VPN

OpenVPN — es un protocolo VPN fiable y probado, que permite organizar acceso remoto protegido a la red local. MikroTik RouterOS soporta OpenVPN en modo servidor desde la versión 6.x (TCP), y desde la versión 7+ — también UDP, pero con una serie de limitaciones arquitectónicas:

• autenticación obligatoria por usuario/contraseña incluso al usar certificados;
• lista limitada de cifrados y algoritmos;
• ausencia de algunas funcionalidades del OpenVPN “clásico”.

A pesar de ello, OpenVPN en MikroTik sigue siendo una solución demandada — especialmente en escenarios donde los clientes no soportan WireGuard o se requiere compatibilidad con sistemas antiguos.

pfSense — un tanque en el mundo de los firewalls.
Se actualiza con menos frecuencia, pero funciona durante años sin sorpresas.

🏢 A quién le conviene pfSense

• Corporación a partir de 100 usuarios
• Necesita soporte oficial
• Tiene hardware antiguo pero fiable
• Valora la estabilidad

📚 Características de pfSense

• Multi-WAN y Failover automático
• Traffic Shaping — gestión del ancho de banda
• Captive Portal — autenticación de invitados
• OpenVPN e IPsec — túneles cifrados

⚙️ Instalación

1. ISO → USB
2. Instalar → configurar WAN/LAN
3. En 10 minutos — firewall listo

Ejemplo de configuración HAProxy:

OPNsense — es como pfSense, pero más bonito, más rápido y con API.
¿Quieres un firewall de oficina que no dé vergüenza mostrar al jefe? Aquí está.

💼 Para quién es OPNsense

• Oficina 10–50 personas
• VPN para todos los empleados
• Canal de Internet de respaldo
• Interfaz web moderna

🎨 Interfaz como la de Apple

• Tema oscuro
• Gráficos en tiempo real
• REST API para automatización
• WireGuard listo para usar

⚙️ Instalación en 5 minutos

1. Descarga el ISO desde opnsense.org
2. Graba en una memoria USB (dd o Rufus)
3. Arranca → asigna interfaces → ¡listo!

Actualización automática vía API:

Imagínate: un router antiguo por 2000 ₽ bloquea la publicidad, distribuye VPN, funciona como sistema Mesh y no se ralentiza ni con 50 dispositivos.
Esto no es magia — es OpenWRT.

🏠 ¿Quién necesita OpenWRT

OpenWRT convierte un router común en un mini-servidor. Si tienes al menos un punto de la lista — ya es hora de que lo pruebes:

• Quieres AdBlock en toda la casa
• Necesitas VPN sin suscripción
• Tienes un router antiguo
• Te gusta trastear en la configuración

El 90 % de los usuarios instalan OpenWRT — y se olvidan del router para siempre.

Esta guía mostrará cómo configurar dos servidores Linux para que todo el tráfico de Internet de una subred local determinada (por ejemplo, 10.100.10.0/24) se envíe no a través de su puerta de enlace por defecto, sino a través de un túnel IPIP hacia un servidor remoto, que se encargará de sacar ese tráfico a Internet.

Esto es útil si necesitas que los servicios en una subred salgan al exterior con la dirección IP de otro servidor —por ejemplo, para sortear bloqueos, NAT centralizado o enmascarar el origen.

Este artículo está compilado como «chuleta» para redes SOHO/SMB: problemas frecuentes, sus síntomas, causas, soluciones rápidas y listas de verificación de diagnóstico. Sirve tanto para ingenieros como para administradores que mantienen el enlace MikroTik ↔ Keenetic.

📑 Navegación

• EoIP «se queda congelado» al transferir archivos grandes
• Site-to-Site VPN activo, pero el tráfico no circula
• NAT rompe VPN/EoIP
• MTU/MSS: cómo elegir correctamente
• Enrutamiento por políticas (RouterOS 7)
• SMB desde otra subred no funciona
• Lista de verificación de diagnóstico rápido
• Chuletas de comandos
• MTU típicos para túneles
• Matriz de excepciones NAT/Firewall
• Errores frecuentes
• Visualizaciones (PlantUML)
• Recursos y documentación

1) EoIP «se queda congelado» al transferir archivos grandes

Síntomas: SMB/FTP se queda colgado, la velocidad va a tirones, RDP se corta.
Causas: MTU/MSS incorrecto, fast-path con IPsec, errores de NAT/Firewall.

En esta instrucción veremos cómo levantar un servidor OpenVPN en Ubuntu y conectar a él un router Keenetic. Este escenario es útil si necesitas dar acceso a la red doméstica o reenviar servicios (por ejemplo, PBX o servidor web) a través de VPN.

1. Preparación del servidor Ubuntu

1.1 Instalación de paquetes

sudo apt update
sudo apt install -y openvpn easy-rsa iptables-persistent

1.2 Creación de la PKI (Easy-RSA v3)

make-cadir ~/easy-rsa
cd ~/easy-rsa
./easyrsa init-pki
./easyrsa build-ca nopass

Claves del servidor

./easyrsa gen-req server nopass
./easyrsa sign-req server server
./easyrsa gen-dh

Claves de cliente (para Keenetic)

./easyrsa gen-req keenetic nopass
./easyrsa sign-req client keenetic

Clave TLS (justo tls-auth, no tls-crypt)

openvpn --genkey secret ta.key

1.3 Colocar las claves

• En /etc/openvpn/server/:

  Read more

El problema de los certificados a gran escala

En artículos anteriores discutimos que OpenVPN utiliza certificados para la autenticación. Este método es fiable, pero tiene desventajas importantes:

• Incomodidad para los usuarios: Cada usuario necesita recibir e instalar su certificado manualmente.
• Complejidad de gestión: Al despedir a un empleado es necesario revocar su certificado, lo que requiere acciones adicionales.
• Falta de centralización: Cada servicio al que se necesita acceso tiene su propio sistema de autorización.

La solución a este problema es el uso de un proveedor de identidad centralizado, como Keycloak.

VPN: No solo el botón “Encender”

Para muchos usuarios, el VPN es simplemente el botón “Encender”. Sin embargo, cuando se trata de crear un túnel protegido propio, es importante comprender su arquitectura. OpenVPN se basa en dos ideas clave: el modelo cliente-servidor y la infraestructura de clave pública (PKI).

Modelo cliente-servidor

El concepto es sencillo:

• Servidor — es el punto de entrada a su red protegida. Está constantemente “escuchando” solicitudes entrantes y listo para aceptar conexiones.
• Cliente — es su dispositivo (portátil, teléfono), que inicia la conexión al servidor.

Después de que el servidor y el cliente “se ponen de acuerdo”, se crea un túnel protegido entre ellos y todo el tráfico pasa por él.

OpenVPN: Un estándar probado por el tiempo

Introducción

En un mundo donde la velocidad y la simplicidad de WireGuard se han convertido en el nuevo estándar, OpenVPN sigue siendo uno de los protocolos VPN más fiables y flexibles. Funciona tanto en ordenadores clásicos como en equipos de red, ofreciendo compatibilidad multiplataforma y un alto nivel de seguridad. Sin embargo, para entender cómo usarlo, es importante distinguir entre el propio protocolo y sus aplicaciones cliente.