50% de descuento Todos los planes, tiempo limitado. A partir de $2.48/mo
Quedan 9 minutos
Seguridad y redes

Configuración de MikroTik L2TP VPN (con IPsec): Guía de RouterOS (2026)

Rexa Ciro By Rexa Ciro 9 minutos de lectura Actualizado hace 4d
Una imagen de título de Cloudzy para una guía de VPN MikroTik L2TP, que muestra una computadora portátil que se conecta a un rack de servidores a través de un túnel digital azul y dorado brillante con íconos de escudo.

En esta configuración de VPN MikroTik L2TP, L2TP maneja el túnel mientras IPsec maneja el cifrado y la integridad; emparejarlos le brinda compatibilidad con el cliente nativo sin agentes de terceros. Validar los límites de su hardware criptográfico sigue siendo una prioridad absoluta.

Ignorar la sobrecarga de encapsulación que introduce esta pila de protocolo dual sofoca silenciosamente las implementaciones antes de que procesen un solo megabyte.

¿Qué es MikroTik L2TP VPN?

Por su diseño fundamental, el L2TP funciona puramente como un puente de transporte hueco. Proporciona un cifrado inherente absolutamente nulo para el tráfico en movimiento a través de redes hostiles.

Para agregar cifrado e integridad, los arquitectos de redes combinan L2TP con IPsec; el resultado es una pila de protocolo dual donde L2TP envuelve el túnel e IPsec protege la carga útil. Esta arquitectura híbrida sigue siendo la mejor opción para la compatibilidad heredada sin implementar agentes invasivos de terceros.

Comprender esta dependencia de doble protocolo dicta estrictamente cómo construir excepciones del cortafuegos. Su configuración de MikroTik VPN se romperá instantáneamente si falla el enrutamiento UDP o el proceso de encapsulación IPsec subyacente.

Cómo funciona

Establecer esta conexión segura exige un protocolo de enlace de red preciso de dos etapas. IKE Fase 1 primero arbitra la asociación de seguridad criptográfica utilizando su complejo Clave previamente compartida.

Una vez que este muro invisible se levanta, la Fase 2 construye el túnel L2TP directamente dentro de la carga útil cifrada. Si cualquiera de las fases falla debido a una discrepancia de PSK, una discrepancia de propuesta, UDP 500/4500 bloqueado o problemas de manejo de NAT, el túnel no funcionará. En algunos casos extremos de Windows NAT-T, también puede ser necesario un cambio en el registro.

El proceso de doble encapsulación

Los datos en vuelo en una configuración VPN MikroTik L2TP se someten a un severo proceso de empaquetado. Entra en un estándar marco de APP, está envuelto por el protocolo L2TP y blindado por IPsec ESP.

Un brillante cubo de datos digitales está encerrado de forma segura dentro de un cilindro azul translúcido y un pesado anillo metálico plateado, lo que ilustra un proceso de encapsulación de múltiples capas.

Esta sobrecarga agravada infla agresivamente las dimensiones de los paquetes, empujándolos mucho más allá de la red estándar. Unidad de transmisión máxima límites. Esta inflación repentina desencadena inevitablemente una violenta fragmentación de paquetes en entornos de alta latencia.

Si su empresa valora la velocidad absoluta en lugar de los túneles profundos, consulte nuestra guía sobre Configuración de Shadowsocks, que proporciona una alternativa convincente y de bajo costo. Sostengo que la creación de túneles pesados ​​suele ser excesiva para aplicaciones empresariales simples basadas en web.

¿Cómo configurar MikroTik L2TP VPN?

La implementación de un servidor fortificado en RouterOS v7 exige precisión absoluta. Para una configuración más limpia, proporcione al enrutador una dirección accesible públicamente o un nombre DNS estable. Se prefiere una IP pública estática, pero no es obligatoria en todas las implementaciones.

Debe obtener una copia de seguridad de la configuración de inmediato, ya que las políticas de IPsec incumplidas lo bloquearán. Revise nuestra guía sobre estándar Reenvío de puertos Mikrotik documentación antes de manipular cadenas de tráfico criptográfico. Siga con precisión esta configuración de VPN MikroTik L2TP. Acelerar las reglas de firewall en un enrutador de producción en vivo es un desastre garantizado.

Paso 1: crear el grupo de IP y el perfil PPP

Debe definir direcciones IP locales. Los clientes que se conectan reciben estas IP.

  1. Abra el menú IP. Haga clic en la opción Piscina.
  2. Haga clic en el botón Agregar. Asigne al grupo el nombre vpn-pool.
  3. Establezca su rango de IP específico.
  4. Abra el menú PPP. Haga clic en la opción Perfiles.
  5. Haga clic en el botón Agregar. Asigne al perfil el nombre l2tp-profile.
  6. Asigne la dirección local a la puerta de enlace de su enrutador.
  7. Configure la dirección remota en vpn-pool.

Paso 2: habilite el servidor global y IPsec

Este paso activa el oyente L2TP global en su configuración VPN MikroTik L2TP. RouterOS adjunta el cifrado IPsec dinámicamente una vez que lo habilita.

  1. Abra el menú PPP. Haga clic en la opción Interfaz.
  2. Haga clic en el botón Servidor L2TP.
  3. Marque la casilla de verificación Habilitado.
  4. Seleccione el perfil L2TP como perfil predeterminado.
  5. Seleccione Requerir en Usar IPsec, a menos que necesite intencionalmente un respaldo que no sea IPsec para un caso de laboratorio o migración.
  6. Escriba una cadena compleja en el campo Secreto de IPsec.

Paso 3: Agregar usuarios de PPP (secretos)

Su servidor requiere cuentas de usuario. Debe crear credenciales de autenticación de cliente remoto. La siguiente parte de la configuración de su VPN MikroTik L2TP pasa al perfil PPP.

  1. Abra el menú PPP. Haga clic en la opción Secretos.
  2. Haga clic en el botón Agregar.
  3. Escriba un nombre único. Escriba una contraseña segura.
  4. Configure el servicio en L2TP.
  5. Establezca el perfil en l2tp-profile.

Paso 4: configurar las reglas del firewall (prioridad)

Su firewall bloquea la negociación de IPsec. Debes colocar estas reglas en tu cadena de entrada.

Un enrutador de red azul oscuro y plateado presenta cables ópticos brillantes conectados a sus puertos, etiquetados explícitamente con "UDP 500", "UDP 4500" e "IPsec-ESP".

  1. Acepte el puerto UDP 500. Esto maneja las asociaciones de seguridad de la Fase 1.
  2. Acepte el puerto UDP 4500. Esto procesa NAT Traversal.
  3. Acepte el puerto UDP 1701 para el establecimiento del enlace L2TP. Después de la configuración, el tráfico relacionado puede utilizar otros puertos UDP según lo negociado.
  4. Acepte el protocolo IPsec-ESP. Esto permite cargas útiles cifradas del Protocolo 50.

Si los clientes VPN necesitan acceso enrutado a subredes internas, agregue también reglas de coincidencia de políticas IPsec en la cadena de avance y exima el tráfico coincidente de srcnat/masquerade. La omisión de FastTrack por sí sola no es suficiente para todos los casos de IPsec enrutado.

Paso 5 y 6: Optimice las políticas predeterminadas y los perfiles de pares

RouterOS utiliza plantillas dinámicas predeterminadas. Debes asegurarlos manualmente.

  1. Abra el menú IP. Haga clic en la opción IPsec. Haga clic en la pestaña Propuestas.
  2. Verifique el parámetro hash sha256. Verifique el cifrado AES-256 CBC.
  3. Configure el grupo PFS como mínimo en modp2048, o en un grupo más fuerte si todas las plataformas de clientes dentro del alcance lo admiten. No utilice modp1024; RFC 8247 lo marca como NO DEBE.
  4. Haga clic en la pestaña Perfiles. Establezca Hash en sha256. Establezca el cifrado en aes-256.
  5. Marque NAT Traversal si los clientes o el servidor pueden estar detrás de NAT. Esto permite que IPsec funcione correctamente sobre UDP 4500 en rutas NAT.

Todos los valores de la propuesta, incluido el grupo PFS, el algoritmo hash y el cifrado de cifrado, deben coincidir con lo que realmente admiten las plataformas de su cliente; Los desajustes harán que la Fase 2 falle silenciosamente.

Optimización avanzada (sin pasar por FastTrack)

La regla IPv4 FastTrack predeterminada acelera artificialmente el reenvío de paquetes. Esto rutinariamente destruye los túneles IPsec porque acelera los paquetes antes de que ocurra el ciclo de cifrado.

Un pesado vehículo blindado plateado viaja con seguridad por un carril de circunvalación elevado denominado "tráfico criptográfico IPSec", evitando el turbulento río digital azul que se encuentra debajo con la etiqueta "FastTrack".

Debe omitir explícitamente FastTrack para todo el tráfico criptográfico. Cree una regla de aceptación utilizando IPsec Policy=in,ipsec matchers. Arrastre esta regla encima de FastTrack. Su configuración de MikroTik VPN se estabilizará una vez que esté en su lugar.

Si los clientes VPN necesitan acceso enrutado a subredes internas, agregue también reglas de coincidencia de políticas IPsec en la cadena de avance y exima el tráfico coincidente de srcnat/masquerade. La omisión de FastTrack por sí sola no es suficiente para todos los casos de IPsec enrutado.

Características y beneficios clave

Muchos equipos todavía eligen una configuración VPN MikroTik L2TP en lugar de modelos de confianza cero para conservar la compatibilidad del sistema operativo nativo y evitar agentes de terceros. Sin embargo, los administradores de sistemas veteranos continúan adoptando esta pesada sobrecarga de IPsec únicamente para mantener una absoluta comodidad administrativa. La integración del sistema operativo nativo elimina quirúrgicamente los agentes de software de terceros conflictivos de sus puntos finales.

A menudo observo que las herramientas nativas del sistema operativo duran más que los agentes de terceros más populares. Saltarse estas implementaciones obligatorias de clientes ahorra fácilmente a los departamentos de soporte técnico cientos de horas desperdiciadas al año. Finalizar esta configuración de MikroTik L2TP VPN impone duras realidades de hardware, que se detallan a continuación.

Área de características Impacto del enrutador OS
Estándar de seguridad El cifrado IPsec AES-256 protege contra ataques de intermediario.
Compatibilidad Amplio soporte integrado en plataformas Windows y Apple, con soporte específico para plataformas y versiones en otros sistemas.
Gastos generales de CPU El rendimiento de IPsec depende del modelo de enrutador, la CPU, el patrón de tráfico, el conjunto de cifrado y el soporte de descarga. En hardware compatible, RouterOS puede utilizar aceleración IPsec como AES-NI.
Complejidad del cortafuegos Las reglas del firewall varían según la topología, pero L2TP/IPsec comúnmente implica UDP 500, UDP 4500, tráfico de control L2TP y manejo de políticas IPsec.

Seguridad y compatibilidad nativa

La ventaja de seguridad definitoria de esta configuración VPN MikroTik L2TP es el conjunto criptográfico AES-256. Las matemáticas resultan sólidas. Aún así, las puertas de enlace de borde expuestas continúan actuando como objetivos masivos para los conjuntos de escaneo automatizados. Un reciente Informe CISA 2024 confirmó que las puertas de enlace VPN expuestas generan aproximadamente el 22% de los vectores de acceso iniciales de ransomware a nivel mundial.

Un servidor central plateado con un ícono de escudo se conecta perfectamente a una computadora portátil con Windows, una MacBook, una terminal Linux, un dispositivo iOS y un teléfono inteligente Android.

El filtrado riguroso de la lista de direcciones es una prioridad no negociable. Confiar en un puerto expuesto sin filtrado de direcciones es negligencia operativa. Si se enfrenta a una inspección profunda de paquetes, consulte nuestro artículo sobre cómo implementar un VPN ofuscada para superar la censura activa.

Consideraciones de rendimiento (descarga de hardware)

Sin aceleración de hardware, la CPU maneja todo el cifrado en línea, lo que puede llevar el uso de un solo núcleo al límite y arrastrar el rendimiento muy por debajo de la velocidad de la línea; La propia de MikroTik Documentos de aceleración de hardware IPsec Confirma esto directamente.

Un bastidor de servidores plateado se encuentra protegido bajo una cúpula de energía azul brillante. Los escudos metálicos flanqueantes desvían rayos láser rojos hostiles, simbolizando una sólida defensa de entrada.

Para mantener sus túneles IPsec funcionando a máxima velocidad de línea sin cuellos de botella en la CPU, necesita hardware que realmente pueda manejar la carga. En Cloudzy, nuestro MicroTik VPS le ofrece CPU Ryzen 9 de alta frecuencia, almacenamiento NVMe y redes de 40 Gbps; diseñado específicamente para exactamente este tipo de carga de trabajo criptográfica.

Una CPU AMD Ryzen centrada en una placa de circuito azul oscuro, con trazos brillantes de color blanco que irradian en diagonal

Casos de uso típicos

L2TP/IPsec domina de forma segura escenarios de transporte altamente aislados en lugar del enrutamiento web general. A Análisis de Gartner 2025 reveló que el 41% de las redes perimetrales empresariales todavía dependen en gran medida de protocolos nativos para evitar costosas licencias de terceros.

La silueta de una mujer profesional en una computadora portátil se conecta a través de un túnel plateado brillante y seguro a través de un mapa mundial digital directamente a un edificio de oficinas corporativas.

Estos protocolos heredados siguen profundamente arraigados en miles de millones de dispositivos globales. Esta configuración de VPN MikroTik L2TP sobresale notablemente cuando se aplican estrictos límites de firewall que restringen el acceso exclusivamente a las subredes internas de la empresa. El uso de este protocolo para la navegación web de túnel completo es una mala asignación de recursos fundamental.

Acceso de trabajadores remotos y restricciones de sitio a sitio

Esta configuración de protocolo específica prospera cuando permite a los empleados remotos individuales marcar a una LAN de la oficina central. Además, el contenedor L2TP agrega una latencia pesada e innecesaria a los enrutadores de sucursales estáticos.

Considero firmemente que es terriblemente ineficiente unir permanentemente dos oficinas físicas distintas. Para vincular sucursales corporativas permanentes, consulte nuestro artículo sobre cómo seguir un VPN de sitio a sitio guía.

Conclusión

Una configuración de VPN MikroTik L2TP diseñada correctamente proporciona a su fuerza laboral remota acceso nativo, evitando el exceso de software de terceros. Los protocolos modernos dominan actualmente los titulares de las redes, pero son inquebrantables Cifrado IPsec AES-256 convierte a esta arquitectura en un titán empresarial indiscutible.

La configuración correcta de NAT-T ayuda a evitar algunas fallas de la Fase 2 en rutas NAT, pero las discrepancias de PSK, las discrepancias de propuestas y los problemas de firewall aún pueden interrumpir la negociación. Recuerde que L2TP e IPsec juntos agregan una sobrecarga de encapsulación y reducen su MTU efectiva. El costo de rendimiento proviene del empaquetado adicional de paquetes, no de una segunda capa de cifrado.

La propia de MikroTik Documentación IPsec confirma que la aceleración de hardware utiliza un motor de cifrado integrado dentro de la CPU para acelerar el proceso de cifrado; sin él, todo el trabajo criptográfico recae en la CPU principal y el rendimiento cae considerablemente. 

La implementación de su arquitectura en enrutadores equipados con aceleradores criptográficos nativos evita los cuellos de botella de la CPU y mantiene su red funcionando a máxima velocidad.

Preguntas frecuentes

¿Cómo soluciono los errores de negociación fallida de la fase 1?

En Windows, pruebe el Suponga que UDPEncapsulationContextOnSendRule cambio de registro solo para casos extremos de NAT-T, especialmente si el servidor VPN está detrás de NAT o tanto el cliente como el servidor están detrás de NAT.

¿Por qué mi conexión se cae constantemente?

En una configuración VPN MikroTik L2TP, las transferencias de datos pesadas pueden disminuir debido a discrepancias en MTU. Debe forzar un tamaño de MTU más bajo para eliminar la fragmentación de paquetes. Edite su perfil L2TP. Establezca el valor Cambiar TCP MSS en sí. Esta acción estabiliza tu conexión remota al instante.

¿Qué hardware necesito para esto?

Necesita RouterOS v7 y una dirección de acceso público o un nombre DNS estable. Se prefiere un IPv4 público estático, pero no es obligatorio en todas las implementaciones. El rendimiento de IPsec depende del modelo de enrutador, la arquitectura de la CPU, el soporte de descarga, la elección de cifrado y el patrón de tráfico.

¿Funciona bien en RouterOS v7?

Sí, RouterOS v7 admite bien esta configuración en hardware compatible, pero el comportamiento final aún depende de la compatibilidad del cliente, las reglas del firewall y la configuración de IPsec. La lógica de configuración subyacente refleja directamente la versión 6, lo que facilita la transición para los ingenieros de redes veteranos.

¿Cuál es la diferencia entre PPTP y L2TP/IPsec?

PPTP está desactualizado y presenta vulnerabilidades bien documentadas que lo hacen inadecuado para nuevas implementaciones. Una configuración VPN MikroTik L2TP es la opción más segura; IPsec proporciona la capa de cifrado e integridad, mientras que L2TP maneja la tunelización. Nunca implemente PPTP dentro de una red empresarial.

¿Es seguro utilizar esta configuración en 2026?

La configuración MikroTik L2TP/IPsec puede seguir siendo una opción válida en 2026 para la compatibilidad con el cliente nativo, pero su seguridad y confiabilidad dependen de la configuración correcta de IPsec, la política de firewall, los parches y la compatibilidad del cliente.

Compartir

Más del blog

Sigue leyendo.

Ventana de terminal que muestra un mensaje de advertencia SSH sobre el cambio de identificación del host remoto, con el título de Fix Guide y la marca Cloudzy sobre un fondo verde azulado oscuro.
Seguridad y redes

Advertencia: la identificación del host remoto ha cambiado y cómo solucionarlo

SSH es un protocolo de red seguro que crea un túnel cifrado entre sistemas. Sigue siendo popular entre los desarrolladores que necesitan acceso remoto a las computadoras sin necesidad de un gráfico.

Rexa CiroRexa Ciro 10 minutos de lectura
Ilustración de la guía de solución de problemas del servidor DNS con símbolos de advertencia y servidor azul sobre fondo oscuro para errores de resolución de nombres de Linux
Seguridad y redes

Fallo temporal en la resolución de nombres: ¿Qué significa y cómo solucionarlo?

Mientras usa Linux, puede encontrar una falla temporal en el error de resolución de nombres al intentar acceder a sitios web, actualizar paquetes o ejecutar tareas que requieren una conexión a Internet.

Rexa CiroRexa Ciro 12 minutos de lectura
Cómo apuntar un dominio a VPS: una guía rápida
Seguridad y redes

Cómo apuntar un dominio a VPS: una guía rápida

Es necesario apuntar un dominio a un servidor privado virtual para alojar sitios web y aplicaciones. Esta guía cubre todo lo que necesita saber sobre cómo conectar su dominio a su

Rexa CiroRexa Ciro 16 minutos de lectura

¿Listo para implementar? Desde $2,48/mes.

Nube independiente, desde 2008. AMD EPYC, NVMe, 40 Gbps. Devolución de dinero en 14 días.

Implementar un VPS Ver todos los planes