epelpad

Crear ovpn con router mikrotik

Buenas tardes hace mucho tiempo que no posteaba nada pero como el año pasado busque info y no había nada, tuve que hacerlo por mis medios y deje registrado un mini tuto y quería compartirlo, para los que le sirve les traigo como configurar un servidor VPN en los router MIkrotik.


OPEN VPN MIKROTIK

1- Primero ingresar a /IP / firewall /crear nueva regla > para habilitar el puerto TCP 1194 (ovpn mikrotik solo funciona con TCP)
Crear ovpn con router mikrotik

vpn



2- Ir a /IP /POOL y configurar el pool ip de openvpn (atentos que para usuarios Windows se va a tener que asignar las ip manualmente por algunos problemas de drivers del TAP de openvpn, aunque al parecer ya la última versión de openvpn soluciono este inconveniente, pero es bueno tenerlo manual)
Configurar

3- Procedemos a la creación de certificados CA (Certificado de Autoridad), SERVER (certificado de servidor)

ABRIR NEW TERMINAL y pegar los siguientes comandos

#Certificado Servidor (valido por 10 años)


/certificate add name=CA-tpl country="AR" state="Buenos Aires" locality="CABA" organization="taringa" unit="taringa" common-name="CA" key-size=2048 days-valid=3650 key-usage=crl-sign,key-cert-sign


/certificate sign CA-tpl ca-crl-host=127.0.0.1 name="CA"

/certificate add name=SERVER-tpl country="AR" state="Buenos Aires" locality="CABA" organization="taringa" unit="taringa" common-name="192.168.10.100" key-size=2048 days-valid=3650 key-usage=digital-signature,key-encipherment,tls-server

/certificate sign SERVER-tpl ca="CA" name="SERVER"


#Exportar Certificado CA

/certificate export-certificate CA export-passphrase="HDK78fjdf8FDKD"


** Agregar una contraseña segura a CA
***el common-name tiene que ser una IP distinta de nuestra red local y red VPN

4- Habilitar OVPN
/PPP /interface /OVPN Server, configurarlo de la siguiente manera

Windows








#Certificado Cliente
abrir la terminal de mikrotik y pegar los siguientes enlaces. Por cada uno que se pega ingresar ENTER

/certificate add name= mpesavento copy-from="CLIENT-tpl" common-name="mpesavento"


/certificate sign mpesavento ca="CA" name="mpesavento"



*** EN caso de querer crear nuevos clientes solo cambiar por el nombre marcado en negrita

#Exportar certificado

/certificate export-certificate mpesavento export-passphrase="tedeYuYo12"



*** export-passphrase= Agregar la contraseña que queremos que tenga el certificado cliente, es mejor que sea alfanumérica.

Ir a /System /certificates y vemos los certificados creados
mikrotik



5- Si vamos a /Files vamos a ver los certificados que exportamos, arrastrar a una carpeta de windows los certificados de la autoridad certificadora y del cliente con su clave, cert_export_mpesavento.crt, cert_export_mpesavento.key y cert_export_CA.crt



6- en /PPP /secret crear un nuevo secret y definir los siguientes parámetros, la contraseña puede ser la misma con la que se exporto el certificado.
*** para usuarios Windows es necesario configurar la Ip LOCAL y REMOTA de forma manual, ambas tienen que estar dentro de la misma subred 255.255.255.252, y además no puede ser 0 el ultimo bit.
**AUNQUE EN LA ÚLTIMA VERSIÓN DE OPEN VPN SOLUCIONARON ESTE INCONVENIENTE DEL DRIVER DE TAP** así que puede ir cualquier ip en el rango que definimos.

open vpn



7- En la carpeta de Windows que pasamos el cert_export_mpesavento.crt, cert_export_mpesavento.key y cert_export_CA.crt, cambiarles el nombre para que queden mpesavento.crt, mpesavento.key y CA.crt
crear un txt con el nombre secret que contenga el usuario y contraseña que pusimos en el secret y luego de guardarlo borrarle la extensión txt.

rb750Crear ovpn con router mikrotikvpn





8- CREAR DATOS DE CLIENTE OVPN
*** abrir un txt, pegar los siguientes datos respetando orden, y solo cambiar el nombre del certificado de usuario que vamos a usar, una vez copiado al txt, guardarlo con el mismo nombre del certificado del cliente y cambiarle la extensión a .ovpn


redirect-gateway def1 bypass-dhcp
dhcp-option DNS 8.8.8.8

client
dev tun
proto tcp-client
remote 190.2.190.2 (ACA PONERLA IP PUBLICA DE NUESTRO MIKROTIK
TIENE QUE SER ESTÁTICA)

port 1194
nobind
persist-key
persist-tun
tls-client
remote-cert-tls server
ca ca.crt
cert mpesavento.crt
key mpesavento.key
verb 4
mute 10
cipher AES-256-CBC
auth SHA1
auth-user-pass secret
auth-nocache

route 192.168.10.0 255.255.255.0
route 192.168.0.0 255.255.255.0
route 10.0.0.0 255.255.255.0
route 192.168.1.0 255.255.255.0



*** Si creamos un nuevo cliente utilizar este mismo formato de .ovpn y solo cambiar el nombre del certificado cliente marcado en naranja.


9- Instalar OPENVPN https://swupdate.openvpn.org/community/releases/openvpn-install-2.4.0-I602.exeases/openvpn-install-2.4.6-I602.exe

10- Una vez instalado ingresar a C : - Program Files - OpenVPN - config y pegar los 5 archivos necesarios para la conexión en la carpeta config
Configurar



11- Abrir el programa ir al icono de conexión que se encuentra en la parte inferior derecha de la pantalla, cerca del reloj de Windows, clic derecho y darle conectar,
Windows



Nos pedirá que ingresemos la clave que le agregamos en un principio al Certificado del cliente (si tildamos que la recuerde, la próxima vez que le demos a conect lo hará automáticamente)
mikrotik



Si hicimos los pasos de forma correcta nos dará aviso que ya estamos conectados a la VPN
open vpn

17 comentarios - Crear ovpn con router mikrotik

inmichin
Buen post capo! pero cuidado....., siempre esta vigilando....

rb750
lucasssssss
Fueron +10. Tenés idea como conectas 2 redes distintas? Tengo un Mikrotik en casa y cada interfaz tiene redes distintas. necesito poder acceder a alguna de esas redes. Si no me equivoco es una regla forward pero no funca.
VVPutin
@mata_akd Tenía entendido de que si genero 2 redes distintas, por ejemplo 192.168.1.0/24 en una interface y 192.168.0.0/24 en otra interface trabajarían ambas como si estuvieran en la misma red por que el router es 1 solo, salvo que existan 2 router entonces ahí si tengo que crear las rutas...
mata_akd
@VVPutin claro, pero en mikrotik hay que crearles el /IP/ Route para poder verlas
VVPutin
@mata_akd Pero si las interfaces corresponden al mismo router no hay que crear rutas, por lo menos eso tengo entendido. Tengo un RB951 acá en mi oficina, en un rato me voy a poner a jugar a ver que onda, desde hace años me dedico solo a seguridad electrónica y redes lo tengo re abandonado... me olvidé de todo...
3er0j0
y para que necesitas esconderte ?
Neel
Maestro, Te hago una consulta.
Tengo una VPN hecha con Windows Server...
porque exactamente me beneficiaria crearla con OpenVPN, por ejemplo con PFSENSE
mata_akd +1
Windows server va bastante bien, el problemas es cuando te manejas con servidores Samba por tema de licenciamiento y tenes que recurrir a software libre, lo bueno de mikrotik es su robusto hardware por el precio que tiene y que continuamente corrigen vulnerabilidades. En cambio PFSENSE tardan un poco más en corregir errores de errores de vulnerabilidad.
Tux000
En destacados? Te parecE? Cuanto pagasate papu?
redgod
me ayudarias a crear reglas qos? porq yo intento pero no se inciian los procesos ya q tengo 2 teles y varios celulares y me gustaria restringir un poco el ancho de banda
redgod
@mata_akd tengo la version 6.42.6 , claro yo quiero por ej en un rango de ip por 88.100 a 88.248 que tengan una coneccion de 2 megas para wifi y 88.249 y 88.250 que son la tele y la pc sin restricciones todo el ancho de banda , yo intente pero por alguna razón no se iniciaban los procesos , el tema es q va mucha gente a casa y cuando estan con el wifi se cae todo y el ping en los juegos sube mucho, al mikrotik lo tengo conectado al modem de fibertel
mata_akd
@redgod este video me sirvio para cuando tuve que armar los grupos, en vez de poner 10.0.0.0/24 ponía el rango 10.0.0.50-10.0.0.100 entonces solo limitaba esa sección, el resto queda libre
https://www.youtube.com/watch?v=RVl0kMo41QA
redgod
@mata_akd lo voy a intentar, el problema q yo tenia es q no iniciaban lso procesos por decirlo armaba todo pero dsd el celu me seguia la misma tasa de transferencia, la pc y la tele tambien nunca aplicaba los cortes, lo voy a intentar por ahi con este video tengo suerte
unmillondetrozos
para q serviria hacer esto ?? pregunta sincera , se poco de esto . q aplicaciones tendria ? tengo un router tp link . no se si servira
mata_akd +1
Esto te sirve para cuando administras una red y por ejemplo hay usuarios que hacen homeoffice, y por temas de seguridad hay entornos de backend que solo están permitidos utilizar desde cierta IP ESTÁTICA (la que el proveedor ISP le asigna a la oficina) o poder entrar a la red de la oficina de forma segura, editar archivos del servidor local, y para evitar casos de man in the middle o hurto de información confidencial.
unmillondetrozos
@mata_akd muchas gracias van +10
kivibartaringa
no tengo un microtik ... pero algún dia lo tendre. Gracias
OtakuPoser
Alto posts amigo +10
Yo hago lo mismo pero con openwrt
Ang3l0mx
mikrotik es para wisp y cosas pequeñas, cuando lo usas a nivel profesional no funcionan bien, prefiero usar cisco o huawei
paherrera
Yo lo tengo, y se la banca muy bien, junto con ubiquiti hacen una mezcla explosiva.
Ang3l0mx
@paherrera ubiquiti otro chafa, igual para puro wisp, pero para administrar una red con 100 clientes no funciona
dfbaaaa
Muy buen post. Admito que suelo recomendar e instalar Fortigate en lugar de M icrotick. En general el ppptp de microtick anda excelente.
paherrera
Pero es poco segura por que no tiene certificado y es texto plano.
Fabuken +1
muy bueno lince yo tuve que hacer un vpn para la municipalidad de mi pueblo y me volvi loco hasta que descubri que tenian un mikrotik tirado ahi, me volvi el triple de loco pero por fin pude hacer un vpn para conectar la base de datos del municipio con el hospital y buenos aires, si hubiese tenido este post unos meses antes xD, van +10 salu2
AlejandroCABJ97
y cual es el fin de esto??
redgod
si lees las respuestas te enteras
mata_akd
Esto te sirve para cuando administras una red y por ejemplo hay usuarios que hacen homeoffice, y por temas de seguridad hay entornos de backend que solo están permitidos utilizar desde cierta IP ESTÁTICA (la que el proveedor ISP le asigna a la oficina) o poder entrar a la red de la oficina de forma segura, editar archivos del servidor local, y para evitar casos de man in the middle o hurto de información confidencial.