+34 911 599 883

+34 911 895 172

Configurar OpenVPN en Router Mikrotik

Abrimos un terminal:

 

Creamos los certificados:

/certificate
add name=ca-template common-name=myCa days 3650 key-usage=key-cert-sign,crl-sign
add name=server-template days 3650 common-name=server
add name=client1-template days 3650 common-name=client
sign ca-template ca-crl-host="IP del router" name=CA
sign server-template ca=CA name=server
sign client1-template ca=CA name=client
set CA trusted=yes
set server trusted=yes
export-certificate CA
export-certificate client export-passphrase=sssss

La passphrase la necesitaremos posteriormente, ya que la solicitará a la hora de conectarnos a la VPN (como clave privada).

 

Creamos una pool para la VPN.

/ip
pool add name="vpn-pool" ranges=192.168.10.10-192.168.10.99

Configuramos una regla que permita las conexiónes TCP a puerto 1194.

/ip firewall filter
add chain=input protocol=tcp dst-port=1194 action=accept place-before=0 comment="Allow OpenVPN"

Creamos nuevo perfil:

Creamos usuarios, con “Service” a ovpn y “Profile” a default.

Copiamos los certificados y creamos el dichero .ovpn (con el botón derecho sobre cada fichero y nos da la opción de download).

El contenido del fichero .ovpn será el siguiente, añadiendo en cada sección ca, cert y key sus correspondientes certificados y la IP pública que tiene el router:

client
dev tun
proto tcp
remote "IP Publica" 1194
resolv-retry infinite
nobind
persist-key
persist-tun
<ca>
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN ENCRYPTED PRIVATE KEY-----

-----END ENCRYPTED PRIVATE KEY-----
</key>
remote-cert-tls server
cipher AES-128-CBC
auth SHA1
auth-user-pass
redirect-gateway def1
verb 3


La clave del cliente NO esta compatible con iPad/iPhone.
Para que funciona hay que modificar la clave con openssl.
openssl rsa -in cert_export_client.key -out client_no_pass.key
Nos va pedir la clave encriptada.
Una vez modificada la clave, hay que cambiarlo en el .ovpn
Se puede hacer en nuestro servidor openvpn 192.168.2.6

-----BEGIN ENCRYPTED PRIVATE KEY----- 
antigua clave
-----END ENCRYPTED PRIVATE KEY-----

-----BEGIN RSA PRIVATE KEY----- 
nueva clave
-----END RSA PRIVATE KEY-----