процедура виконується через вбудований інструмент «Certificates». Після генерації цих сертифікатів, сервер зможе безпечно приймати підключення, а клієнти — автентифікуватись.

Порядок створення через WinBox:

1. Створіть CA (Certificate Authority):

Перейдіть у меню System → Certificates → натисніть Add (+) → оберіть NEW (Create Certificate Request).

Заповніть поля:

Вкладка General → Name: MyCA (назва Центру сертифікації)
Common Name: MyCA
Key Size: 2048 або 4096
Days Valid: 3650 (10 років)
Вкладка Key Usage: позначте key-cert-sign, crl-sign

Збережіть і натисніть Sign. У вікні підпису:

Certificate: оберіть MyCA
CA: оберіть MyCA (підписуємо сам себе)

2. Створіть серверний сертифікат:

Натисніть Add (+) → Create Certificate Request.

Заповніть поля:

Name: server
Common Name: ваш публічний IP або домен сервера (наприклад, vpn.example.com)
Key Size: 2048 або 4096
Days Valid: 3650
Key Usage: відмітьте digital-signature, key-encipherment, tls-server

Збережіть, потім виберіть створений запит server і натисніть Sign:

Certificate: server
CA: MyCA

3. Створіть клієнтський сертифікат:

Натисніть Add (+) → Create Certificate Request.

Заповніть поля:

Name: client1 (унікальна назва для кожного клієнта)
Common Name: client1
Key Size: 2048 або 4096
Days Valid: 3650
Key Usage: відмітьте tls-client

Збережіть, виберіть client1 і натисніть Sign:

Certificate: client1
CA: MyCA

Повторіть крок 3 для кожного додаткового клієнта (client2, client3 тощо).

Крок 2. Експорт сертифікатів для клієнтів

Навіщо: Клієнтські пристрої (Windows, Linux, інші MikroTik) потребують файлів сертифікатів для підключення.

WinBox:

System → Certificates → виберіть CA (MyCA) → натисніть Export
- File Name: ca
- Export Passphrase: залиште порожнім (або задайте пароль)
- Натисніть Export
Виберіть client1 → натисніть Export
- File Name: client1
- Export Passphrase: обов’язково задайте пароль для захисту приватного ключа
- Натисніть Export
Перейдіть у Files — там з’являться файли:
- ca.crt (публічний сертифікат CA)
- client1.crt (публічний сертифікат клієнта)
- client1.key (приватний ключ клієнта, зашифрований паролем)
Завантажте ці файли на свій комп’ютер через WinBox (перетягніть з вікна Files) або через FTP/SFTP.

Термінал:

/certificate export-certificate ca export-passphrase=""
/certificate export-certificate client1 export-passphrase="ВАШ_ПАРОЛЬ"

Крок 3. Створення пулу IP-адрес

Навіщо: Створює діапазон IP, що отримуватимуть клієнти у VPN.

WinBox:
IP → Pool → Add
Name: openvpn-pool
Ranges: 10.10.10.2-10.10.10.50

Крок 4. Створення профілю PPP

Навіщо: Формує налаштування тунелю – локальна та віддалена IP-адреса, пул.

WinBox:
PPP → Profiles → Add → Name: openvpn-profile
Local Address: 10.10.10.1
Remote Address: openvpn-pool

Крок 5. Активація OpenVPN-сервера

Навіщо: Вмикає сервер, призначає порт, сертифікат та профіль.

PPP → Interface → OVPN Server
✓ Enabled
Default Profile: openvpn-profile
Certificate: server
Port: 1194
Protocol: tcp
Require Client Certificate: yes
Auth: sha256
Cipher: aes256-cbc або aes256-gcm (якщо підтримується)

Крок 6. Додавання користувача

Навіщо: Кожний користувач має свій логін та пароль для підключення.

PPP → Secrets → Add
Name: vpnuser1
Password: StrongPassword123!
Service: ovpn
Profile: openvpn-profile

Крок 7. Firewall

Навіщо: Відкриває доступ до порту OpenVPN для зовнішніх клієнтів.

IP → Firewall → Filter Rules → Add
Chain: input
Protocol: tcp
Dst. Port: 1194
Action: accept
Comment: Allow OpenVPN
Розмістіть це правило ПЕРЕД правилами, що блокують вхідні з’єднання!!!

Крок 8. Маскарад та доступ до локальної мережі

IP → Firewall → NAT → +
IP → Firewall → NAT → Add
Chain: srcnat
Src. Address: 10.10.10.0/24 (мережа VPN)
Out. Interface: ether1 (ваш WAN-інтерфейс)
Action: masquerade
Comment: VPN to Internet

Доступ VPN-клієнтів до локальної мережі (LAN):

Варіант 1 – Proxy ARP (простіше):

Interfaces → Bridge → ваш bridge → ARP → proxy-arp

Термінал:

/interface bridge set bridge arp=proxy-arp

Варіант 2 – Маршрутизація (краще для складних мереж):

Якщо ваша LAN, наприклад, 192.168.88.0/24, додайте маршрут на сервері:

/ip route add dst-address=192.168.88.0/24 gateway=10.10.10.1

На клієнтах (якщо MikroTik) також додайте маршрут до LAN сервера.

Клієнтська частина: MikroTik та Windows як клієнти OpenVPN

A. MikroTik як клієнт OpenVPN

1. Імпорт сертифікатів

Завантажте файли ca.crt, client1.crt, client1.key на клієнтський MikroTik.

WinBox:

Files → перетягніть файли у вікно Files
System → Certificates → Import → виберіть ca.crt → Import
System → Certificates → Import → виберіть client1.crt → Import
System → Certificates → Import → виберіть client1.key → введіть пароль експорту → Import

Термінал:

/certificate import file-name=ca.crt
/certificate import file-name=client1.crt
/certificate import file-name=client1.key passphrase="ВАШ_ПАРОЛЬ"

2. Створення OVPN Client інтерфейсу

WinBox:

PPP → Interface → Add → OVPN Client
Name: ovpn-client1
Connect To: ПУБЛІЧНИЙ_IP_СЕРВЕРА (або домен)
Port: 1194
Mode: ip
User: vpnuser1
Password: StrongPassword123!
Certificate: client1.crt_0 (або як відображається після імпорту)
Auth: sha256
Cipher: aes256-cbc
Profile: default
✓ Add Default Route: no (якщо не хочете весь трафік через VPN)

Термінал:

/interface ovpn-client add name=ovpn-client1 \
    connect-to=ПУБЛІЧНИЙ_IP_СЕРВЕРА \
    port=1194 \
    mode=ip \
    user=vpnuser1 \
    password=StrongPassword123! \
    certificate=client1.crt_0 \
    auth=sha256 \
    cipher=aes256-cbc \
    add-default-route=no

3. Маршрутизація (опційно)

Якщо потрібен доступ до LAN сервера (192.168.88.0/24):

WinBox:

IP → Routes → Add
Dst. Address: 192.168.88.0/24
Gateway: ovpn-client1

Термінал:

/ip route add dst-address=192.168.88.0/24 gateway=ovpn-client1

4. NAT для локальних клієнтів (якщо MikroTik — шлюз):

WinBox:

IP → Firewall → NAT → Add
Chain: srcnat
Out. Interface: ovpn-client1
Action: masquerade

Термінал:

/ip firewall nat add chain=srcnat out-interface=ovpn-client1 action=masquerade

B. Windows як клієнт OpenVPN

1. Встановлення OpenVPN GUI

Завантажте з офіційного сайту: https://openvpn.net/community-downloads/

Встановіть програму як звичайно.

2. Підготовка файлів конфігурації

Знайдіть теку конфігурацій OpenVPN (зазвичай C:\Program Files\OpenVPN\config\).

Помістіть туди файли:

ca.crt
client1.crt
client1.key
client1.ovpn (конфігураційний файл, створіть його)

3. Створення файлу client1.ovpn

Базова конфігурація (лише доступ до VPN-мережі):

client
dev tun
proto tcp
remote ВАШ_ПУБЛІЧНИЙ_IP_СЕРВЕРА 1194
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
cipher AES-256-CBC
auth SHA256
verb 3

# Автентифікація
auth-user-pass

# Сертифікати
ca ca.crt
cert client1.crt
key client1.key

# Маршрути (опційно - доступ до LAN сервера)
route 192.168.88.0 255.255.255.0

Конфігурація з перенаправленням всього трафіку через VPN:

client
dev tun
proto tcp
remote ВАШ_ПУБЛІЧНИЙ_IP_СЕРВЕРА 1194
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
cipher AES-256-CBC
auth SHA256
verb 3

# Автентифікація
auth-user-pass

# Сертифікати
ca ca.crt
cert client1.crt
key client1.key

# ВЕСЬ ТРАФІК ЧЕРЕЗ VPN
redirect-gateway def1

# DNS сервери VPN
dhcp-option DNS 10.10.10.1

4. Створення файлу auth.txt (опційно)

Щоб не вводити логін/пароль щоразу, створіть файл auth.txt у тій же теці:

vpnuser1
StrongPassword123!

І змініть рядок у client1.ovpn:

auth-user-pass auth.txt

ВАЖЛИВО: Захистіть цей файл від несанкціонованого доступу!

5. Підключення

Запустіть OpenVPN GUI від імені адміністратора
У системному треї з’явиться іконка OpenVPN
Клацніть правою кнопкою → оберіть client1 → Connect
Введіть логін та пароль (якщо не створили auth.txt)
Іконка стане зеленою при успішному підключенні

Перевірка підключення

На сервері MikroTik:

WinBox: PPP → Interface — активні підключення відображаються зі статусом R (Running)

Термінал:

/interface ovpn-server print
/ppp active print

На клієнті:

Windows: ipconfig — має з’явитися адаптер з IP 10.10.10.x

MikroTik: /interface ovpn-client print або /ip address print

Тест з’єднання:

ping 10.10.10.1

Troubleshooting (Вирішення проблем)

Проблема: Клієнт не може підключитися

Рішення:

Перевірте, чи відкритий порт 1194/TCP на фаєрволі сервера
Перевірте правильність IP-адреси/домену сервера
Переконайтеся, що логін/пароль введені правильно
Перевірте логи: /log print where topics~"ovpn"

Проблема: Підключення встановлюється, але немає доступу до мережі

Рішення:

Перевірте NAT-правила на сервері
Перевірте маршрутизацію (IP → Routes)
Переконайтеся, що Proxy-ARP увімкнено або є відповідні маршрути

Проблема: Повільна швидкість VPN

Рішення:

Спробуйте змінити cipher на більш швидкий (aes128-cbc)
Перевірте завантаження CPU на MikroTik
Розгляньте використання апаратного шифрування (якщо підтримується)

Висновки

Налаштування OpenVPN на MikroTik дозволяє гнучко, безпечно та масштабовано організовувати доступ до мережі для віддалених співробітників чи об’єднувати офіси. Дотримання сучасних норм криптографії й сегментація акаунтів забезпечують високий рівень захищеності та керованості.

Матеріал актуальний для RouterOS v7 та Windows 10/11

0 0 votes

Rating