Las VPN de sitio a sitio son un método fiable para conectar redes separadas de forma segura a través de Internet. En esta guía presentamos un enfoque práctico para configurar una VPN IPsec de sitio a sitio con Mikrotik.
Este artículo cubre todos los pasos necesarios para configurar la conexión entre dos routers Mikrotik y explica los conceptos subyacentes con claridad. La explicación gira en torno a los fundamentos de IPsec, destacando cómo protege el intercambio de datos mediante cifrado y autenticación, sin entrar en detalles técnicos excesivos.
¿Qué es la VPN IPsec de sitio a sitio de Mikrotik?
La VPN IPsec de sitio a sitio de Mikrotik es un método para conectar de forma segura dos redes independientes mediante cifrado IPsec en routers Mikrotik. Esta configuración crea un túnel seguro dedicado que facilita la comunicación entre oficinas o redes remotas, haciendo que el intercambio de datos sea seguro y eficiente.
Con una configuración de VPN IPsec de sitio a sitio en Mikrotik, los administradores de red pueden establecer canales seguros que protegen la integridad de los datos y ofrecen una autenticación sólida. Los routers Mikrotik destacan por su fiabilidad y flexibilidad en la gestión del tráfico de red.
Esta solución VPN de sitio a sitio de Mikrotik emplea protocolos de cifrado avanzados para proteger las transmisiones de datos en redes públicas. La configuración de una VPN IPsec de Mikrotik se apoya en ajustes clave, como la creación de perfiles seguros y la definición de selectores de tráfico, para implementar una VPN completamente funcional.
Las principales ventajas de esta configuración son:
- Transmisión de datos segura mediante cifrado robusto.
- Integridad de los datos verificada con métodos de autenticación fiables.
- Configuración simplificada con soporte para reglas NAT y selectores de tráfico.
- Conectividad remota eficiente para redes distribuidas.
En definitiva, una configuración de VPN IPsec de sitio a sitio con Mikrotik ofrece una solución confiable que combina seguridad sólida y gestión sencilla. Protege la información sensible y permite una comunicación fluida entre redes geográficamente separadas, lo que la convierte en una herramienta de gran valor para administradores de red, profesionales de TI y propietarios de pequeñas empresas.
Con una comprensión clara del concepto y las ventajas de una VPN IPsec de sitio a sitio con Mikrotik, es momento de revisar el trabajo previo necesario. La siguiente sección describe los requisitos previos que sientan las bases para un proceso de configuración sin contratiempos.
Requisitos previos
Antes de comenzar la configuración de Mikrotik IPsec Site-to-Site VPN, conviene revisar los requisitos previos necesarios. Esta sección resume los componentes de hardware y software, el diseño de red y los conocimientos básicos necesarios para llevar a cabo la configuración de Mikrotik IPsec Site-to-Site VPN sin problemas.
Requisitos de hardware y software
- Dos routers Mikrotik con una versión actualizada de RouterOS.
- Asegúrate de que ambos routers ejecuten versiones compatibles de RouterOS, ya que la sintaxis de configuración y la disponibilidad de funciones pueden variar entre versiones.
- Una conexión a Internet estable con una dirección IP pública fija para cada sede, o una solución DNS dinámica (DDNS).
- Si usas direcciones IP dinámicas, implementa DNS dinámico (DDNS) para garantizar el establecimiento fiable del túnel.
- Configura los routers para que actualicen sus registros DDNS cada vez que cambie la dirección IP.
- Los dispositivos de red mínimos necesarios para el proceso de configuración, como un switch o router fiable para la red interna.
Visión general de la arquitectura de red
Un diseño de red bien planificado es fundamental para configurar un Mikrotik Site-to-Site VPN. Cada sede debe tener su propio esquema de direccionamiento IP con rangos de src address y dst address claramente definidos. Si un router está detrás de un NAT, puede ser necesario aplicar configuraciones adicionales como reglas NAT y ajustes en la cadena srcnat.
Estar familiarizado con conceptos como túnel IPsec, selector de tráfico y configuraciones de lista de direcciones será útil durante esta configuración de Mikrotik IPsec Site-to-Site VPN. Además, tener nociones básicas de protocolos de red y gestión de firewall es beneficioso, ya que esta configuración de Mikrotik IPsec VPN implica integrar distintos componentes de red para crear una conexión segura.
Para profundizar en la configuración de red, consulta nuestro artículo sobre conceptos básicos de configuración de Mikrotik RouterOS.
Con los fundamentos de hardware, software y red ya establecidos, el siguiente paso es pasar a la configuración propiamente dicha. La guía a continuación ofrece un proceso paso a paso para establecer una conexión segura de Mikrotik IPsec Site-to-Site VPN.
Cómo configurar un Mikrotik IPsec Site-to-Site VPN
Esta sección recorre cada etapa de la configuración de Mikrotik IPsec Site-to-Site VPN. El proceso se divide en tres pasos principales: configuración inicial, configuración de IPsec en Mikrotik y prueba del túnel VPN.
Las instrucciones que siguen forman la base de una configuración sólida de Mikrotik IPsec Site-to-Site VPN e incluyen comandos y detalles de configuración para una implementación fiable.
Paso 1: Configuración inicial
Empieza configurando los ajustes básicos de red en ambos routers Mikrotik. Asigna las direcciones IP correctas a cada dispositivo y verifica que cada router sea accesible a través de su IP pública. En una configuración típica de Mikrotik IPsec Site-to-Site VPN, un router situado detrás de NAT puede requerir reglas NAT adicionales y ajustes en la cadena srcnat.
- Comprueba que los rangos de src y dst address estén correctamente definidos para tus segmentos de red.
- Una prueba de ping rápida de una sede a la otra ayuda a verificar la conectividad antes de avanzar a la configuración detallada de IPsec.
Si el túnel no se establece:
- Verifica que los selectores de tráfico en la política IPsec coincidan con los rangos de dirección de origen y destino previstos.
- Confirma que la configuración del grupo DH y el algoritmo de cifrado sean consistentes en ambos extremos.
- Si los routers usan nombres DNS dinámicos para resolver las direcciones remotas, comprueba que la configuración de IP DNS sea correcta.
Consideración de seguridad: Ten cuidado al usar autenticación mediante clave precompartida (PSK), ya que presenta vulnerabilidades conocidas frente a ataques offline, incluso en los modos de intercambio 'main' e 'ike2'. Para mayor seguridad, considera usar autenticación basada en certificados.
Además, ambos routers deben estar sincronizados con fuentes de tiempo precisas, ya que IPsec es sensible a las diferencias horarias. Si los relojes del sistema no están alineados, el túnel puede fallar al establecerse.
Esta verificación inicial es clave para una transición fluida hacia la configuración del túnel IPsec. Sienta las bases para los comandos posteriores que forman el núcleo de la implementación de Mikrotik Site-to-Site VPN.
Paso 2: Configurar IPsec en Mikrotik
Una vez verificada la conectividad básica, el siguiente paso es configurar los parámetros IPsec en cada router Mikrotik. En esta etapa se definen las propuestas, los peers y las políticas para establecer el túnel seguro. Sigue estos pasos para completar la configuración IPsec Site-to-Site VPN en Mikrotik:
Creación de propuestas y perfiles IPsec:
Empieza definiendo la propuesta IPsec. Usa el comando para crear una propuesta que especifique el algoritmo de cifrado (por ejemplo, AES-256) y el grupo Diffie-Hellman (DH) (por ejemplo, modp2048 o modp8192). El grupo DH 14 (2048 bits) ofrece un buen equilibrio entre seguridad y rendimiento. AES-256 es la opción recomendada si necesitas un perfil de seguridad más exigente. Esta propuesta establece los parámetros base de cifrado y autenticación. El comando sería algo como:
| /ip ipsec proposal add name="default-proposal" auth-algorithms=sha1 enc-algorithms=aes-256-cbc dh-group=modp2048 |
Este comando establece la base para una configuración segura de Mikrotik IPsec VPN mediante un estándar criptográfico de confianza. En entornos que admitan IKEv2, puedes ajustar los parámetros y seleccionar exchange-mode=ike2 en la configuración del peer para aprovechar sus mejoras de seguridad.
Configuración de peers IPsec:
A continuación, añade el peer remoto con el comando ip IPsec peer add address. Introduce la IP pública del router remoto junto con los parámetros local-address necesarios. Por ejemplo:
| /ip ipsec peer add address=<remote-public-ip> local-address=<local-public-ip> exchange-mode=main nat-traversal=yes dpd-interval=30s dpd-maximum-failures=5 |
Este paso define la dirección remota del túnel y contribuye a establecer una conexión estable como parte de la configuración Mikrotik Site-to-Site VPN. Si se opta por autenticación basada en certificados en lugar de claves precompartidas, configura una entrada de identidad IPsec con el siguiente comando de ejemplo:
| /ip ipsec identity add certificate=<certificate> auth-method=certificate |
Definición de políticas IPsec:
Establece las políticas que determinan qué tráfico cifra el túnel VPN. Usa el comando ip ipsec policy add para especificar las direcciones src y dst que forman el selector de tráfico. Si tu configuración de red lo requiere (por ejemplo, si el router tiene varias interfaces locales), añade sa-src-address=<local-public-ip> para definir claramente el origen de las asociaciones de seguridad. Un ejemplo del comando sería:
| /ip ipsec policy add src-address=<local-network> dst-address=<remote-network> sa-src-address=<local-public-ip> sa-dst-address=<remote-public-ip> tunnel=yes action=encrypt proposal=default-proposal |
Este comando indica al router MikroTik qué tráfico debe proteger, y es una parte fundamental de la configuración IPsec site-to-site de MikroTik VPN.
Consideraciones adicionales:
Si alguno de los routers está detrás de un dispositivo NAT, activa NAT Traversal (NAT-T) y asegúrate de que el puerto 4500 de UDP esté permitido en el firewall. Esto permite que el tráfico IPsec atraviese dispositivos NAT correctamente. Verifica que los selectores de tráfico estén configurados correctamente para capturar los flujos de datos deseados.
Se recomienda activar la Detección de Pares Muertos (DPD) en los pares IPsec para detectar pérdidas de conexión y recuperarse de ellas de forma automática. Los parámetros dpd-interval y dpd-maximum-failures permiten configurar este comportamiento.
Ten en cuenta que la sintaxis de algunos comandos y los parámetros disponibles pueden variar según la versión de RouterOS. Consulta siempre la documentación oficial de Mikrotik para ver los detalles específicos de cada versión.
En este punto, es importante aplicar los comandos con cuidado. Para configurar Mikrotik IPsec Site-to-Site VPN de forma fiable, conviene verificar cada paso antes de continuar con el siguiente.
Paso 3: Probar el túnel VPN
Una vez completada la configuración, prueba el túnel VPN para verificar que el IPsec Site-to-Site VPN de Mikrotik funciona correctamente. Usa los comandos integrados de Mikrotik para comprobar el estado del túnel IPsec. Monitorizar los paquetes IPsec y revisar los registros de conexión te permitirá saber si el túnel está activo. Un comando habitual para la verificación sería:
| /ip ipsec active-peers print |
Este comando muestra el estado de los peers configurados y ayuda a identificar posibles problemas.
Durante la fase de pruebas, presta atención a problemas comunes como discrepancias en las propuestas de cifrado o reglas NAT mal configuradas. Si el túnel no se establece, verifica que los selectores de tráfico en el comando ip ipsec policy add coincidan con los rangos de src address y dst address previstos.
Confirma que el grupo DH modp2048 y los parámetros de enc algorithm sean idénticos en ambos extremos. Estos pasos de resolución de problemas son fundamentales para una configuración correcta de Mikrotik IPsec VPN y evitan retrasos durante el proceso de configuración.
Un procedimiento de prueba sistemático confirmará que el Mikrotik IPsec Site-to-Site VPN funciona de forma segura y fiable. Si los problemas persisten, revisa los pasos de configuración y consulta recursos oficiales como Guía de resolución de problemas de VPN para obtener ayuda adicional.
Con la configuración completada y el túnel verificado, la siguiente sección recoge las buenas prácticas y consejos para mejorar el rendimiento y la seguridad de tu conexión.
Buenas prácticas y consejos para Mikrotik IPsec Site-to-Site VPN
Una red segura requiere seguir pautas específicas durante la configuración de un Mikrotik IPsec Site-to-Site VPN. Es importante aplicar medidas sólidas de cifrado y autenticación; se recomienda usar cifrado AES-256 junto con claves precompartidas.
Actualiza regularmente el firmware de RouterOS para corregir vulnerabilidades conocidas. Aplica reglas de firewall estrictas que permitan el tráfico IPsec solo desde rangos de IP de confianza, y considera usar métodos de autenticación más robustos, como certificados, en lugar de PSK.
Realizar una copia de seguridad de la configuración tras completar la instalación con éxito también ofrece una opción de restauración rápida ante cualquier problema.
Las reglas de firewall que restringen el acceso a rangos de IP de confianza añaden una capa adicional de protección. Los routers detrás de NAT requieren una configuración cuidadosa de las reglas NAT para mantener la estabilidad del túnel. Ajustar parámetros como los selectores de tráfico y los esquemas de direccionamiento garantiza que el túnel capture los flujos de datos correctos.
La revisión detallada de los registros con comandos como /ip IPsec active-peers print ayuda a identificar problemas comunes, como discrepancias en las propuestas de cifrado o en las claves precompartidas. Las evaluaciones periódicas de la conexión y las sesiones programadas de diagnóstico contribuyen a mantener un rendimiento óptimo.
Sin embargo, nada de esto importa si no dispones de una red e infraestructura adecuadas. Por eso te recomendamos Mikrotik VPS de Cloudzy. Ofrecemos CPUs de alto rendimiento de hasta 4,2 GHz, 16 GB de RAM, 350 GB de almacenamiento NVMe SSD para transferencias de datos ultrarrápidas y conexiones de 10 Gbps. Con un uptime del 99,95 % y soporte 24/7, garantizamos fiabilidad cuando más la necesitas.
Conclusiones
Ya tienes todo lo necesario para establecer un Mikrotik IPsec Site-to-Site VPN. Hemos repasado una visión general del concepto y las ventajas de un túnel seguro entre redes, así como los requisitos de hardware, software y red para una configuración sin contratiempos.
A continuación, detallamos el proceso de configuración dividiéndolo en etapas diferenciadas: configuración básica de la red, configuración de los parámetros IPsec y pruebas exhaustivas del túnel VPN. También cubrimos las buenas prácticas y los consejos de rendimiento que respaldan una instalación fiable de Mikrotik IPsec VPN.
Siguiendo estos pasos claros y detallados, administradores de red, profesionales de TI y propietarios de pequeñas empresas pueden lograr una configuración fiable de Mikrotik IPsec Site-to-Site VPN. Para más información y configuraciones avanzadas, visita la documentación oficial de Mikrotik.
