在当今数字化办公和远程访问日益普及的背景下,使用 MikroTik 路由器搭建安全可靠的 OpenVPN 服务已成为许多中小型企业和家庭用户的首选方案,MikroTik 的 RouterOS 系统功能强大、灵活且稳定,支持多种加密协议,是构建私有网络隧道的理想平台,本文将详细介绍如何在 MikroTik 路由器上配置 OpenVPN 服务器,包括证书生成、接口设置、防火墙规则和客户端连接步骤,帮助你快速实现安全远程访问。
第一步:准备工作
确保你有一台运行 RouterOS 的 MikroTik 设备(如 hAP ac²、RB4011 或其他型号),并能通过 WinBox 或 WebFig 连接管理界面,建议提前备份配置,并确认路由器已连接互联网,以便后续下载必要的证书工具。
第二步:生成证书(CA、Server 和 Client)
OpenVPN 使用 TLS 加密,因此必须先创建数字证书,在 MikroTik 中,我们使用内置的证书管理器来生成 CA 根证书、服务器证书和客户端证书:
- 打开 WinBox → Certificate → New
- 类型:CA
- Common Name: “MyCompany-CA”
- 有效期:3650 天(10 年)
- 创建服务器证书:
- 类型:Server
- Common Name: “server.mycompany.com”(或你的公网IP)
- CA:选择刚才创建的 CA
- 创建客户端证书(可为多个客户端分别生成):
- 类型:Client
- Common Name: “client1”
- CA:选择同一 CA
生成完成后,导出 CA 证书(用于客户端导入)和客户端证书/私钥文件(用于客户端配置)。
第三步:配置 OpenVPN 服务器
进入 Interface → OpenVPN → Server,点击“+”新建一个 OpenVPN 服务器实例:
- Interface:选择一个虚拟接口(如 “openvpn-server”)
- Local Address:192.168.100.1(分配给客户端的网关)
- Remote Address:192.168.100.0/24(客户端子网)
- Port:1194(默认端口,可更改)
- TLS Authentication:启用,选择之前生成的 tls-auth.key(需额外生成)
- Certificates:选择刚创建的 server 证书
- Cipher:AES-256-CBC(推荐)
- Auth:SHA256(推荐)
第四步:配置 NAT 和防火墙规则
为了让客户端能访问内网资源,需配置 NAT 规则:
- IP → Firewall → NAT:添加一条规则,源地址为 192.168.100.0/24,动作为 masquerade
- IP → Firewall → Filter:允许从 OpenVPN 接口进来的流量(如 ICMP、DNS、HTTP 等)
第五步:客户端连接配置
在 Windows / macOS / Android 上安装 OpenVPN 客户端,导入以下文件:
- ca.crt(来自 CA)
- client1.crt(客户端证书)
- client1.key(客户端私钥)
- tls-auth.key(TLS 密钥,需手动创建并导入)
在 OpenVPN 配置文件中指定服务器 IP、端口和协议(TCP 或 UDP),保存后即可连接。
通过以上步骤,你就可以在 MikroTik 上成功部署一个安全、稳定的 OpenVPN 服务器,实现远程访问内部网络资源,同时具备良好的性能和扩展性,适合中小企业用于员工远程办公、家庭用户访问 NAS 或摄像头等场景,建议定期更新证书和固件以保障安全性。
VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN
