Gestiona tu Mikrotik con OpenVPN

Resumen
Una guía práctica para usar OpenVPN con MikroTik y un VPS: cómo funciona OpenVPN, configuración del servidor en Ubuntu, configuración del cliente MikroTik, patrones de acceso, comparaciones con soluciones modernas y buenas prácticas de seguridad.

Gestión remota de MikroTik con OpenVPN

OpenVPN sigue siendo una forma sólida y probada para acceder remotamente a routers y dispositivos.

Anticipa a WireGuard y Tailscale, pero su flexibilidad y compatibilidad lo mantienen vigente.

Esta publicación te guía en el cómo y el porqué — y ofrece comandos listos para copiar y pegar para un VPS y un cliente MikroTik.

¿Qué es OpenVPN?

OpenVPN es una implementación de VPN de código abierto (desde 2001) que crea túneles cifrados sobre TCP o UDP.

Se apoya en OpenSSL para el cifrado y la autenticación basada en TLS.

Puntos clave:

Criptografía fuerte (AES-256, SHA256, TLS).
Funciona con IPv4 e IPv6.
Soporta modos enrutados (TUN) y en puente (TAP).
Amplia compatibilidad con sistemas operativos y appliances — incluyendo RouterOS.

Nota: El ecosistema y las herramientas de OpenVPN lo hacen adecuado para entornos que necesitan control explícito de certificados y soporte para dispositivos heredados.

Cómo funciona OpenVPN (resumen rápido)

OpenVPN establece un túnel cifrado entre un servidor (normalmente un VPS público) y uno o más clientes (routers MikroTik, portátiles, etc.).

La autenticación se realiza con una CA, certificados y el TLS auth opcional (ta.key).

Modos comunes:

TUN (enrutado): Enrutamiento IP entre redes (el más común).
TAP (bridge): Puente de capa 2 — útil para apps dependientes de broadcasts, pero más pesado.

Pros y contras

Ventajas

Modelo de seguridad probado (TLS + OpenSSL).
Altamente configurable (TCP/UDP, puertos, rutas, opciones push).
Gran compatibilidad — ideal para flotas mixtas.
Soporte nativo (aunque limitado) en RouterOS.

Inconvenientes

Más pesado que WireGuard en hardware limitado.
La configuración requiere PKI (CA, certificados) y pasos manuales.
RouterOS de MikroTik soporta OpenVPN solo sobre TCP en algunas versiones (las configuraciones del lado servidor suelen usar UDP).

Montar un servidor OpenVPN en Ubuntu (VPS)

A continuación hay una configuración compacta y práctica. Ajusta nombres, IPs y DNS según tu entorno.

1) Instalar paquetes

apt update && apt install -y openvpn easy-rsa

2) Crear PKI y claves del servidor

make-cadir ~/openvpn-ca
cd ~/openvpn-ca
source vars
./clean-all
./build-ca            # create CA
./build-key-server server
./build-dh
openvpn --genkey --secret keys/ta.key

Consejo: Mantén la CA privada y haz copias de seguridad. Trata las claves de la CA como secretos de producción.

3) Configuración del servidor (/etc/openvpn/server.conf)

Crea el archivo con este contenido mínimo:

port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
cipher AES-256-CBC
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3

4) Habilitar e iniciar el servicio

systemctl enable openvpn@server
systemctl start openvpn@server

5) Firewall: permitir el puerto

ufw allow 1194/udp

Advertencia: Si expones el puerto 1194 a toda la internet, asegura el servidor (fail2ban, claves SSH estrictas, reglas de firewall para limitar IPs de origen cuando sea posible).

Crear certificados y configuraciones de cliente

Usa los scripts de easy-rsa para generar un certificado de cliente (por ejemplo: build-key client1).

Empaqueta estos archivos para el cliente:

ca.crt
client1.crt
client1.key
ta.key (si se usa)
client.ovpn (archivo de configuración)

Un ejemplo mínimo de client.ovpn (reemplaza la IP del servidor por tu VPS):

client
dev tun
proto udp
remote YOUR.VPS.IP 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
remote-cert-tls server
cipher AES-256-CBC
verb 3

Configurar MikroTik como cliente OpenVPN

RouterOS soporta conexiones de cliente OpenVPN, pero con algunos límites específicos de RouterOS.

Sube los archivos de clave y certificado del cliente (ca.crt, client.crt, client.key) al MikroTik.
Crea un perfil de cliente OVPN e inicia la conexión.

/interface ovpn-client add name=ovpn-out1 \
    connect-to=YOUR.VPS.IP port=1194 \
    user=vpnuser password="yourpassword" \
    profile=default-encryption add-default-route=no

/interface ovpn-client print

Estado esperado de ejemplo:

status: connected
uptime: 00:01:03
remote-address: 10.8.0.1
local-address: 10.8.0.6

Nota: RouterOS históricamente restringe OpenVPN a TCP en algunas versiones — revisa las notas de la versión de tu RouterOS. Si necesitas UDP en el lado del router, considera una solución intermedia (como un host Linux) o usa un cliente de software en una máquina cercana.

Acceder a un dispositivo interno a través del túnel

Para alcanzar un dispositivo interno (ejemplo: cámara IP 192.168.88.100), puedes usar NAT en el MikroTik para exponer un puerto local sobre el túnel.

Añade una regla dst-nat en el MikroTik:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

Desde el servidor u otro cliente, conéctate a la dirección enrutada y puerto:

http://10.8.0.6:8081

El tráfico fluye a través del túnel OpenVPN y llega al host interno.

Seguridad y buenas prácticas

Usa un certificado único por cliente.
Combina certificados TLS de cliente con usuario/contraseña si necesitas control tipo doble factor.
Rota claves y certificados con una periodicidad definida.
Limita IPs de origen en el firewall del VPS cuando sea práctico.
Prefiere UDP por rendimiento, pero verifica la compatibilidad con RouterOS.
Monitorea la salud de la conexión y los logs (syslog, openvpn-status.log).

Consejo: Automatiza la emisión de certificados para muchos dispositivos con scripts, pero mantén la CA offline siempre que sea posible.

Comparación breve con alternativas modernas

Solución	Fortalezas	Cuándo elegir
OpenVPN	Compatibilidad, control granular por certificados	Entornos mixtos/legacy; setups de ISP; appliances corporativos
WireGuard	Velocidad, simplicidad	Dispositivos modernos, routers de recursos limitados
Tailscale/ZeroTier	Malla, identidad, despliegue fácil	Portátiles, servidores, colaboración en equipo

Cuándo usar OpenVPN

Necesitas control fino por certificados.
Tu flota incluye dispositivos legacy o appliances sin agentes modernos.
Debes integrar con reglas de firewall existentes y PKI empresarial.

Si buscas el menor overhead posible y criptografía moderna, WireGuard (o Tailscale para un plano de control más amigable) son excelentes — pero OpenVPN aún gana en compatibilidad universal.

Dónde MKController ayuda: Si quieres evitar túneles manuais y la gestión de certificados, las herramientas remotas de MKController (NATCloud) permiten acceder a dispositivos detrás de NAT/CGNAT con gobernanza centralizada, monitoreo y reconexión automática — sin PKI por dispositivo para gestionar.

Conclusión

OpenVPN no es un fósil.

Es una herramienta fiable cuando necesitas compatibilidad y control explícito sobre autenticación y enrutamiento.

Únelo a un VPS y a un cliente MikroTik y tendrás una vía de acceso remoto robusta y auditable para cámaras, routers y servicios internos.

Sobre MKController

¡Esperamos que la información anterior te haya ayudado a navegar mejor por tu universo MikroTik e Internet! 🚀
Ya sea afinando configuraciones o intentando poner orden en el caos de la red, MKController está aquí para facilitarte la vida.

Con gestión centralizada en la nube, actualizaciones de seguridad automáticas y un panel que cualquiera puede dominar, tenemos lo necesario para mejorar tu operación.

👉 Comienza tu prueba gratuita de 7 días ahora en mkcontroller.com — y comprueba lo que es tener control de red sin esfuerzo.