Como Crear una VPN en Mikrotik con OpenVPN server
En esta página puede encontrar los pasos que utilicé para crear un
servidor OVPN utilizando un router Mikrotik.
1. En este ejemplo
vamos a utilizar un router con el IP externo 192.168.88.2, IP interna
192.168.89.1 y el pool para los clinets OVPN será 192.168.87.0/24.
2. Genere y firme los certificados:
Tendrá
que ejecutar el comando a continuación uno por uno, la firma de los
certificados llevará tiempo y cargará la CPU.
Tenga en cuenta que a veces
obtendrá un error de "acción agotada" cuando va a firmar los
certificados, que no es un problema, sólo tiene que esperar un poco más.
Usted puede ver que el router
está ocupado con el signo del certificado del uso de la CPU, cuando el
certificado está firmado el uso de la CPU caerá y usted verá el
"KLAT" en la descripción de la línea del certificado de CA y
"KI" en el servidor y el certificado del cliente , una vez realizada
la firma del certificado, puede continuar con el siguiente certificado.
/certificate add name=CA country="RO" state="RO"
locality="Bucharest" organization="home"
unit="mk" common-name="CA" key-size=4096 days-valid=3650
key-usage=crl-sign,key-cert-sign
/certificate sign CA ca-crl-host=127.0.0.1 name="CA"
/certificate add name=server country="RO" state="RO"
locality="Bucharest" organization="home"
unit="mk" common-name="server" key-size=4096
days-valid=3650 key-usage=digital-signature,key-encipherment,tls-server
/certificate sign server ca="CA" name="server"
/certificate add name=client country="RO" state="RO"
locality="Bucharest" organization="home"
unit="mk" common-name="client" key-size=4096
days-valid=3650 key-usage=tls-client
/certificate sign client ca="CA" name="client"
/certificate add name=client1 copy-from="client" common-name="client1"
/certificate sign client1 ca="CA" name="client1"
1. Exporte y descargue los certificados y
la clave:
/certificate export-certificate CA export-passphrase=""
/certificate export-certificate client1 export-passphrase=12345678
Guarde
los archivos exportados en su PC.
Quite el "cert_export_" del nombre del certificado, afther que
usted eill tiene 3 archivos: "CA.crt", "cleint1.crt",
"cleint1.key" "Esto no es
tan importante, pero el nombre de archivo largo me molesta".
1. Firme la clave pública:
Instale
OVPN en su PC y asegúrese de comprobar el "Secuencia de comandos de
administración de certificados EasyRSA 2".
Abra un
símbolo del sistema con privilegios elevados, vaya a la ubicación donde guardó
los archivos y ejecute:
"C:\Program Files\OpenVPN\bin\openssl.exe" rsa -in client1.key
-out client1.key
Le
pedirá que: "Ingrese la frase de contraseña para client1.key",
establezca la frase de contraseña cuando exportó los certificados, en este
ejemplo la frase de contraseña es: "12345678".
1. Fije al servidor OVPN en el router:
Cree un
nuevo pool fot el servidor ovpn:
/ip pool
add name=ovpn ranges=192.168.87.30-192.168.87.254
/ip dhcp-server network
add address=192.168.87.0/24 comment=vpn dns-server=192.168.89.1
gateway=\
192.168.89.1 netmask=24
Configure
al servidor OVPN:
/ppp profile
add bridge=bridge dns-server=192.168.89.1 local-address=ovpn
name=open_vpn \
remote-address=ovpn
use-compression=no use-encryption=required
/interface ovpn-server server
set certificate=server cipher=blowfish128,aes128,aes192,aes256
default-profile=open_vpn enabled=yes \
require-client-certificate=yes
Agregue
el nombre de usuario y la contraseña para el cliente OVPN:
/ppp secret
add name=client1 password=password1 profile=open_vpn service=ovpn
Agregue
la excepción OVPN al Firewall:
/ip firewall filter
add action=accept chain=input comment=VPN dst-port=1194 protocol=tcp
Usted
está todo listo ahora y usted puede conectar con su servidor OVPN.
Tenga en cuenta que Mikrotik no
es compatible con la compresión UDP y LZO.
Una ventaja de usar una VPN es que estoy bloqueando los anuncios en mi
teléfono usando el script de bloque de anuncios en el servidor OVPN y conectando el
teléfono a VPN.
Informacion sacada de:
