MikroTik 路由器上配置 OpenVPN：一步步详解与实战指南

• 场景与挑战：为什么要在 MikroTik 上部署 OpenVPN
• 总体架构与关键原理
• 实战步骤概览（不含大量命令细节）
• 1. 准备证书与密钥
• 2. 在 RouterOS 启用 OpenVPN 服务
• 3. 路由与 NAT 策略
• 4. 客户端配置与导入证书
• 常见问题与排查技巧
• 性能、安全与可维护性的权衡
• 替代方案与未来趋势
• 实践小结（要点回顾）

场景与挑战：为什么要在 MikroTik 上部署 OpenVPN

很多技术爱好者在家用或小型办公环境中，希望用现成的路由器把远程设备安全地纳入局域网。MikroTik RouterOS 自带的 OpenVPN 服务能满足“传统 VPN + 证书认证”的需求，但它与主流 OpenVPN 实现存在一些差异与限制：仅支持 TCP、对现代加密套件与压缩的支持有限、以及不同型号路由器的 CPU 性能直接影响吞吐量。了解这些点能帮助你在部署时避坑并获得稳定的体验。

总体架构与关键原理

典型的部署包含三部分：证书基础设施（CA、服务器证书、客户端证书）、RouterOS 上的 OpenVPN 服务与地址/路由策略、以及客户端的 .ovpn 配置文件。OpenVPN 在 RouterOS 上以 TCP 模式运行，建立 TLS 隧道并将客户端映射到一个虚拟网段（通常是 10.8.0.0/24）。路由器需要处理三类流量：VPN 控制面（TCP/1194）、VPN 隧道内的业务流量（L3 转发）与对外的 NAT/路由。

实战步骤概览（不含大量命令细节）

以下按顺序描述关键环节与注意事项，便于在没有直接复制命令的情况下理解部署流程。

1. 准备证书与密钥

使用 OpenSSL 或 EasyRSA 在一台安全的机器上搭建 CA，生成服务器证书/私钥与每个客户端的证书/私钥。RouterOS 接受 PEM 格式证书；你需要将 CA 证书与服务器证书导入到 RouterOS 的 Certificate 存储。注意：私钥要严格保管，且为每个客户端生成独立证书有助于撤销管理。

2. 在 RouterOS 启用 OpenVPN 服务

在 RouterOS 中配置 OpenVPN 服务器，包括：绑定的监听接口与端口（默认 TCP/1194）、指定服务器证书与 CA、分配给 VPN 客户端的 IP 地址池、以及是否允许客户端访问 LAN。由于 RouterOS 的实现限制为 TCP，因此性能上比基于 UDP 的实现更受限。

# 示例（示意性命令，基于 RouterOS CLI）
/interface ovpn-server server set enabled=yes port=1194
/ppp secret add name=user1 password=xxx service=ovpn profile=default

上例仅作示意，实际还需导入证书并创建 IP 池与 PPP profile。

3. 路由与 NAT 策略

一旦客户端连入，会被分配到虚拟网段。常见需求是让 VPN 客户端访问内网资源或走路由器上网。为此需要：

• 在防火墙中允许来自 VPN 网段的转发流量（forward 规则）
• 如果需要让客户端走公网，启用源地址伪装（masquerade）或在上游路由器添加相应路由
• 确保 LAN 内主机的默认网关或路由表包含返回到 VPN 网段的路径（通常由 MikroTik 已知即可）

4. 客户端配置与导入证书

为客户端生成包含 CA、客户端证书与私钥的 .ovpn 文件或配置。由于 RouterOS 不支持 UDP，客户端必须使用 TCP 连接到指定端口。建议启用 tls-auth/tls-crypt（如果可用）增加控制平面的防护。还要考虑 MTU/fragment 问题：常见做法是将客户端 MTU/tun-mtu 调小到 1400 或更低，以避免分片导致的性能问题。

常见问题与排查技巧

以下是实战中常见的故障症状与对应排查思路：

• 无法建立握手：检查防火墙是否开放 TCP/1194，并确认证书链是否正确导入（CA 与服务器证书匹配）。
• 连接后不能访问内网：核查 forward 规则与 NAT，确认客户端分配到正确网段并且有返回路由。
• 低吞吐量或连接不稳定：RouterOS 的 CPU 是瓶颈，尤其在消费级设备上。可通过减少加密强度（权衡安全）、或将大流量转移到 WireGuard / IPSec 等性能更好的方案。
• MTU 导致网页卡顿或资源下载慢：调低 tun-mtu 与 fragment，或在客户端启用 MSS clamping。

性能、安全与可维护性的权衡

在选择在 RouterOS 上使用 OpenVPN 时，需要评估三方面的折中：

• 性能：TCP 模式与 RouterOS 的加密实现会限速，适合中低带宽场景。对于高吞吐需求，建议评估 WireGuard 或硬件支持更好的设备。
• 安全性：证书管理是强项——独立客户端证书便于撤销。缺点是 RouterOS 对新式加密套件与 TLS 版本的支持不够灵活，需关注 RouterOS 的版本更新。
• 可维护性：使用 PPP-based 的用户管理（RouterOS 常见做法）能方便地与 RADIUS、脚本联动进行用户管理，但也带来配置复杂度。

替代方案与未来趋势

近年来 WireGuard 因简单、高效、低延迟而被广泛采用。对于需要更好性能和易用性的场景，优先考虑 WireGuard（如果你的设备支持）。对于需要跨平台、广泛兼容性的场景，或已有大量证书管理流程，OpenVPN 仍有价值。在部署时应权衡设备能力、运维复杂度与安全合规需求。

实践小结（要点回顾）

要在 MikroTik 上稳定运行 OpenVPN，请把握以下几点：

• 在外部安全主机上生成并管理证书，导入 RouterOS 的 CA 与服务器证书。
• 理解 RouterOS 的 OpenVPN 限制（TCP、加密套件），并根据设备性能设定合理期望。
• 配置完善的防火墙、NAT 与路由，处理好 MTU/分片问题以避免隐蔽性能问题。
• 对比 WireGuard / IPSec 等替代方案，按实际需求选择最合适的方案。

在满足安全与可维护性的前提下，通过合理调整证书策略、网络策略与设备选型，MikroTik 平台依然可以为小型网络提供稳定的 OpenVPN 服务。