En el escenario actual de redes, la seguridad y la accesibilidad remota son cruciales para empresas y usuarios domésticos. Las Redes Privadas Virtuales (VPN) desempeñan un papel fundamental al proporcionar una conexión segura a través de una red pública, como Internet. Entre los diversos protocolos VPN disponibles, el L2TP/IPSec (Layer 2 Tunneling Protocol over Internet Protocol Security) se destaca por ofrecer un equilibrio robusto entre seguridad y compatibilidad. Cuando implementamos L2TP IPSec en MikroTik, junto con la funcionalidad IP Cloud, la configuración de acceso remoto se vuelve aún más flexible y manejable.
Este artículo detallará el proceso de configuración de un servidor L2TP/IPSec en un router MikroTik, abordando desde los prerrequisitos esenciales hasta las etapas de configuración del servidor VPN y la integración con el servicio IP Cloud. Nuestro objetivo es proporcionar una guía práctica y completa para que puedas implementar una solución de acceso remoto segura y eficiente, garantizando que tus dispositivos puedan conectarse a tu red MikroTik desde cualquier lugar, en cualquier momento, incluso sin una IP pública estática.
Prerrequisitos para configurar L2TP IPSec en MikroTik
Antes de iniciar la configuración de L2TP/IPSec en tu router MikroTik, es fundamental asegurarse de que se cumplan los siguientes prerrequisitos para evitar problemas y garantizar una implementación exitosa:
- Router MikroTik con RouterOS Actualizado: Asegúrate de que tu dispositivo MikroTik esté ejecutando la versión más reciente de RouterOS. Las actualizaciones frecuentes traen mejoras de seguridad, correcciones de errores y nuevas funcionalidades. Puedes verificar y actualizar la versión de RouterOS a través de WinBox o la línea de comandos.
- Acceso Administrativo al MikroTik: Necesitarás acceso completo (usuario con privilegios de administrador) a tu router MikroTik, ya sea vía WinBox, WebFig o SSH/Telnet.
- Conectividad a Internet: El router MikroTik debe tener una conexión activa a Internet. Para que L2TP/IPSec funcione correctamente, el router necesitará una dirección IP pública. Si estás detrás de un NAT (Network Address Translation) de tu proveedor de Internet, puede ser necesario configurar el reenvío de puertos (port forwarding) para los puertos UDP 500 (IKE), 1701 (L2TP) y 4500 (IPSec NAT-T) hacia tu router MikroTik. IP Cloud ayudará a resolver la cuestión de la IP dinámica, pero la accesibilidad externa aún depende de la IP pública.
- Pool de Direcciones IP para Clientes VPN: Define un pool de direcciones IP que será asignado a los clientes VPN que se conecten. Este pool debe ser de una subred diferente a tu red local para evitar conflictos de IP.
- Servidor DNS: Ten configurado un servidor DNS en tu MikroTik o usa servidores DNS públicos (como 8.8.8.8 y 8.8.4.4 de Google) para que los clientes VPN puedan resolver nombres de dominio.
- Conocimiento Básico de Redes: Familiaridad con conceptos de red como direccionamiento IP, subredes, NAT y firewall será útil para entender y solucionar posibles problemas durante la configuración.
Con estos prerrequisitos en orden, estarás listo para continuar con la configuración del servidor L2TP/IPSec en tu MikroTik.
Para que la VPN funcione en el mundo real, es crucial contar con una IP pública proporcionada por el proveedor de Internet, ya sea dinámica o fija.
Configuración del Servidor L2TP/IPSec en MikroTik (vía WinBox)
La configuración del servidor L2TP/IPSec en MikroTik puede realizarse de forma intuitiva utilizando WinBox, la herramienta gráfica de gestión de MikroTik. Sigue los pasos a continuación para configurar tu servidor VPN:
1. Crear un Pool de Direcciones IP para Clientes VPN
Primero, necesitamos definir un pool de direcciones IP que se usará para asignar IPs a los clientes VPN que se conecten. Este pool debe ser de una subred diferente a tu red local para evitar conflictos de IP.
Abre WinBox y conéctate a tu router MikroTik.
En el menú lateral, haz clic en IP > Pool.
Haz clic en el botón New (o en el ícono +).
En el campo Name, escribe un nombre descriptivo para tu pool (ejemplo: pool-l2tp).
En el campo Address, escribe el rango de IPs, por ejemplo, 10.10.0.2-10.10.0.250. Adapta este rango a tu necesidad, asegurando que no haya conflicto con tu red interna.
Haz clic en OK.
2. Crear un Perfil PPP para el L2TP IPSec en MikroTik
El perfil PPP define las configuraciones para los clientes VPN, como el pool de IPs a usar, servidores DNS y otras opciones.
En el menú lateral, haz clic en PPP.
En la pestaña Profiles, haz clic en el botón New (o en el ícono +).
En la pestaña General:
- En el campo Name, escribe un nombre descriptivo para tu perfil (ejemplo: l2tp_profile).
- En el campo Local Address, escribe la dirección IP que el router MikroTik usará como gateway para los clientes VPN, por ejemplo, 10.10.0.1. Elige un IP dentro de la subred del vpn_pool, pero fuera del rango de distribución para evitar conflictos.
- En el campo Remote Address, selecciona vpn_pool (el pool de IPs que creamos en el paso anterior, ej.: pool-l2tp).
En la pestaña Protocols:
– Marca la opción Use Encryption como yes.
– Haz clic en OK.
3. Crear Usuarios para Acceso VPN
Para que los clientes puedan conectarse, debes crear usuarios en el servidor PPP.
En el menú PPP, ve a la pestaña Secrets.
Haz clic en el botón New (o en el ícono +).
En la ventana New PPP Secret:
- En el campo Name, escribe el nombre de usuario para el cliente VPN, por ejemplo, ewerton.
- En el campo Password, escribe una contraseña fuerte para el cliente VPN.
- En el campo Service, selecciona l2tp.
- En el campo Profile, selecciona l2tp_profile.
Haz clic en OK.
Repite este paso para cada usuario al que desees permitir acceso VPN.
4. Habilitar el Servidor L2TP
Ahora, habilitaremos el servidor L2TP y lo asociaremos al perfil que acabamos de crear. También definiremos un secreto IPSec (Pre-Shared Key – PSK) para la autenticación IPSec.
En el menú PPP, ve a la pestaña Interface.
Haz clic en el botón L2TP Server.
En la ventana L2TP Server:
- Marca la opción Enabled.
- En el campo Default Profile, selecciona l2tp_profile.
- En el campo Max Session, define el número máximo de conexiones simultáneas permitidas para cada usuario (por ejemplo, 2).
- En Authentication, desmarca la opción PAP, ya que no es segura. Las demás opciones pueden permanecer seleccionadas.
- En Use IPSec, selecciona required para habilitar la exigencia de IPSec.
- En el campo IPSec Secret, escribe una contraseña fuerte y compleja para el secreto IPSec. MUY IMPORTANTE: Esta contraseña será usada por los clientes VPN para autenticar la conexión IPSec.
Haz clic en OK.
5. Configurar Reglas de Firewall
Es esencial configurar el firewall para permitir las conexiones L2TP/IPSec. Necesitarás permitir los puertos UDP 500 (IKE), 1701 (L2TP) y 4500 (IPSec NAT-T), además del protocolo ESP (IPSec).
En el menú lateral, haz clic en IP > Firewall.
En la pestaña Filter Rules, haz clic en el botón New (o en el ícono +).
En la pestaña General:
- En el campo Chain, selecciona la opción input.
- En Protocol, elige udp.
- En el campo Dst. Port, ingresa los valores “500, 1701, 4500” para liberar los respectivos puertos.
En la pestaña Action:
En el campo Action, selecciona la opción Accept para permitir el tráfico.
Haz clic en OK.
Haz clic nuevamente en el botón New (o en el ícono +).
En la pestaña General:
– En el campo Chain, selecciona la opción input.
– En Protocol, selecciona (ipsec-esp).
En la pestaña Action:
En el campo Action, selecciona la opción Accept para permitir el tráfico.
Haz clic en OK.
Habilitando y Configurando IP Cloud en MikroTik
El servicio IP Cloud de MikroTik es una funcionalidad que proporciona un nombre de dominio dinámico (DDNS) para tu router, permitiéndote acceder remotamente incluso si tu proveedor de Internet asigna una dirección IP pública dinámica. Esto es extremadamente útil para conexiones VPN, ya que no tendrás que preocuparte por descubrir la IP actual de tu router en cada reconexión.
Habilitar el Servicio IP Cloud
La habilitación de IP Cloud es un proceso sencillo y puede hacerse a través de WinBox:
– En el menú lateral, haz clic en IP > Cloud.
En la ventana IP Cloud:
- Marca la opción DDNS Enabled como yes.
- Marca la opción Update Time como yes (permite que MikroTik actualice automáticamente la hora del sistema vía NTP, lo cual es importante para la validez de los certificados y logs).
Haz clic en OK.
Después de habilitarlo, MikroTik se conectará a los servidores Cloud de MikroTik y registrará un nombre de dominio dinámico para tu router.
Conclusión
La configuración de un servidor VPN L2TP/IPSec en un router MikroTik, junto con la funcionalidad IP Cloud, ofrece una solución robusta y flexible para acceso remoto seguro. Siguiendo los pasos detallados en este artículo, puedes establecer una conexión VPN cifrada que protege tus datos y permite el acceso a los recursos de tu red desde cualquier lugar del mundo, incluso con una dirección IP pública dinámica.
Es fundamental recordar la importancia de utilizar contraseñas fuertes y complejas para el secreto IPSec y para las credenciales de los usuarios VPN, además de mantener RouterOS siempre actualizado para garantizar la máxima seguridad. La correcta configuración de las reglas de firewall es igualmente crucial para permitir el tráfico VPN y proteger tu router contra accesos no deseados.
Con L2TP/IPSec e IP Cloud, MikroTik se muestra como una herramienta poderosa para construir infraestructuras de red seguras y accesibles, satisfaciendo las necesidades de conectividad remota tanto para entornos corporativos como para usuarios individuales. Esperamos que esta guía te haya sido útil para implementar tu propia solución VPN con éxito.
Ahora no dejes de consultar nuestro artículo completo “Configuración del Cliente VPN L2TP IPSec en Windows”, donde encontrarás un paso a paso detallado para crear y ajustar tu conexión de forma segura en Windows 10 y 11.
¡No te pierdas ninguna novedad! Haz clic en el enlace abajo y forma parte de nuestro canal en WhatsApp para recibir artículos, reseñas y noticias exclusivas sobre MikroTik de primera mano.
👉 https://whatsapp.com/channel/0029Va4pJbu47Xe79TIBxo1G
Conoce el blog EMNews y mantente al tanto de las últimas novedades, análisis y tendencias del mundo de la tecnología y las telecomunicaciones.