OpenVPN

OpenVPN — es un protocolo VPN fiable y probado, que permite organizar acceso remoto protegido a la red local. MikroTik RouterOS soporta OpenVPN en modo servidor desde la versión 6.x (TCP), y desde la versión 7+ — también UDP, pero con una serie de limitaciones arquitectónicas:

• autenticación obligatoria por usuario/contraseña incluso al usar certificados;
• lista limitada de cifrados y algoritmos;
• ausencia de algunas funcionalidades del OpenVPN “clásico”.

A pesar de ello, OpenVPN en MikroTik sigue siendo una solución demandada — especialmente en escenarios donde los clientes no soportan WireGuard o se requiere compatibilidad con sistemas antiguos.

En esta instrucción veremos cómo levantar un servidor OpenVPN en Ubuntu y conectar a él un router Keenetic. Este escenario es útil si necesitas dar acceso a la red doméstica o reenviar servicios (por ejemplo, PBX o servidor web) a través de VPN.

1. Preparación del servidor Ubuntu

1.1 Instalación de paquetes

sudo apt update
sudo apt install -y openvpn easy-rsa iptables-persistent

1.2 Creación de la PKI (Easy-RSA v3)

make-cadir ~/easy-rsa
cd ~/easy-rsa
./easyrsa init-pki
./easyrsa build-ca nopass

Claves del servidor

./easyrsa gen-req server nopass
./easyrsa sign-req server server
./easyrsa gen-dh

Claves de cliente (para Keenetic)

./easyrsa gen-req keenetic nopass
./easyrsa sign-req client keenetic

Clave TLS (justo tls-auth, no tls-crypt)

openvpn --genkey secret ta.key

1.3 Colocar las claves

• En /etc/openvpn/server/:

  Read more

El problema de los certificados a gran escala

En artículos anteriores discutimos que OpenVPN utiliza certificados para la autenticación. Este método es fiable, pero tiene desventajas importantes:

• Incomodidad para los usuarios: Cada usuario necesita recibir e instalar su certificado manualmente.
• Complejidad de gestión: Al despedir a un empleado es necesario revocar su certificado, lo que requiere acciones adicionales.
• Falta de centralización: Cada servicio al que se necesita acceso tiene su propio sistema de autorización.

La solución a este problema es el uso de un proveedor de identidad centralizado, como Keycloak.

VPN: No solo el botón “Encender”

Para muchos usuarios, el VPN es simplemente el botón “Encender”. Sin embargo, cuando se trata de crear un túnel protegido propio, es importante comprender su arquitectura. OpenVPN se basa en dos ideas clave: el modelo cliente-servidor y la infraestructura de clave pública (PKI).

Modelo cliente-servidor

El concepto es sencillo:

• Servidor — es el punto de entrada a su red protegida. Está constantemente “escuchando” solicitudes entrantes y listo para aceptar conexiones.
• Cliente — es su dispositivo (portátil, teléfono), que inicia la conexión al servidor.

Después de que el servidor y el cliente “se ponen de acuerdo”, se crea un túnel protegido entre ellos y todo el tráfico pasa por él.

OpenVPN: Un estándar probado por el tiempo

Introducción

En un mundo donde la velocidad y la simplicidad de WireGuard se han convertido en el nuevo estándar, OpenVPN sigue siendo uno de los protocolos VPN más fiables y flexibles. Funciona tanto en ordenadores clásicos como en equipos de red, ofreciendo compatibilidad multiplataforma y un alto nivel de seguridad. Sin embargo, para entender cómo usarlo, es importante distinguir entre el propio protocolo y sus aplicaciones cliente.

Keenetic como cliente VPN: Protección de toda la red

Cliente VPN a nivel de enrutador: ¿por qué es necesario?

Configurar un cliente VPN en cada dispositivo es una tarea tediosa. Además, muchos dispositivos (Smart TV, consolas de juegos, dispositivos IoT) no admiten esta función. Keenetic resuelve este problema actuando como cliente VPN central para toda la red. Esto permite proteger todos los dispositivos con una sola conexión, sin necesidad de instalar y configurar software en cada uno de ellos.

Keenetic como servidor VPN: Acceso remoto seguro

El problema del acceso remoto

Cuando estás fuera de casa u oficina, el acceso a recursos locales — almacenamiento en red (NAS), un servidor o dispositivos inteligentes — puede resultar problemático. Abrir puertos al Internet público no es seguro. La solución es crear un túnel VPN seguro que permita conectarte de forma protegida a tu red local desde cualquier parte del mundo. Keenetic facilita esta tarea, ofreciendo funciones VPN potentes y flexibles listas para usar.

Redundancia de enlaces de comunicación entre oficinas (Site-to-Site VPN, MPLS, Dark Fiber)

Ya hemos hablado de cómo asegurar la conectividad dentro de un mismo edificio. Ahora veamos un aspecto más complejo, pero igual de importante: la redundancia de los enlaces de comunicación entre oficinas o sucursales geográficamente distribuidas. Esto es crítico para empresas donde el personal en distintas ubicaciones debe intercambiar datos continuamente, acceder a recursos compartidos (por ejemplo, la CRM central, servidores de archivos, telefonía IP) y trabajar como una sola unidad.