Lewati ke konten
Blog

Mengelola Mikrotik Anda dengan OpenVPN

Ringkasan
Panduan praktis menggunakan OpenVPN dengan MikroTik dan VPS: cara kerja OpenVPN, setup server di Ubuntu, konfigurasi klien MikroTik, pola akses, perbandingan solusi modern, dan praktik keamanan terbaik.

Manajemen Mikrotik Jarak Jauh dengan OpenVPN

OpenVPN tetap menjadi metode yang kuat dan teruji untuk mengakses router dan perangkat secara jarak jauh.

Ini hadir sebelum WireGuard dan Tailscale, namun fleksibilitas dan kompatibilitasnya membuatnya tetap relevan hingga sekarang.

Artikel ini memandu Anda cara dan alasan penggunaannya — lengkap dengan perintah siap salin untuk server VPS dan klien MikroTik.

Apa itu OpenVPN?

OpenVPN adalah implementasi VPN open-source (sejak 2001) yang membangun terowongan terenkripsi melalui TCP atau UDP.

Menggunakan OpenSSL untuk enkripsi dan otentikasi berbasis TLS.

Poin utama:

  • Kriptografi kuat (AES-256, SHA256, TLS).
  • Mendukung IPv4 dan IPv6.
  • Mendukung mode routed (TUN) dan bridged (TAP).
  • Kompatibilitas luas OS dan perangkat, termasuk RouterOS.

Catatan: Ekosistem dan tooling OpenVPN sangat cocok untuk lingkungan yang membutuhkan kontrol sertifikat eksplisit dan dukungan perangkat lawas.

Cara Kerja OpenVPN (ringkas)

OpenVPN membuat tunnel terenkripsi antara server (biasanya VPS publik) dan satu atau lebih klien (router MikroTik, laptop, dll).

Otentikasi menggunakan CA, sertifikat, dan opsi tambahan TLS auth (ta.key).

Mode umum:

  • TUN (routed): Routing IP antar jaringan (paling umum).
  • TAP (bridge): Bridging layer-2 — cocok untuk aplikasi broadcast tapi lebih berat.

Kelebihan dan Kekurangan

Kelebihan

  • Model keamanan teruji (TLS + OpenSSL).
  • Sangat dapat dikonfigurasi (TCP/UDP, port, route, opsi push).
  • Kompatibilitas luas — cocok untuk armada campuran.
  • Dukungan native (meski terbatas) di RouterOS.

Kekurangan

  • Lebih berat dibanding WireGuard di perangkat terbatas.
  • Setup butuh PKI (CA, sertifikat) dan beberapa langkah manual.
  • RouterOS MikroTik hanya mendukung OpenVPN TCP (setup server umumnya UDP).

Membangun Server OpenVPN di Ubuntu (VPS)

Di bawah ini setup ringkas dan praktis. Sesuaikan nama, IP, dan DNS dengan lingkungan Anda.

1) Instal paket

Terminal window
apt update && apt install -y openvpn easy-rsa

2) Buat PKI dan kunci server

Terminal window
make-cadir ~/openvpn-ca
cd ~/openvpn-ca
source vars
./clean-all
./build-ca            # buat CA
./build-key-server server
./build-dh
openvpn --genkey --secret keys/ta.key

Tips: Jaga CA tetap privat dan backup. Perlakukan kunci CA seperti rahasia produksi.

3) Konfigurasi server (/etc/openvpn/server.conf)

Buat file dengan isi minimal berikut:

port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
cipher AES-256-CBC
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3

4) Aktifkan dan mulai layanan

Terminal window
systemctl enable openvpn@server
systemctl start openvpn@server

5) Firewall: buka port

Terminal window
ufw allow 1194/udp

Peringatan: Jika membuka port 1194 ke seluruh internet, amankan server (fail2ban, kunci SSH ketat, aturan firewall batasi IP sumber bila bisa).

Buat sertifikat dan konfigurasi klien

Gunakan skrip easy-rsa untuk buat sertifikat klien (contoh: build-key client1).

Siapkan file berikut untuk klien:

  • ca.crt
  • client1.crt
  • client1.key
  • ta.key (jika dipakai)
  • client.ovpn (file konfigurasi)

Contoh client.ovpn minimal (ganti IP server dengan VPS Anda):

client
dev tun
proto udp
remote YOUR.VPS.IP 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
remote-cert-tls server
cipher AES-256-CBC
verb 3

Konfigurasi MikroTik sebagai klien OpenVPN

RouterOS mendukung koneksi klien OpenVPN, tapi dengan batasan spesifik RouterOS.

  1. Upload file kunci dan sertifikat klien (ca.crt, client.crt, client.key) ke MikroTik.

  2. Buat profil klien OVPN dan mulai koneksi.

/interface ovpn-client add name=ovpn-out1 \
    connect-to=YOUR.VPS.IP port=1194 \
    user=vpnuser password="yourpassword" \
    profile=default-encryption add-default-route=no


/interface ovpn-client print

Sample status yang diharapkan:

status: connected
uptime: 00:01:03
remote-address: 10.8.0.1
local-address: 10.8.0.6

Catatan: RouterOS secara historis membatasi OpenVPN ke TCP di beberapa versi — cek catatan rilis RouterOS Anda. Untuk UDP di sisi router, pertimbangkan solusi perantara (misal host Linux) atau klien perangkat lunak pada mesin terdekat.

Akses perangkat internal melalui tunnel

Untuk mengakses perangkat internal (contoh: IP kamera 192.168.88.100), gunakan NAT pada MikroTik untuk mengekspos port lokal lewat tunnel.

  1. Tambahkan aturan dst-nat di MikroTik:
/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80
  1. Dari server atau klien lain, akses alamat dan port yang diarahkan:
http://10.8.0.6:8081

Lalu lintas melewati tunnel OpenVPN dan mencapai host internal.

Keamanan dan praktik terbaik

  • Gunakan sertifikat unik per klien.
  • Gabungkan sertifikat TLS dengan user/password jika butuh kontrol ganda.
  • Rotasi kunci dan sertifikat secara berkala.
  • Batasi IP sumber di firewall VPS bila memungkinkan.
  • Pilih UDP untuk performa, tapi pastikan kompatibilitas RouterOS.
  • Pantau kesehatan koneksi dan log (syslog, openvpn-status.log).

Tips: Otomatiskan penerbitan sertifikat untuk banyak perangkat dengan skrip, tapi simpan CA offline jika memungkinkan.

Perbandingan singkat dengan alternatif modern

SolusiKekuatanKapan digunakan
OpenVPNKompatibilitas, kontrol sertifikat detailLingkungan campuran/lama; setup ISP; perangkat korporat
WireGuardKecepatan, kesederhanaanPerangkat modern, router ringan
Tailscale/ZeroTierMesh, identitas, mudah dipasangLaptop, server, kerja tim

Kapan memakai OpenVPN

  • Perlu kontrol sertifikat sangat detail.
  • Armada Anda termasuk perangkat lawas tanpa agen modern.
  • Perlu integrasi dengan aturan firewall dan PKI perusahaan.

Kalau ingin overhead terendah dan kriptografi modern, WireGuard (atau Tailscale untuk kontrol mudah) bagus sekali — tapi OpenVPN unggul soal kompatibilitas universal.

Dimana MKController membantu: Jika ingin hindari repot buat tunnel manual dan sertifikat, alat remote MKController (NATCloud) memungkinkan akses perangkat di balik NAT/CGNAT dengan pengawasan terpusat, monitoring, dan auto-reconnect — tanpa mengelola PKI per perangkat.

Kesimpulan

OpenVPN bukan peninggalan masa lalu.

Ini alat andal saat Anda butuh kompatibilitas dan kontrol eksplisit atas autentikasi dan routing.

Padukan dengan VPS dan klien MikroTik, Anda punya jalur akses jarak jauh yang kuat dan dapat diaudit untuk kamera, router, dan layanan internal.

Tentang MKController

Semoga wawasan di atas membantu Anda mengelola MikroTik dan jaringan internet dengan lebih baik! 🚀
Entah mengatur konfigurasi atau mencoba rapikan kekacauan jaringan, MKController hadir untuk memudahkan hidup Anda.

Dengan manajemen cloud terpusat, pembaruan keamanan otomatis, dan dashboard yang mudah digunakan, kami siap tingkatkan operasional Anda.

👉 Mulai uji coba gratis 3 hari Anda sekarang di mkcontroller.com — dan rasakan betapa mudahnya kontrol jaringan.