Настройка сервера OpenVPN на MikroTik RouterOS: полный практический гайд

OpenVPN — это надёжный и проверенный временем VPN-протокол, который позволяет организовать защищённый удалённый доступ к локальной сети. MikroTik RouterOS поддерживает OpenVPN в режиме сервера начиная с версии 6.x (TCP), а с версии 7+ — также и UDP, но с рядом архитектурных ограничений:

• обязательная аутентификация по логину/паролю даже при использовании сертификатов;
• ограниченный список шифров и алгоритмов;
• отсутствие некоторых возможностей «классического» OpenVPN.

Несмотря на это, OpenVPN на MikroTik остаётся востребованным решением — особенно в сценариях, где клиенты не поддерживают WireGuard или требуется совместимость со старыми системами.

В этой статье разобрана полная настройка OpenVPN-сервера на MikroTik RouterOS:

• с использованием собственного CA и клиентских сертификатов;
• с поддержкой UDP и TCP;
• с изоляцией VPN-клиентов друг от друга;
• с доступом к локальной сети;
• с примерами диагностики и отладки.

⚠️ Все приведённые ниже IP-адреса, имена пользователей и пароли являются тестовыми. Никогда не используйте их в боевой среде.

Предполагаемая топология

• Локальная сеть (LAN): 192.168.11.0/24

• Пул адресов для VPN-клиентов: 10.222.60.0/24

• OpenVPN-сервер:

  • порт 1199
  • протоколы: UDP и TCP

Шаг 1: Создание сертификатов

OpenVPN использует TLS-шифрование, поэтому требуется собственный центр сертификации (CA), сертификат сервера и клиентские сертификаты.

/certificate
add name=ovpn-ca common-name=ovpn-ca key-size=4096 days-valid=3650 key-usage=key-cert-sign,crl-sign
sign ovpn-ca ca-crl-host=127.0.0.1

add name=ovpn-server common-name=ovpn-server key-size=4096 days-valid=1825 \
    key-usage=digital-signature,key-encipherment,tls-server
sign ovpn-server ca=ovpn-ca

# Клиентские сертификаты
add name=testuser1-cert common-name=testuser1 key-usage=tls-client days-valid=365
sign testuser1-cert ca=ovpn-ca

add name=testuser2-cert common-name=testuser2 key-usage=tls-client days-valid=365
sign testuser2-cert ca=ovpn-ca

Экспорт сертификатов:

# Экспорт CA
export-certificate ovpn-ca

# Экспорт клиентских сертификатов с паролем
export-certificate testuser1-cert export-passphrase="TestExportPass2025!"
export-certificate testuser2-cert export-passphrase="TestExportPass2025!"

Файлы появятся в /files. Их можно скачать через Winbox → Files или по FTP.

Шаг 2: Создание пула IP-адресов для VPN-клиентов

/ip pool
add name=ovpn-pool ranges=10.222.60.10-10.222.60.200

Шаг 3: PPP-профиль для OpenVPN

/ppp profile
add name=ovpn-profile \
    local-address=10.222.60.1 \
    remote-address=ovpn-pool \
    use-encryption=required \
    only-one=yes

• local-address — IP MikroTik внутри VPN;
• remote-address — пул адресов клиентов;
• only-one=yes — один активный сеанс на пользователя.

Шаг 4: Настройка OpenVPN-сервера (UDP и TCP)

В RouterOS v7+ OpenVPN настраивается как интерфейс.

/interface ovpn-server server
add name=ovpn-udp \
    auth=sha1,md5,sha256,sha512 \
    certificate=ovpn-server \
    cipher=aes128-cbc,blowfish128 \
    default-profile=ovpn-profile \
    disabled=no \
    port=1199 \
    protocol=udp \
    require-client-certificate=yes \
    netmask=24 \
    mode=ip \
    keepalive-timeout=60 \
    max-mtu=1500 \
    push-routes=192.168.11.0/24

add name=ovpn-tcp \
    auth=sha1,md5,sha256,sha512 \
    certificate=ovpn-server \
    cipher=aes128-cbc,blowfish128 \
    default-profile=ovpn-profile \
    disabled=no \
    port=1199 \
    protocol=tcp \
    require-client-certificate=yes \
    netmask=24 \
    mode=ip \
    keepalive-timeout=60 \
    max-mtu=1500 \
    push-routes=192.168.11.0/24

Шаг 5: Настройка firewall

Разрешение входящих подключений

/ip firewall filter
add chain=input protocol=udp dst-port=1199 action=accept comment="OpenVPN UDP"
add chain=input protocol=tcp dst-port=1199 action=accept comment="OpenVPN TCP"

Forward-правила и изоляция клиентов

/ip firewall filter
add chain=forward connection-state=established,related action=accept comment="Established/Related"

add chain=forward src-address=10.222.60.0/24 dst-address=192.168.11.0/24 \
    action=accept comment="VPN -> LAN"

add chain=forward src-address=192.168.11.0/24 dst-address=10.222.60.0/24 \
    action=accept comment="LAN -> VPN"

add chain=forward src-address=10.222.60.0/24 dst-address=10.222.60.0/24 \
    action=drop comment="Изоляция VPN-клиентов"

Шаг 6: Создание пользователей (PPP secrets)

⚠️ RouterOS всегда требует логин/пароль для OpenVPN.

/ppp secret
add name=testuser1 password="TestPass#2025!" profile=ovpn-profile service=ovpn
add name=testuser2 password="TestPass#2025!" profile=ovpn-profile service=ovpn

Шаг 7: Отзыв сертификата и удаление пользователя

/certificate revoke testuser1-cert
/ppp secret remove [find name="testuser1"]

Клиентская конфигурация (.ovpn)

client
dev tun
proto udp        # или tcp
remote YOUR_PUBLIC_IP 1199
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
cipher AES-128-CBC
auth SHA512
verb 3

<ca>
--- содержимое ovpn-ca.crt ---
</ca>

<cert>
--- содержимое testuser1-cert.crt ---
</cert>

<key>
--- содержимое testuser1-cert.key ---
</key>

auth-user-pass

Поддерживается клиентами:

• OpenVPN Connect
• Viscosity
• Tunnelblick

Диагностика и отладка

Включение логирования

/system logging
add topics=ovpn action=memory
add topics=ovpn,debug action=memory

/log print where topics~"ovpn"

Проверка подключений

/interface ovpn-server print
/ppp active print

Тестирование сети

/ping 10.222.60.XX
/tool traceroute 8.8.8.8 interface=ovpn-udp

С клиента:

• ping 10.222.60.1
• ping 192.168.11.1

Частые проблемы

• Нет подключения — firewall, порт, NAT, время на роутере (NTP).
• Ошибка аутентификации — сертификат или пароль.
• Нет доступа к LAN — push-routes и forward.
• Клиенты не видят друг друга — правило изоляции работает корректно.

Заключение

Данная конфигурация реализует двойную аутентификацию (сертификат + логин/пароль), сегментацию клиентов и контролируемый доступ к LAN. Для максимальной производительности рекомендуется использовать UDP.

Если требуется более современная криптография и меньшая нагрузка на CPU, имеет смысл рассмотреть WireGuard как альтернативу.

Удачной настройки и стабильных туннелей.