在现代企业网络和远程办公场景中,虚拟私人网络(VPN)已成为保障数据传输安全、实现跨地域访问的关键技术,MikroTik 是一款功能强大且价格实惠的网络设备品牌,其 RouterOS 系统支持多种类型的 VPN 协议,如 PPTP、L2TP/IPsec、OpenVPN 和 WireGuard,本文将详细介绍如何使用 MikroTik 路由器搭建一个稳定、安全且易于管理的 OpenVPN 服务,适用于中小型企业或家庭用户。
第一步:准备工作
确保你有一台运行 RouterOS 的 MikroTik 设备(如 hAP ac²、RB4011 或更高级型号),并拥有管理员权限,通过 WinBox 或 WebFig 连接到路由器,并确认已分配静态公网 IP 地址(或使用动态 DNS 服务,如 DuckDNS),建议为 OpenVPN 配置专用端口(1194),避免与其他服务冲突。
第二步:生成证书与密钥(使用 OpenSSL)
OpenVPN 基于 TLS/SSL 加密,需创建 CA 根证书、服务器证书和客户端证书,可在 Linux 主机或 Windows 上安装 OpenSSL 工具执行以下步骤:
-
初始化证书颁发机构(CA):
openssl req -new -x509 -days 3650 -keyout ca.key -out ca.crt
-
生成服务器证书:
openssl req -new -keyout server.key -out server.csr openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 3650
-
生成客户端证书(每个客户端需单独生成):
openssl req -new -keyout client.key -out client.csr openssl x509 -req -in client.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out client.crt -days 3650
完成后,将 ca.crt、server.crt、server.key 和 dh.pem(Diffie-Hellman 参数)上传至 MikroTik 的文件系统(可通过 FTP 或 WinBox 的“Files”模块)。
第三步:配置 OpenVPN 服务器
进入 MikroTik 的 /interface ovpn-server 菜单,添加新服务:
- 设置监听端口(如 1194)
- 启用 TLS 模式(TLS 1.2)
- 选择证书文件(ca.crt、server.crt、server.key)
- 配置加密方式(推荐 AES-256-CBC)
- 设置 DHCP 地址池(如 10.8.0.100–10.8.0.200)
第四步:设置防火墙规则
确保允许 OpenVPN 流量通过:
/ip firewall filter add chain=input protocol=udp dst-port=1194 action=accept /ip firewall nat add chain=srcnat out-interface=ether1 src-address=10.8.0.0/24 action=masquerade
第五步:客户端配置
客户端需安装 OpenVPN 客户端软件(如 OpenVPN Connect),导入生成的 client.ovpn 文件,内容包含服务器地址、证书路径、加密参数等,连接后即可安全访问内网资源。
优势总结:
MikroTik 的 OpenVPN 实现轻量高效,支持多用户并发、按需分配 IP、日志记录和细粒度 ACL 控制,相比云服务商的第三方方案,本地部署更具成本效益和隐私保护能力。
通过以上步骤,你可以在 MikroTik 上构建一个企业级安全通道,满足远程办公、分支机构互联、物联网设备加密通信等多种需求,记住定期更新证书和固件,以应对潜在安全威胁。
VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN
