ITD - Télécom, VoIP, Réseau
04 58 00 35 31
Accueil / Blog / OpenVPN Mikrotik
Tutoriel VPN

Configurer un serveur OpenVPN sur Mikrotik RouterOS 7

Guide complet pour mettre en place un accès VPN sécurisé client-to-site sur votre routeur Mikrotik. Certificats, routes push, configuration client et dépannage.

📅 Publié le 15 janvier 2025 ⏱️ 15 min de lecture 🔧 RouterOS 7.14+

Vous souhaitez accéder à distance à votre réseau d'entreprise de manière sécurisée ? Configurer un serveur OpenVPN sur votre routeur Mikrotik est une solution robuste et gratuite.

Dans ce tutoriel, nous allons voir comment mettre en place un serveur OpenVPN client-to-site sur un routeur Mikrotik équipé de RouterOS 7, étape par étape.

Version minimale requise : RouterOS 7.14

Ce tutoriel a été réalisé et testé avec RouterOS 7.16. Si vous êtes en version antérieure à 7.14, certaines commandes peuvent différer, notamment pour l'ajout de routes. Consultez la documentation officielle Mikrotik.

Qu'est-ce qu'un VPN Client-to-Site ?

Avant de commencer, clarifions le concept :

Client-to-Site (Remote Access)

Un utilisateur distant (laptop, smartphone) se connecte au réseau de l'entreprise pour accéder aux ressources internes (serveurs, NAS, imprimantes).

Site-to-Site

Deux réseaux d'entreprise (ex: siège + agence) sont interconnectés en permanence.

Dans ce tutoriel, nous configurons un Client-to-Site, permettant à vos collaborateurs de se connecter au réseau de l'entreprise depuis l'extérieur.

Prérequis

Avant de commencer, assurez-vous d'avoir :

  • Un routeur Mikrotik avec RouterOS 7.14 minimum (idéalement 7.16+)
  • Une IP publique fixe ou un nom de domaine dynamique (DynDNS)
  • Accès en SSH ou Winbox au routeur
  • Connaissance de base en ligne de commande Mikrotik

💡 Accès au terminal Mikrotik

Vous pouvez utiliser soit Winbox (interface graphique avec terminal intégré), soit une connexion SSH directe. Dans ce tutoriel, nous utilisons le terminal avec des commandes à copier/coller.

1. Création des certificats pour OpenVPN

OpenVPN nécessite une infrastructure PKI (Public Key Infrastructure) pour sécuriser les connexions. Nous allons créer :

  • Un certificat d'autorité (CA) pour signer les autres certificats
  • Un certificat serveur pour le routeur Mikrotik
  • Un certificat client pour chaque utilisateur (ici "Alice")

Création des certificats

Connectez-vous au terminal de votre Mikrotik et exécutez les commandes suivantes :

Terminal Mikrotik

/system/certificate
add name=CA common-name=CA key-usage=key-cert-sign,crl-sign
add name=server common-name=server
add name=Alice common-name=Alice

Ces commandes créent 3 certificats (non signés pour l'instant) :

  • CA : Certificat racine qui signera les autres
  • server : Certificat du serveur OpenVPN
  • Alice : Certificat du client (utilisateur)

Signature des certificats

Important

Remplacez IP-Publique-x.x.x.x par votre vraie IP publique ou votre nom de domaine DynDNS.

Signature des certificats

/system/certificate
sign CA ca-crl-host=IP-Publique-x.x.x.x name=CA
sign server ca=CA name=server
sign Alice ca=CA name=Alice

Exemple concret si votre IP publique est 203.0.113.45 :

sign CA ca-crl-host=203.0.113.45 name=CA

Définir les certificats comme fiables

/system/certificate
set CA trusted=yes
set server trusted=yes

Exporter les certificats

Nous allons maintenant exporter le certificat CA (pour le client) et le certificat utilisateur Alice :

/certificate export-certificate CA
/certificate export-certificate Alice export-passphrase="MotDePasseSecurise123"

Remplacez MotDePasseSecurise123 par un mot de passe fort de votre choix. Ce mot de passe protège la clé privée du certificat Alice.

✓ Étape 1 terminée

Vos certificats sont créés, signés et exportés. Vous trouverez les fichiers dans le menu Files de Winbox (ou via FTP). Nous les récupérerons plus tard pour la configuration client.

2. Création du pool d'adresses IP

Le pool d'adresses définit les IP que le serveur OpenVPN attribuera aux clients qui se connectent.

Créer le pool

Choisissez un range d'IP qui ne chevauche pas votre réseau local existant. Par exemple, si votre réseau local est 192.168.1.0/24, utilisez 10.0.0.0/24 pour le VPN.

/ip/pool
add name=ovpn-pool ranges=10.0.0.10-10.0.0.50

Ce pool permettra d'attribuer jusqu'à 41 clients simultanés (de .10 à .50).

Créer le profil PPP

/ppp/profile
add name=itd-ovpn local-address=10.0.0.5 remote-address=ovpn-pool

Explications :

  • local-address=10.0.0.5 : L'IP du serveur VPN (gateway côté Mikrotik)
  • remote-address=ovpn-pool : Les clients recevront une IP du pool créé précédemment

Créer l'utilisateur VPN

/ppp/secret
add name=Alice password="MotDePasseVPN456" profile=itd-ovpn
Important :
  • name=Alice doit correspondre EXACTEMENT au common-name du certificat créé à l'étape 1
  • Remplacez MotDePasseVPN456 par un mot de passe fort

3. Activation du serveur OpenVPN

Maintenant que tout est prêt, activons le serveur OpenVPN :

/interface/ovpn-server/server
set enabled=yes certificate=server

Le serveur OpenVPN écoute maintenant sur le port 1194/TCP par défaut.

⚠️ Configuration du pare-feu

Si vous avez un pare-feu configuré, n'oubliez pas d'ouvrir le port 1194/TCP en entrée :

/ip/firewall/filter
add chain=input protocol=tcp dst-port=1194 action=accept comment="OpenVPN"

4. Configuration des routes push (crucial !)

Cette étape est essentielle. Les routes push définissent quel trafic passe par le VPN.

Pourquoi c'est important ?

Sans routes push Avec routes push
❌ TOUT le trafic passe par le VPN ✅ Seul le trafic réseau local passe par le VPN
❌ IP publique = celle du Mikrotik ✅ Connexion Internet normale du client
❌ Performances dégradées ✅ Performances optimales

Ajouter les routes à pousser

Exemple : Votre réseau local d'entreprise est 192.168.1.0/24. Vous voulez que seul ce réseau passe par le VPN :

/ppp/profile
set itd-ovpn route-push="192.168.1.0/24"

Si vous avez plusieurs réseaux à router (ex: 192.168.1.0/24 et 192.168.2.0/24) :

set itd-ovpn route-push="192.168.1.0/24,192.168.2.0/24"
Configuration des routes push dans Winbox
Configuration des routes push dans Winbox

5. Export du fichier de configuration client

Mikrotik génère automatiquement un fichier .ovpn prêt à l'emploi pour vos clients.

Via Winbox (méthode graphique)

  1. Ouvrez Winbox et connectez-vous à votre routeur
  2. Allez dans le menu PPP
  3. Cliquez sur l'onglet OVPN Server
  4. Cliquez sur le bouton Generate Client Config
  5. Sélectionnez le profil Alice
  6. Cliquez sur Generate
Export du fichier de configuration OpenVPN
Génération du fichier de configuration client

Récupération du fichier

  1. Le fichier Alice.ovpn apparaît dans le menu Files
  2. Faites un clic droit sur le fichier
  3. Sélectionnez Download

6. Configuration du client OpenVPN

Maintenant que vous avez le fichier Alice.ovpn, il suffit de l'importer dans le client OpenVPN.

🪟 Sur Windows

  1. Installez OpenVPN Community Client
  2. Copiez le fichier Alice.ovpn dans C:\Program Files\OpenVPN\config\
  3. Lancez OpenVPN GUI
  4. Clic droit sur l'icône dans la barre des tâches → Connect
  5. Entrez le mot de passe de la clé privée (celui défini lors de l'export du certificat)

🍎 Sur macOS / Linux

  1. Installez le package openvpn
  2. Lancez la connexion : sudo openvpn --config Alice.ovpn
  3. Entrez le mot de passe quand demandé

📱 Sur Android / iOS

  1. Installez l'application OpenVPN Connect
  2. Importez le fichier Alice.ovpn
  3. Connectez-vous

Vérification et tests

Vérifier la connexion côté Mikrotik

Une fois le client connecté, vérifiez dans Winbox :

  • Menu PPP → Onglet Active Connections
  • Vous devriez voir une ligne avec Alice et son IP attribuée (ex: 10.0.0.10)
Connexion OpenVPN active
Connexion VPN active dans Mikrotik

Tests réseau

Depuis le poste client connecté au VPN :

# Ping du gateway VPN (devrait répondre)
ping 10.0.0.5

# Ping d'une machine du réseau local
ping 192.168.1.10

# Testez l'accès à vos ressources (NAS, serveurs, etc.)

Ajouter d'autres utilisateurs

Pour ajouter un nouvel utilisateur (par exemple "Bob") :

/system/certificate
add name=Bob common-name=Bob
sign Bob ca=CA name=Bob
/certificate export-certificate Bob export-passphrase="MotDePasseBob789"

/ppp/secret
add name=Bob password="MotDePasseVPNBob" profile=itd-ovpn

Puis générez et exportez le fichier Bob.ovpn comme à l'étape 5.

Sécurité et bonnes pratiques

Sécurité renforcée

  • Utilisez des mots de passe forts pour les certificats ET les secrets PPP
  • Limitez le pool d'IP au nombre d'utilisateurs réels + marge
  • Activez le logging pour tracer les connexions
  • Changez le port par défaut (1194) pour réduire les scans
  • Désactivez les comptes inutilisés dans /ppp/secret

Performance

  • Compression : Activée par défaut dans RouterOS 7
  • Cipher : AES-256-GCM offre un bon compromis
  • MTU : Testez entre 1400 et 1450 en cas de problèmes

Monitoring

Surveillez les connexions actives :

/ppp/active print

Consultez les logs OpenVPN :

/log print where topics~"ovpn"

Dépannage

❌ Le client ne se connecte pas

Vérifiez :

  • Que le port 1194/TCP est bien ouvert dans le pare-feu Mikrotik
  • Que votre box/firewall en amont autorise le port 1194 entrant
  • Que l'IP publique dans le certificat CA correspond bien à votre IP actuelle
  • Que le nom d'utilisateur dans /ppp/secret correspond au common-name du certificat
❌ Le client se connecte mais pas d'accès réseau

Vérifiez :

  • Que les routes push sont bien configurées (/ppp/profile print detail)
  • Que le NAT est bien configuré pour le trafic VPN → LAN
  • Que votre pare-feu autorise le trafic depuis l'interface ovpn-in
🔍 Logs utiles pour diagnostiquer 
/system/logging
add topics=ovpn action=memory

Puis consultez :

/log print where topics~"ovpn"

Questions fréquentes

Puis-je utiliser OpenVPN ET WireGuard sur le même Mikrotik ?

Oui, les deux peuvent coexister sans problème. Ils utilisent des ports différents (1194 pour OpenVPN, 13231 pour WireGuard par défaut). WireGuard est généralement plus performant mais moins compatible avec les réseaux restrictifs.

Quelle est la différence entre OpenVPN et WireGuard ?

OpenVPN est plus ancien, plus compatible (notamment avec les réseaux restrictifs), et fonctionne sur TCP ou UDP. WireGuard est plus moderne, plus rapide, plus simple à configurer, mais uniquement en UDP. Pour une entreprise, OpenVPN reste souvent le choix le plus sûr en termes de compatibilité.

Combien de clients simultanés puis-je avoir ?

Cela dépend du pool d'IP configuré et des performances de votre routeur. Un Mikrotik d'entrée de gamme peut gérer facilement 10-20 clients simultanés. Les modèles pro (CCR, RB5009) peuvent supporter 100+ clients sans problème.

Dois-je redémarrer le routeur après la configuration ?

Non, aucun redémarrage n'est nécessaire. Toutes les modifications sont appliquées en temps réel. Le serveur OpenVPN est opérationnel dès que vous l'activez avec set enabled=yes.

Puis-je utiliser un port différent du 1194 par défaut ?

Oui, vous pouvez changer le port avec : /interface/ovpn-server/server set port=VOTRE_PORT. Cela peut être utile pour contourner des restrictions réseau ou réduire les scans automatisés. N'oubliez pas de mettre à jour votre règle de pare-feu en conséquence.

Comment révoquer un certificat client compromis ?

Supprimez le secret PPP correspondant (/ppp/secret remove Alice) et désactivez le certificat dans /system/certificate. Pour une révocation propre avec CRL, consultez la documentation Mikrotik sur la gestion des CRL (Certificate Revocation List).

Besoin d'aide pour configurer votre VPN professionnel ?

ITD déploie et administre vos solutions VPN Mikrotik clé en main. Configuration, certificats, monitoring et support inclus.

Demander un devis Voir nos services

Réponse sous 24h • Audit gratuit