Configuración de OpenVPN en Mikrotik

Configuración de OpenVPN en Mikrotik

OpenVPN Tunnel es un túnel seguro para enviar y recibir datos a través de una red pública 
al utilizar certificados SSL/TLS



El objetivo es configurar un servidor OpenVPN en MikroTik y configurar el cliente OpenVPN en el sistema operativo Windows para que un usuario de Windows pueda conectarse a una red de oficina remota y pueda acceder a recursos de red remotos ( Servidores, impresoras, etc.) a través de la red pública de forma segura.

Configuración del cliente y del servidor OpenVPN

La configuración completa de OpenVPN se puede dividir en dos partes:
  1. Parte 1: Configuración del servidor OpenVPN en MikroTik.
  2. Parte 2: Configuración del cliente OpenVPN en el sistema operativo Windows.

Parte 1: Configuración del servidor OpenVPN en MikroTik

Habilitaremos y configuraremos el servidor OpenVPN en MikroTik. La configuración completa del servidor MikroTik OpenVPN se puede dividir en los siguientes tres pasos.
  1. Paso 1: Crear un certificado TLS para el servidor y el cliente OpenVPN
  2. Paso 2: Habilitar y configurar el servidor OpenVPN
  3. Paso 3: Crear usuarios de OpenVPN

Paso 1: Crear un certificado TLS para el servidor y el cliente OpenVPN

Certificado CA
Desde Winbox, vaya a Sistema > Certificados.
Coloque el nombre de su certificado de CA y un nombre común de certificado.
Encontrará algunos campos opcionales en la pestaña General.


Haga clic en la pestaña Uso de clave y desmarque todas las casillas de verificación excepto el crl sign y el key certsign.
Haga clic en el botón Apply y luego en el botón Sign.
Seleccione su plantilla de certificado recién creada si no está seleccionada. Coloque la dirección IP WAN de MikroTik en el campo de entrada CA CRL Host.


Una vez firmado, si el certificado de CA recién creado no muestra la bandera T, haga doble clic en su certificado de CA y haga clic en la casilla de verificación Trust en la parte inferior de la pestaña General.

El certificado de CA se ha creado correctamente. Ahora crearemos el certificado del servidor.

Certificado de servidor

Escriba el nombre del certificado de su servido y un nombre común de certificado.
Encontrará algunos campos opcionales en la pestaña General.
Haga clic en la pestaña Uso de clave y desmarque todas las casillas de verificación excepto digital signature, key enciphement y tls server.

Haga clic en el botón Apply y luego en el botón Sign.

Seleccione la plantilla de certificado recién creada. Seleccione también el certificado CA en el menú desplegable CA. Haga clic en el botón Firmar.


Una vez firmado, si el certificado de CA recién creado no muestra la bandera T, haga doble clic en su certificado de CA y haga clic en la casilla de verificación Trust en la parte inferior de la pestaña General.

El certificado del servidor se ha creado correctamente. Ahora crearemos un certificado de cliente.


Certificado de cliente

Coloque el nombre de su certificado de cliente en el campo de entrada Nombre. También coloque un nombre común de certificado.
Encontrará algunos campos opcionales en la pestaña General.
Haga clic en la pestaña Uso de claves y desmarque todas las casillas de verificación excepto la casilla de verificación del tls 
client.
Haga clic en el botón Apply y luego en el botón Sign.

Seleccione la plantilla de certificado recién creada. Seleccione también el certificado CA en el menú desplegable CA. Haga clic en el botón Firmar.

El certificado de cliente no requiere la bandera T.


Después de crear y firmar los certificados de CA, Servidor y Cliente, ahora exportaremos los certificados de CA y Cliente porque el cliente OpenVPN utilizará estos certificados.



Paso 2: Configuración del servidor OpenVPN en MikroTik

Los siguientes pasos mostrarán cómo habilitar y configurar el servidor OpenVPN en el enrutador MikroTik.
Haga clic en el menú PPP de Winbox y luego haga clic en la pestaña Interfaz.
Haga clic en el botón Servidor OVPN.
Aparecerá la ventana del servidor OVPN. Haga clic en la casilla de verificación Habilitado para habilitar el servidor OpenVPN.
Coloque el puerto TCP que quiera ejecutar el servidor OpenVPN.
Asegúrese de que la opción ip esté seleccionada.
En el menú desplegable Certificado, elija el certificado de servidor que creamos antes.
También haga clic en la casilla de verificación Require Client Certificate.
Del apartado Auth. marque sha1.
Del apartado Cipher marque aes256.



Paso 3: crear usuarios de OpenVPN

MikroTik OpenVPN utiliza nombre de usuario y contraseña para validar la conexión. 
Previamente, configuramos un Pool de IP para la conexión VPN.
Creamos un nuevo perfil de vpn en PPP > Profiles y seleccionamos el Pool de vpn que hemos creado.
Creamos el usuario en PPP > Secrets


Recordar añadir la regla Masquerade para la red de VPN
 

Parte 2: Configuración del cliente OpenVPN en el sistema operativo Windows

Después de configurar el servidor OpenVPN en MikroTik, ahora configuraremos el cliente OpenVPN. La configuración del cliente OpenVPN se puede dividir en dos pasos.
Descarga e instalación del cliente OpenVPN
Configuración del cliente OpenVPN

Descarga e instalación del cliente OpenVPN

Nos descargamos el software de la página web oficial y lo instalamos: https://openvpn.net/community-downloads/

Configuración del cliente OpenVPN

Al final del documento, os dejo el archivo de configuración de OpenVPN para Windows. 
Tendremos que modificar las lineas 4, 13, 15 y 16. (ip pública y puerto, nombre del archivo CA, nombre del archivo CRT y nombre del archivo KEY.)
En la última linea se crean las rutas. El modelo a seguir es: route DST.ADDRESS MASK GATEWAY 
Ejemplo: route 10.90.0.0 255.255.255.0 10.1.0.1

Guardamos todos los archivos en una carpeta e importamos la configuración a OpenVPN



Open_VPN.ovpn
client
dev tun
proto tcp-client
remote IP_PUBLICA PUERTO
nobind
persist-key
persist-tun
cipher AES-256-CBC
auth SHA1
pull
verb 2
mute 3
auth-user-pass
ca ARCHIVO_CA.crt
cert CERTIFICADO_CLIENTE.crt
key ARCHIVO.key
#añadir rutas
route 10.90.0.0 255.255.255.0 10.1.0.1

    • Related Articles

    • Configurar OpenVPN sobre Pfsense

      Lo primero que tenemos que hacer para usar OpenVpn sobre Pfsense es instalar el exportador de configuraciones de OpenVPN, para ello entraremos en el menú superior en System> Package Manager>Available Packages, buscaremos “openvpn-client-export ” y lo ...

    • Actualización Firmware dispositivos Mikrotik usando Winbox

      1. Inicia sesión en tu dispositivo Mikrotik usando Winbox. 2. Ve a Sistema => Paquetes 3. Luego, haz clic en el botón Check For Updates 4. Seleccionamos el Channel dependiendo de nuestras necesidades. Nos dará la opción de descargar o descargar e ...

    • Troubleshooting Conexiones OpenVPN

      Si nos encontramos con que la conexion OpenVPN no funciona con nuestro PFsense, es probable que nuestro firewall esté cortando las conexiones. Es importante que nos aseguremos de que el puerto sobre el que corre el servicio OpenVPN esté abierto sobre ...

    • Windows - Añadir conexión L2TP

      Una vez le hayamos facilitado los datos del firewall y usted haya creado los usuarios de VPN, hay que añadirlos al cliente de Windows.  Para ello, nos dirigimos a "Configuración de Red e Internet", en el apartado VPN y agregaremos una nueva conexión ...

    • PfSense - DNS Resolver y DNS Forwarder

      DNS resolver es un mini servidor DNS integrado en pfsense con el cual usted puede gestionar de forma personalizada y optimizada la resolución DNS de sus clientes. Esto es útil en caso de que pfsense haga de servidor DHCP y se asigne asimismo de ...