Ga naar inhoud
MKController Blog
InstagramYouTubeFacebook

Remote Access

OpenVPN Remote MikroTik Management

Configureer OpenVPN met een VPS-server en MikroTik-client voor remotebeheer — PKI-setup, certificaatworkflow en beveiligingsaanbevelingen.

MKController5 min read

Samenvatting OpenVPN is een beproefd VPN op basis van TLS dat goed samenwerkt met een VPS als hub en MikroTik-routers als clients voor remotebeheer. Het voorafgaat aan WireGuard en Tailscale, maar blijft relevant vanwege brede compatibiliteit, granulaire PKI-controle en flexibele routeringsopties. Deze gids behandelt de Ubuntu VPS-serversetup met easy-rsa, de workflow voor clientcertificaten, de MikroTik OVPN-clientconfiguratie en de beveiligingschecklist die de implementatie in de loop van de tijd controleerbaar houdt.

Hoe stelt OpenVPN extern beheer van MikroTik mogelijk?

OpenVPN is een open-source VPN-implementatie gebouwd op OpenSSL die versleutelde tunnels via TCP of UDP tot stand brengt. Voor extern beheer van MikroTik combineert de typische topologie een Ubuntu VPS als altijd-actieve server met een of meer MikroTik-routers als clients. De router initieert de tunnel naar buiten, dus NAT en CGNAT aan de kant van de klant doen er niet toe, en de VPS beheert de routes en NAT-regels waarmee u de router (en apparaten erachter) via de tunnel kunt bereiken.

De sterke punten van OpenVPN zijn rijpe cryptografie (AES-256, SHA-256, TLS), IPv4- en IPv6-ondersteuning, zowel TUN (gerouteerd) als TAP (bridge) modi, en brede compatibiliteit tussen leveranciers en besturingssystemen, inclusief RouterOS. De afwegingen zijn hoger CPU-verbruik dan WireGuard op kleine routers, een echte PKI-setupstap (CA, certificaten, sleutels) en een RouterOS-specifieke beperking die u moet kennen — historisch ondersteunt de MikroTik OVPN-client op sommige versies alleen TCP-transport. Voor vergelijkingspatronen raadpleeg onze WireGuard extern beheer gids, SSTP gids en Tailscale gids.

Hoe OpenVPN werkt

OpenVPN brengt een versleutelde tunnel tot stand tussen een server (meestal een openbare VPS) en een of meer clients. Verificatie maakt gebruik van een CA, certificaten per client en optionele TLS-auth (ta.key). Twee veel gebruikte modi:

  • TUN (gerouteerd) — IP-routering tussen netwerken. De standaardkeus.
  • TAP (overbruggd) — Laag-2 overbrugging, nuttig voor toepassingen die afhankelijk zijn van uitzending. Zwaarder en zelden nodig.

Stap 1: OpenVPN op de VPS installeren

apt update && apt install -y openvpn easy-rsa

Stap 2: De PKI en serversleutels bouwen

make-cadir ~/openvpn-ca
cd ~/openvpn-ca
./easyrsa init-pki
./easyrsa build-ca nopass
./easyrsa gen-req server nopass
./easyrsa sign-req server server
./easyrsa gen-dh
openvpn --genkey --secret ta.key

Houd de CA privé en back-up ervan. Behandel CA-sleutels als productiegeheimen — iedereen met de CA kan legitieme clientcertificaten vervalsen.

Stap 3: De serverconfiguratie schrijven

/etc/openvpn/server.conf (minimum):

port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
cipher AES-256-CBC
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3

Stap 4: De service starten en de firewall openen

systemctl enable openvpn@server
systemctl start openvpn@server
ufw allow 1194/udp

Als u poort 1194 aan het hele internet blootstelt, beveilig dan de VPS — fail2ban, strikte SSH-sleutels en beperkingen van bron-IP in firewall waar praktisch. Internet-blootgestelde VPN-eindpunten worden voortdurend gescand.

Stap 5: Clientcertificaten en config maken

Genereer een clientcertificaat met easy-rsa (./easyrsa build-client-full client1 nopass) en bundel deze voor de client:

  • ca.crt
  • client1.crt
  • client1.key
  • ta.key (indien gebruikt)
  • client.ovpn — het clientconfiguratiebestand

Een minimale client.ovpn:

client
dev tun
proto udp
remote YOUR.VPS.IP 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
remote-cert-tls server
cipher AES-256-CBC
verb 3

Stap 6: MikroTik als OpenVPN-client configureren

RouterOS ondersteunt OpenVPN-clientverbindingen met RouterOS-specifieke beperkingen — met name dat oudere versies beperkt zijn tot TCP-transport.

  1. Upload ca.crt, client1.crt en client1.key naar de MikroTik via het bestandsvenster van Winbox.
  2. In een terminal:
/interface ovpn-client add name=ovpn-out1 \
    connect-to=YOUR.VPS.IP port=1194 \
    user=vpnuser password="yourpassword" \
    profile=default-encryption add-default-route=no


/interface ovpn-client print

Verwachte status:

status: connected
uptime: 00:01:03
remote-address: 10.8.0.1
local-address: 10.8.0.6

Controleer uw RouterOS-releaseopmerkingen als de verbinding mislukt met UDP — als uw versie de OVPN-client beperkt tot TCP, schakel dan de server proto over naar tcp en de firewallregel dienovereenkomstig. Voor een UDP-vriendelijk alternatief op RouterOS is WireGuard de moderne standaard.

Een intern apparaat bereiken via de tunnel

Om een apparaat achter de MikroTik te bereiken (bijv. een camera op 192.168.88.100), gebruikt u dst-nat op de MikroTik om een lokale poort via de tunnel bloot te stellen:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

Verbind van de server of een ander VPN-client via het gerouteerde adres en de poort:

http://10.8.0.6:8081

Verkeer stroomt door de OpenVPN-tunnel en bereikt de interne host.

Aanbevelingen voor beveiliging

  • Uniek certificaat per client. Hergebruik nooit sleutels op verschillende apparaten.
  • Combineer TLS-clientcertificaten met een gebruikersnaam/wachtwoord als u dubbele-factor-achtige controle wilt.
  • Roteer sleutels en certificaten volgens een schema. Implementeer CRL’s (certificaatintrekkingslijsten) voor verloren apparaten.
  • Beperk bron-IP’s in de VPS-firewall waar praktisch.
  • Geef de voorkeur aan UDP voor prestaties; controleer RouterOS-compatibiliteit per release.
  • Controleer de gezondheid en logboeken van verbindingen (syslog, openvpn-status.log).
  • Automatiseer certificaatuitgifte voor veel apparaten met scripts, maar houd de CA offline waar mogelijk — een CA op een verbonden server is één phishing-mail verwijderd van compromis.

Voor bredere beveiligingscontext van het beheerniveau raadpleeg onze Winbox beveiligingsaanbevelingen artikel.

OpenVPN versus moderne alternatieven

OplossingSterke puntenWanneer kiezen
OpenVPNCompatibiliteit, granulaire certcontroleGemengde/legacy vloten; bedrijfsapparaten
WireGuardSnelheid, eenvoud, moderne cryptografieModerne apparaten, kleine routers
SSTPTLS via poort 443, firewall traversalNetwerken die UDP en andere VPN-poorten blokkeren
Tailscale / ZeroTierMesh, identiteit-gebaseerd, eenvoudige implementatieLaptops, teams, cross-platform samenwerking

Wanneer OpenVPN gebruiken

Kies OpenVPN wanneer granulair certificaatbeheer belangrijk is, uw vloot legacy-apparaten of applicaties bevat zonder moderne VPN-agents, of u moet integreren met bestaande firewallregels en bedrijfs-PKI. Als ruwe doorvoer en minimale CPU-overhead belangrijker zijn, wint WireGuard — zie de WireGuard tutorial en de Tailscale gids.

Volgende stap

OpenVPN is geen reliek. Het is een betrouwbaar hulpmiddel wanneer u compatibiliteit en expliciete controle over authenticatie en routering nodig hebt. Koppel het aan een VPS en een MikroTik-client en u krijgt een robuust, controleerbaar remote-accesspad voor camera’s, routers en interne services.

Als u liever de per-apparaat PKI-ceremonie overslaat, levert MKController’s NATCloud remote-toegang tot apparaten achter NAT of CGNAT met gecentraliseerd bestuur, bewaking en automatisch opnieuw verbinden — geen certificaten om per router te onderhouden.

Start uw gratis MKController-proef