Configuración del servidor OpenVPN en MikroTik RouterOS: guía práctica completa
Publicado el 02.01.2026
OpenVPN — es un protocolo VPN fiable y probado, que permite organizar acceso remoto protegido a la red local. MikroTik RouterOS soporta OpenVPN en modo servidor desde la versión 6.x (TCP), y desde la versión 7+ — también UDP, pero con una serie de limitaciones arquitectónicas:
- autenticación obligatoria por usuario/contraseña incluso al usar certificados;
- lista limitada de cifrados y algoritmos;
- ausencia de algunas funcionalidades del OpenVPN “clásico”.
A pesar de ello, OpenVPN en MikroTik sigue siendo una solución demandada — especialmente en escenarios donde los clientes no soportan WireGuard o se requiere compatibilidad con sistemas antiguos.
En este artículo se aborda la configuración completa de un servidor OpenVPN en MikroTik RouterOS:
- usando un CA propio y certificados de cliente;
- con soporte para UDP y TCP;
- con aislamiento entre clientes VPN;
- con acceso a la red local;
- con ejemplos de diagnóstico y depuración.
⚠️ Todas las direcciones IP, nombres de usuario y contraseñas indicados más abajo son de prueba. Nunca los use en un entorno de producción.
Topología propuesta
Red local (LAN):
192.168.11.0/24Pool de direcciones para clientes VPN:
10.222.60.0/24Servidor OpenVPN:
- puerto
1199 - protocolos: UDP y TCP
- puerto
Paso 1: Creación de certificados
OpenVPN utiliza cifrado TLS, por lo que se requiere una autoridad certificadora (CA) propia, certificado de servidor y certificados de cliente.
/certificate
add name=ovpn-ca common-name=ovpn-ca key-size=4096 days-valid=3650 key-usage=key-cert-sign,crl-sign
sign ovpn-ca ca-crl-host=127.0.0.1
add name=ovpn-server common-name=ovpn-server key-size=4096 days-valid=1825 \
key-usage=digital-signature,key-encipherment,tls-server
sign ovpn-server ca=ovpn-ca
# Certificados de cliente
add name=testuser1-cert common-name=testuser1 key-usage=tls-client days-valid=365
sign testuser1-cert ca=ovpn-ca
add name=testuser2-cert common-name=testuser2 key-usage=tls-client days-valid=365
sign testuser2-cert ca=ovpn-ca
Exportación de certificados:
# Exportación de CA
export-certificate ovpn-ca
# Exportar certificados de cliente con contraseña
export-certificate testuser1-cert export-passphrase="TestExportPass2025!"
export-certificate testuser2-cert export-passphrase="TestExportPass2025!"
Los archivos aparecerán en /files. Se pueden descargar mediante Winbox → Files o por FTP.
Paso 2: Crear un pool de direcciones IP para clientes VPN
/ip pool
add name=ovpn-pool ranges=10.222.60.10-10.222.60.200
Paso 3: Perfil PPP para OpenVPN
/ppp profile
add name=ovpn-profile \
local-address=10.222.60.1 \
remote-address=ovpn-pool \
use-encryption=required \
only-one=yes
local-address— IP del MikroTik dentro de la VPN;remote-address— pool de direcciones de los clientes;only-one=yes— una sesión activa por usuario.
Paso 4: Configuración del servidor OpenVPN (UDP y TCP)
En RouterOS v7+ OpenVPN se configura como una interfaz.
/interface ovpn-server server
add name=ovpn-udp \
auth=sha1,md5,sha256,sha512 \
certificate=ovpn-server \
cipher=aes128-cbc,blowfish128 \
default-profile=ovpn-profile \
disabled=no \
port=1199 \
protocol=udp \
require-client-certificate=yes \
netmask=24 \
mode=ip \
keepalive-timeout=60 \
max-mtu=1500 \
push-routes=192.168.11.0/24
add name=ovpn-tcp \
auth=sha1,md5,sha256,sha512 \
certificate=ovpn-server \
cipher=aes128-cbc,blowfish128 \
default-profile=ovpn-profile \
disabled=no \
port=1199 \
protocol=tcp \
require-client-certificate=yes \
netmask=24 \
mode=ip \
keepalive-timeout=60 \
max-mtu=1500 \
push-routes=192.168.11.0/24
Paso 5: Configuración del firewall
Permitir conexiones entrantes
/ip firewall filter
add chain=input protocol=udp dst-port=1199 action=accept comment="OpenVPN UDP"
add chain=input protocol=tcp dst-port=1199 action=accept comment="OpenVPN TCP"
Reglas de forward e aislamiento de clientes
/ip firewall filter
add chain=forward connection-state=established,related action=accept comment="Established/Related"
add chain=forward src-address=10.222.60.0/24 dst-address=192.168.11.0/24 \
action=accept comment="VPN -> LAN"
add chain=forward src-address=192.168.11.0/24 dst-address=10.222.60.0/24 \
action=accept comment="LAN -> VPN"
add chain=forward src-address=10.222.60.0/24 dst-address=10.222.60.0/24 \
action=drop comment="Изоляция VPN-клиентов"
Paso 6: Crear usuarios (PPP secrets)
⚠️ RouterOS siempre requiere usuario/contraseña para OpenVPN.
/ppp secret
add name=testuser1 password="TestPass#2025!" profile=ovpn-profile service=ovpn
add name=testuser2 password="TestPass#2025!" profile=ovpn-profile service=ovpn
Paso 7: Revocar certificado y eliminar usuario
/certificate revoke testuser1-cert
/ppp secret remove [find name="testuser1"]
Configuración del cliente (.ovpn)
client
dev tun
proto udp # o tcp
remote YOUR_PUBLIC_IP 1199
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
cipher AES-128-CBC
auth SHA512
verb 3
<ca>
--- contenido de ovpn-ca.crt ---
</ca>
<cert>
--- contenido de testuser1-cert.crt ---
</cert>
<key>
--- contenido de testuser1-cert.key ---
</key>
auth-user-pass
Compatible con clientes:
- OpenVPN Connect
- Viscosity
- Tunnelblick
Diagnóstico y depuración
Activar el registro
/system logging
add topics=ovpn action=memory
add topics=ovpn,debug action=memory
/log print where topics~"ovpn"
Comprobación de conexiones
/interface ovpn-server print
/ppp active print
Pruebas de red
/ping 10.222.60.XX
/tool traceroute 8.8.8.8 interface=ovpn-udp
Desde el cliente:
ping 10.222.60.1ping 192.168.11.1
Problemas frecuentes
- Sin conexión — firewall, puerto, NAT, hora en el router (NTP).
- Error de autenticación — certificado o contraseña.
- Sin acceso a LAN —
push-routesyforward. - Los clientes no se ven entre sí — la regla de aislamiento está funcionando correctamente.
Conclusión
Esta configuración implementa autenticación doble (certificado + usuario/contraseña), segmentación de clientes y acceso controlado a la LAN. Para máximo rendimiento se recomienda usar UDP.
Si se requiere criptografía más moderna y menor carga CPU, conviene considerar WireGuard como alternativa.
¡Buena configuración y túneles estables!
Reseñas relacionadas
Muchísimas gracias a Mijaíl por su trabajo, estoy muy satisfecho con el resultado. Agradezco especialmente las recomendaciones durante la configuración: a partir de un pliego de requisitos bastante confuso por mi parte (y yo entiendo poco de servidores), Mijaíl, con preguntas aclaratorias y propuestas, formuló una comprensión clara de qué tareas resolvería la configuración final y cómo organizarlo todo de la mejor manera. ¡Lo recomiendo!
ladohinpy · Configuración de Mikrotik hAP. Configuraré su router Wi‑Fi Mikrotik.
21.07.2025 · ⭐ 5/5
Muchísimas gracias a Mijaíl por el trabajo, estoy muy satisfecho con el resultado. Agradezco especialmente las recomendaciones durante el proceso de configuración; a partir de mi especificación bastante confusa (y yo sé poco de servidores), Mijaíl, con preguntas aclaratorias y propuestas de su parte, formuló una comprensión clara de qué tareas resolverá la configuración final y cómo organizar todo de la mejor manera. ¡Lo recomiendo!
Excelente profesional, experto y persona maravillosa. En una hora nos arregló lo que llevábamos días intentando solucionar. Estoy seguro de que no será la primera vez que recurramos a su excepcional profesionalismo.
Ravenor · MikroTik hAP: configuración del router. Configuraré su router MikroTik Wi‑Fi.
28.05.2025 · ⭐ 5/5
Excelente especialista, un experto con mucha experiencia y una persona maravillosa. En una hora nos arregló aquello por lo que llevábamos días rompiéndonos la cabeza! Estoy seguro de que no será la primera vez que recurramos a su inmenso profesionalismo
¡Un enfoque profesional!
ErlikZ · Configuración del router Mikrotik hAP. Configuraré su router Mikrotik Wi-Fi.
31.03.2025 · ⭐ 5/5
¡Enfoque profesional al asunto!
Sabe, puede, hace. Todo rápido y al grano; quedé satisfecho con la colaboración.
Soveni4 · Configuración de Mikrotik hAP. Configuraré el router Wi-Fi Mikrotik para usted.
Cliente acostumbrado14.03.2025 · ⭐ 5/5
Sabe, puede, hace. Todo de forma rápida y al grano, quedé satisfecho con la colaboración.
¡Gracias! Configuraron el router según mi especificación técnica, con una explicación completa de lo que estamos haciendo.
GFSoft · Configuración del router MikroTik hAP. Configuraré un router MikroTik Wi‑Fi para usted.
Comprador experimentado09.03.2025 · ⭐ 5/5
¡Gracias! Configuraron el router según mi especificación técnica, con una explicación completa de lo que hacemos
¡Todo genial! ¡Gracias! Lo recomiendo
NekMiha · Ayuda con el router Mikrotik
Gran comprador16.11.2024 · ⭐ 5/5
¡Todo genial! ¡Gracias! Lo recomiendo