WispOSWispOS
Guida MikroTik
VPN e tunnelIntermedio

OpenVPN (OVPN): server e client su RouterOS

Configura un server OpenVPN su RouterOS v7 con certificati TLS, pool IP, utenti PPP ed esportazione config client .ovpn. Supporta TCP e UDP, AES-256-GCM.

OpenVPN è il protocollo VPN open-source più diffuso su client di terze parti (Windows, macOS, Linux, Android, iOS). RouterOS v7 implementa un server OVPN completo con supporto a TCP/UDP, AES-256-GCM e distribuzione automatica della configurazione client.

Preparazione certificati (CA + server + client)
# CA
/certificate/add name=ovpn-ca common-name=ovpn-ca \
  key-usage=key-cert-sign,crl-sign days-valid=3650
/certificate/sign ovpn-ca

# Certificato server
/certificate/add name=ovpn-server common-name=ovpn-server days-valid=825
/certificate/sign ovpn-server ca=ovpn-ca

# Certificato client (un file per utente)
/certificate/add name=ovpn-client1 common-name=client1 days-valid=825
/certificate/sign ovpn-client1 ca=ovpn-ca
Pool, profilo PPP e utenti
/ip/pool/add name=ovpn-pool range=192.168.77.2-192.168.77.50
/ppp/profile/add name=ovpn local-address=192.168.77.1 remote-address=ovpn-pool
/ppp/secret/add name=client1 password="Pass!Sicura" profile=ovpn
Configurazione server OVPN
# Server OpenVPN con AES-256-GCM e TLS
/interface/ovpn-server/server/add \
  name=ovpn-server1 \
  disabled=no \
  certificate=ovpn-server \
  cipher=aes256-gcm \
  auth=null \
  protocol=udp \
  default-profile=ovpn \
  push-routes="192.168.1.0 255.255.255.0"

# Firewall: consenti UDP 1194
/ip/firewall/filter/add \
  chain=input protocol=udp dst-port=1194 \
  action=accept comment="OpenVPN"
Esporta configurazione client .ovpn
# Genera automaticamente il file .ovpn con chiavi embed
/interface/ovpn-server/server/export-client-configuration \
  ca-certificate=ovpn-ca \
  client-certificate=ovpn-client1 \
  client-cert-key=ovpn-client1 \
  server-address=203.0.113.1 \
  server=ovpn-server1

# Il file viene salvato nel File Browser di RouterOS (scaricabile via Winbox/FTP)
Import file .ovpn su RouterOS client
# Copia il file .ovpn nella radice del filesystem del router client
# poi importa con:
/interface/ovpn-client/import-ovpn-configuration \
  ovpn-user=client1 \
  ovpn-password="Pass!Sicura" \
  key-passphrase="" \
  skip-cert-import=no
Usa cipher=aes256-gcm con auth=null: AES-GCM è un cifrare autenticato (AEAD) e non richiede un HMAC separato. Evita aes128-cbc con auth=sha1 (configurazione obsoleta e meno sicura).
openvpnovpnovpn serverovpn clientcertificateaes-gcmpppovpn-poolpush-routesexport-client-configurationimport-ovpn-configuration

Continua con

Quale VPN scegliere su RouterOS?WireGuard: tunnel site-to-site tra due sedeWireGuard: accesso remoto road warriorIPsec IKEv2: tunnel site-to-site sicuro

Configura senza fatica con l'AI

In WispOS l'agente AI genera la configurazione RouterOS dalle tue parole e un tutor ti guida passo passo.

Prova WispOS