configuration vpn sur mikrotik pas a pas

ChatGPT

ChatGPT

Configurer un VPN sur un routeur MikroTik peut être un processus détaillé mais faisable.
Voici un guide étape par étape pour configurer un VPN sur un routeur MikroTik, en utilisant
le protocole OpenVPN comme exemple :

Étape 1 : Accès au routeur MikroTik

1. Connexion au routeur : Utilisez un navigateur web pour accéder à l'interface de

gestion du routeur MikroTik. Par défaut, vous accédez via l'adresse IP 192.168.88.1 (à
moins que cette adresse ait été modifiée).
2. Identifiez-vous : Entrez vos identifiants (par défaut, "admin" pour le nom d'utilisateur
et aucun mot de passe, à moins que cela n'ait été changé).

Étape 2 : Préparation des fichiers OpenVPN

1. Téléchargez les fichiers nécessaires : Obtenez les fichiers de configuration OpenVPN de votre
fournisseur VPN. Ils incluent souvent des fichiers .ovpn, des certificats et des clés.

Étape 3 : Configuration du VPN

1. Accès à la console de commande : Pour une configuration avancée, utilisez

l'interface en ligne de commande du routeur.
2. Importation des certificats et clés :
o Allez dans Files depuis le menu principal de Winbox.
o Importez les certificats CA, le certificat client et les clés privées dans le dossier du
système.

3. Configuration de l'interface OpenVPN :

o Utilisez la commande suivante dans la console MikroTik pour créer une
nouvelle interface OpenVPN :

sql
Copier le code
/interface ovpn-client add name=vpn-client mode=ip user="your-
username" password="your-password" connect-to=your-vpn-server

oAssurez-vous de remplacer "your-username", "your-password" et "your-

vpn-server" par les informations appropriées fournies par votre fournisseur
VPN.
4. Configuration des paramètres de connexion :
o Configurez les paramètres spécifiques du VPN, tels que le cryptage, les protocoles,
etc. Cela dépendra des recommandations de votre fournisseur VPN et des
spécifications de sécurité.

5. Vérification de la configuration :
 o Redémarrez le routeur pour appliquer les modifications et vérifiez l'état de la
connexion VPN pour vous assurer qu'elle est établie.

Étape 4 : Test et dépannage

1. Test de la connexion VPN :

o Assurez-vous que le routeur est correctement connecté au serveur VPN et que vous
pouvez accéder aux ressources réseau via le VPN.

2. Dépannage des problèmes :

o Consultez les logs sur le routeur MikroTik pour identifier toute erreur ou problème
de connexion.

Remarques supplémentaires :

 Assurez-vous de garder les informations de connexion et les clés sécurisées.

 MikroTik propose une documentation détaillée et des forums communautaires qui peuvent
être utiles pour résoudre des problèmes spécifiques ou obtenir des conseils
supplémentaires.

Ce guide devrait vous fournir une base solide pour configurer un VPN sur un routeur
MikroTik en utilisant OpenVPN. Les détails exacts peuvent varier en fonction de la version
du firmware et des spécifications de votre réseau ou de votre fournisseur VPN.
vpn sur mikrotik

ChatGPT

ChatGPT

Configurer un VPN sur un routeur MikroTik peut se faire en utilisant plusieurs protocoles,
notamment OpenVPN, L2TP/IPsec, PPTP, et SSTP. Voici un guide général pour configurer
les deux protocoles les plus courants : OpenVPN et L2TP/IPsec.

Configuration d'OpenVPN sur MikroTik

Étape 1 : Préparation des fichiers OpenVPN

1. Obtenez les fichiers de configuration : Téléchargez les fichiers .ovpn et les

certificats nécessaires depuis votre fournisseur VPN.
2. Importez les certificats : Connectez-vous à l'interface de gestion du routeur MikroTik
(Winbox) et importez les certificats CA, les certificats client et les clés privées dans le
dossier Files.

Étape 2 : Configuration du client OpenVPN

1. Créez un profil OpenVPN :

o Accédez à l'onglet "Interfaces" dans Winbox.
o Cliquez sur "+", puis choisissez "OVPN Client".
o Remplissez les champs requis, y compris l'importation du fichier .ovpn ou la
configuration manuelle des paramètres.

2. Configurez les paramètres avancés :

o Configurez les options avancées telles que le mode de chiffrement, les options
d'authentification, et d'autres paramètres spécifiques fournis par votre fournisseur
VPN.

3. Vérifiez et activez la connexion :

o Appliquez les modifications et vérifiez l'état de la connexion dans l'interface
OpenVPN nouvellement créée.

Configuration L2TP/IPsec sur MikroTik

Étape 1 : Configuration L2TP/IPsec

1. Accédez aux paramètres L2TP/IPsec :

o Allez dans l'onglet "PPP" dans Winbox.
o Cliquez sur "+", puis choisissez "L2TP Client".

2. Configurez les détails de connexion :

o Entrez l'adresse IP du serveur VPN, le nom d'utilisateur et le mot de passe fournis par
votre fournisseur VPN.
 3. Configurez IPsec :
o Allez dans l'onglet "IP" > "IPsec" dans Winbox.
o Configurez les paramètres IPsec selon les recommandations de votre fournisseur
VPN, y compris les paramètres de chiffrement et d'authentification.

4. Activez la connexion :
o Appliquez les modifications et vérifiez l'état de la connexion L2TP/IPsec dans
l'interface PPP.

Remarques supplémentaires :

 Sécurité et gestion des clés : Assurez-vous de sécuriser les certificats et les clés utilisés dans
vos configurations VPN.
 Tests et dépannage : Vérifiez toujours la connectivité après la configuration et utilisez les
outils de débogage MikroTik pour résoudre tout problème éventuel.
 Mise à jour du firmware : Assurez-vous que votre routeur MikroTik exécute la dernière
version du firmware pour des performances optimales et des fonctionnalités étendues.

Suivez ces étapes pour configurer avec succès un VPN sur votre routeur MikroTik, que ce soit
avec OpenVPN ou L2TP/IPsec. Les spécificités peuvent varier en fonction de votre
configuration réseau et des exigences de votre fournisseur VPN.
MikroTik OpenVPN Configuration

HamidReza S.

Ingénieur Core Os

1 février 2022

MicroTik OpenVPN est une solution VPN incroyable. Le service informatique fournit
un tunnel VPN sécurisé et crypté sur le réseau public. Contrairement aux services VPN
PPTP et L2TP qui sont mal conçus et peuvent facilement être bloqués, OpenVPN peut
être hautement personnalisé et peut même être exécuté sur le port TCP 443 si
populaire. Ainsi, OpenVPN ne peut pas être facilement bloqué. OpenVPN utilise des
certificats SSL/TLS. Ainsi, OpenVPN Tunnel est un tunnel de confiance pour envoyer
et recevoir des données sur le réseau public. OpenVPN est une technologie VPN de
site à site par nature, même dans le réseau NAT. Mais MikroTik OpenVPN a des
limites pour utiliser le nom d’utilisateur et le mot de passe PPP, bien qu’un VPN site à
site ne nécessite pas de nom d’utilisateur et de mot de passe.

Le but de cet article est de configurer un serveur OpenVPN sur le si populaire port
TCP 443 dans le routeur MikroTik et de configurer le client OpenVPN dans le système
d’exploitation Windows afin qu’un utilisateur Windows puisse se connecter à un
réseau de bureau distant et puisse accéder en toute sécurité aux ressources réseau
distantes (serveurs, imprimantes, etc.) sur le réseau public.

Diagramme de réseau

Pour configurer le serveur OpenVPN dans le routeur MikroTik sur le port TCP 443,
nous suivons le schéma de réseau ci-dessous.

Dans ce réseau, le routeur MikroTik (RouterOS v6.49) est connecté à Internet via
l’interface ether1 ayant l’adresse IP 117.58.247.198/30. Dans votre réseau, cette
adresse IP doit être remplacée par une adresse IP publique. L’interface ether2 du
routeur MikroTik est connectée au réseau local ayant un réseau IP 10.10.11.0/24.
Nous allons configurer le serveur OpenVPN dans ce routeur et le client OpenVPN
dans un système d’exploitation Windows. Après la configuration du serveur OpenVPN
et du client, le routeur créera une interface virtuelle (tunnel OpenVPN) sur le réseau
public où l’adresse IP de la passerelle VPN sera 192.168.2.1 et la machine cliente
obtiendra une adresse IP dans le bloc IP 192.168.2.0/24. Nous déclarerons également
la route dans le client OpenVPN afin que l’utilisateur VPN connecté puisse accéder
aux ressources du réseau du serveur OpenVPN.

OpenVPN Server and Client Configuration

We will now start OpenVPN Server and Client configuration. Complete OpenVPN
configuration can be divided into two parts.

 Part 1: OpenVPN Server Configuration in MikroTik Router

 Part 2: OpenVPN Client Configuration in Windows Operating System

Part 1: OpenVPN Server Configuration in MikroTik Router

According to the network diagram, MikroTik Router is our OpenVPN Server. So, we
will enable and configure OpenVPN Server in MikroTik Router. It is assumed that your
WAN and LAN networks are working without any issue.

Complete MikroTik OpenVPN Server configuration can be divided into the following
three steps.

 Step 1: Creating TLS Certificate for OpenVPN Server and Client

 Step 2: Enabling and Configuring OpenVPN Server
 Step 3: Creating OpenVPN Users

Step 1: Creating TLS Certificate for OpenVPN Server and Client

OpenVPN server and client configuration requires TLS certificate because OpenVPN
uses TLS certificate for secure communication. MikroTik RouterOS v6 gives ability to
create, store and manage certificates in certificate store. So, we will create required
OpenVPN certificate from our RouterOS. OpenVPN Server and Client require three
types of certificates:

 CA (Certification Authority) Certificate

 Server Certificate and
 Client Certificate

Creating CA certificate

The following steps will show how to create CA certificate in MikroTik RouterOS.

 From Winbox, go to System > Certificates menu item and click on Certificates tab and then
click on PLUS SIGN (+). New Certificate window will appear.
 Put your CA certificate name (for example: CA) in Name input field. Also put a certificate
common name (for example: CA) in Common Name input field.
 You will find some optional fields in General tab. You can fill those if you wish. All fields are
self-defined.
  Click on Key Usage tab and uncheck all checkboxes except crl sign and key cert. sign
checkboxes.
 Click on Apply button and then click on Sign button. Sign window will appear now.
 Your created CA certificate template will appear in Certificate dropdown menu. Select your
newly created certificate template if it is not selected.
 Put MikroTik Router’s WAN IP address (example: 117.58.247.198) in CA CRL Host input field.
 Click on Sign button. Your Signed certificate will be created within few seconds.
 Click on OK button to close New Certificate window.
 If newly created CA certificate does not show T flag or Trusted property shows no, double
click on your CA certificate and click on Trusted checkbox located at the bottom of General
tab and then click on Apply and OK button.

CA certificate has been created successfully. Now we will create server certificate.

Creating Server Certificate

The following steps will show how to create server certificate in MikroTik RouterOS.

 Click on PLUS SIGN (+) again. New Certificate window will appear.
 Put your server certificate name (for example: Server) in Name input field. Also put a
certificate common name (for example: Server) in Common Name input field.
 If you have put any optional field in CA certificate, put them here also.
 Click on Key Usage tab and uncheck all checkboxes except digital signature, key
encipherment and tls server checkboxes.
 Click on Apply button and then click on Sign button. Sign window will appear now.
 Your newly created Server certificate template will appear in certificate dropdown menu.
Select newly created certificate template if it is not selected.
  Also select CA certificate from CA dropdown menu.
 Click on Sign button. Your Signed certificate will be created within few seconds.
 Click on OK button to close New Certificate window.
 If newly created server certificate does not show T flag or Trusted property shows no, double
click on your server certificate and click on Trusted checkbox located at the bottom of
General tab and then click on Apply and OK button.

Server certificate has been created successfully. Now we will create client certificate.

Creating Client Certificate

The following steps will show how to create client certificate in MikroTik RouterOS.

 Click on PLUS SIGN (+) again. New Certificate window will appear.
 Put your client certificate name (for example: Client) in Name input field. Also put a
certificate common name (for example: Client) in Common Name input field.
 If you put any optional field in CA certificate, put them here also.
 Click on Key Usage tab and uncheck all checkboxes except tls client checkbox.
 Click on Apply button and then click on Sign button. Sign window will appear now.
 Your newly created Client certificate template will appear in certificate dropdown menu.
Select your newly created certificate template if it is not selected.
 Also select CA certificate from CA dropdown menu.
 Click on Sign button. Your Signed certificate will be created within few seconds.
 Click on OK button to close New Certificate window.
 Client certificate does not require T flag.
Client certificate has been created successfully. Created and signed CA, Server and
Client certificates will look like the following image in Certificates window.

After creating and signing CA, Server and Client certificates, we will now export CA
and Client certificates because OpenVPN client will use these certificates.

Exporting CA and Client Certificates

OpenVPN server will use Server certificate from MikroTik RouterOS Certificate store.
But client certificate has to supply to the OpenVPN client. So, we need to export
client certificate as well as CA certificate from RouterOS certificate store. The
following steps will show how to export CA certificate and Client certificate from
MikroTik certificate store.

 Select and make Right Click on your CA certificate and then click on Export option. Export
window will appear.
 Choose CA certificate from Certificate dropdown menu.
 Click on Export button now. Your CA certificate will be exported and Export window will be
closed.
 Similarly, select and make right click on Client certificate and then click on Export option.
Choose client certificate from Certificate dropdown menu. Put a password in Export
Passphrase input field. The password should be strong enough and must remember because
the password has to provide when OpenVPN client will be connected. Click on Export button
now.

ٍExported CA and Client certificates with key will be found in Winbox File List
window. The following steps will show how to download exported certificates file
from File directory.

 Click on Files menu from Winbox menu panel. You will find two certificate files (.crt) and one
key file (.key) is exported here.
 Drag and Drop these three files in a folder on your Desktop. We will use these files when
OpenVPN Client will be configured.

TLS certificates for OpenVPN Server and Client are ready. Now we will configure our
OpenVPN Server in MikroTik Router.

Step 2: OpenVPN Server Configuration in MikroTik Router

After creating TLS certificate, we are now eligible to enable and configure OpenVPN
Server in MikroTik Router. The following steps will show how to enable and configure
OpenVPN Server in MikroTik Router.
  Click on PPP menu item from Winbox and then click on Interface tab.
 Click on OVPN Server button. OVPN Server window will appear.
 Click on Enabled checkbox to enable OpenVPN Server.
 Put your desired TCP Port (example: 443) on which you want to run OpenVPN Server in Port
input field.
 Make sure ip option is selected in Mode dropdown menu.
 From Certificate dropdown menu, choose server certificate that we created before. Also click
on Require Client Certificate checkbox.
 From Auth. Panel, uncheck all checkboxes except sha1.
 From Cipher panel, uncheck all checkboxes except aes 256.
 Now click on Apply and OK button.

OpenVPN Server is now running in MikroTik Router. As MikroTik OpenVPN is limited

to use username and password for successful VPN connection, we will now create
PPP user who will be able to connect MikroTik OpenVPN Server and get IP
information.

Step 3: Creating OpenVPN Users

MikroTik OpenVPN uses username and password to validate legal connection. So, we
have to create username and password to allow any user. The complete user
configuration for OpenVPN Server can be divided into three parts.

 IP Pool Configuration
 User Profile Configuration and
 User Configuration

IP Pool Configuration
Usually multiple users can connect to OpenVPN Server. So, it is always better to
create an IP Pool from where connected user will get IP address. The following steps
will show how to create IP Pool in MikroTik Router.

 From Winbox, go to IP > Pool menu item. IP Pool Window will appear.
 Click on PLUS SIGN (+). New IP Pool window will appear.
 Put a meaningful name (vpn_pool) in Name input field.
 Put desired IP Ranges (192.168.2.2-192.168.2.250) in Addresses input filed. Make sure not to
use VPN Gateway IP (192.168.2.1) and the last IP (192.168.2.154) because last IP will be used
as DHCP Server IP.
 Click Apply and OK button.

User Profile Configuration

After creating IP Pool, we will now configure profile so that all users can have similar
characteristics. The following steps will show how to configure user profile for
OpenVPN User.

 From Winbox, go to PPP menu item and click on Profile tab and then click on PLUS SIGN (+).
New PPP Profile window will appear.
 Put a meaningful name (vpn_profile) in Name input field.
 Put VPN Gateway address (192.168.2.1) in Local Address input field.
 Choose the created IP Pool (vpn_pool) from Remote Address dropdown menu.
 Click Apply and OK button.
OpenVPN Users Configuration

After creating user profile, we will now create users who will be connected to
OpenVPN Server. The following steps will show how to create OpenVPN users in
MikroTik RouterOS.

 From PPP window, click on Secrets tab and then click on PLUS SIGN (+). New PPP Secret
window will appear.
 Put username (For example: sayeed) in Name input field and put password in Password input
field.
 Choose ovpn from Service dropdown menu.
 Choose the created profile from Profile dropdown menu.
 Click on Apply and OK button.
We have created a user for OpenVPN Server. Similarly you can create more users that
you require.

OpenVPN Server configuration in MikroTik Router has been completed. In the next
part we will configure OpenVPN client in Windows Operating System.

Part 2: OpenVPN Client Configuration in Windows Operating System

After configuring OpenVPN Server in MikroTik Router, we will now configure

OpenVPN Client. OpenVPN Client configuration can be divided into two steps.

 OpenVPN Client Download and Installation

 OpenVPN Client Configuration

Steps 1: OpenVPN Client Download and Installation

OpenVPN.net provides OpenVPN Client software for all Operating Systems.

OpenVPN Client software is found in OpenVPN Community Download page.

After getting OpenVPN Client installer, install OpenVPN client in your operating
system following the instructions. Installation process is as simple as installing other
software in Windows operating system.

After OpenVPN Client installation, make sure that TAP Virtual Ethernet Adapter has
been installed. If it is installed successfully, you will find a new Network Adapter
named as TAP-Windows Adapter in Network Connections window.
Step 2: OpenVPN Client Configuration

Download OpenVPN Client Configuration File which has been prepared for this
article configuration and cross check with your configuration file.

Copy this sample configuration file into config folder and then open the client
configuration file with a text editor such as WordPad, NotePad ++ or any editor that
you like. Make sure the editor is opened with administrator privilege otherwise you
cannot save the file when you make change.

Configuration Parameters Those We Need to Change

In the client.ovpn file, some parameters are required to change according to our
OpenVPN Server configuration. The following parameters are required to change in
client configuration file.

Protocol

By default OpenVPN client uses UDP protocol but MikroTik OpenVPN Server
supports only TCP protocol. So, enable proto tcp and disable proto udp which may
be found at line 36 and 37.

Note: To disable any option just put a semicolon (;) before that option and to enable
any option remove the semicolon (;) from that option.

IP and Port
We must specify OpenVPN Server IP and Port in Client configuration file. IP and Port
are declared with remote option which may be found at line 42 and the IP and Port
should be declared in a line like below. Make sure to change your WAN IP with the
example IP (117.58.247.198) and port (443) with your define port.

remote 117.58.247.198 443

SSL/TLS Parameters

In client configuration file, we need to declare CA and Client certificates and Client
Key file. These options may be found at line 88, 89 and 90. So, assign ca, cert and key
file like below.

ca CA.crt

cert Client.crt

key Client.key

Make sure to rename exported and downloaded ca, client and key file according to
the above options and then copy your renamed CA.crt, Client.crt and Client.key files
into config directory.

We are not using any server key file. So we have to disable tls-auth option which is
enabled by default. The tls-auth option may be found at line 108. So, disable this
option by putting a semicolon (;) before it.

Configuration Options Those We Need to Add

There are some options those we need to declare in client configuration file because
by default these options are not included in sample configuration file but MikroTik
Router requires those options. The following options are required to include in client
configuration to work with MikroTik OpenVPN Server properly.

User Authentication

MikroTik OpenVPN Server is limited to work with user verification. So we have to

provide username and password with auth-user-pass option. Add this option at the
bottom of the client configuration file and declare a file name where username and
password are stored like below.

auth-user-pass secret.cfg
Now create a file named secret.cfg in config directory and specify username and
password in this file. Username must be declared at the first line and password must
be declared at the second line like below.

sayeed

password

Routing Information

By default OpenVPN Client will only be able to communicate with the same network
IP Addresses. But remote network resources (Servers, Printers etc.) may have another
network. In this case we have to declare routing with route option otherwise
OpenVPN Client cannot reach to other network.

For example, Our VPN Gateway Address is 192.168.2.1 and Server network is
10.10.11.0/24. So, to reach this network we have to add route option like below.

route 10.10.11.0 255.255.255.0 192.168.2.1

If you have multiple networks, you have to add multiple route options but each route
option per line.

After coping CA.crt, Cleint.crt, Client.key and client.ovpn files, your config directory
will look like the below image.

Connecting OpenVPN Client

After completing client configuration, run OpenVPN software.

 Cliquez sur plus(+).

 Ouvrez l’onglet FICHIER.
 Faites glisser et déposez le fichier client.ovpn que vous avez.
  Nom de profil et nom d’hôte du serveur Doit être enregistré avec votre adresse IP publique
que vous avez saisie précédemment dans le fichier de configuration.
 Entrez le nom d’utilisateur où vous avez été créé (remremember : sayeed)
 Entrez le mot de passe de l’utilisateur (sayeed)
 Entrez le mot de passe de la clé privée (Exporter la phrase de passe de CA)

Vous pourrez désormais accéder aux ressources de votre bureau distant telles que le
serveur de fichiers, les imprimantes, etc. sans aucun problème.

Remarque : Si vous souhaitez avoir accès à Internet via le canal VPN, vous devez créer
une règle NAT.

 Ouvrez IP dans le panneau gauche de votre routeur, sélectionnez Pare-feu.

 Cliquez sur plus (+) pour créer une nouvelle règle.
 Dans l’onglet Général > Entrez Src. Adresse : Votre plage d’adresses IP locale Du pool créé
avant
  Dans l’onglet Action > sélectionnez Mascarade pour l’action

 Cliquez sur Appliquer puis sur OK

J’espère que vous serez maintenant en mesure de configurer MikroTik OpenVPN

Server et que vous pourrez être connecté à un réseau public à distance en toute
sécurité.