作为网络工程师,在企业或家庭环境中,远程访问内网资源已成为刚需,而OpenVPN因其开源、跨平台、安全性高,成为主流选择之一,如果你使用的是MikroTik的RouterOS(ROS),那么恭喜你,它原生支持OpenVPN服务端配置,无需额外硬件或软件,本文将详细介绍如何在RouterOS中搭建一个稳定、安全的OpenVPN服务器,实现设备远程安全接入内网。
确保你的ROS版本为6.40及以上,因为早期版本对OpenVPN的支持存在局限,登录到你的路由器Web界面(WinBox或Browser)后,进入“IP > OpenVPN”菜单,点击“+”新建一个OpenVPN服务器实例。
第一步是生成证书和密钥,强烈建议使用PKI(公钥基础设施)体系来保障通信安全,你可以通过内置的Certificate Manager(证书管理器)创建CA证书、服务器证书和客户端证书,具体步骤如下:
-
创建CA(证书颁发机构):
- 在“Certificates”中点击“+”,设置Common Name为“CA”,选择“CA”类型,保留默认加密算法(如RSA 2048位)。
- 签发完成后,CA证书会出现在列表中。
-
创建服务器证书:
- 新建证书,Common Name设为“server”,选择“Server”类型,关联刚才创建的CA证书。
- 同样,生成客户端证书用于连接,Common Name可设为“client1”,类型选“Client”。
第二步是配置OpenVPN服务器参数:
- 在“IP > OpenVPN > Server”中,填写以下关键字段:
- Interface:选择用于OpenVPN的接口(建议创建专用桥接或VLAN);
- Port:默认1194,可根据需要更改;
- TLS Authentication:启用并生成TLS密钥文件(增强防伪造攻击能力);
- Certificate:选择刚刚创建的服务器证书;
- Cipher:推荐AES-256-CBC;
- Auth:SHA256;
- User Database:可选本地用户数据库或RADIUS认证;
- Local Address:分配给客户端的IP段,例如10.10.10.0/24;
- Remote Address:可选指定客户端公网IP范围(用于静态分配);
第三步是配置防火墙规则:
- 在“IP > Firewall > Filter Rules”中添加允许OpenVPN流量的规则,放行UDP 1194端口;
- 如果你希望客户端能访问内网资源,还需在“NAT”中添加MASQUERADE规则,使客户端通过路由器访问外网;
- 更进一步,可以限制特定客户端只能访问某个子网(如只允许访问办公网192.168.10.0/24)。
第四步是客户端配置:
- 下载客户端证书、CA证书和TLS密钥到客户端设备;
- 使用OpenVPN GUI(Windows)或Linux命令行工具(如openvpn命令)配置连接文件(.ovpn),内容包括:
client dev tun proto udp remote your-router-ip 1194 ca ca.crt cert client1.crt key client1.key tls-auth ta.key 1 cipher AES-256-CBC auth SHA256
最后一步是测试与日志监控:
- 连接成功后,客户端应获得10.10.10.x地址,并可通过ping或SSH访问内网资源;
- 使用“Log”查看OpenVPN连接日志,排查认证失败、证书过期等问题;
- 定期更新证书有效期(建议每1年更换一次),避免因证书失效导致连接中断。
在RouterOS中开启OpenVPN不仅操作简便,而且性能优异,特别适合中小型网络环境,掌握这一技能,意味着你可以在不依赖第三方云服务的情况下,构建自主可控的安全远程访问体系,对于运维人员而言,这是必备的实战能力之一,安全无小事——合理配置证书、定期审计、最小权限原则,才能真正筑牢网络防线。
半仙加速器-海外加速器|VPN加速器|vpn翻墙加速器|VPN梯子|VPN外网加速
