Configuración de VPN en MikroTik: Conectando Redes de Forma Segura y Eficiente

By /

La necesidad de interconectar redes remotas de manera segura es una preocupación constante en el mundo de la tecnología. Cuando nos enfrentamos a escenarios donde uno de los sitios no dispone de una dirección IP pública (lo que se conoce como "Nateado"), pero sí contamos con una IP pública en otro sitio, la configuración de una Red Privada Virtual (VPN) se presenta como una solución robusta. MikroTik RouterOS, un sistema operativo ampliamente utilizado en routers, ofrece diversas opciones para establecer estas conexiones seguras, permitiendo el acceso a recursos de red local desde ubicaciones remotas. Este artículo detalla cómo configurar una VPN en MikroTik, centrándose en los protocolos PPTP y L2TP/IPSec, y abordando los pasos necesarios para asegurar la comunicación entre sitios o el acceso de empleados a la red corporativa.

Diagrama de dos redes conectadas por VPN a través de un router MikroTik

Comprendiendo los Protocolos VPN en MikroTik

MikroTik RouterOS soporta una variedad de tipos de VPN, cada uno con sus propias características y niveles de seguridad. Entre los más comunes se encuentran PPTP (Point-to-Point Tunneling Protocol), L2TP (Layer 2 Tunneling Protocol), OpenVPN, y SSTP (Secure Socket Tunneling Protocol). La elección del protocolo dependerá de los requisitos específicos de seguridad, rendimiento y compatibilidad.

  • PPTP: Aunque es rápido y relativamente fácil de implementar, PPTP es considerado menos seguro debido a vulnerabilidades conocidas. Sin embargo, puede ser una opción viable para escenarios que no requieren un cifrado extremadamente robusto.
  • L2TP/IPSec: L2TP es una versión actualizada del protocolo PPTP. Aunque los protocolos de autenticación son los mismos, L2TP tiene la ventaja de soportar IPSec, lo que le confiere la capacidad de proteger los datos que viajan por el túnel. El túnel L2TP utiliza el puerto de comunicación UDP 1701 para establecer el enlace. La combinación de L2TP con IPSec proporciona un nivel de seguridad significativamente mayor que PPTP por sí solo.
  • OpenVPN: Es un protocolo de código abierto muy seguro y flexible, ampliamente recomendado para la mayoría de las aplicaciones VPN.
  • SSTP: Un protocolo propietario de Microsoft que utiliza SSL/TLS para crear túneles VPN, ofreciendo buena seguridad y la capacidad de atravesar firewalls.

Configuración de una VPN PPTP en MikroTik

Para aquellos escenarios que requieren una solución rápida y de fácil implementación, la configuración de una VPN PPTP en MikroTik es una opción. A lo largo de esta actividad, establecimos una conexión PPTP, configurando tanto el router como el cliente, y aplicamos reglas de firewall y NAT para asegurar el acceso y la privacidad de los datos en tránsito.

Pasos para la Configuración del Servidor PPTP

  1. Habilitar el Servidor PPTP:En el router MikroTik, navegue a PPP -> Interface -> PPTP Server. Marque la casilla Enabled para activar el servidor. Configure los parámetros de Default Profile y User/Password Authentication según sea necesario.

  2. Crear un Perfil PPTP:Diríjase a PPP -> Profiles. Haga clic en Add New para crear un nuevo perfil. Asigne un nombre al perfil (por ejemplo, pptp-profile) y configure los Local Address (la IP del servidor dentro del túnel) y Remote Address (el pool de IPs que se asignarán a los clientes VPN).

  3. Crear un Usuario PPTP:Vaya a PPP -> Secrets. Presione Add New para crear un nuevo usuario. Introduzca un Name (nombre de usuario), Password (contraseña segura) y asigne el Service a pptp. En Profile, seleccione el perfil PPTP que creó anteriormente.

  4. Configurar el Firewall:Es crucial configurar las reglas del firewall para permitir el tráfico PPTP. Navegue a IP -> Firewall -> Filter Rules.

    • Permitir tráfico PPTP: Agregue una regla con Chain: input, Protocol: tcp, Dst. Port: 1723 y Action: accept.
    • Permitir GRE: Agregue otra regla con Chain: input, Protocol: gre y Action: accept.

  5. Configurar NAT (Network Address Translation):Para permitir que los clientes VPN accedan a Internet a través del router MikroTik, es necesario configurar una regla NAT. Vaya a IP -> Firewall -> NAT.

    • Agregue una regla con Chain: srcnat, Src. Address: [Rango de IPs de los clientes VPN] (por ejemplo, 192.168.88.0/24 si ese es su pool de IPs VPN), Out. Interface: [Interfaz de salida a Internet] y Action: masquerade.

Captura de pantalla de la configuración del servidor PPTP en MikroTik

Conexión desde un Dispositivo Cliente PPTP

Después de configurar la VPN en el router MikroTik, es necesario establecer la conexión desde un dispositivo cliente. Los pasos varían según el sistema operativo del cliente (Windows, macOS, Linux, Android, iOS). Generalmente, implicará crear una nueva conexión VPN, seleccionar PPTP como tipo de VPN, e introducir la dirección IP pública del router MikroTik, el nombre de usuario y la contraseña creados en el router.

Configuración de una VPN L2TP/IPSec en MikroTik

L2TP/IPSec ofrece una solución más segura que PPTP, siendo una opción preferida para muchos administradores de red. La configuración de una VPN en MikroTik 6.46 para permitir el acceso seguro a la red local desde ubicaciones remotas es un proceso que requiere atención a los detalles, especialmente en lo que respecta a la seguridad y el rendimiento.

Pasos para la Configuración del Servidor L2TP/IPSec

  1. Habilitar el Servidor L2TP/IPSec:En el router MikroTik, navegue a PPP -> Interface -> L2TP Server. Active la casilla Enabled. Es fundamental activar Use IPsec y definir un IPsec Secret (secreto de clave compartida para IPSec). Este secreto debe ser una contraseña fuerte y segura.

    Ejemplo:/interface l2tp-server server set enabled=yes use-ipsec=yes ipsec-secret=Arr3and0Ke3sGu3Rund1O!

  2. Crear un Usuario L2TP:Similar a PPTP, se necesita un usuario para la autenticación. Vaya a PPP -> Secrets. Presione Add New. Cree un usuario con un Name y Password seguros. Asigne el Service a l2tp. Para el Profile, se recomienda crear un perfil específico para L2TP, similar a como se hizo con PPTP, definiendo Local Address y Remote Address (pool de IPs).

    Ejemplo:/ppp secret add name=PericoElDeLosPalotes password=Ar4scA-P1j0!

  3. Configurar el Firewall para L2TP/IPSec:Es necesario permitir el tráfico L2TP y las conexiones IPSec. Navegue a IP -> Firewall -> Filter Rules. Agregue las siguientes reglas, asegurándose de que se coloquen antes de las reglas de denegación general:

    • Permitir tráfico IPSec:/ip firewall filter add action=accept chain=input comment="allow IPsec" dst-port=4500,500 protocol=udp place-before=2Esto permite el tráfico UDP en los puertos 500 (ISAKMP) y 4500 (NAT-T), que son utilizados por IPSec.

    • Permitir tráfico L2TP:/ip firewall filter add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp place-before=2Esto permite el tráfico UDP en el puerto 1701, utilizado por L2TP.

  4. Configurar NAT para el Tráfico VPN:Para que los clientes VPN puedan acceder a la red local y a Internet, se requiere una regla NAT. Vaya a IP -> Firewall -> NAT.

    • Agregue una regla con Chain: srcnat, Src. Address: [Rango de IPs de los clientes VPN] (por ejemplo, 192.168.88.0/24), Out. Interface: [Interfaz de salida a Internet] y Action: masquerade. Si ya tiene una regla de masquerade para su LAN, puede ser necesario ajustar el orden o crear una regla específica para el tráfico VPN.

    Ejemplo de regla de masquerade genérica:/ip firewall nat add action=masquerade chain=srcnat comment="masq."

  5. Permitir Acceso a la Red LAN Remota (Enrutamiento):Para que los dispositivos en la red local del sitio principal puedan comunicarse con los dispositivos en la red remota (y viceversa, si se configura en ambos extremos), es necesario configurar las rutas estáticas.

    • Indicar al Router cómo acceder a la Red LAN remota: Se deben añadir rutas que apunten a la subred de la red remota a través de la interfaz VPN.En la ventana de New Route introduciremos los siguientes parámetros:Dst. Address: [Dirección de red remota] (e.g., 192.168.100.0/24)Gateway: [Dirección IP del servidor VPN en el sitio remoto] (e.g., 192.168.88.1 si es la IP local del router MikroTik que actúa como servidor VPN).

    Ejemplo de configuración de ruta:/ip route add dst-address=192.168.100.0/24 gateway=192.168.88.1

  6. Configurar Reglas de Firewall para Permitir Tráfico VPN hacia la Red LAN:Para asegurar que el tráfico proveniente de los clientes VPN pueda acceder a la red LAN, se requiere una regla de firewall en la cadena forward.Crea una regla adicional:Chain: forwardSrc. Address: [Rango de direcciones de los clientes VPN] (e.g., 192.168.88.50-192.168.88.60 si se usa un rango específico, o el pool completo 192.168.88.0/24).Dst. Address: [Dirección de red LAN] (e.g., 192.168.1.0/24).Action: accept.

    Ejemplo de regla de firewall:/ip firewall filter add chain=forward src-address=192.168.88.0/24 dst-address=192.168.1.0/24 action=accept

Consideraciones de Seguridad y Rendimiento

Configurar una VPN en MikroTik requiere atención a los detalles, especialmente en lo que respecta a la seguridad y el rendimiento.

  • Contraseñas Seguras: Utilice contraseñas robustas tanto para los usuarios VPN como para el secreto IPSec.
  • Cifrado: Si la seguridad es una prioridad, considere protocolos como L2TP/IPSec, OpenVPN o SSTP en lugar de PPTP.
  • Reglas de Firewall: Implemente reglas de firewall restrictivas para permitir únicamente el tráfico necesario. Impedimos el acceso al propio router, a menos que venga de una IP LAN o de la VPN cambiando los datos por la IP de tu Red, ya sea la 192.168.100.1 o la 192.168.1.1 (o la que tenga cada uno en su casa).
  • Actualizaciones de RouterOS: Mantenga su router MikroTik actualizado con la última versión de RouterOS para beneficiarse de las últimas correcciones de seguridad y mejoras de rendimiento.
  • Copia de Seguridad: Si ya tenías el router en uso, valora hacer una copia de la configuración por si algo se tuerce. En el Menu/Files (1), pulsas botón Backup (2) y en la nueva ventana le pones nombre a la copia. Pulsas Backup y se crea un nuevo archivo en la raíz.

Diagrama de flujo de datos a través de un túnel VPN L2TP/IPSec

Conclusión

La configuración de una VPN en MikroTik proporciona un método seguro y eficiente para que los usuarios remotos accedan a los recursos internos de una red. Ya sea que opte por PPTP para una implementación rápida o L2TP/IPSec para una seguridad mejorada, seguir estos pasos le permitirá establecer una conexión VPN funcional. Aunque PPTP ofrece una solución rápida y de fácil implementación, es recomendable considerar protocolos con mayor nivel de cifrado, como L2TP/IPSec o OpenVPN, para escenarios que demanden una seguridad adicional. La correcta configuración de las reglas de firewall y NAT es esencial para garantizar tanto el acceso como la privacidad de los datos en tránsito.

Configuración de una red VPN L2TP/IPSEC en un entorno Windows

tags: #activar #vpn #en #mikrotik

Publicaciones populares:

  • Avances en la tecnología de cables de red
  • Rendimiento real del Movistar Router Smart WiFi 6
  • Cliente-Servidor o Multicast: ¿Cuál es la mejor opción para tu red?
  • Solucionar problemas de conexión de módem
  • El impacto de la fibra óptica en Chile