Настройка OpenVPN сервера на MikroTik RouterOS 7 — Пошаговая инструкция

Настройка OpenVPN-сервера на MikroTik (RouterOS 7.x)

Настройка OpenVPN сервера на MikroTik RouterOS 7 — это востребованная задача для администраторов, владельцев малого бизнеса и домашних сетей. С помощью OpenVPN вы можете безопасно подключаться к своей сети из любой точки мира, получать доступ к камерам видеонаблюдения, файлам, 1С и другому оборудованию.

В этой подробной пошаговой инструкции 2026 года мы разберём актуальную настройку OpenVPN-сервера на MikroTik RouterOS 7.x с нуля: создание сертификатов прямо на роутере, правильную работу с PPP Secret, UDP-протокол для максимальной скорости, firewall-правила и экспорт готовых клиентских .ovpn-файлов.

Особое внимание уделено безопасности: использование require-client-certificate=yes, сильной криптографии (AES-256-GCM, SHA512), изоляции клиентов и защите от распространённых ошибок. Инструкция подходит как для начинающих, так и для опытных специалистов, работающих с MikroTik.

Вы узнаете:

  • Как создать и подписать сертификаты CA, сервера и клиентов на MikroTik
  • Как настроить IP Pool, PPP Profile и пользователей
  • Правильную конфигурацию OpenVPN-сервера с push-routes
  • Настройку Firewall для стабильной и безопасной работы
  • Как экспортировать готовый .ovpn-файл для Windows, macOS, Android и iOS
  • Рекомендации по выбору порта и защите от сканирования

После прочтения статьи вы сможете самостоятельно поднять надёжный OpenVPN-сервер на MikroTik RB4011, hEX, L009, CCR и других моделях. Материал постоянно обновляется под актуальные версии RouterOS 7.

Если у вас уже есть опыт настройки OpenVPN на MikroTik RouterOS 6 — переход на 7-ю версию тоже подробно рассмотрен.

OpenVPN на MikroTik поддерживается хорошо, но имеет особенности: даже при использовании сертификатов требуется логин/пароль (PPP Secret). Рекомендуется использовать UDP для производительности и require-client-certificate=yes для максимальной безопасности.

1. Подготовка (важно!)

  • Установите точное время на роутере (NTP):text
    /system ntp client set enabled=yes servers=pool.ntp.org
/system ntp client print
  • Обновите RouterOS до последней стабильной версии.
  • У вас должен быть белый IP или проброшен порт с WAN.

2. Создание сертификатов

Самый надёжный способ — создать всё прямо на MikroTik.

Bash
/certificate
# CA
add name=ovpn-ca common-name=ovpn-ca key-size=4096 days-valid=3650 key-usage=key-cert-sign,crl-sign
sign ovpn-ca ca-crl-host=127.0.0.1

# Серверный сертификат
add name=ovpn-server common-name=ovpn-server key-size=4096 days-valid=1825 \
    key-usage=digital-signature,key-encipherment,tls-server
sign ovpn-server ca=ovpn-ca

# Пример клиентского сертификата (для каждого клиента)
add name=client1 common-name=client1 key-size=2048 days-valid=365 \
    key-usage=digital-signature,key-encipherment,tls-client
sign client1 ca=ovpn-ca

Экспорт сертификатов (для клиентов):

Bash
/certificate
export-certificate ovpn-ca
export-certificate client1 export-passphrase="ваш_пароль_для_ключа"

Файлы появятся в Files (Winbox → Files).

3. IP Pool и PPP Profile

Bash
/ip pool
add name=ovpn-pool ranges=10.8.8.10-10.8.8.100   # ваш диапазон

/ppp profile
add name=ovpn-profile local-address=10.8.8.1 remote-address=ovpn-pool \
    use-encryption=required only-one=yes

4. Пользователи (PPP Secret)

Bash
/ppp secret
add name=client1 password="сильный_пароль" profile=ovpn-profile service=ovpn

5. Настройка OpenVPN Server

Bash
/interface ovpn-server server
add name=ovpn-server \
    certificate=ovpn-server \
    default-profile=ovpn-profile \
    port=1194 \
    protocol=udp \          # или tcp
    mode=ip \
    netmask=24 \
    require-client-certificate=yes \
    auth=sha256,sha512 \
    cipher=aes256-cbc,aes256-gcm \
    disabled=no \
    push-routes="192.168.88.0/24"   # ваша локальная сеть

Можно создать отдельно UDP и TCP серверы на разных портах.

6. Firewall (обязательно!)

Bash
/ip firewall filter
# Разрешить входящие подключения
add chain=input action=accept protocol=udp dst-port=1194 comment="OpenVPN UDP"
add chain=input action=accept protocol=tcp dst-port=1194 comment="OpenVPN TCP"

# Разрешить трафик от клиентов в LAN
add chain=forward action=accept src-address=10.8.8.0/24 dst-address=192.168.88.0/24 \
    comment="VPN -> LAN"
add chain=forward action=accept src-address=192.168.88.0/24 dst-address=10.8.8.0/24 \
    comment="LAN -> VPN"

Поставьте эти правила выше drop-правил.

7. Экспорт клиентской конфигурации (.ovpn)

MikroTik умеет сам генерировать конфиг (RouterOS 7):

Bash
/interface ovpn-server server export-client-configuration \
    server=ovpn-server \
    server-address=ваш_публичный_IP_или_DDNS \
    ca-certificate=ovpn-ca.crt \
    client-certificate=client1.crt \
    client-cert-key=client1.key

Или соберите вручную (рекомендуется):

ovpn

client dev tun proto udp remote ваш.ddns.net 1194 resolv-retry infinite nobind persist-key persist-tun remote-cert-tls server auth SHA512 cipher AES-256-GCM verb 3 <ca> ... содержимое ovpn-ca.crt ... </ca> <cert> ... содержимое client1.crt ... </cert> <key> ... содержимое client1.key ... </key> auth-user-pass

Полезные команды для проверки

Bash
/interface ovpn-server print
/ppp active print
/log print where topics~="ovpn|ppp"
/certificate print

Рекомендации по безопасности

  • Используйте UDP 1194 или нестандартный порт (например 443 TCP).
  • Включайте require-client-certificate=yes.
  • Делайте сильные пароли + уникальные сертификаты на клиента.
  • Для изоляции клиентов друг от друга добавьте drop-правило в forward между VPN-подсетью.

Если нужно site-to-site (роутер-роутер) — настройка похожа, но используйте статические интерфейсы /interface ovpn-server.

Хотите готовый скрипт под вашу подсеть или помощь с конкретной проблемой — пишите!

Установка и настройка OpenVPN-клиента (для подключения к серверу на MikroTik RouterOS 7)

1. Windows 10 / 11

Рекомендуемый способ — официальный клиент OpenVPN

  • Скачайте клиент:
  • Установите программу (во время установки разрешите установку TAP-драйвера).
  • Скопируйте ваш файл конфигурации client1.ovpn в папку:text
    C:\Program Files\OpenVPN\config\
  • Запустите OpenVPN GUI от имени администратора.
  • В трее правой кнопкой по иконке → Connect.
  • Введите логин и пароль (из /ppp secret на MikroTik).

Альтернатива (удобнее): OpenVPN Connect (графическая программа)

  • Скачайте из Microsoft Store или с сайта openvpn.net
  • Импортируйте .ovpn файл прямо в программу.

2. Linux (Ubuntu / Debian / Linux Mint)

Способ A — Через терминал (рекомендуется)

Bash
# Обновление системы
sudo apt update && sudo apt upgrade -y

# Установка OpenVPN
sudo apt install openvpn -y

Запуск клиента:

Bash
# Скопируйте конфиг в нужную папку
sudo cp ~/client1.ovpn /etc/openvpn/client/

# Запуск в фоне
sudo openvpn --config /etc/openvpn/client/client1.ovpn --daemon

Автозагрузка при старте системы:

Bash
sudo systemctl enable --now openvpn-client@client1

(где client1 — имя файла без расширения .ovpn)

Способ B — Через Network Manager (графический интерфейс)

Bash
sudo apt install network-manager-openvpn network-manager-openvpn-gnome -y

Затем:

  • Параметры системы → Сеть → VPN → Добавить (+)
  • Выберите OpenVPN
  • Импортируйте ваш .ovpn файл
  • Введите логин и пароль
  • Сохраните и подключитесь

3. Важные моменты для обоих ОС

Файл конфигурации (client1.ovpn) должен содержать:

ovpn

client dev tun proto udp remote ваш_домен_или_IP 1194 resolv-retry infinite nobind persist-key persist-tun remote-cert-tls server auth SHA512 cipher AES-256-GCM verb 3 auth-user-pass <ca> ...содержимое ovpn-ca.crt... </ca> <cert> ...содержимое client1.crt... </cert> <key> ...содержимое client1.key... </key>

Проверка подключения:

Bash
ip addr show tun0
ping 10.8.8.1          # IP MikroTik в VPN

Полезные команды Linux

Bash
# Посмотреть статус
sudo systemctl status openvpn-client@client1

# Перезапустить
sudo systemctl restart openvpn-client@client1

# Логи
journalctl -u openvpn-client@client1 -f