Deel dit onderwerp alstublieft!

MikroTik Port Knocking configuratie

🛠️ MikroTik port knocking: beheerpoort ontgrendelen via sequentie

Port knocking, ofwel beheerpoort ontgrendelen via sequentie, is een slimme manier om de beheerpoort van je MikroTik router extra te beschermen. In plaats van je poort continu open te laten staan, blijft deze onzichtbaar tot je een geheime reeks poorten in de juiste volgorde aanspreekt. Pas dan wordt de beheerpoort tijdelijk toegankelijk, waardoor bots en aanvallers het veel moeilijker krijgen om binnen te dringen. Zelf gebruik ik deze techniek als extra beveiligingslaag, bovenop sterke firewall regels en als het even kan een VPN verbinding. Voor echt veilige remote access op je MikroTik is port knocking handig, maar het is nooit een complete oplossing. Dit bespreken we verderop. Gebruik bij voorkeur Winbox, wil je meer leren om in te loggen met Winbox? Zie mijn blogpost: Inloggen met Winbox en SSH op de MikroTik router

Table Of Contents

🚦 Extra beveiligingslaag: VPN als beste keuze

Wil je het nog veiliger? Dan raad ik je vervolgens aan om beheer op afstand altijd via een VPN te doen, bijvoorbeeld met WireGuard of ZeroTier. In mijn aparte handleiding over WireGuard op MikroTik ontdek je hoe je snel en eenvoudig een VPN opzet, zodat je beheerpoort helemaal niet meer rechtstreeks zichtbaar hoeft te zijn op het internet. In deze blogpost laat ik zien hoe je port knocking, ofwel beheerpoort ontgrendelen via sequentie instelt, waarom ik er toch voor kies als extra beveiligingslaag, en waar je zeker op moet letten. Zo bepaal je zelf of deze techniek past in jouw beveiligingsstrategie.
 Benieuwd hoe je Zerotier op jouw MikroTik router installeert en configureert? Lees dan mijn stap-voor-stap gids: 👉 Zerotier installeren op MikroTik – complete handleiding. Bekijk de ultieme blogpost 👉 MikroTik apparatuur beveiligen.

Mikrotik port knocking

⚠️ Port knocking alleen is niet genoeg

Opgelet: Port knocking is absoluut niet de oplossing voor een veilige router. Zie het als een klein onderdeel binnen een bredere beveiligingsstrategie. Wil je meer ontdekken over de MikroTik firewall dan raad ik je aan om mijn artikel te lezen: MikroTik firewall begrijpen.

Waarom is dit niet genoeg?

  • Port knocking beschermt niet tegen zwakke wachtwoorden: Als je wachtwoorden eenvoudig te raden zijn, kunnen aanvallers alsnog toegang krijgen zodra je beheerpoort open is. Sterke, unieke wachtwoorden blijven essentieel.
  • Je firewall regels bepalen je echte bescherming: Port knocking kan alleen maar werken als je firewall regels goed zijn ingesteld. Laat je ergens een foutje toe, dan kunnen onbevoegden misschien toch binnen. Zie port knocking als een extra slot, niet als het hoofdslot.
  • Kwetsbaar voor afluisteren en replay attacks: Als iemand je netwerkverkeer kan afluisteren, bijvoorbeeld op een openbaar wifi netwerk, kan die persoon je knock sequence achterhalen en zelf gebruiken. Port knocking is geen vervanging voor versleutelde communicatie zoals VPN.
  • Geen bescherming tegen geavanceerde aanvallen: Sommige bots en hackers scannen inmiddels automatisch op patronen van port knocking, zeker als je een veelgebruikte of voorspelbare knock sequence gebruikt.
  • Je beheerpoort is toch tijdelijk open: Na het juist uitvoeren van de knock-sequence staat je beheerpoort even open. Als een aanvaller precies op dat moment probeert binnen te komen, is er alsnog risico. Dit venster blijft een kwetsbaarheid.
  • Het is geen bescherming voor andere diensten: Port knocking helpt alleen voor die poorten waarop je het instelt (zoals Winbox of SSH). Andere open poorten op je router blijven even kwetsbaar als je daar geen specifieke regels voor instelt.

🔑 Hoe werkt MikroTik port knocking?

MikroTik port knocking is een techniek waarbij je een geheime reeks poorten op je router “klopt” voordat je beheerpoort zoals Winbox, SSH of Webfig, tijdelijk toegankelijk wordt. Zolang de juiste volgorde niet wordt gevolgd, blijft de beheerpoort onzichtbaar en volledig afgesloten voor de buitenwereld. Zie het als een digitale deurbel: alleen wie het juiste ‘ritme’ weet, mag binnen. In de praktijk betekent dit dat je eerst drie of vier poorten kort aanspreekt in een specifieke volgorde. Pas daarna wordt je IP-adres tijdelijk toegevoegd aan een speciale firewall address-list en krijg je toegang via je beheerpoort. Deze port knocking firewall regels zorgen ervoor dat alleen wie de geheime code kent, binnenkomt.

🗝️ Hoe werkt beheerpoort ontgrendelen via sequentie?

stap

actie

wat gebeurd er?

Status poort

tijdsduur

1

Je “klopt” op poort 1 (bijv. 12345)

Router voegt je IP toe aan eerste address-list (“knock1”)

Nog steeds gesloten

max. 10 seconden

2

Je “klopt” op poort 2 (bijv. 23456)

Je IP verschuift naar tweede address-list (“knock2”)

Nog steeds gesloten

max. 10 seconden

3

Je “klopt” op poort 3 (bijv. 34567)

Je IP verschuift naar derde address-list (“knock3”)

Nog steeds gesloten

max. 10 seconden

4

Je probeert verbinding te maken met Winbox of SSH

Router controleert of je IP in “knock3” staat. Toegang tijdelijk toegestaan via port knocking firewall regels

Tijdelijk open voor jouw IP-adres

max. 2 minuten

5

Timeout verloopt

Je IP wordt automatisch uit address-lists verwijderd

Weer volledig gesloten

direct na timeout

💬 Opmerking:

Zoals je in de tabel ziet, zorgt port knocking ofwel beheerpoort ontgrendelen via sequentie ervoor dat je beheerpoort pas tijdelijk toegankelijk wordt na het correct “kloppen” op de ingestelde poorten. Het tijdsvenster is bewust beperkt, zodat ongewenste toegang zoveel mogelijk wordt voorkomen. Deze methode voegt een laag slimme port knocking firewall regels toe aan je MikroTik router, zonder dat je beheerpoort continu zichtbaar is voor het internet. Meer leren over SRC-NAT en DST-NAT configuraties lees mijn blogpost genaamd: MikroTik NAT configureren.

🛡️ Waarom port knocking gebruiken op je MikroTik router?

Het grote voordeel van port knocking is dat je beheerpoorten extra onzichtbaar worden voor bots en scanners op het internet. Aanvallers zullen je Winbox of SSH poort niet kunnen vinden, omdat die standaard dicht blijft. Zelf gebruik ik MikroTik port knocking als extra beveiligingslaag, bovenop sterke firewall regels, goede wachtwoorden en VPN toegang. Zeker als je soms werkt van wisselende locaties en geen vaste IP-adressen kunt white listen, is port knocking een handige en flexibele oplossing. Let wel: port knocking is geen vervanging van een solide firewall of andere beveiligingsmaatregelen. Het is slechts één onderdeel van je volledige beveiligingsstrategie. Port knocking is een slimme en relatief eenvoudige manier om je beheerpoorten op je MikroTik router tijdelijk te verbergen. Maar het is absoluut geen sluitende beveiligingsoplossing. Dit zijn de belangrijkste redenen waarom port knocking alleen niet genoeg is:

🚫 Veelgemaakte fouten bij port knocking

  • De drop-regel voor beheerpoorten te hoog plaatsen: Zet de drop regel voor bijvoorbeeld Winbox of SSH nooit boven je port knocking-regels, anders werkt port knocking niet en sluit je jezelf buiten.
  • Knock poorten kiezen die al in gebruik zijn: Gebruik geen poorten waar al andere services op draaien (zoals HTTP/HTTPS/SMTP), om verwarring en onverwachte openingen te voorkomen.
  • Te lange pauze tussen knock commando’s: Wacht niet te lang tussen het kloppen van de poorten; houd je aan het ingestelde timeout interval.
  • Dezelfde poorten of volgorde als in voorbeelden gebruiken: Gebruik unieke poorten en verander af en toe je volgorde. Standaard voorbeelden zijn voorspelbaar en daardoor onveiliger.
  • Geen fallback instellen: Als je je knock sequentie vergeet of jezelf buitensluit, heb je geen andere manier om binnen te geraken. Voorzie een alternatieve beheerroute (zoals lokaal via console of een aparte VPN).
  • Niet testen voor gebruik op afstand: Voer altijd een volledige test uit op je interne netwerk voor je port knocking inzet voor remote beheer.
  • Adres-lists niet automatisch laten verlopen: Vergeet niet om een timeout te zetten op de address-lists, anders blijft je IP te lang of zelfs permanent toegang houden.

💽 Voor het configureren altijd eerst backup nemen

Maak altijd eerst een volledige backup van je MikroTik router voordat je begint met het aanpassen van firewall regels of het instellen van port knocking. Zo kun je je vorige configuratie altijd herstellen als er iets misgaat. Persoonlijk doe ik dat voor elke aanpassing aan mijn router. Een backup maken in Winbox? Ga naar Files → klik op Backup → download het backup bestand naar je computer. Ben je buitengesloten op je MikroTik lees vervolgens de blogpost getiteld: Met console poort verbinden op MikroTik als redmiddel.

Mikrotik port knocking

👨‍💻 Zelf port knocking instellen op je MikroTik router met CLI

Met dit stappenplan zorg je ervoor dat je beheerpoort, bijvoorbeeld Winbox, standaard volledig onzichtbaar blijft voor iedereen op het internet. Pas nadat je de juiste knock sequentie uitvoert, gaat de poort tijdelijk open voor jouw IP-adres. Op die manier bescherm je je router tegen brute force aanvallen en scanners die continu zoeken naar open beheerpoorten. Ik leg het proces zo eenvoudig mogelijk uit, stap voor stap, zodat je zonder voorkennis direct aan de slag kunt. Kortom, volg dit stappenplan en je hebt je beheerpoort in enkele minuten een stuk veiliger en flexibeler gemaakt.

Stap 1 Kies voor niet standaard gebruikte poorten

Bijvoorbeeld: 12345, 23456, 34567. Ik noem hier maar wat.

Stap 2 Maak de nodige address-lists aan

/ip firewall address-list
add list=knock1
add list=knock2
add list=knock3
add list=beheer-toegang

Stap 3 Voeg de port knocking firewall regels toe:

/ip firewall filter
add chain=input protocol=tcp dst-port=12345 src-address-list=!knock1 action=add-src-to-address-list address-list=knock1 address-list-timeout=10s
add chain=input protocol=tcp dst-port=23456 src-address-list=knock1 action=add-src-to-address-list address-list=knock2 address-list-timeout=10s
add chain=input protocol=tcp dst-port=34567 src-address-list=knock2 action=add-src-to-address-list address-list=knock3 address-list-timeout=10s
add chain=input protocol=tcp dst-port=8291 src-address-list=knock3 action=add-src-to-address-list address-list=beheer-toegang address-list-timeout=2m
add chain=input protocol=tcp dst-port=8291 src-address-list=beheer-to

📝 Tip:

Kopieer en plak de bovenstaande code in een teksteditor, zoals Notepad++ of Kladblok. Pas de poorten en instellingen aan naar jouw eigen MikroTik router, voordat je de regels in de CLI plakt.

🔥 Waar zet je de port knocking firewall regels in de firewall?

Voor een correcte werking en veiligheid moeten je port knocking regels op de juiste plaats in de firewall komen. Let op: Heb je een firewall regel die poort 80 (HTTP) openzet voor Lets Encrypt certificaat vernieuwing? Zorg er dan voor dat deze regel helemaal bovenaan staat in de firewall, voor je port knocking regels. Zet je port knocking-regels op de tweede plaats. Zo blijft LetsEncrypt altijd werken, en bescherm je tegelijkertijd je beheerpoorten optimaal. (zie onderstaande afbeelding).

beheerpoort ontgrendelen via sequentie

Mijn advies:

  • Zet alle port knocking-regels helemaal bovenaan de input chain van je firewall. Zo kunnen ze altijd reageren op jouw knock pogingen, voordat andere regels verkeer mogelijk blokkeren. (zie bovenstaande opmerking).
  • De “accept” regel voor beheertoegang (Winbox/SSH) komt vlak na de knocking-regels.
  • De “drop” regel voor je beheerpoort (Winbox/SSH) komt daarna zodat verkeer alleen toegestaan wordt voor IP’s die via port knocking toegang kregen.
  • Blokkeer beheerpoorten voor iedereen behalve je eigen IP’s of de ‘beheer toegang’ address-list.

🔑 Hoe gebruik je port knocking vanaf je eigen pc?

Om port knocking te gebruiken, moet je na het instellen van de regels op je MikroTik router de juiste knock sequentie uitvoeren vanaf je eigen computer. Daarmee “klop” je als het ware op de gekozen poorten. Je IP-adres krijgt daarna tijdelijk toegang tot de beheerpoort.

🪟 Windows

  • Download en installeer het gratis programma Nmap (bevat het nc commando).
  • Open een Command Prompt (cmd) of PowerShell.
  • Geef deze commando’s in (vervang <jouw-router-ip> door het adres van je router):
nc -zv (jouw-router-ip) 12345
nc -zv (jouw-router-ip) 23456
nc -zv (jouw-router-ip) 34567

Je ziet een melding dat de poort open of gesloten is. Dat is normaal; het gaat om het “kloppen”.

🐧 Linux

Op de meeste Linux distributies is het nc commando (netcat) standaard geïnstalleerd. Werkt het niet? Installeer het dan eenvoudig via het pakketbeheer:

Voor Debian/Ubuntu:
sudo apt install netcat
🐧Voor CentOS/RHEL/Fedora:
sudo yum install nc
🍏 Mac (macOS)

Op de meeste versies van macOS staat nc standaard op het systeem. Werkt het niet? Installeer Homebrew en typ:

  • Open een terminalvenster.
  • Voer de drie knock commando’s uit:
nc -zv (jouw-router-ip) 12345
nc -zv (jouw-router-ip) 23456
nc -zv (jouw-router-ip) 34567

Zijn de commando’s identiek op Windows, Linux en Mac?

Ja, de port knocking commando’s zijn op alle drie de systemen exact hetzelfde, zolang het programma nc (netcat) beschikbaar is. Gebruik dus op Windows, Linux én Mac telkens:

nc -zv (jouw-router-ip) 12345
nc -zv (jouw-router-ip) 23456
nc -zv (jouw-router-ip) 34567

Ook een ‘for-loop’ werkt op Mac en Linux (Bash-terminal):

for port in 12345 23456 34567; do nc -zv (jouw-router-ip) $port; done

💡 Tip:

  • Gebruik unieke, niet-standaard knock-poorten en verander je volgorde af en toe.
  • Noteer je knock sequentie veilig. Ben je ze kwijt? Dan kun je jezelf buitensluiten.
  • Voer de knock commando’s vlot achter elkaar uit, zonder lange pauzes tussen de stappen.
  • Test port knocking altijd eerst op je lokale netwerk voor je het op afstand gebruikt.

Samenvatting & afsluiting

Met port knocking, oftewel beheerpoort ontgrendelen via sequentie, maak je jouw MikroTik router een stuk veiliger en minder zichtbaar voor nieuwsgierige ogen. Zie het als een slimme extra laag bovenop een goede firewall en een VPN, niet als dé oplossing voor volledige beveiliging.Wil je nog meer uit je MikroTik halen of ben je benieuwd naar andere beveiligingstechnieken? Kijk gerust rond op mijn blog voor meer tips, uitgebreide handleidingen en praktijkvoorbeelden. Heb je vragen, eigen ervaringen of aanvullingen? Abonneer je ook op mijn YouTube-kanaal voor nieuwe video’s, want ik deel regelmatig praktische tutorials en actuele beveiligingstips. Bedankt voor het lezen en veel succes met het veilig instellen van je MikroTik router! Lees ook hoe je uw MikroTik router kan beveiligen op  een andere blogpost: MikroTik apparatuur beveiligen.

📺 Blijf op de hoogte van mijn nieuwe video tutorials

Abonneer je op mijn YouTube-kanaal

YouTube

Ook interessant

29 jun, 2025

MikroTik Winbox en SSH veilig inloggen
25 jun, 2025

Mikrotik Firewall NAT configureren: DST NAT en SRC NAT
16 jun, 2025

MikroTik apparatuur beveiligen
19 jan, 2024

ProtonVPN op MikroTik installeren
Previous Post MikroTik apparatuur beveiligen Next Post Mikrotik Firewall NAT configureren: DST NAT en SRC NAT

Deze website maakt gebruik van cookies. Door deze site te blijven gebruiken, accepteert u het gebruik van deze cookies.