Ga naar inhoud
Blog

Je Mikrotik beheer met OpenVPN

Samenvatting
Een praktische gids voor het gebruik van OpenVPN met MikroTik en een VPS: hoe OpenVPN werkt, server setup op Ubuntu, MikroTik clientconfiguratie, toegangspatronen, vergelijkingen met moderne oplossingen en beveiligingsrichtlijnen.

Extern MikroTik beheer met OpenVPN

OpenVPN blijft een robuuste, beproefde methode om routers en apparaten op afstand te bereiken.

Het bestaat langer dan WireGuard en Tailscale, maar de flexibiliteit en compatibiliteit maken het vandaag de dag nog relevant.

Deze post leidt je door het hoe en waarom — inclusief copy-paste commando’s voor een VPS-server en een MikroTik client.

Wat is OpenVPN?

OpenVPN is een open-source VPN-implementatie (sinds 2001) die versleutelde tunnels bouwt over TCP of UDP.

Het gebruikt OpenSSL voor encryptie en TLS-gebaseerde authenticatie.

Belangrijke punten:

  • Sterke encryptie (AES-256, SHA256, TLS).
  • Werkt met IPv4 en IPv6.
  • Ondersteunt gerouteerde (TUN) en gebridge (TAP) modi.
  • Brede OS- en apparaatcompatibiliteit — inclusief RouterOS.

Opmerking: De OpenVPN-ecosysteem en tooling maken het ideaal voor omgevingen die expliciete certificaatcontrole en legacy apparaatondersteuning nodig hebben.

Hoe OpenVPN werkt (korte uitleg)

OpenVPN creëert een versleutelde tunnel tussen een server (meestal een publieke VPS) en één of meerdere clients (MikroTik routers, laptops, enz.).

Authenticatie gebeurt met een CA, certificaten en optionele TLS-authenticatie (ta.key).

Veelgebruikte modi:

  • TUN (gerouteerd): IP-routing tussen netwerken (meest gebruikt).
  • TAP (bridge): Layer-2 bridging — handig voor apps die afhankelijk zijn van broadcasts, maar zwaarder.

Voordelen en nadelen

Voordelen

  • Bewezen beveiligingsmodel (TLS + OpenSSL).
  • Zeer configureerbaar (TCP/UDP, poorten, routes, pushed opties).
  • Brede compatibiliteit — ideaal voor gemengde fleets.
  • Native (zij het beperkt) ondersteuning in RouterOS.

Nadelen

  • Zwaarder dan WireGuard op hardware met beperkte resources.
  • Setup vereist PKI (CA, certificaten) en wat handmatige stappen.
  • MikroTik’s RouterOS ondersteunt OpenVPN alleen via TCP (server setup gebruikt meestal UDP).

OpenVPN-server opzetten op Ubuntu (VPS)

Hieronder een compacte, praktische setup. Pas namen, IP-adressen en DNS aan jouw omgeving aan.

1) Installeer pakketten

Terminal window
apt update && apt install -y openvpn easy-rsa

2) Maak PKI en serverkeys aan

Terminal window
make-cadir ~/openvpn-ca
cd ~/openvpn-ca
source vars
./clean-all
./build-ca            # maak CA aan
./build-key-server server
./build-dh
openvpn --genkey --secret keys/ta.key

Tip: Houd de CA privé en maak een back-up. Behandel CA-sleutels als productiesleutels.

3) Serverconfiguratie (/etc/openvpn/server.conf)

Maak het bestand met deze minimale inhoud:

port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
cipher AES-256-CBC
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3

4) Schakel de service in en start hem

Terminal window
systemctl enable openvpn@server
systemctl start openvpn@server

5) Firewall: poort toestaan

Terminal window
ufw allow 1194/udp

Waarschuwing: Als je poort 1194 openzet voor het hele internet, beveilig dan de server (fail2ban, strikte SSH-sleutels, firewallregels om bron IP’s te beperken waar mogelijk).

Client certificaten en configuraties aanmaken

Gebruik easy-rsa scripts om een client certificaat te genereren (bijvoorbeeld: build-key client1).

Verpak deze bestanden voor de client:

  • ca.crt
  • client1.crt
  • client1.key
  • ta.key (indien gebruikt)
  • client.ovpn (configuratiebestand)

Een minimalistisch client.ovpn voorbeeld (vervang de server IP door jouw VPS):

client
dev tun
proto udp
remote YOUR.VPS.IP 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
remote-cert-tls server
cipher AES-256-CBC
verb 3

MikroTik configureren als OpenVPN client

RouterOS ondersteunt OpenVPN clientverbindingen, maar kent enkele RouterOS-specifieke beperkingen.

  1. Upload de client key en certificaatbestanden (ca.crt, client.crt, client.key) naar de MikroTik.

  2. Maak een OVPN client profiel aan en start de verbinding.

/interface ovpn-client add name=ovpn-out1 \
    connect-to=YOUR.VPS.IP port=1194 \
    user=vpnuser password="yourpassword" \
    profile=default-encryption add-default-route=no


/interface ovpn-client print

Verwachte statusvoorbeeld:

status: connected
uptime: 00:01:03
remote-address: 10.8.0.1
local-address: 10.8.0.6

Opmerking: RouterOS beperkt OpenVPN in sommige versies tot TCP — controleer jouw RouterOS release-opmerkingen. Als je UDP nodig hebt aan de routerzijde, overweeg dan een tussenoplossing (zoals een Linux host) of gebruik een softwareclient op een nabijgelegen machine.

Toegang tot een intern apparaat via de tunnel

Om een intern apparaat (bijvoorbeeld IP-camera 192.168.88.100) te bereiken, kun je op de MikroTik NAT gebruiken om een lokale poort via de tunnel beschikbaar te maken.

  1. Voeg een dst-nat-regel toe op de MikroTik:
/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80
  1. Verbind vanaf de server of een andere client met het gerouteerde adres en poort:
http://10.8.0.6:8081

Verkeer loopt via de OpenVPN-tunnel en bereikt het interne apparaat.

Beveiliging en beste praktijken

  • Gebruik een uniek certificaat per client.
  • Combineer TLS clientcertificaten met een gebruikersnaam/wachtwoord voor dual-factor-achtige controle.
  • Roteer sleutels en certificaten periodiek.
  • Beperk bron IP’s in de VPS firewall waar mogelijk.
  • Geef de voorkeur aan UDP voor performance, maar controleer RouterOS-compatibiliteit.
  • Houd de verbindingsstatus en logs in de gaten (syslog, openvpn-status.log).

Tip: Automatiseer het uitgeven van certificaten voor veel apparaten met scripts, maar houd de CA waar mogelijk offline.

Korte vergelijking met moderne alternatieven

OplossingSterke puntenWanneer kiezen
OpenVPNCompatibiliteit, gedetailleerde certificaatcontroleGemengde/legacy omgevingen; ISP setups; zakelijke appliances
WireGuardSnelheid, eenvoudModerne apparaten, kleine routers
Tailscale/ZeroTierMesh, identiteit, eenvoudige uitrolLaptops, servers, team samenwerking

Wanneer OpenVPN gebruiken

  • Je hebt fijnmazige certificaatcontrole nodig.
  • Je fleet bevat legacy apparaten of apparaten zonder moderne agents.
  • Je moet integreren met bestaande firewallregels en enterprise PKI.

Als je de lichtste belasting en moderne cryptografie wilt, zijn WireGuard (of Tailscale voor gebruiksvriendelijke controlplane) uitstekend — maar OpenVPN wint nog steeds op universele compatibiliteit.

Waar MKController helpt: Wil je handmatige tunneling en certificaatgedoe vermijden? MKController’s externe tools (NATCloud) bieden toegang tot apparaten achter NAT/CGNAT met gecentraliseerd beheer, monitoring en automatische reconnects — geen per-apparaat PKI-beheer.

Conclusie

OpenVPN is geen relikwie.

Het is een betrouwbaar hulpmiddel wanneer je compatibiliteit en expliciete controle over authenticatie en routing nodig hebt.

Combineer het met een VPS en een MikroTik client en je hebt een robuuste, controleerbare remote toegang tot camera’s, routers en interne diensten.

Over MKController

Hopelijk hebben de inzichten hierboven je geholpen je MikroTik- en internetomgeving beter te beheren! 🚀
Of je nu configuraties verfijnt of gewoon orde probeert te scheppen in het netwerkgewoel, MKController maakt je leven eenvoudiger.

Met gecentraliseerd cloudbeheer, automatische beveiligingsupdates en een dashboard dat iedereen kan bedienen, hebben wij wat je nodig hebt om je operatie te upgraden.

👉 Start nu je gratis proefperiode van 3 dagen op mkcontroller.com — en ervaar hoe moeiteloze netwerkbeheer eruitziet.