Este sitio utiliza cookies para mejorar tu experiencia. Asumiré que estás de acuerdo con esto.
Leer más

Cómo configurar una VPN L2TP en MikroTik V7 paso a paso (Guía completa)

0

En esta guía completa de NisiTechs aprenderás cómo crear una VPN L2TP/IPsec en un router MikroTik con una IP pública, permitiendo conectar usuarios remotos de forma segura y estable. Ideal para proveedores WISP o administradores de red que desean acceso remoto cifrado.

Pruebas realizadas:

Esta configuración fue probada en un MikroTik CCR1036-12G-4S con RouterOS v7.19.6 (arquitectura Tile).
Los resultados y el rendimiento pueden variar dependiendo del modelo y versión del sistema operativo.

Requisitos previos

  • Router MikroTik con RouterOS 6.40 o superior.
  • IP pública (estática o DDNS configurado).
  • Conexión a internet funcional.
  • Cliente VPN (Windows o MikroTik remoto).
⚠️ Importante: Desde Android 13 y versiones recientes de iOS, el protocolo L2TP/IPsec fue eliminado del soporte nativo del sistema operativo por motivos de seguridad.
Por este motivo, ya no es posible conectarse directamente a una VPN L2TP desde la configuración del sistema en dispositivos Android.
En caso de requerir conexión desde un teléfono móvil, se recomienda usar aplicaciones de terceros que aún soporten L2TP, o bien optar por protocolos más modernos como WireGuard o IKEv2, los cuales ofrecen mayor seguridad y compatibilidad actual.

Paso 1: Verificar IP y conectividad

Asegúrate de tener configurada la IP pública en tu interfaz WAN:

/ip address print

Si no está asignada:

/ip address add address=XXX.XXX.XXX.XXX/XX interface=ether1 comment="WAN Public IP"

Verifica la conectividad:

/ping 8.8.8.8

Paso 2: Crear el pool de direcciones VPN

/ip pool add name=VPN_POOL ranges=192.168.77.10-192.168.77.50

Paso 3: Crear el perfil PPP

/ppp profile add name=VPN_PROFILE local-address=192.168.77.1 remote-address=VPN_POOL dns-server=8.8.8.8,1.1.1.1 use-encryption=yes

Paso 4: Crear usuarios VPN

/ppp secret add name=usuario password=clave profile=VPN_PROFILE service=l2tp
🔐 Consejo: Usa contraseñas seguras y únicas por usuario.

Paso 5: Habilitar el servidor L2TP/IPsec

/interface l2tp-server server set enabled=yes ipsec-secret=claveipsec use-ipsec=yes default-profile=VPN_PROFILE

Reemplaza claveipsec por una clave segura. Esta será la clave compartida (PSK).


Paso 6: Configurar el firewall

/ip firewall filter
add chain=input protocol=udp port=500,1701,4500 action=accept comment="Permitir L2TP/IPsec"
add chain=input protocol=ipsec-esp action=accept comment="Permitir IPsec ESP"
add chain=input protocol=ipsec-ah action=accept comment="Permitir IPsec AH"
add chain=input connection-state=established,related action=accept
add chain=input in-interface=remplazar_por_tu_wan interface_wan action=drop comment="Bloquear resto de conexiones externas"

Paso 7: Configurar NAT para navegación

/ip firewall nat add chain=srcnat src-address=192.168.77.0/24 out-interface=remplazar_por_tu_wan  action=masquerade comment="NAT para VPN"

Paso 8: Conexión desde un cliente Windows

  1. Abre Configuración → Red e Internet → VPN → Agregar una conexión VPN.
  2. Proveedor: Windows (integrado)
  3. Dirección del servidor: tu IP pública o DDNS
  4. Tipo: L2TP/IPsec con clave precompartida
  5. Clave: la configurada en ipsec-secret
  6. Usuario y contraseña: los creados en /ppp secret

Luego haz clic en Conectar.


Paso 9: Verificar conexión

/ppp active print
/log print where message~"l2tp"

Solución de problemas comunes

Problema Causa posible Solución
No conecta Puerto bloqueado Revisa reglas de firewall
Error 789 en Windows Clave IPsec incorrecta Verifica PSK
Sin acceso a internet Falta NAT Verifica regla masquerade
Latencia alta MTU incorrecta Ajusta MTU/MRU a 1400

Recomendaciones finales

  • Mantén tu RouterOS actualizado.
  • Usa contraseñas fuertes y únicas.
  • Si tienes varios usuarios, usa PPP Secrets o perfiles individuales.
  • Considera certificados si buscas mayor seguridad.
Tags:

Publicar un comentario

Post a Comment (0)

Artículo Anterior Artículo Siguiente