作为网络工程师,我经常遇到客户或企业需要在路由器上部署安全的远程访问机制,使用RouterOS(MikroTik的专有操作系统)搭建一个稳定、可扩展的VPN服务是一个常见且高效的选择,本文将详细介绍如何在ROS中开启并配置OpenVPN服务器,以实现对内网资源的安全远程访问。
确保你的设备满足基本条件:一台运行RouterOS的MikroTik路由器(如hAP ac²、CPE系列等),具备公网IP地址(或通过DDNS绑定动态IP),以及已配置好基础网络(如LAN、WAN接口),建议你熟悉WinBox或CLI命令行操作。
第一步:生成证书和密钥
这是OpenVPN认证的核心步骤,我们使用EasyRSA工具(ROS自带集成)来创建CA证书、服务器证书和客户端证书,登录WinBox后,进入“System > Certificates”,点击“+”新建证书:
- CA证书:设置名称为“ca-cert”,类型选择“CA”, 有效期10年;
- 服务器证书:名称为“server-cert”,类型“Server”,关联上述CA;
- 客户端证书:名称为“client-cert”,类型“Client”,同样关联CA。
完成证书生成后,保存这些文件(特别是私钥和公钥)用于后续配置。
第二步:配置OpenVPN服务器
进入“Interface > OpenVPN Server”,点击“+”添加新服务:
- 设置监听端口(默认1194);
- 绑定到WAN接口(若有多网卡请确认外网接口);
- 启用TLS认证(启用“Use TLS”选项);
- 在“Certificate”字段中选择刚创建的“server-cert”;
- 勾选“Allow Client to Connect via TCP”(推荐TCP 443端口用于绕过防火墙限制);
- 配置子网池(如192.168.100.0/24),用于分配给连接的客户端IP;
- 选择加密方式(如AES-256-CBC + SHA256);
- 启用“Push Routes”以让客户端能访问局域网资源(如192.168.1.0/24)。
第三步:配置防火墙规则
为了允许外部访问OpenVPN端口,需在“Firewall > Filter Rules”中添加入站规则:
- Protocol: UDP/TCP(根据你选择的协议);
- Destination Port: 1194(或自定义端口);
- Action: Accept;
- Chain: Input;
- Interface: WAN(或具体接口名)。
在“NAT”中配置DNAT规则,将公网IP的1194端口映射到路由器本地的OpenVPN端口(如果使用非标准端口需额外处理)。
第四步:测试与客户端配置
将客户端证书和CA证书打包发送给用户,并提供配置文件(.ovpn格式),示例配置如下:
client
dev tun
proto udp
remote your-public-ip 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client-cert.crt
key client-key.pem
tls-auth ta.key 1
cipher AES-256-CBC
auth SHA256
verb 3使用OpenVPN客户端连接测试,若一切正常,客户端将获得一个私有IP(如192.168.100.2),并能访问内部网络资源(如NAS、打印机、管理页面等)。
通过以上步骤,你可以成功在ROS中部署一个基于OpenVPN的VPN服务,实现安全、灵活的远程接入,此方案适用于小型办公、家庭网络或远程运维场景,记住定期更新证书、监控日志、优化性能,是保障长期稳定运行的关键。
半仙加速器-海外加速器|VPN加速器|vpn翻墙加速器|VPN梯子|VPN外网加速
