Biztonságos kapcsolat bárhonnan: OpenVPN beüzemelése MikroTik routeren, a teljes útmutató

A mai digitális világban a távoli munkavégzés, az utazás közbeni biztonságos hozzáférés, vagy egyszerűen csak a magánhálózatunk védelme alapvető szükségletté vált. Egy VPN (Virtuális Magánhálózat) létfontosságú eszköz ehhez, és ha van egy MikroTik routere, akkor már félúton jár egy robusztus és megbízható megoldás kiépítéséhez. Ebben az átfogó útmutatóban lépésről lépésre végigvezetjük az OpenVPN szerver beállításán MikroTik eszközén, hogy bárhonnan biztonságosan csatlakozhasson otthoni vagy céges hálózatához.

Az OpenVPN az egyik legnépszerűbb és legbiztonságosabb VPN protokoll, amelyet széles körben használnak rugalmassága és nyílt forráskódú jellege miatt. A MikroTik RouterOS rendszere pedig rendkívül sokoldalú, költséghatékony és stabil platformot biztosít ehhez a célhoz. Készüljön fel, mert egy kis konfigurációval jelentősen növelheti hálózata biztonságát és elérhetőségét!

Miért pont OpenVPN és MikroTik?

A választás nem véletlen, hiszen a két technológia egyesítése rendkívül erős szinergiát eredményez:

Az OpenVPN előnyei:

• Robusztus biztonság: Az OpenVPN iparági szabványoknak megfelelő, erős titkosítási algoritmusokat (pl. AES-256) használ, biztosítva az adatok integritását és bizalmasságát.
• Rugalmasság: Támogatja a TCP és UDP protokollokat, és szinte bármilyen porton működhet, ami megkönnyíti a tűzfalak áthatolását és a hálózati korlátozások megkerülését.
• Platformfüggetlenség: Kliensek állnak rendelkezésre Windows, macOS, Linux, Android és iOS rendszerekre, így gyakorlatilag bármilyen eszközről csatlakozhat.
• Nyílt forráskód: A kód nyílt, így bárki ellenőrizheti, ami növeli a bizalmat és a transzparenciát.

A MikroTik előnyei:

• Költséghatékonyság: Kiváló ár-érték arányt képvisel a hasonló tudású professzionális hálózati eszközökhöz képest.
• Erős hardver: A MikroTik routerek képesek nagy teljesítményű VPN kapcsolatokat kezelni, még több egyidejű kliens esetén is.
• Rugalmas RouterOS: A RouterOS operációs rendszer széleskörű konfigurációs lehetőségeket kínál, a tűzfaltól a QoS-ig, mindezt egy intuitív CLI (parancssori felület) és egy WinBox nevű grafikus felületen keresztül.
• Stabilitás és megbízhatóság: A MikroTik eszközök híresek stabilitásukról, ami kritikus egy állandóan elérhető VPN szerver esetében.

Ez a kombináció biztosítja, hogy biztonságos, megbízható és elérhető VPN-kapcsolattal rendelkezzen, függetlenül attól, hogy hol tartózkodik.

Előkészületek: Amit tudnod kell, mielőtt belekezdesz

Mielőtt belevágunk a konfigurációba, győződjön meg róla, hogy a következő feltételek adottak:

• MikroTik Router: Győződjön meg róla, hogy hozzáfér routeréhez (WinBox vagy SSH/WebFig) adminisztrátori jogosultságokkal.
• RouterOS verzió: Javasolt a RouterOS 6.4x vagy újabb verziója, de még inkább a 7.x széria. Az OpenVPN beállítások és a teljesítmény jelentősen javultak az újabb verziókban. Frissítse rendszerét, ha szükséges!
• Fix külső IP-cím vagy DDNS szolgáltatás: Ha routerének külső IP-címe dinamikusan változik, szüksége lesz egy Dynamic DNS (DDNS) szolgáltatásra (pl. No-IP, DynDNS, MikroTik Cloud). Ezzel egy állandó domain névhez (pl. sajatvpn.ddns.net) kötheti dinamikus IP-címét.
• Port átirányítás (Port Forwarding): Ha routere mögött van egy másik router (pl. szolgáltatói modem/router), akkor be kell állítania a port átirányítást (általában 1194 UDP) a MikroTik router IP-címére.
• Biztonsági mentés: Mielőtt bármilyen változtatást hajtana végre, készítsen egy biztonsági mentést routerének konfigurációjáról! Ez elengedhetetlen, ha valami balul sülne el, könnyedén visszaállíthatja az eredeti állapotot.
• Alapvető hálózati ismeretek: IP-címek, alhálózatok, tűzfalak alapvető megértése segíteni fog.

Lépésről lépésre: OpenVPN szerver beállítása MikroTik-en

Az alábbi lépéseket a WinBox felületen keresztül mutatjuk be, de CLI parancsokkal is elvégezhetők.

1. CA (Certificate Authority) és Szerver Tanúsítványok Létrehozása

Az OpenVPN a tanúsítványokon alapuló hitelesítést használja a biztonságos kapcsolatokhoz. Elsőként létre kell hoznunk egy saját Certificate Authority (CA)-t, majd ezzel aláírni a szerver és a kliensek tanúsítványait.

1. Nyissa meg a WinBoxot, és csatlakozzon a MikroTik routeréhez.
2. Navigáljon a System -> Certificates menüpontra.
3. Kattintson a + gombra a tanúsítvány létrehozásához.
4. CA tanúsítvány létrehozása:
   • Name: ovpn-ca
   • Common Name: mycompany.com CA (vagy bármilyen egyedi név)
   • Key Size: 2048
   • Days Valid: 3650 (10 év, módosítható)
   • Jelölje be a CA és a CRL Host négyzeteket.
   • Kattintson a Apply, majd a Sign gombra. Ekkor a Sign ablakban válassza ki a CA: self opciót.
   • Kattintson az OK gombra.
5. Szerver tanúsítvány létrehozása:
   • Kattintson ismét a + gombra.
   • Name: ovpn-server
   • Common Name: server.mycompany.com (vagy a router DDNS neve, pl. myrouter.ddns.net)
   • Key Size: 2048
   • Days Valid: 3650
   • Jelölje be a Key Cert. Sign, TLS Server négyzeteket.
   • Kattintson a Apply, majd a Sign gombra. Ekkor a Sign ablakban válassza ki a CA: ovpn-ca opciót.
   • Kattintson az OK gombra.

CLI parancsok (egyszerűsített):

/certificate add name=ovpn-ca common-name="My Company CA" key-size=2048 days-valid=3650 ca=yes
/certificate sign ovpn-ca ca=yes
/certificate add name=ovpn-server common-name="server.mycompany.com" key-size=2048 days-valid=3650 key-usage=tls-server,crl-sign,key-cert-sign
/certificate sign ovpn-server ca=ovpn-ca

2. Kliens Tanúsítványok Létrehozása (felhasználónként)

Minden kliensnek, aki csatlakozni szeretne, saját tanúsítványra van szüksége. Hozzon létre egyet minden felhasználó számára.

1. Navigáljon a System -> Certificates menüpontra.
2. Kattintson a + gombra.
3. Kliens tanúsítvány létrehozása:
   • Name: ovpn-client-user1 (felhasználó neve, pl. Jani)
   • Common Name: user1
   • Key Size: 2048
   • Days Valid: 3650
   • Jelölje be a Key Cert. Sign, TLS Client négyzeteket.
   • Kattintson az Apply, majd a Sign gombra. A Sign ablakban válassza ki a CA: ovpn-ca opciót.
   • Kattintson az OK gombra.

CLI parancs:

/certificate add name=ovpn-client-user1 common-name=user1 key-size=2048 days-valid=3650 key-usage=tls-client,key-cert-sign
/certificate sign ovpn-client-user1 ca=ovpn-ca

3. IP Címkészlet (IP Pool) Létrehozása

Ez az IP-tartomány, ahonnan a VPN kliensek IP-címeket kapnak a csatlakozáskor.

1. Navigáljon az IP -> Pool menüpontra.
2. Kattintson a + gombra.

3. Name: ovpn-pool
   Addresses: 10.8.0.2-10.8.0.254

   Győződjön meg róla, hogy ez az IP-tartomány nem ütközik más meglévő hálózataival.

CLI parancs:

/ip pool add name=ovpn-pool ranges=10.8.0.2-10.8.0.254

4. PPP Profil Létrehozása az OpenVPN-hez

Ez a profil határozza meg a VPN kliensek számára a hálózati beállításokat, miután csatlakoztak.

1. Navigáljon a PPP -> Profiles menüpontra.
2. Kattintson a + gombra.

3. Name: ovpn-profile
   Local Address: 10.8.0.1

   Ez lesz a VPN szerver IP-címe a VPN alhálózaton belül.

   Remote Address: ovpn-pool

   Válassza ki az előzőleg létrehozott IP-poolt.

   DNS Server: 8.8.8.8, 8.8.4.4

   (Vagy a helyi DNS szerver IP-címe, pl. a router IP-címe a LAN-on)

   Use Encryption: yes
   Change TCP MSS: yes

   A Change TCP MSS segíthet elkerülni a „fragmentation” problémákat. A Use Compression opciót hagyhatja no-n, mivel a MikroTik és az OpenVPN kliensek közötti kompresszió néha inkompatibilitási problémákat okozhat. Ha mindenképp kompressziót szeretne, győződjön meg róla, hogy a kliensen is megfelelően van beállítva (pl. comp-lzo yes a kliens konfigban, de MikroTik RouterOS nem `comp-lzo` hanem `lzs` – egyszerűbb kikapcsolni).

CLI parancs:

/ppp profile add name=ovpn-profile local-address=10.8.0.1 remote-address=ovpn-pool use-encryption=yes dns-server=8.8.8.8,8.8.4.4 change-tcp-mss=yes

5. OpenVPN Szerver Konfigurálása

Itt engedélyezzük magát az OpenVPN szervert, és hozzárendeljük a létrehozott tanúsítványokat és profilt.

1. Navigáljon a PPP -> Interface fülre.
2. Kattintson az OVPN Server fülre.

3. Enabled: yes
   Port: 1194

   (Ez az alapértelmezett, de módosítható)

   Certificate: ovpn-server

   Válassza ki az előzőleg létrehozott szerver tanúsítványt.

   Require Client Cert: yes

   Ez biztosítja, hogy csak érvényes kliens tanúsítvánnyal rendelkező eszközök csatlakozhassanak.

   Cipher: aes256

   (Ajánlott, de más erős titkosítás is választható, pl. aes128)

   Auth: sha256

   Mode: ip

   Az ip mód routingolt VPN-t hoz létre, ami a leggyakoribb és általában ajánlott (a kliens egy új IP-címet kap a VPN hálózatról). Az ethernet (TAP) mód bridge-elt hálózatot hoz létre, bonyolultabb és ritkábban szükséges.

   Profile: ovpn-profile

   Válassza ki az előzőleg létrehozott PPP profilt.

CLI parancs:

/interface ovpn-server set enabled=yes port=1194 certificate=ovpn-server require-client-cert=yes cipher=aes256 auth=sha256 mode=ip profile=ovpn-profile

6. Tűzfal Szabályok (Firewall Rules)

Ahhoz, hogy a VPN kapcsolat működjön, engedélyezni kell a bejövő forgalmat az OpenVPN porton, és biztosítani kell, hogy a VPN kliensek hozzáférjenek az internethez és a helyi hálózathoz.

1. Navigáljon az IP -> Firewall menüpontra.
2. Bejövő forgalom engedélyezése az OpenVPN porton:
   • Filter Rules fül.
   • Kattintson a + gombra.

   • Chain: input
     Protocol: udp
     Dst. Port: 1194
     Action: accept
     Comment: "Allow OVPN"

   • Helyezze ezt a szabályt a drop/reject szabályok elé.
3. NAT Masquerade a VPN klienseknek (Internethez való hozzáférés):
   • NAT fül.
   • Kattintson a + gombra.

   • Chain: srcnat
     Src. Address: 10.8.0.0/24

     (Az Ön OpenVPN alhálózata)

     Out. Interface: Your_WAN_Interface

     (Pl. ether1, pppoe-out1, vagy az a felület, amelyen az internet érkezik a routerre)

     Action: masquerade
     Comment: "OVPN Masquerade"

4. Forrás és Cél Hálózatok Közötti Forgalom Engedélyezése (VPN kliensek a LAN-hoz):
   • Filter Rules fül.
   • Kattintson a + gombra.

   • Chain: forward
     Src. Address: 10.8.0.0/24

     (Az Ön OpenVPN alhálózata)

     Dst. Address: 192.168.1.0/24

     (Az Ön helyi hálózati alhálózata, módosítsa a sajátjára!)

     Action: accept
     Comment: "Allow OVPN to LAN"

   • Ha engedélyezni szeretné a már létrejött (established) és kapcsolódó (related) forgalmat is, ami jó gyakorlat:

     Chain: forward
     Connection State: established,related
     Action: accept
     Comment: "Allow established/related"

     Ezt a szabályt érdemes a többi forward szabály elé helyezni.

CLI parancsok:

/ip firewall filter add chain=input protocol=udp dst-port=1194 action=accept comment="Allow OVPN"
/ip firewall nat add chain=srcnat src-address=10.8.0.0/24 out-interface=YOUR_WAN_INTERFACE action=masquerade comment="OVPN Masquerade"
/ip firewall filter add chain=forward connection-state=established,related action=accept comment="Allow established/related"
/ip firewall filter add chain=forward src-address=10.8.0.0/24 dst-address=192.168.1.0/24 action=accept comment="Allow OVPN to LAN"

Ne felejtse el lecserélni a YOUR_WAN_INTERFACE és a 192.168.1.0/24 értékeket a saját hálózati paramétereire!

Kliens Konfiguráció

Most, hogy a szerver beállításra került, konfigurálnunk kell az OpenVPN kliens szoftvert (pl. OpenVPN GUI Windowsra, OpenVPN Connect mobilra).

1. Szükséges Fájlok Exportálása a MikroTik-ről

A kliens számára szüksége lesz a CA tanúsítványra, a kliens tanúsítványára és a kliens kulcsára.

1. Navigáljon a System -> Certificates menüpontra.
2. Exportálja az ovpn-ca tanúsítványt: jelölje ki, majd kattintson az Export gombra. Hagyja a Passphrase üresen. Írjon be egy fájlnevet (pl. ca.crt). Jelölje be a Export as PEM opciót.
3. Exportálja az ovpn-client-user1 tanúsítványt: jelölje ki, kattintson az Export gombra. Hagyja a Passphrase üresen. Írjon be egy fájlnevet (pl. user1.crt). Jelölje be az Export as PEM opciót.
4. Exportálja az ovpn-client-user1 kulcsot (általában a tanúsítvánnyal együtt exportálódik): jelölje ki az ovpn-client-user1 tanúsítványt, kattintson az Export gombra. Írjon be egy fájlnevet (pl. user1.key). Jelölje be az Export as PEM opciót, és adjon meg egy jelszót a kulcshoz, ha biztonságosabbá akarja tenni (ezt a jelszót meg kell adni a kliensnek minden csatlakozáskor). Ha kényelmesebbet akar, hagyja üresen, de kevésbé biztonságos.
5. Ezeket a fájlokat (ca.crt, user1.crt, user1.key) töltse le a routerről (Files menü, majd húzza le őket a gépre, vagy FTP-n keresztül).

CLI exportálás:

/certificate export ovpn-ca file=ca.crt
/certificate export ovpn-client-user1 file=user1.crt
/certificate export ovpn-client-user1 file=user1.key

A fájlokat a Files menüpont alatt találja, onnan letöltheti őket.

2. OpenVPN Kliens Konfigurációs Fájl (.ovpn) Létrehozása

Hozzon létre egy szöveges fájlt a számítógépén, nevezze el pl. user1.ovpn, és illessze be a következő tartalmat. Cserélje ki a YOUR_ROUTER_PUBLIC_IP_OR_DDNS-t a routere DDNS nevére vagy fix külső IP-címére.

client
dev tun
proto udp
remote YOUR_ROUTER_PUBLIC_IP_OR_DDNS 1194
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
cipher AES-256-CBC
auth SHA256
verb 3
reneg-sec 0
explicit-exit-notify 1

<ca>
# Ide illessze be a ca.crt tartalmát
</ca>
<cert>
# Ide illessze be a user1.crt tartalmát
</cert>
<key>
# Ide illessze be a user1.key tartalmát
</key>

Fontos:

• A <ca>, <cert>, <key> tagek közé illessze be az előzőleg exportált `.crt` és `.key` fájlok tartalmát (nyissa meg őket jegyzettömbbel, és másolja be a teljes szöveget, a -----BEGIN CERTIFICATE----- és -----END CERTIFICATE----- vagy -----BEGIN PRIVATE KEY----- és -----END PRIVATE KEY----- sorokkal együtt).
• A reneg-sec 0 sor nagyon fontos a MikroTik routerekkel való kompatibilitás érdekében!
• A proto (udp/tcp) és cipher (aes256) beállításoknak meg kell egyezniük a szerver oldali beállításokkal.

Mentse el a fájlt.

3. OpenVPN Kliens Használata

Ha Windows rendszert használ, töltse le és telepítse az OpenVPN GUI szoftvert. Másolja be az user1.ovpn fájlt az C:Program FilesOpenVPNconfig mappába. Indítsa újra az OpenVPN GUI-t (ha futott), kattintson jobb gombbal a tálcán lévő ikonra, és válassza ki a konfigurációs fájlt, majd kattintson a Connect gombra. Ha mindent jól csinált, hamarosan csatlakozik a VPN-hez.

Mobil eszközökön (Android, iOS) töltse le az OpenVPN Connect alkalmazást, és importálja az .ovpn fájlt.

Tesztelés és Hibaelhárítás

Miután mindent beállított, tesztelje a kapcsolatot:

• Próbáljon meg kívülről (pl. mobiladat-kapcsolaton keresztül) csatlakozni.
• Ellenőrizze IP-címét egy „whatismyip” weboldalon. Ha a VPN működik, a routere külső IP-címe vagy DDNS neve jelenik meg.
• Próbáljon meg hozzáférni a helyi hálózati erőforrásokhoz (pl. fájlmegosztások, hálózati nyomtató, NAS).

Gyakori problémák és megoldásaik:

• Nem tudok csatlakozni:
  • Ellenőrizze a tűzfal szabályokat a MikroTik-en és a szolgáltatói routeren (ha van). A 1194/UDP portnak nyitva kell lennie a MikroTik felé.
  • Ellenőrizze a DDNS szolgáltatást, hogy naprakész-e az IP-cím.
  • Nézze meg a MikroTik logjait (System -> Log), illetve az OpenVPN kliens logjait. Keressen hibajelzéseket a kapcsolódásnál.
  • Győződjön meg róla, hogy a tanúsítványok helyesen vannak létrehozva és aláírva.
• Csatlakozik, de nincs internet/nem érem el a LAN-t:
  • Ellenőrizze a NAT masquerade szabályt, hogy az helyesen van-e beállítva a VPN alhálózatra és a WAN interfészre.
  • Ellenőrizze a forward szabályokat, amelyek engedélyezik a forgalmat a VPN alhálózat és a LAN alhálózat között.
  • Ellenőrizze az IP-cím poolt és a PPP profilt, hogy az alhálózatok ne ütközzenek más hálózatokkal.
  • Próbálja meg letiltani a kompressziót mind a szerver, mind a kliens oldalon (comp-lzo no a kliens .ovpn fájlban, compress=no a PPP profilon).
• „TLS Error: TLS key negotiation failed” vagy hasonló:
  • Ez gyakran tanúsítványprobléma. Ellenőrizze, hogy a CA, szerver és kliens tanúsítványok helyesen vannak-e aláírva a megfelelő CA-val.
  • Győződjön meg róla, hogy a kliens `.ovpn` fájlban a reneg-sec 0 beállítás szerepel.
  • Ellenőrizze a cipher és auth beállítások egyezőségét a szerver és a kliens között.

Biztonsági Tanácsok és Jó Gyakorlatok

• Erős jelszavak: Használjon erős, egyedi jelszót a MikroTik router adminisztrátori hozzáféréséhez.
• Rendszeres frissítés: Tartsa naprakészen a RouterOS verzióját. A frissítések biztonsági javításokat is tartalmaznak.
• Kliens tanúsítványok visszavonása (Revoke): Ha egy kliens eszközt elveszít, vagy egy felhasználó jogosultsága megszűnik, azonnal vonja vissza a hozzá tartozó tanúsítványt a System -> Certificates menüpontban, a Revoke gombbal. Ezzel biztosíthatja, hogy az adott tanúsítvánnyal többé ne lehessen csatlakozni.
• Korlátozott hozzáférés: Csak a feltétlenül szükséges portokat nyissa meg a külvilág felé.
• Jelszóval védett kulcsok: Ha teheti, exportáláskor adjon meg jelszót a kliens kulcsokhoz.

Összegzés

Gratulálunk! Most már rendelkezik egy biztonságos OpenVPN szerverrel a MikroTik routerén, amely lehetővé teszi, hogy bárhonnan, titkosított kapcsolaton keresztül hozzáférjen hálózatához. Ez a beállítás nemcsak a távoli munkavégzést könnyíti meg, hanem védi online tevékenységét nyilvános Wi-Fi hálózatokon is, és hozzáférést biztosít a helyi hálózati erőforrásokhoz, mintha otthon lenne.

A MikroTik RouterOS rendszere és az OpenVPN protokoll kombinációja egy rendkívül stabil, biztonságos és rugalmas megoldást kínál. Bár a kezdeti beállítás igényel némi figyelmet, a befektetett idő megtérül a megnövekedett biztonság és a hálózati szabadság formájában. Fedezze fel a távoli hozzáférés új lehetőségeit!