Saltearse al contenido
MKController Blog
InstagramYouTubeFacebook

Remote Access

Gestión remota de MikroTik con OpenVPN

Configura OpenVPN con VPS y MikroTik para administración remota — configuración PKI, flujo de certificados y mejores prácticas de seguridad.

MKController6 min read

Resumen OpenVPN es una VPN basada en TLS probada en batalla que se acopla limpiamente con un VPS como centro y enrutadores MikroTik como clientes para administración remota. Predace a WireGuard y Tailscale pero sigue siendo relevante por su amplia compatibilidad, control PKI granular y opciones de enrutamiento flexible. Esta guía recorre la configuración del servidor Ubuntu VPS con easy-rsa, el flujo de trabajo de certificados de cliente, la configuración del cliente OVPN de MikroTik y la lista de verificación de seguridad que mantiene el despliegue auditable con el tiempo.

¿Cómo habilita OpenVPN la administración remota de MikroTik?

OpenVPN es una implementación de VPN de código abierto construida sobre OpenSSL que establece túneles cifrados sobre TCP o UDP. Para administración remota de MikroTik, la topología típica empareja un VPS Ubuntu como servidor siempre conectado con uno o más enrutadores MikroTik como clientes. El enrutador inicia el túnel hacia afuera, por lo que NAT y CGNAT en el lado del cliente no importan, y el VPS mantiene las rutas y reglas NAT que te permiten alcanzar el enrutador (y dispositivos detrás de él) a través del túnel.

Las fortalezas de OpenVPN son criptografía madura (AES-256, SHA-256, TLS), compatibilidad IPv4 e IPv6, modos TUN (enrutado) y TAP (puente), y amplia compatibilidad entre proveedores y sistemas operativos incluyendo RouterOS. Los compromisos son consumo de CPU más pesado que WireGuard en enrutadores pequeños, un paso de configuración PKI real (CA, certificados, claves) y un límite específico de RouterOS que necesitas conocer — históricamente el cliente OVPN de MikroTik solo soporta transporte TCP en algunas versiones. Para patrones de comparación, consulta nuestra guía de administración remota con WireGuard, guía SSTP y guía Tailscale.

Cómo funciona OpenVPN

OpenVPN establece un túnel cifrado entre un servidor (típicamente un VPS público) y uno o más clientes. La autenticación usa una CA, certificados por cliente y TLS-auth opcional (ta.key). Dos modos comunes:

  • TUN (enrutado) — Enrutamiento IP entre redes. La opción estándar.
  • TAP (puente) — Puente de Capa 2, útil para aplicaciones dependientes de broadcast. Más pesado y rara vez necesario.

Paso 1: Instala OpenVPN en el VPS

apt update && apt install -y openvpn easy-rsa

Paso 2: Construye la PKI y las claves del servidor

make-cadir ~/openvpn-ca
cd ~/openvpn-ca
./easyrsa init-pki
./easyrsa build-ca nopass
./easyrsa gen-req server nopass
./easyrsa sign-req server server
./easyrsa gen-dh
openvpn --genkey --secret ta.key

Mantén la CA privada y haz una copia de seguridad. Trata las claves CA como secretos de producción — cualquiera con la CA puede falsificar certificados de cliente legítimos.

Paso 3: Escribe la configuración del servidor

/etc/openvpn/server.conf (mínimo):

port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
cipher AES-256-CBC
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3

Paso 4: Inicia el servicio y abre el firewall

systemctl enable openvpn@server
systemctl start openvpn@server
ufw allow 1194/udp

Si expones el puerto 1194 a toda Internet, asegura el VPS — fail2ban, claves SSH estrictas y restricciones de firewall de IP de origen donde sea práctico. Los puntos finales de VPN expuestos a Internet son continuamente probados.

Paso 5: Crea certificados de cliente y configuración

Genera un certificado de cliente con easy-rsa (./easyrsa build-client-full client1 nopass) y agrupa estos para el cliente:

  • ca.crt
  • client1.crt
  • client1.key
  • ta.key (si se usa)
  • client.ovpn — el archivo de configuración del cliente

Un client.ovpn mínimo:

client
dev tun
proto udp
remote YOUR.VPS.IP 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
remote-cert-tls server
cipher AES-256-CBC
verb 3

Paso 6: Configura MikroTik como cliente OpenVPN

RouterOS soporta conexiones de cliente OpenVPN con límites específicos de RouterOS — notablemente que versiones más antiguas se restringen al transporte TCP.

  1. Sube ca.crt, client1.crt y client1.key a MikroTik a través de la ventana Files de Winbox.
  2. En una terminal:
/interface ovpn-client add name=ovpn-out1 \
    connect-to=YOUR.VPS.IP port=1194 \
    user=vpnuser password="yourpassword" \
    profile=default-encryption add-default-route=no


/interface ovpn-client print

Estado esperado:

status: connected
uptime: 00:01:03
remote-address: 10.8.0.1
local-address: 10.8.0.6

Comprueba las notas de la versión de RouterOS si la conexión falla con UDP — si tu versión restringe el cliente OVPN a TCP, cambia el proto del servidor a tcp y la regla del firewall en consecuencia. Para una alternativa amigable con UDP en RouterOS, WireGuard es el predeterminado moderno.

Alcanza un dispositivo interno a través del túnel

Para alcanzar un dispositivo detrás de MikroTik (p. ej., una cámara en 192.168.88.100), usa dst-nat en MikroTik para exponer un puerto local sobre el túnel:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

Desde el servidor u otro cliente VPN, conecta a través de la dirección enrutada y puerto:

http://10.8.0.6:8081

El tráfico fluye a través del túnel OpenVPN y alcanza el host interno.

Mejores prácticas de seguridad

  • Certificado único por cliente. Nunca reutilices claves entre dispositivos.
  • Combina certificados de cliente TLS con un nombre de usuario/contraseña si deseas control similar a doble factor.
  • Rota claves y certificados según un cronograma. Implementa CRLs (listas de revocación de certificados) para dispositivos perdidos.
  • Limita las IPs de origen en el firewall de VPS donde sea práctico.
  • Prefiere UDP para rendimiento; verifica compatibilidad de RouterOS por versión.
  • Monitorea la salud de la conexión y los registros (syslog, openvpn-status.log).
  • Automatiza la emisión de certificados para muchos dispositivos con scripts, pero mantén la CA desconectada donde sea posible — una CA en un servidor conectado está a un correo de phishing de compromiso.

Para contexto de seguridad del plano de administración más amplio, consulta nuestro artículo mejores prácticas de seguridad de Winbox.

OpenVPN vs. alternativas modernas

SoluciónFortalezasCuándo elegirlo
OpenVPNCompatibilidad, control de certificados granularFlotas mixtas/heredadas; aparatos corporativos
WireGuardVelocidad, simplicidad, criptografía modernaDispositivos modernos, enrutadores de huella pequeña
SSTPTLS sobre puerto 443, traversal de firewallRedes que bloquean UDP y otros puertos VPN
Tailscale / ZeroTierMalla, basado en identidad, despliegue fácilLaptops, equipos, colaboración multiplataforma

Cuándo usar OpenVPN

Elige OpenVPN cuando el control de certificados granular importa, tu flota incluye dispositivos heredados o aparatos sin agentes VPN modernos, o necesitas integrar con reglas de firewall existentes y PKI empresarial. Si el rendimiento bruto y la sobrecarga mínima de CPU importan más, WireGuard gana — consulta el tutorial de WireGuard y la guía Tailscale.

Toma el siguiente paso

OpenVPN no es una reliquia. Es una herramienta confiable cuando necesitas compatibilidad y control explícito sobre autenticación y enrutamiento. Empareja con un VPS y un cliente MikroTik y obtienes una ruta de acceso remoto robusta y auditable para cámaras, enrutadores y servicios internos.

Si prefieres evitar la ceremonia de PKI por dispositivo, NATCloud de MKController proporciona acceso remoto a dispositivos detrás de NAT o CGNAT con gobernanza centralizada, monitoreo y reconexión automática — sin certificados para mantener por enrutador.

Inicia tu prueba gratuita de MKController