TildaVPS Logo
Cómo Configurar VPN en MikroTik: Una Guía Completa

Cómo Configurar VPN en MikroTik: Una Guía Completa

Descubre cómo implementar conexiones VPN seguras en routers MikroTik utilizando varios protocolos, incluyendo L2TP/IPsec, OpenVPN, WireGuard e IPsec para conexiones site-to-site.

39 min read

Introducción

Las Redes Privadas Virtuales (VPNs) se han convertido en herramientas esenciales para empresas e individuos que buscan asegurar sus conexiones a internet, acceder a redes remotas y proteger datos sensibles. Los routers MikroTik, conocidos por su robusto conjunto de características y rentabilidad, ofrecen varias opciones de implementación de VPN que satisfacen diferentes necesidades de seguridad y casos de uso.

En esta guía completa, te guiaremos a través del proceso de configuración de varias soluciones VPN en tu router MikroTik. Ya seas un administrador de red buscando establecer conexiones seguras site-to-site, o un individuo queriendo acceder a tu red doméstica remotamente, este artículo te proporcionará el conocimiento y las instrucciones paso a paso para implementar exitosamente servicios VPN en tu dispositivo MikroTik. TildaVPS ofrece servidores MikroTik optimizados que son perfectos para implementar las soluciones VPN que discutiremos en esta guía, asegurando conexiones confiables y seguras para tus necesidades de red.

Sección 1: Entendiendo los Tipos de VPN en MikroTik

Opciones de VPN Disponibles en MikroTik

MikroTik RouterOS soporta varios protocolos VPN, cada uno con sus propias fortalezas y casos de uso ideales. Antes de sumergirse en la configuración, es importante entender qué protocolo se adapta mejor a tus necesidades.

OpenVPN es un protocolo VPN de código abierto que ofrece un buen equilibrio entre seguridad y rendimiento. Utiliza SSL/TLS para el intercambio de claves y puede operar tanto sobre UDP como TCP. OpenVPN es altamente configurable y puede eludir la mayoría de los firewalls (cortafuegos), lo que lo convierte en una opción versátil para muchos escenarios.

IPsec (Internet Protocol Security) proporciona comunicación IP segura autenticando y cifrando cada paquete IP. Es ampliamente soportado en diversas plataformas y se considera altamente seguro, lo que lo hace ideal para conexiones VPN site-to-site entre sucursales.

L2TP/IPsec combina el Layer 2 Tunneling Protocol con el cifrado IPsec. Este protocolo es soportado nativamente por la mayoría de los sistemas operativos, incluyendo Windows, macOS, iOS y Android, lo que lo hace conveniente para VPNs de acceso remoto.

PPTP (Point-to-Point Tunneling Protocol) es uno de los protocolos VPN más antiguos. Aunque es fácil de configurar y ofrece conexiones rápidas, su seguridad ha sido comprometida, haciéndolo adecuado solo para aplicaciones no sensibles donde la conveniencia supera las preocupaciones de seguridad.

SSTP (Secure Socket Tunneling Protocol) utiliza SSL sobre el puerto TCP 443, lo que le permite pasar a través de la mayoría de los firewalls y servidores proxy. Proporciona un buen nivel de seguridad pero es soportado principalmente en plataformas Windows.

WireGuard es un protocolo más nuevo conocido por su simplicidad, alto rendimiento y criptografía moderna. MikroTik ha añadido soporte para WireGuard en RouterOS v7, convirtiéndolo en una excelente opción para aquellos que ejecutan el firmware más reciente.

Beneficios de Usar VPN en MikroTik

Seguridad Mejorada: Las VPNs cifran tus datos, protegiéndolos de escuchas y ataques man-in-the-middle, especialmente al usar redes Wi-Fi públicas.

Acceso Remoto: Accede de forma segura a los recursos de tu red doméstica o de oficina desde cualquier parte del mundo.

Conectividad Site-to-Site: Conecta múltiples ubicaciones de oficina de forma segura a través de internet, creando una red unificada.

Eludir Geo-restricciones: Accede a contenido restringido por región conectándote a servidores VPN en diferentes ubicaciones geográficas.

Segmentación de Red: Crea segmentos de red seguros y aislados para diferentes departamentos o propósitos dentro de tu organización.

Eligiendo el Protocolo VPN Correcto

El mejor protocolo VPN para tu configuración MikroTik depende de tus requisitos específicos:

  • Para máxima compatibilidad entre dispositivos: L2TP/IPsec
  • Para máxima seguridad en entornos corporativos: IPsec
  • Para flexibilidad y buen equilibrio seguridad-rendimiento: OpenVPN
  • Para necesidades modernas de alto rendimiento: WireGuard (RouterOS v7+)
  • Para configuración simple con clientes Windows: SSTP

Mini-FAQ

¿Qué protocolo VPN ofrece el mejor rendimiento en MikroTik?

WireGuard generalmente ofrece el mejor rendimiento debido a su diseño ligero y criptografía eficiente, seguido por OpenVPN con UDP. Sin embargo, el rendimiento puede variar según tu hardware específico y las condiciones de la red.

¿Puedo ejecutar múltiples protocolos VPN simultáneamente en mi router MikroTik?

Sí, MikroTik RouterOS te permite ejecutar múltiples protocolos VPN simultáneamente. Esto es útil para soportar diferentes dispositivos cliente o proporcionar opciones de respaldo si un protocolo es bloqueado.

Sección 2: Prerrequisitos para Configurar VPN en MikroTik

Requisitos de Hardware y Software

Antes de configurar una VPN en tu router MikroTik, asegúrate de tener los siguientes prerrequisitos:

Requisitos de Hardware:

  • Un router MikroTik con suficiente potencia de procesamiento para el cifrado/descifrado VPN. Para un uso intensivo de VPN, considera modelos con procesadores multinúcleo como la serie RB4011 o CCR.
  • RAM adecuada (se recomiendan al menos 256MB para múltiples conexiones VPN)
  • Conexión a internet estable con suficiente ancho de banda para tus necesidades de VPN

Requisitos de Software:

  • Versión de RouterOS compatible con tu protocolo VPN elegido (v6.45+ recomendada, v7+ para WireGuard)
  • Actualizado a la última versión estable para asegurar que los parches de seguridad estén aplicados
  • Nivel de licencia válido que soporte tu protocolo VPN elegido (la mayoría de las características VPN requieren al menos Nivel 4)

Requisitos de Red:

  • Dirección IP pública (preferiblemente estática) o servicio DDNS correctamente configurado
  • Redirección de puertos apropiada si tu MikroTik está detrás de otro router
  • Reglas de firewall correctamente configuradas para permitir el tráfico VPN

Configuración Inicial del Router

Antes de implementar una VPN, asegúrate de que tu router MikroTik tenga una configuración básica segura:

  1. Actualiza RouterOS a la última versión estable
  2. Cambia la contraseña de administrador predeterminada
  3. Configura el direccionamiento IP adecuado para todas las interfaces
  4. Establece reglas básicas de firewall para proteger tu red
  5. Configura los ajustes de DNS
  6. Asegúrate de que NTP (Network Time Protocol) esté correctamente configurado, ya que la hora precisa es crucial para la autenticación VPN

Planificando tu Implementación VPN

Tómate tiempo para planificar tu despliegue VPN considerando:

Topología VPN:

  • VPN de acceso remoto (clientes conectándose a tu red)
  • VPN site-to-site (conectando múltiples redes)
  • Hub-and-spoke (sitio central conectándose a múltiples sucursales)
  • Malla (todos los sitios conectándose entre sí)

Esquema de Direccionamiento IP:

  • Determina la subred IP para los clientes VPN
  • Asegúrate de que no haya conflictos de IP entre redes locales y remotas
  • Planifica el enrutamiento adecuado entre redes

Método de Autenticación:

  • Nombre de usuario/contraseña
  • Autenticación basada en certificados
  • Claves precompartidas (Pre-shared keys)
  • Autenticación de dos factores

Consideraciones de Seguridad:

  • Requisitos de fortaleza del cifrado
  • Necesidades de segregación de tráfico
  • Políticas de control de acceso

Accediendo a tu Router MikroTik

Para configurar tu router MikroTik, necesitarás acceder a él usando uno de estos métodos:

  1. WebFig (Interfaz de configuración basada en web):

    • Conéctate a la dirección IP de tu router a través de un navegador web
    • Inicia sesión con tus credenciales
    • Navega por el menú para configurar los ajustes VPN

  2. WinBox (Aplicación GUI de Windows):

    • Descarga WinBox desde el sitio web de MikroTik
    • Conéctate a tu router vía IP o dirección MAC
    • Usa la interfaz gráfica para configurar los ajustes

  3. SSH/Telnet (Interfaz de línea de comandos):

    • Conéctate usando un cliente SSH como PuTTY
    • Introduce comandos directamente en la CLI de RouterOS
    • Útil para scripting y configuraciones avanzadas

  4. The Dude (Aplicación de gestión de red):

    • Para gestionar múltiples dispositivos MikroTik
    • Proporciona una vista de toda la red de tu infraestructura

Mini-FAQ

¿Necesito una dirección IP estática para configurar un servidor VPN en MikroTik?

Aunque una IP estática es ideal, puedes usar servicios de DNS dinámico (DDNS) como no-ip.com o dyn.com si tienes una IP dinámica. MikroTik soporta actualizaciones DDNS automáticas a través de scripts o el cliente DDNS incorporado.

¿Qué nivel de licencia necesito para la funcionalidad VPN en MikroTik?

La mayoría de las características VPN requieren al menos una licencia de Nivel 4. Sin embargo, PPTP y L2TP básicos están disponibles desde el Nivel 3. Para características avanzadas y mejor rendimiento, se recomienda Nivel 5 o Nivel 6, especialmente para despliegues empresariales.

Sección 3: Configuración del Servidor VPN L2TP/IPsec

L2TP/IPsec es uno de los protocolos VPN más ampliamente soportados, lo que lo convierte en una excelente opción para entornos con diversos dispositivos cliente. Veamos el proceso de configuración de un servidor VPN L2TP/IPsec en tu router MikroTik.

Paso 1: Configurar Ajustes IPsec

Primero, necesitamos configurar la porción IPsec de la VPN, que proporciona el cifrado para el túnel L2TP:

  1. Abre WinBox y conéctate a tu router MikroTik
  2. Navega a IP → IPsec → Profiles (Perfiles)
  3. Haz clic en el botón + para añadir un nuevo perfil
  4. Configura los siguientes ajustes:
    • Name (Nombre): L2TP-IPsec
    • Hash Algorithms (Algoritmos de Hash): sha256
    • Encryption Algorithms (Algoritmos de Cifrado): aes-256-cbc
    • DH Group (Grupo DH): modp2048
    • Proposal Check (Comprobación de Propuesta): obey
    • Lifetime (Tiempo de Vida): 1d 00:00:00
  5. Haz clic en OK para guardar el perfil

A continuación, crea la propuesta IPsec:

  1. Ve a IP → IPsec → Proposals (Propuestas)
  2. Haz clic en el botón + para añadir una nueva propuesta
  3. Configura lo siguiente:
    • Auth Algorithms (Algoritmos de Autenticación): sha256
    • Encr Algorithms (Algoritmos de Cifrado): aes-256-cbc
    • PFS Group (Grupo PFS): modp2048
  4. Haz clic en OK para guardar

Ahora, configura el peer IPsec:

  1. Ve a IP → IPsec → Peers
  2. Haz clic en el botón + para añadir un nuevo peer
  3. Configura lo siguiente:
    • Name (Nombre): L2TP-Peer
    • Address (Dirección): 0.0.0.0/0 (para aceptar conexiones desde cualquier IP)
    • Profile (Perfil): L2TP-IPsec (el perfil que creamos antes)
    • Exchange Mode (Modo de Intercambio): main
    • Send Initial Contact (Enviar Contacto Inicial): yes
    • Nat Traversal: yes
    • Pre-shared Key (Clave Precompartida): TuClaveSecretaFuerte (usa una clave fuerte y única)
  4. Haz clic en OK para guardar

Paso 2: Configurar Servidor L2TP

Ahora, configuremos el servidor L2TP:

  1. Navega a PPP en el menú izquierdo
  2. Ve a la pestaña Profiles (Perfiles)
  3. Haz clic en el botón + para añadir un nuevo perfil
  4. Configura lo siguiente:
    • Name (Nombre): L2TP-Profile
    • Local Address (Dirección Local): Especifica la IP del router a usar para VPN (ej. 10.0.0.1)
    • Remote Address (Dirección Remota): Especifica el pool de IPs para clientes (ej. 10.0.0.2-10.0.0.254)
    • DNS Server (Servidor DNS): Tus servidores DNS preferidos
    • Use Encryption (Usar Cifrado): yes
  5. Haz clic en OK para guardar el perfil

A continuación, configura el servidor L2TP:

  1. Ve a la pestaña Interface (Interfaz)
  2. Haz clic en L2TP Server (Servidor L2TP)
  3. Configura lo siguiente:
    • Enabled (Habilitado): yes
    • Max MTU: 1450
    • Max MRU: 1450
    • Keep Alive Timeout (Tiempo de Espera Keep Alive): 30
    • Default Profile (Perfil Predeterminado): L2TP-Profile (el perfil que creamos)
    • Authentication (Autenticación): mschap2, mschap1, chap (en ese orden para mejor compatibilidad)
    • Use IPsec (Usar IPsec): yes
    • IPsec Secret (Secreto IPsec): TuClaveSecretaFuerte (la misma que en la configuración del peer IPsec)
  4. Haz clic en OK para guardar

Paso 3: Crear Usuarios VPN

Ahora, crea cuentas de usuario para el acceso VPN:

  1. Ve a PPP en el menú izquierdo
  2. Haz clic en la pestaña Secrets (Secretos)
  3. Haz clic en el botón + para añadir un nuevo secreto
  4. Configura lo siguiente:
    • Name (Nombre): nombredeusuario (el nombre de usuario de login para el usuario VPN)
    • Password (Contraseña): contraseña (una contraseña fuerte para el usuario)
    • Service (Servicio): l2tp
    • Profile (Perfil): L2TP-Profile
  5. Haz clic en OK para guardar
  6. Repite para usuarios adicionales según sea necesario

Paso 4: Configurar Reglas de Firewall

Para permitir el tráfico VPN a través de tu firewall:

  1. Navega a IP → Firewall → Filter Rules (Reglas de Filtro)

  2. Añade reglas para permitir el tráfico L2TP e IPsec:

    Para IPsec:

    • Añade una regla para permitir el puerto UDP 500 (IKE)
    • Añade una regla para permitir el puerto UDP 4500 (IPsec NAT-T)
    • Añade una regla para permitir el protocolo IP 50 (ESP)
    • Añade una regla para permitir el protocolo IP 51 (AH)

    Para L2TP:

    • Añade una regla para permitir el puerto UDP 1701 (L2TP)

  3. Añade reglas para permitir el tráfico desde la subred VPN para acceder a los recursos de tu red según sea necesario

Paso 5: Probar la Conexión VPN

Después de completar la configuración, prueba la conexión VPN desde un dispositivo cliente:

  1. En Windows:

    • Ve a Configuración → Red e Internet → VPN
    • Haz clic en "Agregar una conexión VPN"
    • Proveedor de VPN: Windows (integrado)
    • Nombre de la conexión: MikroTik L2TP
    • Nombre o dirección del servidor: La IP pública o DDNS de tu MikroTik
    • Tipo de VPN: L2TP/IPsec con clave precompartida
    • Clave precompartida: TuClaveSecretaFuerte (la que configuraste)
    • Nombre de usuario y contraseña: Las credenciales que creaste en los secretos PPP

  2. En Android/iOS:

    • Ve a Ajustes → VPN
    • Añade una nueva conexión VPN
    • Selecciona L2TP/IPsec
    • Introduce la IP pública o DDNS de tu MikroTik
    • Introduce la clave precompartida, nombre de usuario y contraseña

Mini-FAQ

¿Por qué falla mi conexión VPN L2TP/IPsec al establecerse?

Problemas comunes incluyen clave precompartida incorrecta, firewall bloqueando puertos VPN, problemas de NAT, o ajustes de cifrado incompatibles. Revisa los registros de tu router en System → Logs para mensajes de error específicos para solucionar el problema.

¿Cuántos usuarios VPN L2TP/IPsec concurrentes puede soportar mi router MikroTik?

Esto depende de las capacidades de hardware de tu router. Modelos de entrada podrían manejar 5-10 usuarios concurrentes, mientras que modelos de gama alta como la serie CCR pueden soportar docenas o incluso cientos de conexiones. El uso de CPU es el principal factor limitante debido a la sobrecarga del cifrado.

Sección 4: Configuración del Servidor OpenVPN

OpenVPN es una solución VPN altamente configurable y segura que funciona bien en diferentes plataformas. Configurarlo en MikroTik requiere crear certificados y configurar el servidor correctamente. Veamos el proceso paso a paso.

Paso 1: Crear Certificados

OpenVPN usa certificados para la autenticación. Necesitaremos crear una Autoridad de Certificación (CA), un certificado de servidor y certificados de cliente:

  1. Navega a System → Certificates (Certificados)

  2. Primero, crea una Autoridad de Certificación (CA):

    • Haz clic en el botón Add (Añadir)
    • Establece Name (Nombre): CA
    • Establece Common Name (Nombre Común): MikroTik-CA
    • Establece Key Size (Tamaño de Clave): 2048
    • Establece Days Valid (Días Válidos): 3650 (10 años)
    • Marca Key Usage (Uso de Clave): crl sign, key cert sign
    • Haz clic en Apply (Aplicar), luego en Sign (Firmar)
    • En el nuevo diálogo, selecciona CA como Certificado y haz clic en Sign (Firmar)

  3. Crea un certificado de servidor:

    • Haz clic en el botón Add (Añadir)
    • Establece Name (Nombre): Server
    • Establece Common Name (Nombre Común): MikroTik-Server
    • Establece Key Size (Tamaño de Clave): 2048
    • Establece Days Valid (Días Válidos): 3650
    • Marca Key Usage (Uso de Clave): digital signature, key encipherment, tls server
    • Haz clic en Apply (Aplicar), luego en Sign (Firmar)
    • En el nuevo diálogo, selecciona CA como Autoridad de Certificación y haz clic en Sign (Firmar)

  4. Crea un certificado de cliente:

    • Haz clic en el botón Add (Añadir)
    • Establece Name (Nombre): Client1
    • Establece Common Name (Nombre Común): Client1
    • Establece Key Size (Tamaño de Clave): 2048
    • Establece Days Valid (Días Válidos): 3650
    • Marca Key Usage (Uso de Clave): tls client
    • Haz clic en Apply (Aplicar), luego en Sign (Firmar)
    • En el nuevo diálogo, selecciona CA como Autoridad de Certificación y haz clic en Sign (Firmar)
    • Repite este paso para clientes adicionales según sea necesario

Paso 2: Configurar Servidor OpenVPN

Ahora, configuremos el servidor OpenVPN:

  1. Navega a PPP en el menú izquierdo
  2. Ve a la pestaña Profiles (Perfiles)
  3. Haz clic en el botón + para añadir un nuevo perfil
  4. Configura lo siguiente:
    • Name (Nombre): OVPN-Profile
    • Local Address (Dirección Local): Especifica la IP del router a usar para VPN (ej. 10.1.0.1)
    • Remote Address (Dirección Remota): Especifica el pool de IPs para clientes (ej. 10.1.0.2-10.1.0.254)
    • DNS Server (Servidor DNS): Tus servidores DNS preferidos
    • Use Encryption (Usar Cifrado): yes
  5. Haz clic en OK para guardar el perfil

A continuación, configura el servidor OpenVPN:

  1. Ve a PPP en el menú izquierdo
  2. Haz clic en la pestaña Interface (Interfaz)
  3. Haz clic en el botón OVPN Server (Servidor OVPN)
  4. Configura lo siguiente:
    • Enabled (Habilitado): yes
    • Port (Puerto): 1194
    • Mode (Modo): ip
    • Protocol (Protocolo): tcp
    • Netmask (Máscara de red): 24
    • Max MTU: 1500
    • Default Profile (Perfil Predeterminado): OVPN-Profile
    • Certificate (Certificado): Server (el certificado de servidor que creamos)
    • Auth: sha1
    • Cipher (Cifrado): aes256
    • Require Client Certificate (Requerir Certificado de Cliente): yes
  5. Haz clic en OK para guardar

Paso 3: Configurar Reglas de Firewall

Para permitir el tráfico OpenVPN a través de tu firewall:

  1. Navega a IP → Firewall → Filter Rules (Reglas de Filtro)

  2. Añade una regla para permitir el tráfico OpenVPN:

    • Haz clic en el botón +
    • Establece Chain (Cadena): input
    • Establece Protocol (Protocolo): tcp
    • Establece Dst. Port (Puerto Dst.): 1194
    • Establece Action (Acción): accept
    • Añade un comentario como "Permitir OpenVPN"
    • Haz clic en OK para guardar

  3. Añade reglas para permitir el tráfico desde la subred VPN para acceder a los recursos de tu red según sea necesario

Paso 4: Exportar Certificados de Cliente y Crear Configuración de Cliente

Para conectar clientes a tu servidor OpenVPN, necesitas exportar los certificados y crear un archivo de configuración de cliente:

  1. Exporta el certificado CA:

    • Ve a System → Certificates (Certificados)
    • Selecciona el certificado CA
    • Haz clic en Export (Exportar)
    • Elige Export Type (Tipo de Exportación): PEM
    • Haz clic en Export (Exportar) y guarda el archivo como ca.crt

  2. Exporta el certificado y la clave del cliente:

    • Selecciona el certificado Client1
    • Haz clic en Export (Exportar)
    • Elige Export Type (Tipo de Exportación): PEM
    • Haz clic en Export (Exportar) y guarda el archivo como client1.crt
    • Haz clic en Export (Exportar) de nuevo
    • Elige Export Type (Tipo de Exportación): key
    • Introduce la Export Passphrase (Frase de Contraseña de Exportación) si quieres proteger la clave con contraseña
    • Haz clic en Export (Exportar) y guarda el archivo como client1.key

  3. Crea un archivo de configuración de cliente (client.ovpn) con el siguiente contenido:

client
dev tun
proto tcp
remote tu-ip-publica-mikrotik 1194
resolv-retry infinite
nobind
persist-key
persist-tun
cipher AES-256-CBC
auth SHA1
verb 3
key-direction 1

<ca>
# Pega el contenido de ca.crt aquí
</ca>

<cert>
# Pega el contenido de client1.crt aquí
</cert>

<key>
# Pega el contenido de client1.key aquí
</key>

Paso 5: Conectar Clientes a OpenVPN

Ahora puedes usar el archivo de configuración de cliente para conectarte a tu servidor OpenVPN:

  1. En Windows:

    • Instala el cliente OpenVPN (desde openvpn.net)
    • Copia el archivo client.ovpn a C:\Program Files\OpenVPN\config\
    • Haz clic derecho en el icono de OpenVPN GUI en la bandeja del sistema y selecciona "Conectar"

  2. En macOS:

    • Instala Tunnelblick (desde tunnelblick.net)
    • Importa el archivo client.ovpn
    • Conéctate usando el menú de Tunnelblick

  3. En Linux:

    • Instala el cliente OpenVPN (sudo apt install openvpn en Debian/Ubuntu)
    • Ejecuta sudo openvpn --config client.ovpn

  4. En Android/iOS:

    • Instala la app OpenVPN Connect
    • Importa el archivo client.ovpn
    • Conéctate usando la app

Mini-FAQ

¿Cómo puedo solucionar problemas de conexión OpenVPN?

Revisa los registros tanto en el servidor (System → Logs) como en el lado del cliente. Problemas comunes incluyen problemas con certificados, bloqueos de firewall, o problemas de enrutamiento. Habilita el registro detallado (verbose logging) en el lado del cliente estableciendo "verb 5" en el archivo de configuración para registros más detallados.

¿Puedo usar UDP en lugar de TCP para OpenVPN?

Sí, UDP a menudo se prefiere para un mejor rendimiento. Para usar UDP, cambia la configuración del protocolo tanto en la configuración del servidor como en el archivo de configuración del cliente. UDP es generalmente más rápido pero puede ser menos fiable en conexiones inestables.

Sección 5: Configuración de VPN WireGuard (RouterOS v7+)

WireGuard es un protocolo VPN moderno conocido por su simplicidad, alto rendimiento y fuerte seguridad. Está disponible en RouterOS versión 7 y posteriores. Configuremos un servidor VPN WireGuard en tu router MikroTik.

Paso 1: Crear Interfaz WireGuard

Primero, creemos la interfaz WireGuard en tu router MikroTik:

  1. Navega a WireGuard en el menú izquierdo (o Interface → WireGuard en versiones v7 más antiguas)
  2. Haz clic en el botón + para añadir una nueva interfaz
  3. Configura lo siguiente:
    • Name (Nombre): wireguard1
    • Listen Port (Puerto de Escucha): 13231 (o cualquier otro puerto de tu elección)
    • MTU: 1420
  4. Haz clic en OK para crear la interfaz
  5. Después de la creación, anota la Public Key (Clave Pública) que se generó - la necesitarás para la configuración del cliente

Paso 2: Configurar Dirección IP para la Interfaz WireGuard

Asigna una dirección IP a la interfaz WireGuard:

  1. Ve a IP → Addresses (Direcciones)
  2. Haz clic en el botón + para añadir una nueva dirección
  3. Configura lo siguiente:
    • Address (Dirección): 10.10.10.1/24 (esta será la subred VPN)
    • Interface (Interfaz): wireguard1
  4. Haz clic en OK para guardar

Paso 3: Añadir Peers WireGuard (Clientes)

Para cada cliente que se conectará a tu VPN WireGuard:

  1. Primero, genera un par de claves en el dispositivo cliente (mostraremos cómo hacerlo en el Paso 5)
  2. En tu router MikroTik, ve a WireGuard en el menú izquierdo
  3. Haz clic en la pestaña Peers
  4. Haz clic en el botón + para añadir un nuevo peer
  5. Configura lo siguiente:
    • Interface (Interfaz): wireguard1
    • Public Key (Clave Pública): (pega la clave pública del cliente aquí)
    • Allowed Address (Dirección Permitida): 10.10.10.2/32 (la dirección IP que quieres asignar a este cliente)
    • Persistent Keepalive: 25 (ayuda con NAT traversal)
  6. Haz clic en OK para guardar
  7. Repite para clientes adicionales, incrementando la dirección IP (10.10.10.3/32, etc.)

Paso 4: Configurar Reglas de Firewall

Para permitir el tráfico WireGuard a través de tu firewall:

  1. Navega a IP → Firewall → Filter Rules (Reglas de Filtro)

  2. Añade una regla para permitir el tráfico WireGuard:

    • Haz clic en el botón +
    • Establece Chain (Cadena): input
    • Establece Protocol (Protocolo): udp
    • Establece Dst. Port (Puerto Dst.): 13231 (el puerto que configuraste para WireGuard)
    • Establece Action (Acción): accept
    • Añade un comentario como "Permitir WireGuard"
    • Haz clic en OK para guardar

  3. Añade reglas para permitir el tráfico desde la subred WireGuard para acceder a los recursos de tu red según sea necesario

  4. Opcionalmente, añade una regla de masquerade para permitir a los clientes VPN acceder a internet a través de la VPN:

    • Ve a IP → Firewall → NAT
    • Haz clic en el botón +
    • Establece Chain (Cadena): srcnat
    • Establece Src. Address (Dirección Src.): 10.10.10.0/24
    • Establece Action (Acción): masquerade
    • Añade un comentario como "Masquerade clientes WireGuard"
    • Haz clic en OK para guardar

Paso 5: Configurar Clientes WireGuard

Ahora, configuremos un cliente para conectarse a tu VPN WireGuard:

Para Windows:

  1. Descarga e instala WireGuard desde wireguard.com
  2. Abre la aplicación WireGuard
  3. Haz clic en "Add Empty Tunnel..." (Añadir Túnel Vacío...)
  4. Genera un nuevo par de claves (esto sucede automáticamente)
  5. Configura el cliente con la siguiente plantilla:
[Interface]
PrivateKey = (clave privada del cliente)
Address = 10.10.10.2/24
DNS = 8.8.8.8, 8.8.4.4

[Peer]
PublicKey = (clave pública de tu interfaz WireGuard MikroTik)
AllowedIPs = 0.0.0.0/0
Endpoint = tu-ip-publica-mikrotik:13231
PersistentKeepalive = 25
  1. Haz clic en "Save" (Guardar) y luego en "Activate" (Activar) para conectar

Para Android/iOS:

  1. Instala la app WireGuard desde la tienda de aplicaciones
  2. Toca el botón + y selecciona "Create from scratch" (Crear desde cero)
  3. Introduce un nombre para la VPN
  4. Configura usando la misma plantilla que arriba
  5. Toca "Save" (Guardar) y luego toca el interruptor para conectar

Para Linux:

  1. Instala WireGuard (sudo apt install wireguard en Debian/Ubuntu)
  2. Genera claves: wg genkey | tee privatekey | wg pubkey > publickey
  3. Crea un archivo de configuración en /etc/wireguard/wg0.conf usando la plantilla de arriba
  4. Conéctate con sudo wg-quick up wg0

Paso 6: Probar la Conexión

Después de configurar tanto el servidor como el cliente:

  1. Activa la conexión WireGuard en tu dispositivo cliente
  2. Verifica la conectividad haciendo ping a la IP de la interfaz WireGuard en tu MikroTik (10.10.10.1)
  3. Intenta acceder a otros recursos en tu red
  4. Comprueba el estado de WireGuard en tu MikroTik yendo a WireGuard y mirando la pestaña Peers

Mini-FAQ

¿Es WireGuard más seguro que OpenVPN o IPsec?

WireGuard usa criptografía moderna con una base de código mucho más pequeña que OpenVPN o IPsec, lo que potencialmente significa menos vulnerabilidades de seguridad. Sin embargo, los tres protocolos se consideran seguros cuando están configurados correctamente. Las principales ventajas de WireGuard son su simplicidad y rendimiento.

¿Cuántos peers WireGuard puede soportar mi router MikroTik?

Esto depende de las capacidades de hardware de tu router. WireGuard es muy eficiente, por lo que incluso los routers MikroTik de nivel de entrada pueden manejar docenas de peers. Los modelos de gama alta pueden soportar cientos de conexiones con un impacto mínimo en el rendimiento.

Sección 6: Configuración de VPN Site-to-Site con IPsec

IPsec es una excelente opción para establecer conexiones VPN seguras site-to-site entre sucursales o entre tu oficina principal y un entorno en la nube. En esta sección, configuraremos una VPN site-to-site entre dos routers MikroTik usando IPsec.

Paso 1: Planificar tu Topología de Red

Antes de configurar IPsec, planifica tu topología de red:

Sitio A (Oficina Principal):

  • IP Pública: 203.0.113.1 (reemplaza con tu IP pública real)
  • Red Local: 192.168.1.0/24
  • Router MikroTik: 192.168.1.1

Sitio B (Sucursal):

  • IP Pública: 203.0.113.2 (reemplaza con tu IP pública real)
  • Red Local: 192.168.2.0/24
  • Router MikroTik: 192.168.2.1

Paso 2: Configurar IPsec en Sitio A (Oficina Principal)

  1. Crear Perfil IPsec:

    • Navega a IP → IPsec → Profiles (Perfiles)
    • Haz clic en el botón + para añadir un nuevo perfil
    • Configura lo siguiente:
      • Name (Nombre): site-to-site
      • Hash Algorithms (Algoritmos de Hash): sha256
      • Encryption Algorithms (Algoritmos de Cifrado): aes-256-cbc
      • DH Group (Grupo DH): modp2048
    • Haz clic en OK para guardar

  2. Crear Propuesta IPsec:

    • Ve a IP → IPsec → Proposals (Propuestas)
    • Haz clic en el botón + para añadir una nueva propuesta
    • Configura lo siguiente:
      • Name (Nombre): site-to-site-proposal
      • Auth Algorithms (Algoritmos de Autenticación): sha256
      • Encr Algorithms (Algoritmos de Cifrado): aes-256-cbc
      • PFS Group (Grupo PFS): modp2048
    • Haz clic en OK para guardar

  3. Crear Peer IPsec:

    • Ve a IP → IPsec → Peers
    • Haz clic en el botón + para añadir un nuevo peer
    • Configura lo siguiente:
      • Name (Nombre): site-b-peer
      • Address (Dirección): 203.0.113.2 (IP pública del Sitio B)
      • Profile (Perfil): site-to-site
      • Exchange Mode (Modo de Intercambio): main
      • Send Initial Contact (Enviar Contacto Inicial): yes
      • Nat Traversal: yes
      • Pre-shared Key (Clave Precompartida): TuClaveSecretaFuerte (usa una clave fuerte y única)
    • Haz clic en OK para guardar

  4. Crear Política IPsec:

    • Ve a IP → IPsec → Policies (Políticas)
    • Haz clic en el botón + para añadir una nueva política
    • Configura lo siguiente:
      • Src. Address (Dirección Src.): 192.168.1.0/24 (Red local del Sitio A)
      • Dst. Address (Dirección Dst.): 192.168.2.0/24 (Red local del Sitio B)
      • Protocol (Protocolo): all
      • Action (Acción): encrypt
      • Level (Nivel): require
      • IPsec Protocols (Protocolos IPsec): esp
      • Tunnel (Túnel): yes
      • SA Src. Address (Dirección SA Src.): 203.0.113.1 (IP pública del Sitio A)
      • SA Dst. Address (Dirección SA Dst.): 203.0.113.2 (IP pública del Sitio B)
      • Proposal (Propuesta): site-to-site-proposal
    • Haz clic en OK para guardar

Paso 3: Configurar IPsec en Sitio B (Sucursal)

Repite los mismos pasos en el router MikroTik del Sitio B, pero con las direcciones de origen y destino invertidas:

  1. Crear Perfil IPsec (igual que en Sitio A)

  2. Crear Propuesta IPsec (igual que en Sitio A)

  3. Crear Peer IPsec:

    • Configura con la IP pública del Sitio A (203.0.113.1)
    • Usa la misma clave precompartida que en Sitio A

  4. Crear Política IPsec:

    • Src. Address (Dirección Src.): 192.168.2.0/24 (Red local del Sitio B)
    • Dst. Address (Dirección Dst.): 192.168.1.0/24 (Red local del Sitio A)
    • SA Src. Address (Dirección SA Src.): 203.0.113.2 (IP pública del Sitio B)
    • SA Dst. Address (Dirección SA Dst.): 203.0.113.1 (IP pública del Sitio A)
    • Otros ajustes iguales que en Sitio A

Paso 4: Configurar Reglas de Firewall en Ambos Sitios

En ambos routers MikroTik, añade reglas de firewall para permitir el tráfico IPsec:

  1. Navega a IP → Firewall → Filter Rules (Reglas de Filtro)

  2. Añade reglas para permitir el tráfico IPsec:

    • Añade una regla para permitir el puerto UDP 500 (IKE)
    • Añade una regla para permitir el puerto UDP 4500 (IPsec NAT-T)
    • Añade una regla para permitir el protocolo IP 50 (ESP)
    • Añade una regla para permitir el protocolo IP 51 (AH)

  3. Asegúrate de que el tráfico entre las redes locales esté permitido en tus reglas de firewall

Paso 5: Configurar Enrutamiento (si es necesario)

Si tienes redes más complejas con múltiples subredes en cualquiera de los sitios, es posible que necesites añadir rutas estáticas:

  1. Navega a IP → Routes (Rutas)
  2. Haz clic en el botón + para añadir una nueva ruta
  3. Configura la ruta hacia la red remota a través del túnel IPsec
  4. Repite para cualquier subred adicional que necesite comunicarse a través del túnel

Paso 6: Probar la Conexión

Después de completar la configuración en ambos sitios:

  1. Comprueba el estado de IPsec yendo a IP → IPsec → Active Peers (Peers Activos)

    • Deberías ver una conexión establecida entre los dos sitios

  2. Prueba la conectividad haciendo ping a dispositivos a través del túnel:

    • Desde un dispositivo en la red del Sitio A, haz ping a un dispositivo en la red del Sitio B
    • Desde un dispositivo en la red del Sitio B, haz ping a un dispositivo en la red del Sitio A

  3. Si los pings son exitosos, intenta acceder a otros servicios a través del túnel

Paso 7: Monitorizar y Solucionar Problemas

Para monitorizar y solucionar problemas de tu túnel IPsec:

  1. Comprueba las estadísticas IPsec:

    • Ve a IP → IPsec → Statistics (Estadísticas)
    • Busca asociaciones de seguridad (SAs) activas

  2. Visualiza los registros para mensajes relacionados con IPsec:

    • Ve a System → Logs (Registros)
    • Filtra por entradas relacionadas con IPsec

  3. Usa la herramienta ping con opciones de enrutamiento para probar el túnel:

    • Ve a Tools → Ping
    • Introduce la IP de un dispositivo en el sitio remoto
    • Establece la Src. Address (Dirección Src.) a la IP de tu interfaz local

Mini-FAQ

¿Qué debo hacer si el túnel IPsec no se establece?

Revisa las reglas de firewall en ambos lados para asegurar que el tráfico IPsec esté permitido. Verifica que las claves precompartidas coincidan exactamente. Comprueba si hay problemas de NAT si alguno de los routers está detrás de otro dispositivo NAT. Revisa los registros para mensajes de error específicos.

¿Cómo puedo verificar que el tráfico realmente está pasando por el túnel IPsec?

Usa la página IP → IPsec → Statistics (Estadísticas) para ver si los paquetes están siendo cifrados y descifrados. También puedes usar la herramienta Torch (Tools → Torch) para monitorizar el tráfico en tus interfaces y ver si los paquetes fluyen a través de la interfaz IPsec.

Sección 7: Configuraciones VPN Avanzadas y Mejores Prácticas

Ahora que hemos cubierto las configuraciones básicas de VPN, exploremos algunas configuraciones avanzadas y mejores prácticas para mejorar la seguridad, el rendimiento y la manejabilidad de tus despliegues VPN en MikroTik.

Implementando Split Tunneling (Túnel Dividido)

El túnel dividido permite a los clientes VPN acceder tanto a la red remota como a internet directamente, mejorando el rendimiento para el tráfico destinado a internet:

  1. Para OpenVPN:

    • En el archivo de configuración del cliente, modifica la directiva redirect-gateway o usa declaraciones route específicas
    • Ejemplo: route 192.168.1.0 255.255.255.0 (solo enruta el tráfico hacia la red 192.168.1.0/24 a través de VPN)

  2. Para WireGuard:

    • En la configuración del cliente, modifica el ajuste AllowedIPs (IPs Permitidas)
    • En lugar de 0.0.0.0/0 (que enruta todo el tráfico), usa redes específicas:
    • Ejemplo: AllowedIPs = 10.10.10.0/24, 192.168.1.0/24

  3. Para L2TP/IPsec:

    • En clientes Windows, edita las propiedades de la conexión VPN
    • Ve a Redes → IPv4 → Propiedades → Avanzado
    • Desmarca "Usar puerta de enlace predeterminada en la red remota"

Implementando Autenticación de Dos Factores (2FA)

Mejora la seguridad con autenticación de dos factores:

  1. Autenticación RADIUS:

    • Configura un servidor RADIUS (puedes usar el paquete User Manager de MikroTik)
    • Configura tu servidor VPN para usar RADIUS:
      • Ve a Radius en el menú izquierdo
      • Añade un nuevo cliente RADIUS para tu servicio VPN
      • En la configuración de tu servidor VPN, habilita la autenticación RADIUS

  2. Autenticación de Certificado + Contraseña:

    • Para OpenVPN, requiere tanto certificado como nombre de usuario/contraseña:
      • En la configuración del servidor, establece el script auth-user-pass-verify
      • Asegúrate de que client-cert-not-required NO esté establecido

  3. Contraseñas de Un Solo Uso Basadas en Tiempo (TOTP):

    • Instala el paquete TOTP en tu MikroTik
    • Configura usuarios con secretos TOTP
    • Configura tu autenticación para requerir códigos TOTP

Optimizando el Rendimiento VPN

Mejora el rendimiento VPN con estos ajustes:

  1. Ajustar Configuración MTU:

    • Encuentra la MTU óptima para tu conexión usando pruebas de ping con la bandera "no fragmentar"
    • Establece la MTU apropiada en tu interfaz VPN
    • Para OpenVPN, valores típicos son 1400-1450
    • Para WireGuard, 1420 es a menudo óptimo

  2. Habilitar Aceleración por Hardware:

    • Si tu modelo MikroTik soporta cifrado por hardware:
      • Ve a System → Resources (Recursos)
      • Comprueba si el cifrado por hardware está disponible y habilitado
      • Para IPsec, ve a IP → IPsec → Settings (Ajustes) y habilita la aceleración por hardware

  3. Elegir Protocolos Eficientes:

    • Usa UDP en lugar de TCP para OpenVPN cuando sea posible
    • Considera WireGuard para mejor rendimiento en RouterOS v7+
    • Usa algoritmos de cifrado modernos que tengan soporte de aceleración por hardware

Implementando Failover y Balanceo de Carga

Para conexiones VPN de misión crítica, implementa failover (conmutación por error) o balanceo de carga:

  1. Failover Dual WAN:

    • Configura múltiples conexiones WAN en tu MikroTik
    • Configura enrutamiento de failover usando marcas de enrutamiento y enrutamiento basado en políticas
    • Configura tu VPN para reconectarse automáticamente si la conexión primaria falla

  2. Redundancia VPN Site-to-Site:

    • Configura múltiples túneles entre sitios usando diferentes conexiones WAN
    • Usa métricas de enrutamiento para priorizar el túnel primario
    • Configura protocolos de enrutamiento dinámico (OSPF o BGP) sobre los túneles VPN para failover automático

  3. Balanceo de Carga:

    • Para múltiples usuarios de acceso remoto, distribúyelos entre múltiples servidores VPN
    • Usa DNS round-robin o un balanceador de carga para distribuir las solicitudes de conexión

Monitorizando y Registrando Conexiones VPN

Configura monitorización completa para tus servicios VPN:

  1. Configurar Registro Detallado:

    • Ve a System → Logging (Registro)
    • Añade una nueva acción de registro para eventos relacionados con VPN
    • Establece los temas apropiados (ej., ppp, ipsec, ovpn)

  2. Configurar Monitorización SNMP:

    • Ve a IP → SNMP
    • Habilita el servicio SNMP
    • Configura cadenas de comunidad y listas de acceso
    • Usa una herramienta de monitorización SNMP para rastrear conexiones VPN y rendimiento

  3. Crear Scripts de Seguimiento de Conexión:

    • Usa scripting de RouterOS para rastrear conexiones VPN
    • Configura alertas por correo electrónico para intentos de conexión fallidos o eventos de túnel caído
    • Ejemplo de script para monitorizar el estado del túnel IPsec y enviar alertas
/system script
add name="monitor-ipsec" source={
    :if ([/ip ipsec policy find where dst-address="192.168.2.0/24" and invalid=yes] != "") do={
        /tool e-mail send to="[email protected]" subject="Túnel IPsec Caído" body="El túnel IPsec a la Sucursal está caído."
    }
}

/system scheduler
add interval=5m name="check-ipsec" on-event=monitor-ipsec start-time=startup

Mini-FAQ

¿Cómo puedo permitir de forma segura la gestión remota de mi router MikroTik a través de VPN?

Crea un perfil VPN separado específicamente para acceso de gestión con ajustes de seguridad más estrictos. Usa reglas de firewall para permitir solo el acceso de gestión (Winbox, SSH, WebFig) desde la subred VPN. Considera implementar listas de acceso basadas en IP y autenticación de dos factores para seguridad adicional.

¿Cuál es la mejor manera de manejar direcciones IP dinámicas para VPNs site-to-site?

Usa servicios de DNS dinámico (DDNS) para rastrear direcciones IP cambiantes. Configura tu IPsec u OpenVPN para usar nombres de host en lugar de direcciones IP. Para IPsec, es posible que necesites usar un script para actualizar las direcciones de los peers cuando cambien. Alternativamente, considera usar la característica "mode-config" de RouterOS para IPsec para manejar el direccionamiento dinámico.

Conclusión

Configurar una VPN en tu router MikroTik proporciona acceso remoto seguro a tus recursos de red y permite conectividad site-to-site segura entre múltiples ubicaciones. En esta guía completa, hemos cubierto varias opciones de implementación de VPN, desde el ampliamente compatible L2TP/IPsec hasta el moderno y eficiente protocolo WireGuard.

Hemos recorrido el proceso paso a paso de configuración de cada tipo de VPN, incluyendo los certificados necesarios, ajustes de cifrado, reglas de firewall y configuraciones de cliente. También hemos explorado configuraciones avanzadas como túnel dividido, autenticación de dos factores y técnicas de optimización de rendimiento para ayudarte a construir una infraestructura VPN robusta y segura.

Los routers MikroTik ofrecen una flexibilidad excepcional y potentes capacidades VPN a una fracción del costo de muchas soluciones empresariales. Siguiendo las instrucciones de esta guía, puedes aprovechar estas capacidades para crear conexiones seguras que protejan tus datos y permitan un acceso remoto sin problemas a tus recursos de red.

Recuerda que la seguridad es un proceso continuo, no una configuración única. Actualiza regularmente tu firmware RouterOS, revisa tus configuraciones VPN, monitoriza los registros en busca de actividad inusual y ajusta tus ajustes de seguridad según sea necesario para mantener una postura de seguridad fuerte.

Para soluciones VPN especializadas adaptadas a tus necesidades específicas, considera las ofertas de servidores MikroTik de TildaVPS, que proporcionan hardware optimizado y entornos preconfigurados para ejecutar servicios VPN robustos con un tiempo de configuración mínimo.

Preguntas Frecuentes (FAQ)

¿Qué protocolo VPN debo elegir para mi router MikroTik?

El mejor protocolo depende de tus necesidades específicas. L2TP/IPsec ofrece amplia compatibilidad con la mayoría de los dispositivos. OpenVPN proporciona un buen equilibrio entre seguridad y flexibilidad. WireGuard (disponible en RouterOS v7+) ofrece el mejor rendimiento y simplicidad. Para conexiones site-to-site entre sucursales, IPsec suele ser la opción preferida debido a su robusta seguridad y amplia adopción empresarial.

¿Cómo soluciono problemas de conexión VPN en MikroTik?

Comienza revisando los registros (System → Logs) en busca de mensajes de error específicos. Verifica que tus reglas de firewall permitan el tráfico VPN en los puertos apropiados. Para VPNs basadas en certificados como OpenVPN, asegúrate de que los certificados estén correctamente firmados y no hayan expirado. Prueba la conectividad usando ping y traceroute para identificar dónde falla la conexión. Para IPsec, comprueba si las asociaciones de seguridad (SAs) están establecidas mirando en IP → IPsec → Active Peers.

¿Puedo ejecutar múltiples servidores VPN en el mismo router MikroTik?

Sí, puedes ejecutar múltiples protocolos VPN simultáneamente en un solo router MikroTik. Por ejemplo, puedes tener L2TP/IPsec para clientes móviles, OpenVPN para trabajadores remotos e IPsec para conexiones site-to-site. Solo asegúrate de que cada servicio use un puerto diferente y tenga las reglas de firewall apropiadas. Ten en cuenta las capacidades de hardware de tu router, ya que ejecutar múltiples servicios VPN con muchos clientes puede ser intensivo en CPU.

¿Cómo puedo mejorar la seguridad VPN en mi router MikroTik?

Mejora la seguridad VPN usando algoritmos de cifrado fuertes (AES-256), implementando autenticación de dos factores, rotando regularmente claves precompartidas y contraseñas, usando autenticación basada en certificados donde sea posible, implementando reglas de firewall estrictas para limitar el acceso solo a los recursos necesarios, y manteniendo tu RouterOS actualizado a la última versión estable para parchear vulnerabilidades de seguridad.

¿Cuántos usuarios VPN concurrentes puede soportar mi router MikroTik?

Esto depende de las especificaciones de hardware de tu router, particularmente la potencia de la CPU y la RAM disponible. Modelos de nivel de entrada como la serie hAP podrían manejar 5-10 usuarios concurrentes, modelos de gama media como el RB4011 pueden soportar 20-30 usuarios, mientras que modelos de gama alta como la serie CCR pueden manejar más de 50 conexiones concurrentes. WireGuard tiende a ser más eficiente que OpenVPN o IPsec, permitiendo más conexiones concurrentes con el mismo hardware.

¿Puedo acceder a mi VPN MikroTik desde dispositivos móviles?

Sí, todos los protocolos VPN discutidos en esta guía pueden usarse desde dispositivos móviles. L2TP/IPsec e IKEv2 tienen soporte nativo en iOS y Android. Para OpenVPN, puedes usar la app oficial OpenVPN Connect. WireGuard tiene excelentes apps móviles para ambas plataformas. Al configurar VPN para dispositivos móviles, considera implementar túnel dividido para optimizar la vida de la batería y el uso de datos.

¿Cómo configuro un servidor VPN en MikroTik que funcione en países con restricciones de internet?

En entornos restrictivos, los puertos VPN estándar a menudo están bloqueados. Configura tu VPN para usar puertos comunes como 443 (HTTPS) o 53 (DNS) que raramente se bloquean. Para OpenVPN, usa TCP en lugar de UDP ya que es más difícil de detectar. Considera implementar técnicas de ofuscación como stunnel u obfsproxy para disfrazar el tráfico VPN. WireGuard se puede configurar para ejecutarse en cualquier puerto, lo que lo hace flexible para eludir restricciones.

¿Cuál es la diferencia entre una VPN de acceso remoto y una VPN site-to-site?

Una VPN de acceso remoto conecta usuarios individuales a una red, permitiéndoles acceder a recursos como si estuvieran físicamente presentes en esa ubicación. Esto es ideal para trabajadores remotos o para acceder a tu red doméstica mientras viajas. Una VPN site-to-site conecta redes enteras entre sí, permitiendo que todos los dispositivos en cada ubicación se comuniquen entre sí. Esto se usa típicamente para conectar sucursales a la sede central o para conectarse a entornos en la nube.

¿Cómo puedo monitorizar quién está conectado a mi VPN MikroTik?

Para monitorización en tiempo real, comprueba las conexiones activas en la sección VPN respectiva (PPP → Active Connections para L2TP y PPTP, IP → IPsec → Active Peers para IPsec, Interface → WireGuard → Peers para WireGuard). Para datos históricos, configura el registro (System → Logging) para registrar eventos de conexión. También puedes usar herramientas de monitorización SNMP o configurar scripts personalizados para rastrear conexiones y generar informes.

¿Es posible restringir el acceso VPN a horarios o días específicos?

Sí, puedes implementar restricciones basadas en tiempo usando scripts del planificador (scheduler) o reglas de firewall. Crea reglas de firewall basadas en tiempo que solo permitan el tráfico VPN durante horas específicas. Alternativamente, usa perfiles de usuario con limitaciones de tiempo o escribe scripts personalizados que habiliten/deshabiliten servicios VPN según un horario. Esto es útil para hacer cumplir el acceso en horario comercial o implementar ventanas de mantenimiento.

Puntos Clave (Key Takeaways)

  • Los routers MikroTik soportan múltiples protocolos VPN incluyendo L2TP/IPsec, OpenVPN, WireGuard e IPsec, dándote flexibilidad para elegir la mejor solución para tus necesidades específicas.

  • WireGuard (disponible en RouterOS v7+) ofrece el mejor rendimiento y simplicidad, mientras que IPsec proporciona seguridad robusta para conexiones site-to-site, y L2TP/IPsec ofrece la compatibilidad de dispositivos más amplia.

  • La configuración adecuada del firewall es esencial para la seguridad VPN - siempre crea reglas específicas para permitir solo el tráfico VPN necesario e implementa controles de acceso adecuados para tus recursos de red.

  • Características avanzadas como túnel dividido, autenticación de dos factores y conexiones redundantes pueden mejorar significativamente la seguridad y usabilidad de tu implementación VPN.

  • La monitorización regular, el registro y el mantenimiento de tu configuración VPN son cruciales para mantener la seguridad y asegurar un rendimiento fiable a lo largo del tiempo.

Glosario

IPsec (Internet Protocol Security): Un conjunto de protocolos que autentica y cifra paquetes IP para proporcionar comunicación cifrada segura entre dispositivos de red.

L2TP (Layer 2 Tunneling Protocol): Un protocolo de túnel utilizado para soportar VPNs, a menudo combinado con IPsec para el cifrado.

OpenVPN: Un protocolo VPN de código abierto que utiliza SSL/TLS para el intercambio de claves y puede operar tanto sobre UDP como TCP.

WireGuard: Un protocolo VPN moderno, más rápido y simple, enfocado en el rendimiento y la facilidad de implementación.

Split Tunneling (Túnel Dividido): Una característica VPN que permite a un usuario acceder a diferentes redes (pública y privada) al mismo tiempo a través de la misma conexión de red física.

Pre-shared Key (PSK) (Clave Precompartida): Un secreto compartido que se utiliza para la autenticación en conexiones VPN.

Certificate Authority (CA) (Autoridad de Certificación): Una entidad que emite certificados digitales, los cuales verifican que una clave pública particular pertenece a una entidad específica.

MTU (Maximum Transmission Unit - Unidad Máxima de Transmisión): El tamaño de la unidad de datos de protocolo más grande que puede ser comunicada en una sola transacción de capa de red.

NAT Traversal: Técnicas para establecer y mantener conexiones a través de traductores de direcciones de red (NAT).

Two-factor Authentication (2FA) (Autenticación de Dos Factores): Un proceso de seguridad en el que los usuarios proporcionan dos factores de autenticación diferentes para verificar su identidad.

Categories:
MikroTik
Tags:
# IPsec# L2TP# OSPF# OpenVPN# Seguridad de las redes# VPN# WireGuard