Certificados y Configuracion OVPN Server Mikrotik
Para Crear Servidor OVPN necesitamos:
- Crear Certificados
- Crear los profile para los clientes
- Crear los Secret
Primero Creamos Certificado CA
Opcionalmente podemos usar Common Name el hostname y el alt name el ddns del Router
certificate add name=CA common-name=CA days-valid=3650 key-usage=crl-sign,key-cert-sign
Lo firmamos
cert sign ca-crl-host=DNS [find name=CA]
Después Creamos el Certificado de Servidor VPN
cert add name=OVPN-Server common-name=RouterALPHA subject-alt-name=DNS:dns.com key-usage=digital-signature,key-encipherment,tls-server
Lo Firmamos con el CA que creamos antes
cert sign ca=CA ca-crl-host=DNS [find name=OVPN-Server]
Creamos Certificados para Cliente
cert add name=Client1 common-name=user1 key-usage=tls-client
y ya podemos habilitar las opciones que nos interesan en OVPN Server
Para detalles en los profile y secrets así como detalles del server https://wiki.mikrotik.com/wiki/OpenVPN
Archivos Ovpn se realizan con este template https://github.com/OpenVPN/openvpn/blob/master/sample/sample-config-files/client.conf
El Laboratorio completo para probar la configuracion https://www.youtube.com/watch?v=6l1sYGLrlz0&t=291s
Resumen:
#Definir Variables
:global name=DNS val=DNS:mynetname.net
:global name=Hostname val=Router
#Crear Certificados
certificate add name=CA common-name=CA days-valid=3650 key-usage=crl-sign,key-cert-sign
cert add name=OVPN-Server common-name=$Hostname subject-alt-name=$DNS key-usage=digital-signature,key-encipherment,tls-server
cert add name=Client1 common-name=user1 key-usage=tls-client
#Firmar
cert sign ca-crl-host=$DNS [find name=CA]
cert sign ca=CA ca-crl-host=$DNS [find name=OVPN-Server]
se puede sobre ese túnel se pueden pasar todos los servicios de Capa 3 que requerimos entre Routers o Equipos de Usuario Final