How to use PPTP on MikroTik router?

Opret din egen VPN-server på MikroTik

29/04/2026

Rating: 4.51 (12782 votes)

Opret din egen VPN-server på MikroTik RouterOS med OpenVPN

I en verden, hvor fjernarbejde og mobil adgang til netværk bliver stadigt vigtigere, er det essentielt at have en sikker og pålidelig måde at forbinde til dit hjemme- eller firmnetværk, uanset hvor du befinder dig. MikroTik routere, med deres kraftfulde RouterOS, tilbyder en fremragende platform til at opsætte din egen VPN-server. Denne guide vil detaljeret forklare, hvordan du konfigurerer en OpenVPN-server på din MikroTik-router og forbinder til den fra dine iOS-enheder som iPhone og iPad.

How do I set up a VPN on my iPhone?
Open your iPhone (iOS) Settings and go to General>VPN & Device Management>VPN>Add VPN Configuration… Change the type to L2TP Enter your credentials, server and your L2TP secret. Make sure Send All Traffic is on to ensure a full traffic redirection. Then tap on Done. To test your connection tap on the switch at the top
Indholdsfortegnelse

Hvad er OpenVPN og hvorfor bruge det?

OpenVPN er en af de mest populære og sikre open-source VPN-løsninger. Den bruger SSL/TLS-protokoller til at etablere krypterede forbindelser mellem klienter og servere. Ved at bruge OpenVPN sikrer du, at din internettrafik er krypteret, hvilket beskytter dine data mod aflytning, især når du bruger offentlige Wi-Fi-netværk. At oprette din egen VPN-server giver dig fuld kontrol over din data og adgang til dit lokale netværk sikkert.

Trin 1: Generer og signér certifikater

For at etablere en sikker OpenVPN-forbindelse er det nødvendigt at bruge digitale certifikater. Vi skal generere tre certifikater: et Certificate Authority (CA) certifikat, et servercertifikat og et klientcertifikat. RouterOS kan håndtere denne proces direkte.

Generér et selvsigneret CA-certifikat

CA-certifikatet fungerer som en betroet tredjepart, der validerer både serverens og klienternes identitet. 

/certificate add name=cert.ca common-name=cert.ca key-usage=key-cert-sign,crl-sign trusted=yes sign cert.ca

Kommandoen `trusted=yes` markerer CA-certifikatet som betroet på routeren. Ved at signere det med sig selv, etablerer vi det som roden af vores egen lille certifikatkæde.

Generér og signér et certifikat til OpenVPN-serveren

Servercertifikatet identificerer din MikroTik-router som OpenVPN-serveren. 

/certificate add name=cert.server common-name=cert.server sign cert.server ca=cert.ca set trusted=yes cert.server

Her signer vi servercertifikatet med vores CA-certifikat. `trusted=yes` sikrer, at routeren anerkender dette certifikat som gyldigt.

Generér og signér et certifikat til iOS-klienten

Hver klient, der skal forbinde til VPN'en, skal have sit eget unikke certifikat. 

/certificate add name=ios.client common-name=ios.client sign ios.client ca=cert.ca set trusted=yes ios.client

Tilsvarende signeres klientcertifikatet med CA-certifikatet. Dette certifikat vil blive installeret på din iPhone eller iPad.

Trin 2: Eksporter certifikater

For at kunne importere certifikaterne på din iOS-enhed, skal de eksporteres fra MikroTik-routeren. Vi skal eksportere CA-certifikatet og klientcertifikatet, sidstnævnte i PKCS12-format, som indeholder både certifikatet og den private nøgle, beskyttet med en adgangskode.

Eksporter certifikater

/certificate export-certificate cert.ca export-certificate ios.client export-passphrase=dithemmeligeord type=pkcs12

Husk at erstatte dithemmeligeord med en stærk adgangskode. Denne adgangskode skal bruges, når du importerer PKCS12-filen på din iOS-enhed.

Hent de eksporterede filer

Filerne cert.ca og cert_export_ios.client.p12 vil nu være tilgængelige i routerens filsystem. Du kan tilgå dem via WebFig (Webfig > Files) eller WinBox og downloade dem til din computer.

Trin 3: Konfigurér OpenVPN-serveren på MikroTik

Nu hvor certifikaterne er klar, kan vi konfigurere selve OpenVPN-serveren på din MikroTik-router.

Opret en IP-pool til VPN-klienter

VPN-klienterne skal tildeles IP-adresser, når de forbinder. Vi opretter en separat IP-pool til dette formål.

/ip pool add name=OpenVPN ranges=10.10.23.1-10.10.23.200

Vælg et IP-adresseinterval, der ikke overlapper med dit eksisterende lokale netværk.

Opret en PPP-profil

En PPP-profil definerer indstillingerne for VPN-forbindelser, herunder hvilken IP-pool der skal bruges, og om der skal bruges kryptering.

/ppp profile add local-address=10.10.23.1 name=OpenVPN use-encryption=yes

local-address er den IP-adresse, som serveren vil bruge på VPN-interfacet. Sørg for, at den er inden for den definerede IP-pool.

How do I protect my MikroTik CHR?
When you already have your own MikroTik CHR, you have to access the router and set a password to the admin account and made some security updates. Please follow this article (MikroTik CHR: Basic system protection) for necessary system protection for your MikroTik Router. We will try to follow this diagram.

Tilføj en ny bruger (secret)

For at autentificere klienter skal vi oprette en brugerkonto (secret) på routeren.

/ppp secret add name=ios-client password=dinbrugeradgangskode profile=OpenVPN service=ovpn

Erstat dinbrugeradgangskode med en sikker adgangskode for din VPN-bruger.

Konfigurér OpenVPN-serveren

Nu aktiverer vi og konfigurerer OpenVPN-serveren.

/interface ovpn-server server set auth=sha1 certificate=cert.server cipher=aes256 default-profile=OpenVPN enabled=yes port=1194 require-client-certificate=yes

Her specificerer vi autentificeringsmetoden (SHA1), servercertifikatet, krypteringsalgoritmen (AES-256), standardprofilen og porten (standard er 1194). require-client-certificate=yes er vigtigt, da det sikrer, at kun klienter med gyldige certifikater kan forbinde.

Åbn porten i firewallen

For at klienter kan nå VPN-serveren udefra, skal porten, som OpenVPN bruger (standard 1194/TCP), være åben i routerens firewall.

/ip firewall filter add action=accept chain=input comment="OpenVPN Access" dst-port=1194 protocol=tcp

Denne regel tillader indgående TCP-trafik på port 1194.

Trin 4: Opret .ovpn-konfigurationsfilen til iOS

For at iOS-enheden kan oprette forbindelse, skal den have en konfigurationsfil med `.ovpn`-endelse. Denne fil indeholder alle de nødvendige oplysninger, herunder serverens adresse, port og certifikater.

Opret en ny .ovpn-fil

Opret en tekstfil og gem den som f.eks. miniphone.ovpn. Indsæt følgende indhold og tilpas det efter behov:

client proto tcp dev tun remote DIN_OFFENTLIGE_IP_ELLER_DOMÆNE 1194 nobind tun-mtu 1492 mssfix 1400 resolv-retry infinite persist-key persist-tun auth-user-pass auth SHA1 cipher AES-256-CBC remote-cert-tls server redirect-gateway def1 verb 5 -----BEGIN CERTIFICATE----- [Indsæt indholdet af cert.ca her] -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- [Indsæt indholdet af cert_export_ios.client.pem her - hvis du eksporterede som .pem] -----END CERTIFICATE----- -----BEGIN PRIVATE KEY----- [Indsæt indholdet af cert_export_ios.client.key.pem her - hvis du eksporterede som .pem] -----END PRIVATE KEY-----

Vigtigt:

  • Erstat DIN_OFFENTLIGE_IP_ELLER_DOMÆNE med din routers offentlige IP-adresse eller et domænenavn, der peger på den.
  • Hvis du har eksporteret klientcertifikatet som en PKCS12-fil (.p12), skal du ikke inkludere `` og `` sektionerne direkte i `.ovpn`-filen. I stedet vil du importere `.p12`-filen sammen med `.ovpn`-filen på din iOS-enhed. OpenVPN Connect-appen kan håndtere dette.
  • Kopier og indsæt det fulde indhold af cert.ca mellem `` og `` tags. Hvis du bruger PKCS12, behøver du ikke `` og `` sektionerne.

Trin 5: Installer og importer konfigurationen på iOS

Nu skal vi have konfigurationen over på din iPhone eller iPad.

Installer OpenVPN Connect-appen

Download og installer den officielle OpenVPN Connect-app fra App Store:

OpenVPN Connect på App Store

Overfør konfigurationsfiler til iOS

Der er flere måder at overføre filerne (miniphone.ovpn og cert_export_ios.client.p12) til din iOS-enhed:

  • Via iTunes/Finder: Tilslut din iOS-enhed til din computer. Åbn iTunes (på Windows) eller Finder (på macOS). Vælg din enhed, gå til fanen "Filer" (eller "Deling af filer"), og træk og slip `.ovpn`- og `.p12`-filerne ind i OpenVPN-appen.
  • Via E-mail: Send filerne som vedhæftninger til en e-mail, du kan åbne på din iPhone/iPad. Åbn e-mailen, tryk på vedhæftningerne, og vælg "Kopier til OpenVPN".
  • Via Cloud-tjenester: Upload filerne til en cloud-tjeneste som iCloud Drive, Dropbox eller Google Drive, og åbn dem derefter fra den tilsvarende app på din iOS-enhed.

Importer konfigurationen i OpenVPN Connect

Når filerne er overført, åbn OpenVPN Connect-appen. Appen bør automatisk genkende de nye konfigurationsfiler. Tryk på '+' ikonet for at importere profilen. Hvis du brugte PKCS12-formatet, vil du blive bedt om at indtaste adgangskoden, du satte under eksporten.

Test din VPN-forbindelse

Når konfigurationen er importeret, kan du aktivere VPN-forbindelsen ved at slå kontakten til i OpenVPN Connect-appen. Du bør nu se en VPN-indikator i statuslinjen på din iPhone/iPad. For at verificere, at det virker, kan du tjekke din offentlige IP-adresse via en hjemmeside som "whatismyip.com". Den bør nu vise IP-adressen på dit hjemmenetværk (eller den IP, din MikroTik-router har offentligt).

Fejlfinding og overvejelser

Tabel: Almindelige problemer og løsninger

ProblemMulig årsagLøsning
Kan ikke oprette forbindelseForkert offentlig IP/domæne i .ovpn-filenDobbelttjek, at serveradressen er korrekt.
Kan ikke oprette forbindelsePort 1194 er blokeret i firewallenBekræft, at firewall-reglen for port 1194 er aktiv og korrekt konfigureret.
Kan ikke oprette forbindelseForkert certifikat eller adgangskodeDobbelttjek, at certifikaterne er korrekt eksporteret og importeret, og at adgangskoden til PKCS12-filen er korrekt.
Langsom hastighedSvag kryptering eller CPU-belastning på routerenOvervej at bruge en mindre CPU-intensiv cipher, hvis muligt, eller opgrader routerens hardware. Tjek routerens CPU-brug under VPN-aktivitet.
Kan ikke tilgå lokale ressourcerForkert IP-pool eller routingSørg for, at IP-poolen er korrekt defineret, og at der er korrekt routing sat op på routeren.

Sikkerhedsovervejelser

  • Brug altid stærke og unikke adgangskoder til dine brugere og PKCS12-filer.
  • Hold din RouterOS opdateret for at sikre dig de seneste sikkerhedsopdateringer.
  • Overvej at bruge TLS-auth for yderligere sikkerhed mod DoS-angreb og port scanning. Dette kræver yderligere konfiguration af et `ta.key` certifikat.
  • Begræns adgangen til VPN-serveren ved kun at tillade forbindelser fra specifikke IP-adresser, hvis det er muligt.

Ofte stillede spørgsmål (FAQ)

Kan jeg bruge UDP i stedet for TCP?

Ja, OpenVPN kan konfigureres til at bruge UDP, hvilket generelt giver bedre ydeevne, især ved højere hastigheder. Du skal blot ændre proto tcp til proto udp i både serverkonfigurationen på MikroTik og i `.ovpn`-filen. Husk også at åbne UDP-porten i firewallen.

Hvad hvis jeg ikke har en statisk offentlig IP-adresse?

Hvis din internetudbyder tildeler dig en dynamisk IP-adresse, kan du bruge en Dynamic DNS (DDNS)-tjeneste. Konfigurer DDNS på din MikroTik-router, så den automatisk opdaterer et domænenavn med din aktuelle IP-adresse. Brug derefter dette domænenavn i din `.ovpn`-fil i stedet for IP-adressen.

Hvordan tilføjer jeg flere brugere?

Du skal blot gentage processen for at tilføje en ny `ppp secret` for hver bruger, du vil give adgang. Du kan også generere unikke klientcertifikater for hver bruger for øget sikkerhed.

Hvilken cipher og auth-metode skal jeg vælge?

AES-256-CBC er en stærk og bredt understøttet krypteringsalgoritme. SHA1 til autentificering er også almindeligt, men nyere versioner af OpenVPN understøtter stærkere algoritmer som SHA256 eller SHA512. Vælg algoritmer, der giver en god balance mellem sikkerhed og ydeevne på din router.

Ved at følge denne omfattende guide kan du nemt opsætte din egen sikre OpenVPN-server på MikroTik RouterOS og nyde sikker fjernadgang til dit netværk fra dine iOS-enheder.

Hvis du vil læse andre artikler, der ligner Opret din egen VPN-server på MikroTik, kan du besøge kategorien Teknologi.

Go up