Configuración de varios tipos de túneles MikroTik a MikroTik o Ubuntu: características, seguridad y velocidad
Este artículo examina la configuración de varios túneles MikroTik y Ubuntu y compara diferentes métodos con respecto a la seguridad y la velocidad.

Configuración de varios tipos de túneles MikroTik a MikroTik o Ubuntu: características, seguridad y velocidad

  • 18 visualizaciones
  • 5 minuto de lectura
Este artículo ofrece una guía completa para configurar túneles de MikroTik a MikroTik y Ubuntu. Analiza los tipos de túneles y compara la seguridad y el rendimiento, ofreciendo consejos prácticos para optimizar la velocidad y la seguridad. Ideal para administradores de red, operadores y gamers.
Elahe
  • 16 de diciembre de 2025
0 acciones
0
0
0
0
0
acciones
0
0
0
0
  1. ¿Cómo configuro un túnel seguro, rápido y estable entre MikroTik y Ubuntu?
  2. Tipos de túneles y cómo elegir el adecuado: configuración de diferentes tipos de túneles MikroTik para MikroTik o Ubuntu
  3. 1) WireGuard: rápido, sencillo y seguro
    1. Ejemplo de configuración de MikroTik (RouterOS 7+)
    2. Ejemplo de configuración de Ubuntu (wg-quick)
  4. 2) IPsec (IKEv2): estándar de la industria para sitios web y móviles
    1. Ejemplo de configuración de MikroTik (sitio a sitio con IPsec)
    2. Ejemplo de configuración de Ubuntu con strongSwan
  5. 3) OpenVPN: alta compatibilidad pero mayor latencia
  6. 4) EoIP/GRE/VXLAN: túneles de capa 2 y casos de uso
  7. Comparando seguridad y rendimiento: ¿cuál debería elegir?
  8. Consejos prácticos para aumentar la seguridad y la velocidad
  9. Implementación de BGP y multiubicación: diseño para estabilidad y baja latencia
  10. Consejos prácticos para aplicaciones específicas
    1. Para comerciantes
    2. Para jugadores
    3. Para IA y renderizado (GPU)
  11. Lista de verificación práctica previa al lanzamiento
  12. Consejos de implementación en MikroTik y Ubuntu: resumen técnico
  13. Servicios de la empresa y ofertas relacionadas
  14. Preguntas frecuentes

 

¿Cómo configuro un túnel seguro, rápido y estable entre MikroTik y Ubuntu?

Configurar varios tipos de túneles MikroTik a MikroTik o Ubuntu es una necesidad común. administradores de redEquipos de DevOps, comerciantes, jugadores y equipos de IA. Esta guía cubrirá prácticas comunes en acción, incluyendo WireGuard, IPsec (IKEv2), OpenVPN y túneles de capa 2 como EoIP/GRE/VXLAN Revisaremos y proporcionaremos ejemplos de configuración para MikroTik RouterOS y Ubuntu, consejos de seguridad y optimizaciones para reducir la latencia y aumentar el ancho de banda.

 

Tipos de túneles y cómo elegir el adecuado: configuración de diferentes tipos de túneles MikroTik para MikroTik o Ubuntu

La elección del tipo de túnel depende de su propósito y necesidades. A continuación, se presenta un resumen de las opciones y casos de uso:

  • Necesidad de L2:EoIP (MikroTik), GRE, VXLAN: adecuado para transporte de VLAN y puente L2.
  • La necesidad de un L3 seguro y de baja latencia:WireGuard, IPsec (IKEv2): adecuado para comercio, juegos y conexión de servicios en la nube.
  • Omisión del firewall/puerto 443 o conexión de cliente:VPN abierto (TCP/UDP), SSTP.
  • Uso compartido de red y BGP interno:Utilice el túnel L2 + BGP sobre el túnel o una combinación de IPsec + BGP.

 

1) WireGuard: rápido, sencillo y seguro

WireGuard es una implementación liviana con criptografía moderna, diseñada para Baja latencia Y la simplicidad de la configuración es adecuada para comerciar, jugar y conectar servicios en la nube.

Ejemplo de configuración de MikroTik (RouterOS 7+)

/interface/wireguard add name=wg-site mtu=1420
/interface/wireguard peers add interface=wg-site public-key="PEER_PUBLIC_KEY" allowed-address=10.10.10.2/32 endpoint-address=203.0.113.20 endpoint-port=51820 persistent-keepalive=25
/ip/address add address=10.10.10.1/24 interface=wg-site

Ejemplo de configuración de Ubuntu (wg-quick)

apt update && apt install wireguard -y
[Interface]
PrivateKey = YOUR_PRIVATE_KEY
Address = 10.10.10.2/24
ListenPort = 51820

[Peer]
PublicKey = MIKROTIK_PUBLIC_KEY
AllowedIPs = 10.10.10.1/32
Endpoint = 198.51.100.10:51820
PersistentKeepalive = 25
sysctl -w net.ipv4.ip_forward=1
systemctl enable --now wg-quick@wg0

Consejos de optimización:

  • La MTU normalmente se establece en 1420 O 1380 Configurado para evitar la fragmentación.
  • Para el rendimiento de TCP en el servidor, utilice la configuración de BBR:
sysctl -w net.core.default_qdisc=fq
sysctl -w net.ipv4.tcp_congestion_control=bbr

 

2) IPsec (IKEv2): estándar de la industria para sitios web y móviles

IPsec con IKEv2 es una opción estándar, fiable y compatible con hardware y dispositivos móviles. El uso de AES-GCM ofrece un buen rendimiento y seguridad.

Ejemplo de configuración de MikroTik (sitio a sitio con IPsec)

# Phase1
/ip ipsec proposal add name=esp-aes262-prf1 auth-algorithms=sha256 enc-algorithms=aes256-cbc pfs-group=none
/ip ipsec peer add address=198.51.100.20/32 auth-method=pre-shared-key secret="PRESHARED" enc-algorithm=aes-256 exchange-mode=ike2
/ip ipsec policy add src-address=10.20.0.0/24 dst-address=10.30.0.0/24 sa-src-address=198.51.100.10 sa-dst-address=198.51.100.20 tunnel=yes proposal=esp-aes262-prf1

Ejemplo de configuración de Ubuntu con strongSwan

apt update && apt install strongswan strongswan-pki -y
config setup
  uniqueids=never

conn site-to-site
  left=198.51.100.20
  leftsubnet=10.30.0.0/24
  right=198.51.100.10
  rightsubnet=10.20.0.0/24
  ike=aes256-sha256-modp2048
  esp=aes256-sha256
  keyexchange=ikev2
  authby=psk
  auto=add
198.51.100.20 198.51.100.10 : PSK "PRESHARED_SECRET"

 

3) OpenVPN: alta compatibilidad pero mayor latencia

OpenVPN es adecuado para una amplia gama de clientes, pero suele tener mayor latencia y sobrecarga que WireGuard. Si necesita sortear firewalls estrictos, puede usar TCP/443.

apt install openvpn easy-rsa -y
make-cadir ~/openvpn-ca
port 1194
proto udp
dev tun
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
cipher AES-256-GCM
auth SHA256
keepalive 10 120

Consejos:

  • Para un mejor rendimiento de UDP Usar.
  • Uso de autenticación tls O tls-crypt Recomendado para evitar el escaneo de puertos.
  • Si utiliza TCP/443 puede experimentar una mayor latencia y sobrecarga.

 

4) EoIP/GRE/VXLAN: túneles de capa 2 y casos de uso

Estos túneles se utilizan para el transporte L2 entre sitios o centros de datos. Tenga en cuenta que EoIP en MikroTik no está cifrado en su forma original y debe cifrarse con IPsec u otro método.

/interface eoip add name=eoip-tun remote-address=198.51.100.20 tunnel-id=10
/ip address add address=10.40.0.1/24 interface=eoip-tun
# then define IPsec policies for the L2 subnets

Para VXLAN en entornos de centros de datos o contenedores, VXLAN generalmente se combina con IPsec o WireGuard para brindar seguridad.

 

Comparando seguridad y rendimiento: ¿cuál debería elegir?

  • Velocidad / Latencia más baja: WireGuard > IPsec (AES-GCM) > OpenVPN (UDP) > OpenVPN (TCP).
  • Estabilidad en redes NAT/Firewall: OpenVPN (TCP/443) y WireGuard funcionan bien con keepalive.
  • Requisitos de capa 2: Utilice EoIP/GRE/VXLAN con cifrado.
  • Aceleración de hardware: Algunos modelos de MikroTik admiten descarga de hardware y ruta rápida; utilice modelos apropiados para tráfico elevado.

 

Consejos prácticos para aumentar la seguridad y la velocidad

  • Sujeción MTU y MSS Es esencial evitar la fragmentación.
  • Deshabilite el cifrado débil y habilite AES-GCM o ChaCha20 (si es compatible).
  • Restringir el acceso IP a los puertos de túnel en el firewall.
  • Monitoreo y alerta con SNMP/Prometheus/Netflow para verificar la latencia y la pérdida de paquetes.
  • HA y Failover con VRRP/Keepalived o BGP sobre túneles.
  • Utilice servicios Anti-DDoS para proteger los puntos finales.
/ip firewall mangle add chain=forward protocol=tcp tcp-mss=0-1356 action=clamp-mss-to-pmtu
sysctl -w net.ipv4.tcp_congestion_control=bbr

 

Implementación de BGP y multiubicación: diseño para estabilidad y baja latencia

Para empresas grandes o multihoming, es mejor usar BGP en lugar de WireGuard/IPsec para anunciar rutas entre sitios y centros de datos.

  • Ejecutar BGP sobre WireGuard/IPsec para anunciar rutas entre ubicaciones.
  • Aproveche una amplia red de ubicaciones para la entrega de contenido o CDN.
  • Para los comerciantes y jugadores, elegir una ubicación cercana al servidor de destino y utilizar un VPS con anti-DDoS es crucial.

 

Consejos prácticos para aplicaciones específicas

Para comerciantes

  • Utilice WireGuard o IPsec con un servidor en una ubicación cercana a Exchange.
  • Se recomienda un VPS comercial con recursos dedicados, ping bajo y Anti-DDoS.
  • Configuración de la monitorización de latencia y fluctuación.

Para jugadores

  • WireGuard o SSTP (en caso de firewall pesado); preferiblemente utilice UDP.
  • Un VPS para juegos con red BGP y ubicación cercana al servidor de juegos es útil.
  • Si es compatible, utilice tramas Jumbo MTU en redes de centros de datos internos.

Para IA y renderizado (GPU)

  • Utilice un servidor de gráficos (GPU) y un túnel seguro para transferir datos o conectarse a clústeres.
  • Utilice configuraciones que admitan alto rendimiento y baja latencia, como WireGuard o IPsec con AES-GCM y aceleración de hardware.

 

Lista de verificación práctica previa al lanzamiento

  • Determinar objetivos: L2 o L3, número de socios, cantidad de ancho de banda y SLA requerido.
  • Elige el tipo de túnel según tus necesidades y compara seguridad/velocidad.
  • Verifique MTU y configure mss-clamp.
  • Habilite ip_forward y configure sysctl apropiado.
  • Configurar el firewall (abrir sólo los puertos necesarios).
  • Cifrado fuerte y rotación de claves.
  • Monitoreo, registro y alertas.
  • Pruebas con iperf3, ping y tracepath para medir el rendimiento y la latencia.
iperf3 -s
iperf3 -c 198.51.100.20 -p 5201 -R

 

Consejos de implementación en MikroTik y Ubuntu: resumen técnico

  • MicroTik: Utilice RouterOS 7+ para compatibilidad con WireGuard; habilite HW-offload y fastpath en modelos compatibles; ejecute EoIP solo cuando se necesite L2 y siempre con IPsec.
  • Ubuntu: Utilice wg-quick para WireGuard y strongSwan para IPsec; ajuste sysctl y BBR para aumentar el rendimiento.
  • Coloque el tráfico sensible (base de datos, renderizado, transacciones) en túneles cifrados y utilice NAT y proxy inverso para servicios públicos.

 

Servicios de la empresa y ofertas relacionadas

Nuestra empresa ofrece servicios relacionados con la implementación de túneles seguros y de baja latencia. Entre los servicios se incluyen los siguientes:

  • Más de 85 ubicaciones globales para elegir el centro más cercano a tus Exchanges, servidor de juego o usuarios.
  • Servidores en la nube de alto rendimiento con opción de elegir redes BGP y CDN.
  • VPS para trading con ping bajo y protección Anti-DDoS.
  • Servidor de gráficos (GPU) para IA y renderizado.
  • Servidores anti-DDoS y soluciones de red para garantizar la estabilidad de la conexión.
  • Soporte en implementación de WireGuard/IPsec/OpenVPN y diseño de redes BGP y HA.

Para ver los planos o más información puedes visitar la sección correspondiente: Contacto/Ver planes

 

Preguntas frecuentes

En este artículo:
,,
Artículo escrito por:
Seguir
Artículo anterior
Artículo siguiente
También te puede gustar
Cómo instalar Cockpit en Ubuntu 24.04

Cómo instalar Cockpit en Ubuntu 24.04

  • 143 visualizaciones
  • 3 minuto de lectura
Cockpit es un panel de administración web para servidores que permite monitorizar y gestionar servicios, almacenamiento, registros y usuarios de forma sencilla e intuitiva. Usar Cockpit en un VPS permite a los administradores de sistemas realizar numerosas tareas de administración del servidor sin necesidad de usar la línea de comandos. A continuación, te guiaremos paso a paso en la instalación, configuración de seguridad y acceso a Cockpit.
0 acciones
0
0
0