Ga naar inhoud
Blog

Beheer uw MikroTik met een VPS

Samenvatting
Gebruik een publieke VPS als een veilige tunnelhub om MikroTik en interne apparaten achter CGNAT te bereiken. Deze gids behandelt VPS-aanmaak, OpenVPN-configuratie, MikroTik client setup, poortdoorschakeling en beveiligingstips.

Extern beheer van MikroTik via VPS

Toegang krijgen tot apparaten achter een MikroTik zonder publiek IP is een klassiek probleem.

Een publieke VPS vormt een betrouwbare brug.

De router opent een uitgaande tunnel naar de VPS en je bereikt de router of elk LAN-apparaat via die tunnel.

Dit recept gebruikt een VPS (voorbeeld: DigitalOcean) en OpenVPN, maar het patroon werkt ook met WireGuard, SSH reverse tunnels of andere VPN’s.

Overzicht architectuur

Stroom:

Beheerder ⇄ Publieke VPS ⇄ MikroTik (achter NAT) ⇄ Intern apparaat

De MikroTik start de tunnel naar de VPS. De VPS is de stabiele ontmoetingsplek met een publiek IP.

Zodra de tunnel actief is, kan de VPS poorten doorsturen of verkeer routeren naar het LAN van de MikroTik.

Stap 1 — Maak een VPS aan (voorbeeld DigitalOcean)

  • Maak een account aan bij uw provider naar keuze.
  • Maak een Droplet / VPS met Ubuntu 22.04 LTS.
  • Een klein abonnement is voldoende voor beheer (1 vCPU, 1GB RAM).
  • Voeg uw SSH publieke sleutel toe voor veilige roottoegang.

Voorbeeld (resultaat):

  • VPS IP: 138.197.120.24
  • Gebruiker: root

Stap 2 — Bereid de VPS voor (OpenVPN-server)

Log in via SSH op de VPS:

Terminal window
ssh root@138.197.120.24
apt update && apt upgrade -y
apt install -y openvpn easy-rsa iptables

Maak de PKI en servercertificaten aan (easy-rsa):

Terminal window
make-cadir ~/openvpn-ca
cd ~/openvpn-ca
./easyrsa init-pki
./easyrsa build-ca nopass
./easyrsa gen-req server nopass
./easyrsa sign-req server server
openvpn --genkey --secret ta.key

Schakel IP-forwarding in:

Terminal window
sysctl -w net.ipv4.ip_forward=1
# persistent maken in /etc/sysctl.conf indien gewenst

Voeg een NAT-regel toe zodat tunnelclients via de publieke interface van de VPS (eth0) uitgaand verkeer kunnen versturen:

Terminal window
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

Maak een minimale serverconfiguratie /etc/openvpn/server.conf en start de dienst.

Tip: Beperk SSH (alleen keys), activeer UFW/iptables regels en overweeg fail2ban voor extra beveiliging.

Stap 3 — Maak clientcredentials en configuratie aan

Op de VPS, genereer een clientcertificaat (client1) en verzamel deze bestanden voor de MikroTik:

  • ca.crt
  • client1.crt
  • client1.key
  • ta.key (indien gebruikt)
  • client.ovpn (clientconfiguratie)

Een minimale client.ovpn:

client
dev tun
proto udp
remote 138.197.120.24 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
cipher AES-256-CBC
verb 3

Stap 4 — Configureer MikroTik als OpenVPN-client

Upload de clientcertificaten en client.ovpn naar de MikroTik (Bestandenlijst), maak vervolgens een OVPN-client interface aan:

/interface ovpn-client add name=vpn-to-vps connect-to=138.197.120.24 port=1194 \
    user=vpnuser password="senha123" profile=default-encryption add-default-route=no


/interface ovpn-client print

Verwacht een status zoals:

status: connected
uptime: 00:00:45
remote-address: 10.8.0.1
local-address: 10.8.0.2

Opmerking: Pas add-default-route aan om te bepalen of de router al het verkeer via de tunnel stuurt.

Stap 5 — Toegang tot MikroTik via de VPS

Gebruik DNAT op de VPS om een publieke poort door te sturen naar de WebFig of een andere service van de router.

Op de VPS:

Terminal window
iptables -t nat -A PREROUTING -p tcp --dport 8081 -j DNAT --to-destination 10.8.0.2:80
iptables -t nat -A POSTROUTING -p tcp -d 10.8.0.2 --dport 80 -j MASQUERADE

Nu bereikt u via http://138.197.120.24:8081 de WebFig van de router via de tunnel.

Stap 6 — Toegang tot interne LAN-apparaten

Om een apparaat achter de MikroTik te bereiken (bijvoorbeeld camera 192.168.88.100), voeg een DNAT-regel toe op de VPS en indien nodig een dst-nat op de MikroTik.

Op de VPS (map publieke poort 8082 naar tunnel-peer):

Terminal window
iptables -t nat -A PREROUTING -p tcp --dport 8082 -j DNAT --to-destination 10.8.0.2:8082

Op de MikroTik, stuur de inkomende poort van de tunnel door naar de interne host:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8082 action=dst-nat to-addresses=192.168.88.100 to-ports=80

Toegang tot de camera via:

http://138.197.120.24:8082

Verkeer volgt: publiek IP → VPS DNAT → OpenVPN tunnel → MikroTik dst-nat → intern apparaat.

Stap 7 — Automatisering en beveiligen

Praktische tips:

  • Gebruik SSH-keys voor VPS-toegang en sterke wachtwoorden op MikroTik.
  • Monitor en herstart de tunnel automatisch met een MikroTik-script dat de OVPN-interface controleert.
  • Gebruik statische IP’s of DDNS voor de VPS als u van provider wisselt.
  • Maak alleen benodigde poorten publiek; hou de rest achter de firewall.
  • Log verbindingen en stel waarschuwingen in voor ongewenste toegang.

Voorbeeld MikroTik watchdog script (herstart OVPN bij uitval):

:if ([/interface ovpn-client get vpn-to-vps running] = false) do={
    /interface ovpn-client disable vpn-to-vps
    /delay 3
    /interface ovpn-client enable vpn-to-vps
}

Beveiligingschecklist

  • Houd het VPS-besturingssysteem en OpenVPN up-to-date.
  • Gebruik unieke certificaten per MikroTik en verwerp gecompromitteerde sleutels.
  • Beperk firewallregels op de VPS tot beheerders-IP’s waar mogelijk.
  • Gebruik HTTPS en authenticatie op doorgestuurde diensten.
  • Overweeg de VPN op een niet-standaard UDP-poort te draaien en verbindingslimieten in te stellen.

Waar MKController helpt: Als handmatige tunnelopzet teveel werk is, biedt MKController’s NATCloud gecentraliseerde remote toegang en veilige connectiviteit zonder individuele tunnelbeheer.

Conclusie

Een publieke VPS is een eenvoudige en gecontroleerde manier om MikroTik-apparaten en interne hosts achter NAT te bereiken.

OpenVPN is een veelgebruikte optie, maar hetzelfde patroon werkt ook met WireGuard, SSH-tunnels en andere VPN’s.

Gebruik certificaten, strikte firewallregels en automatisering om de setup betrouwbaar en veilig te houden.

Over MKController

Hopelijk helpen de bovenstaande inzichten u beter door uw MikroTik- en internetomgeving te navigeren! 🚀
Of u nu configuraties verfijnt of gewoon orde probeert te scheppen in netwerkchaos, MKController maakt uw leven eenvoudiger.

Met gecentraliseerd cloudbeheer, geautomatiseerde beveiligingsupdates en een dashboard dat iedereen kan gebruiken, hebben wij wat u nodig heeft om uw operatie te upgraden.

👉 Begin nu uw gratis proefperiode van 3 dagen op mkcontroller.com — en ervaar wat moeiteloos netwerkbeheer écht betekent.