Configuração de Cliente OpenVPN em MikroTik via WebFig Usando Arquivo .ovpn

Deixe um comentário / Firewall, MikroTik, Redes, Servidores, VPN / Por

Introdução
Este guia detalha o processo de configuração de um cliente OpenVPN em dispositivos MikroTik RouterBoard utilizando exclusivamente a interface WebFig, com base em um arquivo de configuração .ovpn fornecido por um provedor VPN. O método elimina a necessidade de ferramentas de terceiros ou acesso ao terminal, garantindo segurança e controle total sobre as credenciais.

Pré-requisitos

  • Acesso administrativo ao WebFig da RouterBoard
  • Arquivo .ovpn válido do provedor VPN
  • Conexão de internet funcional no dispositivo

Passo 1: Extração dos Componentes do Arquivo .ovpn
Abra o arquivo .ovpn em um editor de texto simples e identifique as seguintes seções:

  1. Certificado CA: Texto entre as tags <ca> e </ca> – salve como ca.crt
  2. Certificado do Cliente: Texto entre <cert> e </cert> – salve como client.crt
  3. Chave Privada: Texto entre <key> e </key> – salve como client.key
  4. Chave TLS (opcional): Se presente, texto entre <tls-auth> e </tls-auth> – salve como tls.key

Passo 2: Importação de Certificados no WebFig

  1. Navegue até System > Certificates
  2. Importe na ordem exata:
  • Clique em Choose File e selecione ca.crt, depois Import
  • Repita para client.crt e client.key
  • Se aplicável, importe tls.key
  1. Verifique os nomes finais dos certificados em System > Certificates (os arquivos importados ganham sufixo _0, ex: client.crt_0)

Passo 3: Criação do Cliente OpenVPN

  1. Acesse PPP > Interfaces
  2. Clique em + e selecione OVPN Client
  3. Preencha os campos obrigatórios:
CampoValor/Configuração
NameNome descritivo (ex: “VPN-Provedor”)
Connect ToEndereço do servidor (linha remote no .ovpn)
PortPorta do servidor (padrão: 1194)
User/PasswordCredenciais se exigidas pelo provedor
CertificateSelecione client.crt_0
Auth AlgorithmAlgoritmo do .ovpn (ex: sha256)
CipherCifra do .ovpn (ex: aes-256-cbc)
TLSMarque Verify Server Certificate
  1. Se usou tls.key:
  • Em TLS Auth Key, selecione tls.key_0
  • Defina TLS Mode como yes

Passo 4: Ativação e Verificação

  1. Volte para PPP > Interfaces
  2. Localize o cliente criado e clique no ícone de conexão (seta para cima)
  3. Verifique o status:
  • Conexão bem-sucedida: ícone ficará verde
  • Falha: clique no cliente e verifique a aba Log para detalhes

Solução de Problemas Comuns

  • Certificados não reconhecidos: Confira a ordem de importação (CA → Cert → Key) e os nomes exatos em System > Certificates
  • Erro de autenticação: Verifique User/Password e se o certificado está vinculado ao usuário
  • Timeout: Confira firewall e se a porta/protocolo (UDP/TCP) batem com o .ovpn

Considerações de Segurança

  • Após a importação, exclua os arquivos temporários (ca.crt, client.key, etc.) do seu computador
  • Nunca compartilhe client.key ou tls.key
  • Para maior segurança, restrinja o acesso ao WebFig via firewall

OBSERVAÇÕES SOBRE AUTH:

1. Autenticação Apenas por Certificado

Sim, se o servidor OpenVPN estiver configurado para autenticação exclusiva via certificado (sem auth-user-pass no arquivo .ovpn):

  • Deixe os campos User e Password em branco no WebFig.
  • A conexão será estabelecida apenas com:
  • Certificado do cliente (client.crt)
  • Chave privada (client.key)
  • Validação do certificado CA pelo MikroTik (se Verify Server Certificate estiver ativado).

Verificação Necessária:

  • Abra seu arquivo .ovpn e confirme se não contém a diretiva auth-user-pass. Se existir, o servidor exige usuário/senha.

2. Papel do Certificado CA

Você está correto: O CA (Certificate Authority) não é usado para autenticar o cliente, mas sim para:

  1. Validar o servidor VPN:
  • Quando Verify Server Certificate está habilitado, o MikroTik usa o ca.crt para checar se o certificado do servidor foi emitido por uma CA confiável.
  • Isso previne ataques MITM (homem-no-meio).
  1. Hierarquia de confiança:
  • O servidor VPN usa o CA para validar o certificado do cliente (client.crt). Ou seja: a autenticação bilateral depende do CA, mas o cliente (MikroTik) só precisa do ca.crt para verificar o servidor.

Exemplo Prático (WebFig):

  1. Se o .ovpn não tem auth-user-pass:
  • Deixe User e Password vazios.
  • Certifique-se de que:
    • client.crt e client.key estão corretamente importados.
    • Verify Server Certificate está marcado (recomendado).
  1. Se o servidor não pede verificação do CA:
  • Desmarque Verify Server Certificate (raro, mas alguns provedores usam autenticação apenas por chave pré-compartilhada).

Dica de Troubleshooting:

  • Erro “TLS Error”:
  • Habilite os logs em PPP > Interfaces > [Seu VPN] > Log e verifique se há mensagens como:
    • TLS: Initial packet from [IP] (sucesso na negociação).
    • VERIFY ERROR: depth=0 (problema com o CA ou certificado do servidor).
  • Conexão cai após alguns segundos:
  • Confira se o cipher e auth batem com o servidor (ex: servidor usando aes-256-gcm e cliente aes-256-cbc causa falha).

Resumo:

  • Sem usuário/senha no .ovpn? → Deixe em branco no WebFig.
  • CA só importa para validar o servidor (a menos que o servidor exija verificação mútua).
  • Sempre verifique os logs para diagnósticos precisos.

Para resumir o essencial:

  1. Autenticação só por certificado → User/Password em branco no WebFig.
  2. CA é o “carimbo” que valida o servidor VPN (não o cliente).

Conclusão
Este método garante uma configuração limpa e segura diretamente pela interface WebFig, sem depender de conversores externos ou comandos CLI. Para provedores VPN com configurações específicas (como compressão ou rotas personalizadas), ajuste os parâmetros adicionais conforme necessário.

Related Posts

EMPRESA DEVDATA
EMPRESA DEVDATA
Rolar para cima