Lewati ke konten
MKController Blog
InstagramYouTubeFacebook

Remote Access

Manajemen Remote MikroTik OpenVPN

Konfigurasi OpenVPN dengan server VPS dan klien MikroTik untuk manajemen jarak jauh — pengaturan PKI, alur sertifikat, dan praktik terbaik keamanan.

MKController5 min read

Ringkasan OpenVPN adalah VPN berbasis TLS yang telah terbukti berpasangan dengan baik dengan VPS sebagai hub dan router MikroTik sebagai klien untuk manajemen jarak jauh. Ini mendahului WireGuard dan Tailscale tetapi tetap relevan karena kompatibilitas luasnya, kontrol PKI yang terperinci, dan opsi perutean yang fleksibel. Panduan ini memandu melalui pengaturan server Ubuntu VPS dengan easy-rsa, alur kerja sertifikat klien, konfigurasi klien OVPN MikroTik, dan daftar periksa keamanan yang menjaga penerapan dapat diaudit seiring waktu.

Bagaimana OpenVPN memungkinkan manajemen remote MikroTik?

OpenVPN adalah implementasi VPN sumber terbuka yang dibangun di atas OpenSSL yang membangun terowongan terenkripsi melalui TCP atau UDP. Untuk manajemen remote MikroTik, topologi umum menggabungkan Ubuntu VPS sebagai server yang selalu online dengan satu atau lebih router MikroTik sebagai klien. Router memulai terowongan keluar, jadi NAT dan CGNAT di sisi pelanggan tidak penting, dan VPS memegang rute dan aturan NAT yang memungkinkan Anda menjangkau router (dan perangkat di belakangnya) melalui terowongan.

Kekuatan OpenVPN adalah kriptografi yang matang (AES-256, SHA-256, TLS), dukungan IPv4 dan IPv6, mode TUN (rute) dan TAP (jembatan), dan kompatibilitas luas di seluruh vendor dan sistem operasi termasuk RouterOS. Kompromi adalah konsumsi CPU yang lebih berat daripada WireGuard di router kecil, langkah pengaturan PKI nyata (CA, sertifikat, kunci), dan batasan khusus RouterOS yang perlu Anda ketahui — secara historis klien OVPN MikroTik hanya mendukung transportasi TCP di beberapa versi. Untuk pola perbandingan, lihat panduan manajemen remote WireGuard kami, panduan SSTP, dan panduan Tailscale.

Cara kerja OpenVPN

OpenVPN membangun terowongan terenkripsi antara server (biasanya VPS publik) dan satu atau lebih klien. Otentikasi menggunakan CA, sertifikat per klien, dan opsional TLS-auth (ta.key). Dua mode umum:

  • TUN (rute) — Perutean IP antar jaringan. Pilihan standar.
  • TAP (jembatan) — Penjembatan Layer-2, berguna untuk aplikasi yang bergantung pada siaran. Lebih berat dan jarang diperlukan.

Langkah 1: Instal OpenVPN di VPS

apt update && apt install -y openvpn easy-rsa

Langkah 2: Bangun PKI dan kunci server

make-cadir ~/openvpn-ca
cd ~/openvpn-ca
./easyrsa init-pki
./easyrsa build-ca nopass
./easyrsa gen-req server nopass
./easyrsa sign-req server server
./easyrsa gen-dh
openvpn --genkey --secret ta.key

Jaga CA tetap privat dan back upnya. Perlakukan kunci CA seperti rahasia produksi — siapa pun dengan CA dapat memalsukan sertifikat klien yang sah.

Langkah 3: Tulis konfigurasi server

/etc/openvpn/server.conf (minimum):

port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
cipher AES-256-CBC
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3

Langkah 4: Mulai layanan dan buka firewall

systemctl enable openvpn@server
systemctl start openvpn@server
ufw allow 1194/udp

Jika Anda mengekspos port 1194 ke seluruh internet, amankan VPS — fail2ban, kunci SSH ketat, dan pembatasan firewall IP sumber di mana praktis. Titik akhir VPN yang terbuka ke internet secara terus-menerus diselidiki.

Langkah 5: Buat sertifikat dan konfigurasi klien

Hasilkan sertifikat klien dengan easy-rsa (./easyrsa build-client-full client1 nopass) dan bundel ini untuk klien:

  • ca.crt
  • client1.crt
  • client1.key
  • ta.key (jika digunakan)
  • client.ovpn — file konfigurasi klien

Minimal client.ovpn:

client
dev tun
proto udp
remote YOUR.VPS.IP 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
remote-cert-tls server
cipher AES-256-CBC
verb 3

Langkah 6: Konfigurasi MikroTik sebagai klien OpenVPN

RouterOS mendukung koneksi klien OpenVPN dengan batasan khusus RouterOS — terutama karena versi yang lebih lama membatasi ke transportasi TCP.

  1. Unggah ca.crt, client1.crt, dan client1.key ke MikroTik melalui jendela File Winbox.
  2. Di terminal:
/interface ovpn-client add name=ovpn-out1 \
    connect-to=YOUR.VPS.IP port=1194 \
    user=vpnuser password="yourpassword" \
    profile=default-encryption add-default-route=no


/interface ovpn-client print

Status yang diharapkan:

status: connected
uptime: 00:01:03
remote-address: 10.8.0.1
local-address: 10.8.0.6

Periksa catatan rilis RouterOS Anda jika koneksi gagal dengan UDP — jika versi Anda membatasi klien OVPN ke TCP, ubah server proto menjadi tcp dan aturan firewall sesuai. Untuk alternatif yang ramah UDP di RouterOS, WireGuard adalah default modern.

Jangkau perangkat internal di seluruh terowongan

Untuk menjangkau perangkat di belakang MikroTik (misalnya, kamera di 192.168.88.100), gunakan dst-nat di MikroTik untuk mengekspos port lokal di seluruh terowongan:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

Dari server atau klien VPN lain, sambung melalui alamat rute dan port:

http://10.8.0.6:8081

Lalu lintas mengalir melalui terowongan OpenVPN dan menjangkau host internal.

Praktik terbaik keamanan

  • Sertifikat unik per klien. Jangan pernah menggunakan kembali kunci di seluruh perangkat.
  • Gabungkan sertifikat klien TLS dengan nama pengguna/sandi jika Anda menginginkan kontrol seperti dual-factor.
  • Putar kunci dan sertifikat sesuai jadwal. Terapkan CRL (daftar pencabutan sertifikat) untuk perangkat yang hilang.
  • Batasi IP sumber di firewall VPS di mana praktis.
  • Lebih suka UDP untuk kinerja; verifikasi kompatibilitas RouterOS per rilis.
  • Pantau kesehatan koneksi dan log (syslog, openvpn-status.log).
  • Otomatiskan penerbitan sertifikat untuk banyak perangkat dengan skrip, tetapi jaga CA tetap offline di mana pun — CA di server yang terhubung hanya satu email phishing yang jauh dari kompromi.

Untuk konteks keamanan manajemen yang lebih luas, lihat artikel praktik terbaik keamanan Winbox kami.

OpenVPN versus alternatif modern

SolusiKekuatanKapan memilihnya
OpenVPNKompatibilitas, kontrol sertifikat terperinciArmada campuran/legacy; appliance korporat
WireGuardKecepatan, kesederhanaan, kriptografi modernPerangkat modern, router berukuran kecil
SSTPTLS di port 443, traversal firewallJaringan yang memblokir UDP dan port VPN lain
Tailscale / ZeroTierMesh, berbasis identitas, penerapan mudahLaptop, tim, kolaborasi lintas platform

Kapan menggunakan OpenVPN

Pilih OpenVPN ketika kontrol sertifikat terperinci penting, armada Anda mencakup perangkat legacy atau appliance tanpa agen VPN modern, atau Anda perlu berintegrasi dengan aturan firewall yang ada dan PKI enterprise. Jika throughput mentah dan overhead CPU minimal lebih penting, WireGuard menang — lihat tutorial WireGuard dan panduan Tailscale.

Ambil langkah berikutnya

OpenVPN bukan barang antik. Ini adalah alat yang andal ketika Anda membutuhkan kompatibilitas dan kontrol eksplisit atas otentikasi dan perutean. Pasangkan dengan VPS dan klien MikroTik dan Anda mendapatkan jalur akses jarak jauh yang kuat dan dapat diaudit untuk kamera, router, dan layanan internal.

Jika Anda lebih suka melewati upacara PKI per perangkat, NATCloud MKController menyediakan akses jarak jauh ke perangkat di belakang NAT atau CGNAT dengan tata kelola terpusat, pemantauan, dan auto-reconnect — tidak ada sertifikat untuk dipertahankan per router.

Mulai uji coba gratis MKController