Bestuur jou Mikrotik met OpenVPN maklik

Opsomming
’n Praktiese gids om OpenVPN met MikroTik en ‘n VPS te gebruik: hoe OpenVPN werk, bediener opstelling op Ubuntu, MikroTik kliëntkonfigurasie, toegangspatrone, vergelykings met moderne oplossings en sekuriteitsbest praktyke.

Afstandbeheer van MikroTik met OpenVPN

OpenVPN bly ‘n betroubare, beproefde metode om routers en toestelle van ‘n afstand te bereik.

Dit bestaan al vóór WireGuard en Tailscale, maar sy buigsaamheid en versoenbaarheid hou dit vandag relevant.

Hierdie artikel lei jou deur die hoe en waarom — met direkte opdragte vir ‘n VPS-bediener en ‘n MikroTik-kliënt.

Wat is OpenVPN?

OpenVPN is ‘n oopbron VPN-implementering (sedert 2001) wat geïnkripteerde tonnels oor TCP of UDP bou.

Dit maak gebruik van OpenSSL vir enkripsie en TLS-gebaseerde verifikasie.

Belangrike punte:

Sterk enkripsie (AES-256, SHA256, TLS).
Werk met IPv4 en IPv6.
Ondersteun gerouteerde (TUN) en gebrûikbrugte (TAP) modusse.
Breë OS- en toestelversoenbaarheid — insluitend RouterOS.

Nota: OpenVPN se ekosisteem en gereedskap maak dit geskik vir omgewings wat uitdruklike sertifikaatbeheer en ouer toestelle benodig.

Hoe OpenVPN werk (kort oorsig)

OpenVPN stel ‘n geïnkripteerde tonnel in tussen ‘n bediener (gewoonlik ‘n publieke VPS) en een of meer kliënte (MikroTik routers, skootrekenaars, ens.).

Verifikasie word gedoen met ‘n CA, sertifikate en opsionele TLS auth (ta.key).

Algemene modusse:

TUN (gerouteer): IP-roete tussen netwerke (mees algemeen).
TAP (brug): Laag-2 brugvorming — bruikbaar vir uitsend-afhanklike toepassings, maar swaarder.

Voordele en nadele

Voordele

Beproefde sekuriteitsmodel (TLS + OpenSSL).
Uiters konfigureerbaar (TCP/UDP, hawens, roetes, gedrukte opsies).
Wye versoenbaarheid — ideaal vir gemengde toestelparke.
Natuurlike (alhoewel beperk) ondersteuning in RouterOS.

Nadele

Swakker prestasie as WireGuard op beperkte hardeware.
Opstelling vereis PKI (CA, sertifikate) en handmatige stappe.
MikroTik se RouterOS ondersteun OpenVPN slegs oor TCP (bedienerkant gebruik gewoonlik UDP).

Bou ‘n OpenVPN bediener op Ubuntu (VPS)

Hier volg ‘n kompakte, praktiese opstelling. Pas name, IP’s en DNS aan jou omgewing aan.

1) Installeer pakkette

apt update && apt install -y openvpn easy-rsa

2) Skep PKI en bedienersleutels

make-cadir ~/openvpn-ca
cd ~/openvpn-ca
source vars
./clean-all
./build-ca            # skep CA
./build-key-server server
./build-dh
openvpn --genkey --secret keys/ta.key

Wenk: Hou die CA privaat en rugsteun dit. Behandel CA-sleutels soos produksiegeheime.

3) Bedienerkonfigurasie (/etc/openvpn/server.conf)

Skep die lêer met hierdie minimum inhoud:

port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
cipher AES-256-CBC
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3

4) Aktiveer en begin diens

systemctl enable openvpn@server
systemctl start openvpn@server

5) Firewall: maak die poort toe

ufw allow 1194/udp

Waarskuwing: As jy poort 1194 na die hele internet oopmaak, beveilig die bediener (fail2ban, streng SSH-sleutels, firewall-reëls om bron-IP’s te beperk waar moontlik).

Skep kliëntsertifikate en konfigurasies

Gebruik die easy-rsa-skripte om ‘n kliëntsertifikaat te genereer (byvoorbeeld: build-key client1).

Pak die volgende lêers vir die kliënt in:

ca.crt
client1.crt
client1.key
ta.key (indien gebruik)
client.ovpn (konfigurasielêer)

‘n Minimum client.ovpn voorbeeld (bediener IP vervang met jou VPS):

client
dev tun
proto udp
remote YOUR.VPS.IP 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
remote-cert-tls server
cipher AES-256-CBC
verb 3

Konfigureer MikroTik as ‘n OpenVPN-kliënt

RouterOS ondersteun OpenVPN-kliëntverbindings, maar met ‘n paar RouterOS-spesifieke beperkings.

Laai die kliënt sleutel en sertifikaatlêers (ca.crt, client.crt, client.key) op die MikroTik op.
Skep ‘n OVPN kliëntprofiel en begin die verbinding.

/interface ovpn-client add name=ovpn-out1 \
    connect-to=YOUR.VPS.IP port=1194 \
    user=vpnuser password="yourpassword" \
    profile=default-encryption add-default-route=no

/interface ovpn-client print

Verwagte status voorbeeld:

status: connected
uptime: 00:01:03
remote-address: 10.8.0.1
local-address: 10.8.0.6

Nota: RouterOS beperk histories OpenVPN tot TCP in sekere weergawes — kyk jou RouterOS vrystellingsnotas. As jy UDP aan die routerkant benodig, oorweeg ‘n tussenganger (soos ‘n Linux-gasheer) of gebruik ‘n sagteware-kliënt op ‘n nabygeleë masjien.

Toegang tot ‘n interne toestel oor die tonnel

Om toegang tot ‘n interne toestel te kry (bv. IP-kamera 192.168.88.100), kan jy NAT op die MikroTik gebruik om ‘n plaaslike poort deur die tonnel te openbaar.

Voeg ‘n dst-nat reël op die MikroTik by:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

Verbind vanaf die bediener of ander kliënt na die gerouteerde adres en poort:

http://10.8.0.6:8081

Verkeer vloei deur die OpenVPN-tonnel na die interne gasheer.

Sekuriteit en beste praktyke

Gebruik ‘n unieke sertifikaat per kliënt.
Kombineer TLS kliëntsertifikate met ‘n gebruiker/wagwoord as dubbele faktor beheer benodig word.
Draai sleutels en sertifikate gereeld om.
Beperk bron IP’s in die VPS firewall waar toepaslik.
Verkies UDP vir prestasie, maar verifieer RouterOS versoenbaarheid.
Monitor verbindingsstatus en logs (syslog, openvpn-status.log).

Wenk: Outomatiseer sertifikaatuitreiking vir baie toestelle met skripte, maar hou die CA waar moontlik aflyn.

Kort vergelyking met moderne alternatiewe

Oplossing	Sterkpunte	Wanneer om te kies
OpenVPN	Versoenbaarheid, fynsertifikaatbeheer	Gemengde/ou toestelle; ISP-opstellings; korporatiewe toestelle
WireGuard	Spoed, eenvoud	Moderne toestelle, kleintoerusting routers
Tailscale/ZeroTier	Mesh, identiteit, maklike implementering	Skootrekenaars, bedieners, span samewerking

Wanneer om OpenVPN te gebruik

Jy benodig fynsertifikaatbeheer.
Jou park sluit ouer toestelle of toestelle sonder moderne agente in.
Jy moet integreer met bestaande firewall-reëls en korporatiewe PKI.

As jy die ligste moontlike oorhoofse las en moderne kriptografie soek, is WireGuard (of Tailscale vir gebruikersvriendelike beheer) uitstaande — maar OpenVPN wen op universele versoenbaarheid.

Waar MKController help: As jy handmatige tonnels en sertifikaathantering wil vermy, laat MKController se afstandhulpmiddels (NATCloud) jou toe om toestelle agter NAT/CGNAT met gesentraliseerde bestuur, monitering en outomatiese herverbinding te bereik — geen PKI per toestel nie.

Gevolgtrekking

OpenVPN is nie ‘n ou bevoegdheid nie.

Dit is ‘n betroubare hulpmiddel wanneer jy versoenbaarheid en uitdruklike beheer oor verifikasie en rotering nodig het.

Kombineer dit met ‘n VPS en ‘n MikroTik kliënt en jy kry ‘n stewige, ouditbare afstandtoegangspad vir kameras, routers en interne dienste.

Oor MKController

Ek hoop die insigte hierbo help jou om jou MikroTik en internetwêreld beter te navigeer! 🚀
Of jy nou konfigurasies fynafstel of net orde probeer bring in netwerkwaansin, MKController is hier om jou lewe makliker te maak.

Met gesentraliseerde wolkbestuur, outomatiese sekuriteitsopdaterings en ‘n beheerpaneel wat enigeen kan bemeester, het ons wat dit neem om jou operasie op te gradeer.

👉 Begin jou gratis 3-dae proeflopie nou by mkcontroller.com — en sien hoe moeiteloos netwerkbeheer werklik lyk.