Résumé
Un guide pratique pour utiliser OpenVPN avec MikroTik et un VPS : comment OpenVPN fonctionne, configuration du serveur sur Ubuntu, configuration du client MikroTik, modes d’accès, comparaisons avec des solutions modernes et bonnes pratiques de sécurité.

Gestion distante de MikroTik avec OpenVPN

OpenVPN reste une solution robuste et éprouvée pour accéder aux routeurs et appareils à distance.

Il précède WireGuard et Tailscale, mais sa flexibilité et sa compatibilité le rendent pertinent aujourd’hui.

Cet article vous explique le comment et le pourquoi — et fournit des commandes à copier-coller pour un serveur VPS et un client MikroTik.

Qu’est-ce qu’OpenVPN ?

OpenVPN est une implémentation VPN open-source (depuis 2001) qui crée des tunnels chiffrés sur TCP ou UDP.

Il s’appuie sur OpenSSL pour le chiffrement et l’authentification TLS.

Points clés :

• Cryptographie solide (AES-256, SHA256, TLS).
• Fonctionne avec IPv4 et IPv6.
• Prend en charge les modes routé (TUN) et ponté (TAP).
• Large compatibilité OS et appliances — y compris RouterOS.

Remarque : L’écosystème et les outils d’OpenVPN en font un bon choix pour les environnements nécessitant un contrôle explicite des certificats et le support d’appareils legacy.

Comment OpenVPN fonctionne (aperçu rapide)

OpenVPN établit un tunnel chiffré entre un serveur (généralement un VPS public) et un ou plusieurs clients (routeurs MikroTik, ordinateurs portables, etc.).

L’authentification se fait via une CA, des certificats et le TLS auth optionnel (ta.key).

Modes courants :

• TUN (routé) : Routage IP entre réseaux (le plus courant).
• TAP (bridge) : Pont de couche 2 — utile pour les applications dépendantes de diffusion, mais plus lourd.

Avantages et inconvénients

Avantages

• Modèle de sécurité éprouvé (TLS + OpenSSL).
• Extrêmement configurable (TCP/UDP, ports, routes, options poussées).
• Grande compatibilité — idéal pour les flottes mixtes.
• Support natif (quoique limité) dans RouterOS.

Inconvénients

• Plus lourd que WireGuard sur du matériel contraint.
• La configuration nécessite une PKI (CA, certificats) et quelques étapes manuelles.
• RouterOS de MikroTik prend en charge OpenVPN uniquement sur TCP dans certaines versions (les déploiements côté serveur utilisent souvent UDP).

Installer un serveur OpenVPN sur Ubuntu (VPS)

Ci-dessous une configuration compacte et pratique. Ajustez noms, IPs et DNS selon votre environnement.

1) Installer les paquets

apt update && apt install -y openvpn easy-rsa

2) Créer la PKI et les clés serveur

make-cadir ~/openvpn-ca
cd ~/openvpn-ca
source vars
./clean-all
./build-ca            # create CA
./build-key-server server
./build-dh
openvpn --genkey --secret keys/ta.key

Astuce : Conservez la CA privée et effectuez des sauvegardes. Traitez les clés de la CA comme des secrets de production.

3) Configuration du serveur (/etc/openvpn/server.conf)

Créez le fichier avec ce contenu minimal :

port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
cipher AES-256-CBC
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3

4) Activer et démarrer le service

systemctl enable openvpn@server
systemctl start openvpn@server

5) Pare-feu : autoriser le port

ufw allow 1194/udp

Avertissement : Si vous exposez le port 1194 à Internet, sécurisez le serveur (fail2ban, clés SSH strictes, règles de pare-feu pour limiter les IP sources si possible).

Créer les certificats et configurations client

Utilisez les scripts easy-rsa pour générer un certificat client (par exemple : build-key client1).

Emballez ces fichiers para el cliente:

• ca.crt
• client1.crt
• client1.key
• ta.key (si utilisé)
• client.ovpn (fichier de configuration)

Un exemple minimal de client.ovpn (remplacez l’IP du serveur par votre VPS) :

client
dev tun
proto udp
remote YOUR.VPS.IP 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
remote-cert-tls server
cipher AES-256-CBC
verb 3

Configurer MikroTik comme client OpenVPN

RouterOS prend en charge les connexions cliente OpenVPN, mais avec quelques limites spécifiques à RouterOS.

1. Téléversez les fichiers de clé et de certificat client (ca.crt, client.crt, client.key) sur le MikroTik.

2. Créez un profil client OVPN et démarrez la connexion.

/interface ovpn-client add name=ovpn-out1 \
    connect-to=YOUR.VPS.IP port=1194 \
    user=vpnuser password="yourpassword" \
    profile=default-encryption add-default-route=no

/interface ovpn-client print

Exemple d’état attendu:

status: connected
uptime: 00:01:03
remote-address: 10.8.0.1
local-address: 10.8.0.6

Remarque : RouterOS limite historiquement OpenVPN au TCP dans certaines versions — vérifiez les notes de version de votre RouterOS. Si vous avez besoin d’UDP côté routeur, envisagez une solution intermédiaire (par ex. un hôte Linux) ou utilisez un client logiciel sur une machine proche.

Accéder à un appareil interne via le tunnel

Pour atteindre un appareil interne (ex : caméra IP 192.168.88.100), vous pouvez utiliser le NAT sur le MikroTik pour exposer un port local a través del túnel.

1. Ajoutez une règle dst-nat sur le MikroTik :

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

2. Depuis le serveur ou un autre client, connectez-vous à l’adresse routée et au port :

http://10.8.0.6:8081

Le trafic circule via le tunnel OpenVPN et atteint l’hôte interne.

Sécurité et bonnes pratiques

• Utilisez un certificat unique par client.
• Combinez certificats TLS clients con usuario/contraseña si necesita control tipo doble factor.
• Rotee claves y certificados con una periodicidad definida.
• Limitez les IPs sources dans le firewall du VPS quand c’est pratique.
• Préférez UDP pour les performances, mais vérifiez la compatibilité avec RouterOS.
• Surveillez l’état des connexions et les logs (syslog, openvpn-status.log).

Astuce : Automatisez l’émission des certificats pour de nombreux appareils avec des scripts, mais gardez la CA hors ligne autant que possible.

Comparaison brève avec des alternatives modernes

Quand utiliser OpenVPN

• Vous avez besoin d’un contrôle fin par certificats.
• Votre flotte inclut des appareils legacy ou des appliances sans agents modernes.
• Vous devez intégrer avec des règles de pare-feu existantes et une PKI d’entreprise.

Si vous voulez l’empreinte la plus légère et une cryptographie moderne, WireGuard (ou Tailscale pour un plan de contrôle plus simple) sont excellents — mais OpenVPN reste gagnant pour la compatibilité universelle.

Où MKController aide : Si vous voulez éviter les tunnels manuels et la gestion des certificats, les outils distants de MKController (NATCloud) permettent d’accéder aux appareils derrière NAT/CGNAT avec gouvernance centralisée, surveillance et reconnexion automatique — sans PKI par appareil à gérer.

Conclusion

OpenVPN n’est pas un reliquat du passé.

C’est un outil fiable lorsque vous avez besoin de compatibilité et d’un contrôle explicite sur l’authentification et le routage.

Associez-le à un VPS et à un client MikroTik et vous obtenez un chemin d’accès distant robuste et auditable pour caméras, routeurs et services internes.

À propos de MKController

Nous espérons que les informations ci-dessus vous ont aidé à mieux naviguer dans votre univers MikroTik et Internet ! 🚀
Que vous ajustiez des configurations ou tentiez de mettre de l’ordre dans le chaos du réseau, MKController est là pour simplifier votre vie.

Avec une gestion centralisée dans le cloud, des mises à jour de sécurité automatisées et un tableau de bord que tout le monde maîtrise, nous avons ce qu’il faut pour améliorer votre opération.

👉 Démarrez votre essai gratuit de 7 jours maintenant sur mkcontroller.com — et voyez ce que signifie avoir un contrôle réseau sans effort.