Ir al contenido principal

Mikrotik - Configurar OpenVPN con telefonos Fanvil

Este artículo describe la configuración completa para un OVPN con teléfonos de Fanvil

Antonio Anaya avatar
Escrito por Antonio Anaya
Actualizado esta semana

Mira el video paso a paso aquí:

Equipos utilizados:

  1. RB4011IGS+5HACQ2HND-IN Router Mikrotik

  2. V60P teléfono basico

  3. V76 teléfono con OVPN Client dispositivo Android

Resumen

La siguiente configuración fue echa en la versión 7.19.3 por lo cual en versiones posteriores o anteriores puede tener detalle, recomendable tener el equipo actualizado.

Tomemos en cuenta cual es nuestra red local, la Wan y que segmento vamos a utilizar para la VPN ya que debe de estar fuera del rango de lo que ya tenemos definido en la ruta IP->Addresses.

para el siguiente caso tenemos definido:

LAN 192.168.4.x

WAN 192.168.1.66

OVPN 10.10.10.X

Como obtenemos una IP privada del lado WAN1 esto es porque arriba hay un Modem con salida a internet y se esta realizando un DMZ hacia la IP 192.168.1.66 del lado del modem para que pase el trafico hacia el Mikrotik.

PASO 1:

Como primer paso realizamos un Pool para que entregue la VPN direcciones a los clientes nos vamos a IP->Pool damos clic en New y agregamos un nombre y las direcciones que va a entregar.

PASO 2:

Posterior hay que generar los certificados en System->Certificates->New

para el certificado CA

Por ultimo firmamos el certificado presionando click derecho->Sign y damos en Start y nos aparecería el certificado ya firmado con las siglas KLAT

Para el certificado Server

Por ultimo firmamos el certificado Server

Para el certificado Client

y firmamos el certificado cliente

PASO 3:

Nos dirigimos a la ruta PPP->OVPN Servers y configuramos de la siguiente manera

PASO 4:

Vamos a crear un perfil también en PPP->Profiles

PASO 5:

Creamos los usuarios con las claves en PPP->Secrets

PASO 6:

Ahora vamos a exportar los certificados en System->Certificates

y abrimos la pestaña Files también que es donde van a aparecer los certificados generados.

Después agregamos una clave y colocamos un nombre al archivo para mejor referencia colocamos el mismo nombre del certificado y descargamos los 3 certificados.

PASO 7:

Para probar esos certificados los firmamos con un teléfono V60P de Fanvil pero debemos desencriptar el client.key con OpenSSL ya que de momento para los teléfonos no es soportado la encriptación.

Nota: Este paso del desencriptado client.key es temporal en lo que soluciona Fanvil este inconveniente.

Una vez descargado OpenSSL para Windows nos dirigimos a la carpeta donde esta descargado C:\Program Files\OpenSSL-Win64\bin, abrimos un CMD como administrador y pegamos la ruta

Posterior debemos pegar el client.key en esa ruta para emitir el siguiente comando y poder desencriptar el archivo "C:\Program Files\OpenSSL-Win64\bin\openssl.exe" rsa -in client.key -out client_nopass.key, al emitirlo nos va a pedir una contraseña que fue la que colocamos cuando exportamos el archivo en este caso "123456789" la tecleamos y es importante saber que no se va a visualizar y al termino emitimos enter y se generará el archivo. Solo habría que cambiarle el nombres a client.key el archivo nuevo generado como client_nopass.key.

PASO 8:

Como el Mikrotik tiene embebida una función de DDNS la vamos a utilizar para que el DDNS propio del Mikrotik nos refresque la IP publica cada vez que cambie y la podemos identificar en IP->Cloud

Posterior creamos un archivo .OVPN que es el que subiremos al teléfono de fanvil que tendrá la configuración similar a:

client

dev tun

proto tcp-client

tls-client

remote-cert-tls server

verb 4

auth-nocache

remote hg40**********etname.net

port 1194

auth SHA1

cipher AES-256-CBC

redirect-gateway def1

#push "route 192.168.4.0 255.255.255.0 10.10.10.1"

auth-user-pass

<ca>

-----BEGIN CERTIFICATE-----

MIICGzCCAYSgAwIBAgIIJ0vzEFzKe/4wDQYJKoZIhvcNAQELBQAwDTELMAkGA1UE

AwwCY2EwHhcNMjUwNzA0MTcyMzEyWhcNMzUwNzAyMTcyMzEyWjANMQswCQYDVQQD

DAJjYTCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkCgYEAzYhgQ1iyl+km18QZWKa2

Nhhsx6L5ZiAGWW3khN5m4MD90PxnsXU8B/iSVPHfwmFye2R0oEEJP4ooQS/Gb8si

gZ40Nlc5dFEguEMtIh7GEynwt7vseldQuuB6DWJqvKX+n9xeJnxjsDmYjLluEgUZ

eEyYsB7qiUfPdDxdGv/dTkUCAwEAAaOBgzCBgDAPBgNVHRMBAf8EBTADAQH/MA4G

A1UdDwEB/wQEAwIBBjAdBgNVHQ4EFgQUH+fhZupaAGQ+5P3qIi/tQgFESDwwPgYD

VR0fBDcwNTAzoDGgL4YtaHR0cDovL2hnNDA5enh4ZnY3LnNuLm15bmV0bmFtZS5u

ZXQvY3JsLzcuY3JsMA0GCSqGSIb3DQEBCwUAA4GBAGK71T1yaZxvZ1qn4tqc9l1S

quqid7mxGsV5ahQgpmHsig2FdOW8CrlFuZ9T6GR/eeDQ7ItRi3zs1vXfzcHbjjce

fNK9rUROANmIliwyhsAjzAzkt7OhEV+GHIfLzQSfvN2IN0YwXraRnhPvM5LtfwUD

cJPfRfnBWSQmV+5eZhle

-----END CERTIFICATE-----

</ca>

<cert>

-----BEGIN CERTIFICATE-----

MIIB9DCCAV2gAwIBAgIIPDwzcgelkhMwDQYJKoZIhvcNAQELBQAwDTELMAkGA1UE

AwwCY2EwHhcNMjUwNzE0MjEzNTU2WhcNMzUwNzEyMjEzNTU2WjATMREwDwYDVQQD

DAhjbGllbnRlMjCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkCgYEAsfIUoDbT6LIz

uakX7L/iW5z9AFVpf1IXhObH0IgTxWdB9GmR/YqEK6VqNzdliTyEXBbxf5NCTadz

CrNIKx7PLt+W+noazwymqxJQc2CVlZ+rTC3LFvkP6IqCDULAT4L9EVwxr1Qc+tsj

TRGuZL4JHu9G+z5WLky4XTaDJlkczDkCAwEAAaNXMFUwEwYDVR0lBAwwCgYIKwYB

BQUHAwIwHQYDVR0OBBYEFEtT5gsKk+VCLIpkLdTmPTWFRX0mMB8GA1UdIwQYMBaA

FB/n4WbqWgBkPuT96iIv7UIBREg8MA0GCSqGSIb3DQEBCwUAA4GBACOMbFxFXkMs

5O1E2fEvhu8U1PowgypWBqMZeqG0+hrhqzZDqd9HgK8wvqlHaCZV5I9clidxlZ0T

HQargNwU2YZHyMbau0KsOLuw2n0jUKUDPXohuT7XwJt8bO04u7uZgYth7HjOmSfa

XVyZ6WOb4iCPt1LXO2p3oUKoFM/8JdkM

-----END CERTIFICATE-----

</cert>

<key>

-----BEGIN PRIVATE KEY-----

MIICdwIBADANBgkqhkiG9w0BAQEFAASCAmEwggJdAgEAAoGBALHyFKA20+iyM7mp

F+y/4luc/QBVaX9SF4Tmx9CIE8VnQfRpkf2KhCulajc3ZYk8hFwW8X+TQk2ncwqz

SCsezy7flvp6Gs8MpqsSUHNglZWfq0wtyxb5D+iKgg1CwE+C/RFcMa9UHPrbI00R

rmS+CR7vRvs+Vi5MuF02gyZZHMw5AgMBAAECgYBAL+pwwFZAIce2uOAAblbgZQh+

DlE3tAz3y6dX+T3ofw6zc0FOC6ERfWGK+ViO4F1+OmhydFP+XuCIg5MMuthQnc4Z

q62stKx1d5m+VOQe41CEgSxZpqdYyijl+wDqMDrTmwaxwKEjUS5gcznVc/FF8Jbb

ESxZUt4wa4ByQ2yUAQJBAOSs2MBzWh0QiBqbEXt4damIBbrvfob6o5PtitKNJ4oq

ccU/cUGdawczmwDd8Mu6zQDwUPkYQamUkDZxYHKFQUkCQQDHNWvdGBNGd3IE+M4d

Oaw55B8viOrNCWgerD7SikCmYXB8EK97YRxoaBj31ts8ppQZK3t9Ci1ydR0H22RP

biNxAkEAtYny2XW6CHDjXBvXGSpcXqY5xlnzHL1Ft15RYy3kQe/IOktPYkPSf/kc

COgpDdPSg/hEkDwNhM8IXfBMHR5k4QJBALkaCoAGPuLbWjcEeYDudfnU3qVss8CR

XQ4jPryjei8fm0Wsu2IJejwJfinMmypgHnzEypoFOvV/nNoQIcUssgECQANRlpa4

jkBkWwdaUKyUCOj8Tzma4NBAlVv/2HdnYJF2sm0tfyTq5JuLI1c0NRN64iJIAxTL

IIhqsTGnGUZ750g=

-----END PRIVATE KEY-----

</key>

PASO 9:

Del lado del teléfono nos vamos a Network->VPN recordemos que debemos tener actualizado el teléfono a su ultima versión descargándolo desde Fanvil, activamos la la VPN, la opción tun, utilizamos el usuario y contraseña y subimos los certificados

Una vez cargado los certificados y guardado reiniciamos el teléfono

y ya con esto estaría conectado a la VPN

FAQ (Preguntas y respuestas)

Artículos relacionados

¿Ha quedado contestada tu pregunta?