首页/vpn下载/生成CA私钥和证书

生成CA私钥和证书

vpn下载 2026-04-18

手把手教你配置ROS（RouterOS）VPN：轻松实现安全远程访问与内网穿透

在当今数字化办公和远程协作日益普及的背景下，越来越多的个人用户和中小企业开始使用路由器作为网络核心设备，而如果你恰好拥有一台支持RouterOS（即MikroTik RouterOS）的路由器，那么恭喜你——你已经拥有了搭建企业级网络服务的强大工具！最实用的功能之一就是配置VPN（虚拟私人网络），让你无论身处何地都能安全、稳定地访问家里的局域网或公司服务器。

我就来手把手教大家如何在RouterOS中配置OpenVPN服务，实现真正的“远程桌面”和“内网穿透”，全程无需额外硬件,仅靠你的路由器即可搞定！

准备工作
首先确认你已具备以下条件：

一台运行RouterOS的MikroTik设备（如RB4011、CCR2004等）；
路由器已联网并能访问外网（用于获取证书和客户端配置）；
一个静态公网IP地址（或使用DDNS动态域名绑定）；
熟悉基本的WinBox或CLI操作（推荐初学者用WinBox图形界面）。

生成SSL证书（自签名或CA签发）
我们使用OpenSSL生成服务器证书和客户端证书，你可以直接在Windows或Linux机器上运行命令（建议用WSL或Docker环境更方便）：

# 生成服务器证书  
openssl req -new -keyout server.key -out server.csr  
openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt  
# 生成客户端证书（可为多个用户生成不同证书）  
openssl req -new -keyout client.key -out client.csr  
openssl x509 -req -in client.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out client.crt

导入证书到RouterOS
登录WinBox → 导航至“Certificates”菜单，点击“Import”按钮，分别上传 ca.crt、server.crt 和 server.key 到路由器，注意：这些证书要放在同一个文件夹下,以便后续引用。

配置OpenVPN服务器
进入“PPP”→“Interfaces”→“OpenVPN Server”，点击“+”创建新接口：

Interface Name: ovpn-server
Local Address: 192.168.100.1（分配给客户端的虚拟IP段）
Remote Address: 选择你路由器的公网IP（或DDNS地址）
TLS Certificate: 选择刚才导入的 server.crt 和 server.key
CA Certificate: 选择 ca.crt
Encryption: AES-256-CBC（推荐）
Auth: SHA256
Keepalive: 10s/60s（防止连接超时）

配置防火墙规则
在“Firewall”→“Filter Rules”中添加规则允许OpenVPN流量（默认端口1194）：

Action: accept
Protocol: udp
Port: 1194
In interface: ether1（WAN口）

同时确保NAT转发规则开放该端口（如果使用的是公网IP）。

导出客户端配置文件
将之前生成的 client.crt、client.key 和 ca.crt 合并成一个.ovpn如下：

client
dev tun
proto udp
remote your-ddns-or-ip 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client.crt
key client.key
cipher AES-256-CBC
auth SHA256
verb 3

测试与优化
将此 .ovpn 文件导入手机或电脑的OpenVPN客户端（如OpenVPN Connect），连接成功后即可访问内网资源（比如NAS、监控摄像头、远程桌面等），建议开启日志查看功能（/log print）排查问题。

小贴士：