Abrimos un terminal:
Creamos los certificados:
/certificate add name=ca-template common-name=myCa days 3650 key-usage=key-cert-sign,crl-sign add name=server-template days 3650 common-name=server add name=client1-template days 3650 common-name=client sign ca-template ca-crl-host="IP del router" name=CA sign server-template ca=CA name=server sign client1-template ca=CA name=client set CA trusted=yes set server trusted=yes export-certificate CA export-certificate client export-passphrase=sssss
La passphrase la necesitaremos posteriormente, ya que la solicitará a la hora de conectarnos a la VPN (como clave privada).
Creamos una pool para la VPN.
/ip pool add name="vpn-pool" ranges=192.168.10.10-192.168.10.99
Configuramos una regla que permita las conexiónes TCP a puerto 1194.
/ip firewall filter add chain=input protocol=tcp dst-port=1194 action=accept place-before=0 comment="Allow OpenVPN"
Creamos nuevo perfil:
Creamos usuarios, con “Service” a ovpn y “Profile” a default.
Copiamos los certificados y creamos el dichero .ovpn (con el botón derecho sobre cada fichero y nos da la opción de download).
El contenido del fichero .ovpn será el siguiente, añadiendo en cada sección ca, cert y key sus correspondientes certificados y la IP pública que tiene el router:
client dev tun proto tcp remote "IP Publica" 1194 resolv-retry infinite nobind persist-key persist-tun <ca> -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- </ca> <cert> -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- </cert> <key> -----BEGIN ENCRYPTED PRIVATE KEY----- -----END ENCRYPTED PRIVATE KEY----- </key> remote-cert-tls server cipher AES-128-CBC auth SHA1 auth-user-pass redirect-gateway def1 verb 3 La clave del cliente NO esta compatible con iPad/iPhone. Para que funciona hay que modificar la clave con openssl. openssl rsa -in cert_export_client.key -out client_no_pass.key Nos va pedir la clave encriptada. Una vez modificada la clave, hay que cambiarlo en el .ovpn Se puede hacer en nuestro servidor openvpn 192.168.2.6 -----BEGIN ENCRYPTED PRIVATE KEY----- antigua clave -----END ENCRYPTED PRIVATE KEY----- -----BEGIN RSA PRIVATE KEY----- nueva clave -----END RSA PRIVATE KEY-----