Deel dit onderwerp alstublieft!

Let’s Encrypt certificaat op MikroTik

Maak je router veiliger door een Let's Encrypt certificaat

Mogelijk ben je bekend met het creëren van zelf ondertekende certificaten op je MikroTik router. Maar heb je ooit overwogen om een Let's Encrypt certificaat te gebruiken? In deze blogpost onderzoeken we de toegevoegde waarde van het installeren van een Let's Encrypt certificaat op je MikroTik apparaat. Want een Let's Encrypt-certificaat biedt enkele belangrijke voordelen. In tegenstelling tot zelf ondertekende certificaten, zijn Let's Encrypt certificaten door veel browsers automatisch vertrouwd. Dit vermindert het risico op beveiligingswaarschuwingen en verbetert de gebruikerservaring voor eindgebruikers. Deze blogpost leidt je door het proces van het installeren van een Let's Encrypt certificaat op je MikroTik router. Door de stappen te volgen die hier worden beschreven, kun je profiteren van een beveiligde verbinding met je MikroTik apparaat, wat vooral handig is bij het beheren van je router via externe toegang. Doch deze certificaten kunnen meer doen voor je MikroTik router. 

Het Let's Encrypt certificaat zorgt voor een vertrouwenswaardig hotspot infrastructuur

Het implementeren van een Let's Encrypt certificaat op je MikroTik router draagt niet alleen bij aan een veilige verbinding. Het heeft vervolgens ook een aanzienlijke impact op de vertrouwenswaardigheid van je hotspot infrastructuur. Dankzij dit certificaat wordt de beveiliging van je hotspot versterkt door de versleutelde communicatie tussen gebruikers en de router. Wat echter nog belangrijker is en dit heb ik al aangehaald, is dat Let's Encrypt certificaten algemeen erkend worden door webbrowsers. Dit betekent dat wanneer gebruikers verbinding maken met je hotspot, ze geen ongewenste beveiligingswaarschuwingen ontvangen. Dit vergroot het vertrouwen in je infrastructuur. Je zorgt niet alleen voor een veilige maar ook een vertrouwde hotspotomgeving. Dit is vooral cruciaal voor situaties waarin gebruikers gevoelige informatie via de hotspot verzenden of ontvangen. Door deze extra laag van vertrouwen te bieden, draagt het Let's Encrypt certificaat bij aan een positieve gebruikerservaring en bevordert het de integriteit van je hotspot-infrastructuur.

Deze certificaten zijn volledig gratis te verkrijgen en te gebruiken

Het is niet te geloven in deze tijd maar de Let's Encrypt-certificaten zijn gratis te gebruiken. Het doel van de Let's Encrypt-organisatie is om het internet veiliger te maken door het aanbieden van gratis SSL/TLS-certificaten. Let's Encrypt streeft ernaar om de implementatie van versleutelde communicatie op het web te bevorderen. Door gratis certificaten te verstrekken, wil Let's Encrypt ervoor zorgen dat websites en online diensten toegankelijk zijn via een beveiligde HTTPS-verbinding, waardoor de privacy en veiligheid van gebruikersinformatie worden verbeterd. Deze organisatie heeft als missie om drempels voor het gebruik van versleuteling te verminderen en ervoor te zorgen dat alle internetgebruikers toegang hebben tot beveiligde communicatie. Door certificaten eenvoudig en kosteloos beschikbaar te stellen, hoopt Let's Encrypt bij te dragen aan een internet waarin privacy en beveiliging de norm zijn. Dit is prijzenswaardig is het niet? Wil je meer weten over het beveiligen van de MikroTik router lees dan ook deze blogpost eens door.

Wat zijn de vereisten om te genieten van de Let's Encrypt certificaten

Om Let's Encrypt-certificaten te implementeren op je MikroTik-router, is het noodzakelijk om over een domeinnaam te beschikken. Het hebben van een eigen website is daarbij een aanzienlijk voordeel. Hierdoor kun je een subdomein creëren, bijvoorbeeld: 'mijnrouter.wirelessinfo.be'. Een belangrijk aspect is het bezitten van een vast, publiek toegankelijk IP-adres. Dit moet worden opgegeven bij het aanmaken van het subdomein. Deze voorwaarden zijn essentieel. Als je geen vast publiek toegankelijk IP-adres hebt, zul je een alternatieve oplossing moeten zoeken om een hostnaam te koppelen aan het publiek toegankelijk IP-adres van je MikroTik-router. Ik heb geprobeerd gebruik te maken van de IP-Cloud DDNS-tool, maar kreeg de foutmelding dat er te veel aanvragen waren ingediend op mynetname.net. Dit kan worden beschouwd als een keerzijde van succes. Ik heb hierover contact opgenomen met MikroTik en wacht op hun reactie. 

Controleer voor het installeren van een Let's Encrypt-certificaat de klok van je router

Voordat je een certificaat implementeert, is het van essentieel belang om de klok van je MikroTik-router te controleren. Dit is noodzakelijk, aangezien een onjuist ingestelde klok kan resulteren in een certificaat dat al is verlopen op het moment van configuratie. Je kunt de klok synchroniseren door de NTP-client in te stellen of door gebruik te maken van de IP Cloud-optie op de MikroTik-router. Standaard is deze optie ingeschakeld, waardoor de klok automatisch wordt gesynchroniseerd bij het opstarten van de router. Maar controleren is toch de boodschap.

1-Activeer de NTP-cliënt door 'enabled' aan te vinken, 2 Vul bij NTP Servers een NTP-server in en klik vervolgens als derde punt op 'ok' klaar!. Na een tijdje syncroniseert de klok en krijg je dit te zien bij 'status'.

De poort 80 en 443 forwarden is een noodzaak

Aangezien de Let's Encrypt-procedure plaatsvindt via poort 80, is het noodzakelijk om poort 80 door te sturen (forwarden) als je MikroTik-router zich achter een router van je internetprovider bevindt. Vervolgens moet je ook poort 443 forwarden. Dit is essentieel om Let's Encrypt toegang te verlenen tot je router. Het permanent openstellen van poort 80 vormt echter een aanzienlijk veiligheidsrisico. Na het verkrijgen van het certificaat moet poort 80 weer worden gesloten. Houd hier absoluut rekening mee om de veiligheid van je netwerk te waarborgen. De poort 443 mag wel geopend blijven indien je dat wenst.

Een voorbeeld van port forwarding op een MikroTik router

Deze port forwarding verloopt als volgt: wanneer iemand verbinding wil maken via de WAN-interface van de router van je internetprovider op poort 80, wordt dit doorgestuurd naar je MikroTik-router (het IP-adres van de router) op poort 80. Het instellen van deze forwarding moet plaatsvinden op de router van je internetprovider. Als je een modem-only infrastructuur hebt en je MikroTik-router rechtstreeks is verbonden met de ISP, is het niet nodig om dit in te stellen. Indien je meer wil weten over de MikroTik firewall kan je dieper graven hierover op deze blogpost.


De Let's Encrypt-certificaten hebben een beperkte levensduur

Het geïnstalleerde Let's Encrypt certificaat heeft een beperkte levensduur van 90 dagen. Hoewel de reden hiervoor niet bekend is, hoeft dit geen probleem te vormen. Door gebruik te maken van een script en scheduler op je MikroTik router, kun je het certificaat automatisch vernieuwen. Hierdoor blijft de router continu voorzien van een geldig SSL/TLS-certificaat, en dit alles verloopt volledig automatisch. Deze oplossing biedt een efficiënte en handige manier om ervoor te zorgen dat je router altijd beveiligd is met een up-to-date certificaat. Indien je nog geen MikroTik toestel hebt aangekocht kan je een andere blogpost lezen die je helpt bij het kiezen van een MikroTik-toestel.

Maak een firewallregel aan die poort 80 opent.

Ik begrijp dat het openen van poort 80 wellicht zorgwekkend lijkt, gezien de bekende beveiligingsrisico's. Echter, in het geval van certificaatvernieuwing is dit tijdelijk noodzakelijk. Na de vernieuwing is het van essentieel belang om deze poort automatisch te deactiveren, wat ik al heb geïntegreerd in het script dat ik hieronder heb geplaatst. Het is dan ook nodig om de benaming in het comment venster overeenkomstig het script in te geven. Plaats dan ook deze firewall regel bovenaan.

De firewall instellingen

Deze firewallregel staat toe dat verkeer vanaf de WAN-interface, gericht naar de router zelf via poort 80, wordt doorgelaten. De regel is geïdentificeerd met het commentaar 'open_port80'. Het is raadzaam om deze regel naar de bovenkant van de regelset te verplaatsen, zodat deze prioriteit krijgt bij de verwerking van het verkeer.

/ip service enable www;
/ip firewall filter enable [find comment=open_port80];
/log info "Let's Encrypt certificate renewal started";
;delay 5
/certificate enable-ssl-certificate dns-name=test.wirelessinfo.be;
;delay 60
/ip service disable www;
/ip firewall filter disable [find comment=open_port80];
/log info "Let's Encrypt certificate renewal completed";

Nog enkele tips in verband met je privacy 

Indien je je privacy wil beschermen, kan je gebruikmaken van een VPN die je op de MikroTik-router kunt installeren. Je kunt hiervoor ProtonVPN gebruiken, omdat ze privacy hoog in het vaandel dragen. Lees hier hoe je dit kunt configureren op de MikroTik-router

Een video met de gehele procedure kan je hier volgen


Blijf op de hoogte van nieuwe video tutorials


Deze website maakt gebruik van cookies. Door deze site te blijven gebruiken, accepteert u het gebruik van deze cookies. 

Mobiele versie afsluiten