// DevOps
Configuración del servidor OpenVPN en MikroTik RouterOS: guía práctica completa
Publicado el 02.01.2026
OpenVPN — es un protocolo VPN fiable y probado, que permite organizar acceso remoto protegido a la red local. MikroTik RouterOS soporta OpenVPN en modo servidor desde la versión 6.x (TCP), y desde la versión 7+ — también UDP, pero con una serie de limitaciones arquitectónicas:
- autenticación obligatoria por usuario/contraseña incluso al usar certificados;
- lista limitada de cifrados y algoritmos;
- ausencia de algunas funcionalidades del OpenVPN “clásico”.
A pesar de ello, OpenVPN en MikroTik sigue siendo una solución demandada — especialmente en escenarios donde los clientes no soportan WireGuard o se requiere compatibilidad con sistemas antiguos.
En este artículo se aborda la configuración completa de un servidor OpenVPN en MikroTik RouterOS:
- usando un CA propio y certificados de cliente;
- con soporte para UDP y TCP;
- con aislamiento entre clientes VPN;
- con acceso a la red local;
- con ejemplos de diagnóstico y depuración.
⚠️ Todas las direcciones IP, nombres de usuario y contraseñas indicados más abajo son de prueba. Nunca los use en un entorno de producción.
Topología propuesta
Red local (LAN):
192.168.11.0/24Pool de direcciones para clientes VPN:
10.222.60.0/24Servidor OpenVPN:
- puerto
1199 - protocolos: UDP y TCP
- puerto
Paso 1: Creación de certificados
OpenVPN utiliza cifrado TLS, por lo que se requiere una autoridad certificadora (CA) propia, certificado de servidor y certificados de cliente.
/certificate
add name=ovpn-ca common-name=ovpn-ca key-size=4096 days-valid=3650 key-usage=key-cert-sign,crl-sign
sign ovpn-ca ca-crl-host=127.0.0.1
add name=ovpn-server common-name=ovpn-server key-size=4096 days-valid=1825 \
key-usage=digital-signature,key-encipherment,tls-server
sign ovpn-server ca=ovpn-ca
# Certificados de cliente
add name=testuser1-cert common-name=testuser1 key-usage=tls-client days-valid=365
sign testuser1-cert ca=ovpn-ca
add name=testuser2-cert common-name=testuser2 key-usage=tls-client days-valid=365
sign testuser2-cert ca=ovpn-ca
Exportación de certificados:
# Exportación de CA
export-certificate ovpn-ca
# Exportar certificados de cliente con contraseña
export-certificate testuser1-cert export-passphrase="TestExportPass2025!"
export-certificate testuser2-cert export-passphrase="TestExportPass2025!"
Los archivos aparecerán en /files. Se pueden descargar mediante Winbox → Files o por FTP.
Paso 2: Crear un pool de direcciones IP para clientes VPN
/ip pool
add name=ovpn-pool ranges=10.222.60.10-10.222.60.200
Paso 3: Perfil PPP para OpenVPN
/ppp profile
add name=ovpn-profile \
local-address=10.222.60.1 \
remote-address=ovpn-pool \
use-encryption=required \
only-one=yes
local-address— IP del MikroTik dentro de la VPN;remote-address— pool de direcciones de los clientes;only-one=yes— una sesión activa por usuario.
Paso 4: Configuración del servidor OpenVPN (UDP y TCP)
En RouterOS v7+ OpenVPN se configura como una interfaz.
/interface ovpn-server server
add name=ovpn-udp \
auth=sha1,md5,sha256,sha512 \
certificate=ovpn-server \
cipher=aes128-cbc,blowfish128 \
default-profile=ovpn-profile \
disabled=no \
port=1199 \
protocol=udp \
require-client-certificate=yes \
netmask=24 \
mode=ip \
keepalive-timeout=60 \
max-mtu=1500 \
push-routes=192.168.11.0/24
add name=ovpn-tcp \
auth=sha1,md5,sha256,sha512 \
certificate=ovpn-server \
cipher=aes128-cbc,blowfish128 \
default-profile=ovpn-profile \
disabled=no \
port=1199 \
protocol=tcp \
require-client-certificate=yes \
netmask=24 \
mode=ip \
keepalive-timeout=60 \
max-mtu=1500 \
push-routes=192.168.11.0/24
Paso 5: Configuración del firewall
Permitir conexiones entrantes
/ip firewall filter
add chain=input protocol=udp dst-port=1199 action=accept comment="OpenVPN UDP"
add chain=input protocol=tcp dst-port=1199 action=accept comment="OpenVPN TCP"
Reglas de forward e aislamiento de clientes
/ip firewall filter
add chain=forward connection-state=established,related action=accept comment="Established/Related"
add chain=forward src-address=10.222.60.0/24 dst-address=192.168.11.0/24 \
action=accept comment="VPN -> LAN"
add chain=forward src-address=192.168.11.0/24 dst-address=10.222.60.0/24 \
action=accept comment="LAN -> VPN"
add chain=forward src-address=10.222.60.0/24 dst-address=10.222.60.0/24 \
action=drop comment="Изоляция VPN-клиентов"
Paso 6: Crear usuarios (PPP secrets)
⚠️ RouterOS siempre requiere usuario/contraseña para OpenVPN.
/ppp secret
add name=testuser1 password="TestPass#2025!" profile=ovpn-profile service=ovpn
add name=testuser2 password="TestPass#2025!" profile=ovpn-profile service=ovpn
Paso 7: Revocar certificado y eliminar usuario
/certificate revoke testuser1-cert
/ppp secret remove [find name="testuser1"]
Configuración del cliente (.ovpn)
client
dev tun
proto udp # o tcp
remote YOUR_PUBLIC_IP 1199
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
cipher AES-128-CBC
auth SHA512
verb 3
<ca>
--- contenido de ovpn-ca.crt ---
</ca>
<cert>
--- contenido de testuser1-cert.crt ---
</cert>
<key>
--- contenido de testuser1-cert.key ---
</key>
auth-user-pass
Compatible con clientes:
- OpenVPN Connect
- Viscosity
- Tunnelblick
Diagnóstico y depuración
Activar el registro
/system logging
add topics=ovpn action=memory
add topics=ovpn,debug action=memory
/log print where topics~"ovpn"
Comprobación de conexiones
/interface ovpn-server print
/ppp active print
Pruebas de red
/ping 10.222.60.XX
/tool traceroute 8.8.8.8 interface=ovpn-udp
Desde el cliente:
ping 10.222.60.1ping 192.168.11.1
Problemas frecuentes
- Sin conexión — firewall, puerto, NAT, hora en el router (NTP).
- Error de autenticación — certificado o contraseña.
- Sin acceso a LAN —
push-routesyforward. - Los clientes no se ven entre sí — la regla de aislamiento está funcionando correctamente.
Conclusión
Esta configuración implementa autenticación doble (certificado + usuario/contraseña), segmentación de clientes y acceso controlado a la LAN. Para máximo rendimiento se recomienda usar UDP.
Si se requiere criptografía más moderna y menor carga CPU, conviene considerar WireGuard como alternativa.
¡Buena configuración y túneles estables!
// Reviews
Reseñas relacionadas
Muchísimas gracias a Mijaíl por su trabajo, estoy muy satisfecho con el resultado. Agradezco especialmente las recomendaciones durante la configuración: a partir de un pliego de requisitos bastante confuso por mi parte (y yo entiendo poco de servidores), Mijaíl, con preguntas aclaratorias y propuestas, formuló una comprensión clara de qué tareas resolvería la configuración final y cómo organizarlo todo de la mejor manera. ¡Lo recomiendo!
Muchísimas gracias a Mijaíl por el trabajo, estoy muy satisfecho con el resultado. Agradezco especialmente las recomendaciones durante el proceso de configuración; a partir de mi especificación bastante confusa (y yo sé …
Configuración de Mikrotik hAP. Configuraré su router Wi‑Fi Mikrotik.
21.07.2025 · ★ 5/5
Excelente profesional, experto y persona maravillosa. En una hora nos arregló lo que llevábamos días intentando solucionar. Estoy seguro de que no será la primera vez que recurramos a su excepcional profesionalismo.
Excelente especialista, un experto con mucha experiencia y una persona maravillosa. En una hora nos arregló aquello por lo que llevábamos días rompiéndonos la cabeza! Estoy seguro de que no será la primera vez que …
MikroTik hAP: configuración del router. Configuraré su router MikroTik Wi‑Fi.
28.05.2025 · ★ 5/5
¡Un enfoque profesional!
¡Enfoque profesional al asunto!
Configuración del router Mikrotik hAP. Configuraré su router Mikrotik Wi-Fi.
31.03.2025 · ★ 5/5
Sabe, puede, hace. Todo rápido y al grano; quedé satisfecho con la colaboración.
Sabe, puede, hace. Todo de forma rápida y al grano, quedé satisfecho con la colaboración.
Configuración de Mikrotik hAP. Configuraré el router Wi-Fi Mikrotik para usted.
14.03.2025 · ★ 5/5
¡Gracias! Configuraron el router según mi especificación técnica, con una explicación completa de lo que estamos haciendo.
¡Gracias! Configuraron el router según mi especificación técnica, con una explicación completa de lo que hacemos
Configuración del router MikroTik hAP. Configuraré un router MikroTik Wi‑Fi para usted.
09.03.2025 · ★ 5/5
¡Todo genial! ¡Gracias! Lo recomiendo
¡Todo genial! ¡Gracias! Lo recomiendo
// Contact
¿Necesitas ayuda?
Escríbeme y te ayudaré a resolver el problema
// Related