🌐 «Dirección virtual» entre dos MikroTik: cuándo se necesita conectividad L2 y cómo implementarla correctamente

En el mundo moderno de las tecnologías de red, unir dos oficinas remotas en una sola entidad es una tarea bastante rutinaria. Normalmente para esto se usan túneles L3 (por ejemplo, IPIP o IPsec). Sin embargo, hay situaciones en las que la simple enrutación no es suficiente y se requiere conectividad L2 completa, como si los dispositivos remotos estuvieran conectados al mismo switch.

Vamos a ver cuándo es necesario esto y cómo configurarlo correctamente para que no solo funcione, sino que también sea tolerante a fallos.

🤔 ¿Por qué se necesita conectividad L2?

Un túnel L2, o “cable virtual”, permite transmitir tramas Ethernet directamente entre redes, ignorando el enrutamiento IP.

Escenarios principales en los que esto es necesario:

• Espacio de direcciones unificado: los dispositivos en ambas redes deben estar en la misma subred IP (por ejemplo, 192.168.88.0/24), lo que simplifica la administración.
• Funcionamiento de protocolos específicos: algunos servicios (sistemas de videovigilancia antiguos, protocolos industriales, DHCP, ARP) requieren acceso directo a L2.
• Migración de servidores: posibilidad de mover máquinas virtuales o físicas entre ubicaciones “sin interrupciones” sin cambiar las direcciones IP.
• Creación de gateways tolerantes a fallos: asegurar acceso ininterrumpido a Internet incluso si uno de los routers falla.

🛠️ Cómo implementarlo: túnel EoIP y Bridge

La forma más sencilla de crear un canal L2 entre dos routers MikroTik es usar EoIP (Ethernet over IP). Este protocolo encapsula tramas Ethernet en paquetes IP y las transmite a través de una red L3 (por ejemplo, Internet).

Configuración paso a paso

Supongamos:

• Router-A (oficina 1): 1.1.1.1
• Router-B (oficina 2): 2.2.2.2
• Red local: 192.168.88.0/24

Paso 1: Crear el túnel EoIP (en ambos routers)

/interface eoip add name=eoip-to-officeB remote-address=2.2.2.2 tunnel-id=42
/interface eoip add name=eoip-to-officeA remote-address=1.1.1.1 tunnel-id=42

Paso 2: Crear el Bridge y añadir puertos

/interface bridge add name=lan-bridge
/interface bridge port add bridge=lan-bridge interface=ether2
/interface bridge port add bridge=lan-bridge interface=eoip-to-officeB

Después de esto, ambas redes locales estarán unidas en un único segmento L2.

🧩 Alternativa: VXLAN

EoIP es fiable, pero se está quedando obsoleto. La forma moderna es VXLAN (Virtual eXtensible LAN), disponible en RouterOS v7.14+.

VXLAN amplía las capacidades de VLAN (hasta 16 millones de segmentos en lugar de 4096), funciona sobre UDP (puerto 4789) y es más adecuado para redes escalables.

Ventajas de VXLAN sobre EoIP

Configuración paso a paso de VXLAN (RouterOS v7.14+)

Paso 1: Crear la interfaz VXLAN

/interface vxlan add name=vxlan-to-officeB vni=100 port=4789 mtu=1450
/interface vxlan add name=vxlan-to-officeA vni=100 port=4789 mtu=1450

Paso 2: Configurar VTEP

/interface vxlan vtep add interface=vxlan-to-officeB remote-ip=2.2.2.2
/interface vxlan vtep add interface=vxlan-to-officeA remote-ip=1.1.1.1

Paso 3: Añadir al Bridge

/interface bridge port add bridge=lan-bridge interface=vxlan-to-officeB

Comprobación de direcciones MAC:

/interface vxlan fdb print

⚡ Aumento de la tolerancia a fallos con VRRP

Si simplemente se asigna la misma IP de gateway en ambos dispositivos, se producirá un split-brain. La solución correcta es VRRP (Virtual Router Redundancy Protocol).

Paso 1: IP únicas en cada router

/ip address add address=192.168.88.2/24 interface=lan-bridge
/ip address add address=192.168.88.3/24 interface=lan-bridge

Paso 2: Crear la interfaz VRRP

/interface vrrp add interface=lan-bridge vrid=50 priority=254
/interface vrrp add interface=lan-bridge vrid=50 priority=100

Paso 3: Dirección IP virtual del gateway

/ip address add address=192.168.88.1/24 interface=vrrp1

Router-A (prioridad 254) será MASTER, Router-B (prioridad 100) será BACKUP. En caso de fallo de Router-A, la IP virtual 192.168.88.1 pasará a Router-B.

🧪 Verificación y pruebas

🔐 Seguridad y optimización

Cifrado IPsec

Para proteger los datos, añada IPsec:

/ip ipsec peer add address=2.2.2.2/32 secret="your-shared-secret"
/ip ipsec policy add src-address=1.1.1.1/32 dst-address=2.2.2.2/32 tunnel=yes \
  action=encrypt level=require sa-src-address=1.1.1.1 sa-dst-address=2.2.2.2
/ip ipsec proposal set default auth-algorithms=sha256 enc-algorithms=aes-256-cbc

Para VXLAN añada la política para UDP/4789.

Cortafuegos

Para EoIP

/ip firewall filter
add chain=forward in-interface=eoip-to-officeB action=accept place-before=0
add chain=forward out-interface=eoip-to-officeB action=accept place-before=0
add chain=forward in-interface=eoip-to-officeB action=drop
add chain=forward out-interface=eoip-to-officeB action=drop

Para VXLAN

De forma análoga, reemplace la interfaz por vxlan-to-officeB.

MTU y MSS

La encapsulación añade overhead. Configure MTU=1450 y MSS=1360:

/ip firewall mangle
add chain=forward action=change-mss new-mss=1360 protocol=tcp tcp-flags=syn \
  out-interface=eoip-to-officeB

Monitorización y automatización

Use Netwatch para reiniciar el túnel:

/tool netwatch
add host=2.2.2.2 interval=10s down-script="/log warning \"¡Túnel caído!\"; /interface disable eoip-to-officeB" \
    up-script="/interface enable eoip-to-officeB"

DHCP y conmutación por error

Se puede ejecutar DHCP en lan-bridge. Para alta disponibilidad use DHCP Failover (RouterOS v7.20+):

/ip dhcp-server failover add name=dhcp-sync

Rendimiento

🧭 Resumen

• EoIP — para redes sencillas o antiguas (RouterOS v6).
• VXLAN — para entornos modernos y escalables (RouterOS v7.14+).
• VRRP — para alta disponibilidad.
• IPsec — para seguridad.

El uso de VRRP sobre una red L2 unificada es un enfoque profesional para construir infraestructuras de red distribuidas y resilientes basadas en MikroTik.