Ir al contenido principal

Mikrotik - Configurar OVPN Client to Site con Teléfono IP y Dispositivo Móvil

Este artículo describe la configuración de una Open VPN utilizando el RB4011 para conectar clientes hacia el RB4011 por VPN

Antonio Anaya avatar
Escrito por Antonio Anaya
Actualizado ayer

Mira el video paso a paso aquí:

Equipos utilizados:

  1. RB4011IGS+5HACQ2HND-IN Router Mikrotik

  2. OVPN Client dispositivo Android

  3. GRP-2615 Teléfono IP

Resumen

La siguiente configuración fue echa en la versión 7.19.3 por lo cual en versiones posteriores o anteriores puede tener detalle, recomendable tener el equipo actualizado.

Para comenzar debemos tener en cuenta cual es nuestra red local, la Wan y que segmento vamos a utilizar para la VPN ya que debe de estar fuera del rango de lo que ya tenemos definido en la ruta IP->Addresses.

para el siguiente caso tenemos definido:

LAN 192.168.4.x

WAN 192.168.1.66

Tenemos definido un bridge en que agrupa todos los puertos incluyendo las redes inalámbricas del router para que emitan dhcp en el segmento 192.168.4.x a excepción de los puertos 1 y 2 que están como WAN1 y WAN2, como obtenemos una IP privada del lado WAN1 esto es porque arriba hay un Modem con salida a internet y se esta realizando un DMZ hacia la IP 192.168.1.66 del lado del modem para que pase el trafico hacia el Mikrotik.

PASO 1:

Como primer paso realizamos un Pool para que entregue la VPN direcciones a los clientes nos vamos a IP->Pool damos clic en New y agregamos un nombre y las direcciones que va a entregar

PASO 2:

Posterior hay que generar los certificados en System->Certificates->New

para el certificado CA

Por ultimo firmamos el certificado presionando click derecho->Sign y damos en Start y nos aparecería el certificado ya firmado con las siglas KLAT

Para el certificado Server

Por ultimo firmamos el certificado Server

Para el certificado Client

Aquí generamos otro usuario para dar de alta un teléfono y agregamos el certificado de autoridad

PASO 3:

Nos dirigimos a la ruta PPP->OVPN Servers y configuramos de la siguiente manera

PASO 4:

Vamos a crear un perfil también en PPP->Profiles

PASO 5:

Creamos los usuarios con las claves en PPP->Secrets

PASO 6:

Ahora vamos a exportar los certificados en System->Certificates

y abrimos la pestaña Files también que es donde van a aparecer los certificados generados.

después agregamos una clave y colocamos un nombre al archivo para mejor referencia colocamos el mismo nombre del certificado

Por ultimo descargamos esos 3 archivos que son los que utilizaremos en el equipo

PASO 7:

Para probar esos certificados los firmamos con un teléfono GRP2615 de Grandstream que cuenta con la IP 192.168.5.218 nos dirigimos a la ruta Network Settings->OpenVPN Settings y subimos un archivo donde vamos a englobar los 3 certificados mas la conexión a continuación se muestra ese archivo el cual debe de estar guardado como .OVPN

La dirección remote seria la IP Publica del router o dominio Cloud del router que lo encuentran en la opción IP->Cloud

Nota: el push routes no es necesario ya que con las nuevas versiones del OVPN si se agrega marca error por tal razón se dejo en comentario

client

dev tun

proto tcp-client

tls-client

remote-cert-tls server

verb 4

auth-nocache

remote hg40***********etname.net

port 1194

auth SHA1

cipher AES-256-CBC

redirect-gateway def1

#push "route 192.168.4.0 255.255.255.0 10.10.10.1"

auth-user-pass

<ca>

-----BEGIN CERTIFICATE-----

MIICGzCCAYSgAwIBAgIIJ0vzEFzKe/4wDQYJKoZIhvcNAQELBQAwDTELMAkGA1UE

AwwCY2EwHhcNMjUwNzA0MTcyMzEyWhcNMzUwNzAyMTcyMzEyWjANMQswCQYDVQQD

DAJjYTCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkCgYEAzYhgQ1iyl+km18QZWKa2

Nhhsx6L5ZiAGWW3khN5m4MD90PxnsXU8B/iSVPHfwmFye2R0oEEJP4ooQS/Gb8si

gZ40Nlc5dFEguEMtIh7GEynwt7vseldQuuB6DWJqvKX+n9xeJnxjsDmYjLluEgUZ

eEyYsB7qiUfPdDxdGv/dTkUCAwEAAaOBgzCBgDAPBgNVHRMBAf8EBTADAQH/MA4G

A1UdDwEB/wQEAwIBBjAdBgNVHQ4EFgQUH+fhZupaAGQ+5P3qIi/tQgFESDwwPgYD

VR0fBDcwNTAzoDGgL4YtaHR0cDovL2hnNDA5enh4ZnY3LnNuLm15bmV0bmFtZS5u

ZXQvY3JsLzcuY3JsMA0GCSqGSIb3DQEBCwUAA4GBAGK71T1yaZxvZ1qn4tqc9l1S

quqid7mxGsV5ahQgpmHsig2FdOW8CrlFuZ9T6GR/eeDQ7ItRi3zs1vXfzcHbjjce

fNK9rUROANmIliwyhsAjzAzkt7OhEV+GHIfLzQSfvN2IN0YwXraRnhPvM5LtfwUD

cJPfRfnBWSQmV+5eZhle

-----END CERTIFICATE-----

</ca>

<cert>

-----BEGIN CERTIFICATE-----

MIIB9zCCAWCgAwIBAgIIXIGzBIDQfL4wDQYJKoZIhvcNAQELBQAwDTELMAkGA1UE

AwwCY2EwHhcNMjUwNzA3MTQ1ODMyWhcNMzUwNzA1MTQ1ODMyWjAWMRQwEgYDVQQD

DAtncmFuZHN0cmVhbTCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkCgYEAlaeWvsms

ia9DH3RExQxyWyIHoP5000sECHixFMP+boHRRKYf1OstwwRCCEkXgM0ptF+2dBur

yoXsOwsJVX3lFrFpm6/igV7uq7Zz6lvrkDUqIc78hvGrWO0AvQ5Rykt6HwZfBEMM

U9rLFf7P5jWk4oakiI1vVE8U2hwbA/A5WpECAwEAAaNXMFUwEwYDVR0lBAwwCgYI

KwYBBQUHAwIwHQYDVR0OBBYEFPg12XLxQBjq1Lj6kKw4nIWqMq11MB8GA1UdIwQY

MBaAFB/n4WbqWgBkPuT96iIv7UIBREg8MA0GCSqGSIb3DQEBCwUAA4GBAGTjPzXj

qbjQ9Y5Tzr8rMUJ/sWka9eQxe5hvMPH8biMrS0rqOpVqoPxZC2C9jfL6xQMoxzsc

s9eSXDcePOenkwVm+w4FuozElVAHanv4Ev7Gj8M5XWxONma1vZ/vAlxyz+7B15sO

McMceB9j1lWakUwq2yvHvbze+CvniOS2DTan

-----END CERTIFICATE-----

</cert>

<key>

-----BEGIN ENCRYPTED PRIVATE KEY-----

MIIC5TBfBgkqhkiG9w0BBQ0wUjAxBgkqhkiG9w0BBQwwJAQQLf685/2NBUjQ22Mm

Rk6YbwICJxAwDAYIKoZIhvcNAgkFADAdBglghkgBZQMEASoEECmQtBx1IBbelvn8

vgjB31MEggKAg7pCR3I+AmXw64I5IxP00MeKax/1/dUIO91Llp40QhDh+DldrBh2

ZY+O9nN3yB1zYtYrbEu+t6UxNA1FfmmSwHmpPvCVG+lQejS0JMF9f6bbOQhIfjMf

zi7YaRKXKL0//cyJDzfB4xitl65nHNezN3ktTwlIs3zZDu7tmpMDH1903UDErJWS

FXJOPjk04jUCVf51j003n/bqvTTqtJ0xsYiVvjdx/wyd7nxPWMylCA4QGgJ/T7ke

lnSgBAVFcqli5zYAXF2m74oteP+AiEcinyoOR8MY46FTXkHoDJmoRyUbwMCh74Zk

rby7OV/z7OnERH5L8jjBMkrcfl9zVw6PT11cU1zb4zhkQ80Vtc28hCGglLoSYLPS

u3MuV2VAH5LRyAozzDjodgWxCv/WteMP4mb2F8dslfR8zEC+Dp+qMtcWXuWGZO+R

+dyjE8eYrAGHup4IuGG1phH/lOZ+v0jtqNa/Aluy00Vcz5DgVTjDugXm5T0tj+k/

eggdqnAeVk4/YRZ5BdSxdBWKzRM+HTdoGvNWdamxuCiAsFJGgBokVVWYHtPsIUWO

riRt30koB1o49rO/nL+5xMn7RujUziHjmTOgyXuCdOGl5OXjBRQuETjYuArYDiX/

AzgW3EivrD1f/7wFoENZu9kXVVxJ5wOn1dWQ3ng2sa1bQhmUtOl/xC/IV6vhwemV

jF5EBFAuKvppJWFEfF/i+HJQz27ezQP+M3GePcKsAba+baogzXgrV5z3ES35Fdkm

/jemSrFikt6Cg9S8vTZ2zom7vLIDlQ4SGKmIV9Lu683i9we8SmzYR36bmfhr1Bg9

tx092KKaZo9eUDgn+cwUNdTSCcaABPt6VA==

-----END ENCRYPTED PRIVATE KEY-----

</key>

PASO 8:

Nos dirigimos al teléfono en Network Settings->OpenVPN Settings y subimos el archivo propio que hayan generado del lado de su router siguiendo el ejemplo de archivo previamente visto, en este punto el teléfono reiniciará y posiblemente no conecte porque le faltan las credenciales.

De la parte Additional Options se genera solo al subir primero el archivo .OVPN, así que no requerimos llenarlo manualmente aquí solo es la contraseña que definimos al exportar el certificado 123456789, el usuario y contraseña que definimos en secrets del lado del router.

hay que hacer también un ligero cambio del lado del teléfono en Accounts->Account 1->General Settings-> Nat transversal a VPN

PASO 9:

Una vez realizado el cambio y reiniciado el GRP2615 ya debemos de ver firmado el teléfono en la VPN, lo consultamos en Status->Network Status

y del lado del dispositivo móvil solamente hay que descargar la aplicación OpenVPN

desde la playstore e importar el archivo general y conectaría de inmediato

Si nos vamos al Mikrotik nos aparecerían esas conexiones en PPP->Active Connections

FAQ (Preguntas y respuestas)

Artículos relacionados

¿Ha quedado contestada tu pregunta?