Remote Access

Gestión Remota de MikroTik con WireGuard

Configura un servidor WireGuard en VPS, conecta el MikroTik como peer, enruta la LAN y refuerza el túnel para acceso remoto confiable.

MKController12 de febrero de 20256 min read

Resumen WireGuard combina una VPS Linux como punto de encuentro con uno o varios routers MikroTik como peers, ofreciendo una gestión remota estable mediante un túnel UDP que sobrevive a CGNAT, IPs dinámicas y a la mayor parte de las rarezas del proveedor. Esta guía configura el servidor en la VPS, el cliente MikroTik (RouterOS v7), el enrutamiento que permite alcanzar la LAN tras el router desde el lado de la VPS y el endurecimiento de seguridad que mantiene el túnel a salvo con el tiempo.

¿Cómo permite WireGuard la gestión remota de MikroTik?

WireGuard es una VPN moderna de Capa 3 construida sobre criptografía actual (Curve25519 para el acuerdo de claves, ChaCha20-Poly1305 para el cifrado) y una base de código pequeña y auditable. Para la gestión remota de MikroTik, la topología habitual consiste en una pequeña VPS Linux que actúa como punto de encuentro siempre en línea, con uno o más routers MikroTik (ejecutando RouterOS v7) que se conectan de salida hacia la VPS como peers. Como WireGuard es UDP y los routers inician el túnel hacia fuera, la topología funciona igual tanto si el router está en una IP pública real, detrás de NAT o detrás de CGNAT.

Una vez levantado el túnel, la VPS conserva las rutas que permiten llegar a la LAN de cada router a través de su IP WireGuard. Desde un portátil de administración conectado a la VPS (o a la propia red WireGuard), cada sitio queda accesible como si fuese una LAN privada, y no hay puerto Winbox ni WebFig expuesto en el router del cliente para que lo encuentre un atacante.

¿Por qué usar WireGuard para acceso remoto a MikroTik?

WireGuard gana en cinco dimensiones prácticas que importan para gestionar una flota: alto throughput con bajo uso de CPU incluso en routers pequeños, una base de código mínima y auditable con muchos menos CVE que OpenVPN, archivos de configuración por peer simples que entran limpios en control de versiones, soporte multiplataforma nativo (Linux, Windows, macOS, Android, iOS, RouterOS v7+) y un comportamiento muy correcto bajo NAT y CGNAT gracias al diseño de su handshake, que tolera cambios de dirección. La contrapartida es que WireGuard no dispone de una infraestructura de revocación de certificados al estilo OpenVPN: la confianza se gestiona añadiendo y quitando entradas de peer directamente, lo que significa que el manejo de peers a escala exige un pequeño plano de control o un poco de scripting.

Paso 1: Instala WireGuard en la VPS (Ubuntu)

apt update && apt install -y wireguard

Paso 2: Genera las claves del servidor

wg genkey | tee /etc/wireguard/privatekey | wg pubkey > /etc/wireguard/publickey

La clave privada permanece en la VPS. La clave pública se pega en la configuración del peer del MikroTik.

Paso 3: Crea la configuración del servidor

/etc/wireguard/wg0.conf:

[Interface]
Address = 10.8.0.1/24
ListenPort = 51820
PrivateKey = <server_private_key>
SaveConfig = true

[Peer]
PublicKey = <mikrotik_public_key>
AllowedIPs = 10.8.0.2/32

Añade un bloque [Peer] por cada router MikroTik, cada uno con una IP de túnel única en AllowedIPs.

Paso 4: Levanta el túnel y abre el firewall

systemctl enable wg-quick@wg0
systemctl start wg-quick@wg0
ufw allow 51820/udp

(Adapta el comando del firewall a nftables o iptables según la distribución de la VPS.) Usa un puerto UDP no estándar si quieres esquivar los escaneos automáticos de internet.

Paso 5: Configura el MikroTik como peer WireGuard

RouterOS v7 trae soporte nativo de WireGuard: no hace falta ningún paquete adicional. Abre un terminal en Winbox:

/interface wireguard add name=wg-vps listen-port=51820 private-key="<mikrotik_private_key>"

/interface wireguard peers add interface=wg-vps \
    public-key="<server_public_key>" \
    endpoint-address=<VPS_IP> \
    endpoint-port=51820 \
    allowed-address=10.8.0.2/32 \
    persistent-keepalive=25

/ip address add address=10.8.0.2/24 interface=wg-vps

persistent-keepalive=25 es el detalle pequeño pero crítico: mantiene vivas las traducciones NAT en el router del lado WAN para que el túnel no se caiga en silencio tras unos minutos de inactividad.

Comprueba el estado:

/interface/wireguard/print
/interface/wireguard/peers/print

Cuando el peer muestre actividad de handshake y latest-handshake sea reciente (dentro del intervalo de keepalive), el túnel está arriba.

Paso 6: Enruta hacia los dispositivos de la LAN detrás del MikroTik

Para alcanzar la LAN detrás del MikroTik (por ejemplo 192.168.88.0/24) desde la VPS:

En la VPS:

ip route add 192.168.88.0/24 via 10.8.0.2

En el MikroTik, añade una regla srcnat masquerade para que el tráfico de vuelta encuentre el camino de regreso por el túnel:

/ip firewall nat add chain=srcnat src-address=192.168.88.0/24 \
    out-interface=wg-vps action=masquerade

Ahora los servicios de la LAN detrás del MikroTik son alcanzables desde la VPS, y desde cualquier otro peer que la VPS conozca, a través del túnel WireGuard. Expón únicamente redes que controles, y usa reglas de firewall para limitar qué hosts y puertos son alcanzables a través del túnel. Para la variante del lado cliente de este escenario (el MikroTik como cliente VPN de un proveedor comercial en lugar de peer de tu propia VPS), consulta nuestro tutorial de cliente WireGuard.

Endurecimiento de seguridad

Par de claves único por dispositivo. Nunca reutilices claves entre MikroTiks. Generar un par nuevo lleva segundos y simplifica enormemente la revocación.
AllowedIPs ajustadas. Configura AllowedIPs al mínimo necesario (10.8.0.2/32 para un solo router, más la LAN si vas a enrutar). Rangos más amplios abren la puerta a tráfico peer-to-peer entre sitios que quizá no quieras.
Firewall en el puerto de WireGuard. Aunque WireGuard rechaza tráfico inválido en silencio, dejar 51820/udp abierto a toda internet es innecesario. Restringe por IP de origen si tu flujo de administración lo permite.
Revoca dispositivos perdidos. Elimina la entrada [Peer] de la configuración de la VPS y reinicia el túnel. El router ya no podrá conectarse.
Monitoriza los handshakes. Un túnel sin handshake desde hace 24 horas está roto: suele ser una desincronización de rotación de claves o un cambio de enrutamiento.

Rota las claves periódicamente como parte de tu rotación estándar de credenciales. Guarda las claves privadas con la misma disciplina que aplicas a las claves de host SSH. Para flotas de más de 10–20 routers, planifica un pequeño plano de control para crear peers en lugar de editar la configuración de la VPS a mano.

Comparado con otras opciones de VPN

Solución	Base	Rendimiento	Facilidad	Mejor para
WireGuard	VPN en el kernel	Muy alto	Sencillo	Gestión moderna de alto rendimiento
OpenVPN	TLS/OpenSSL	Medio	Compleja	Dispositivos legados, entornos con mucha PKI
Tailscale	WireGuard + plano de control	Alto	Muy fácil	Equipos, acceso basado en identidad
ZeroTier	Mesh propia	Alto	Fácil	Topologías mesh flexibles

Para opciones más amplias de gestión remota, consulta nuestras guías de gestión de MikroTik basada en VPS y gestión remota con SSTP.

Da el siguiente paso

Un único túnel WireGuard entre una VPS y un MikroTik es sencillo. Gestionar claves, entradas de peer y tablas de enrutamiento en decenas o cientos de routers, con la inevitable rotación de claves y movimiento de clientes, es donde se acumula el coste operativo.

NATCloud de MKController elimina por completo el cableado manual de túneles. Cada MikroTik llega en línea mediante un túnel saliente hacia el plano de control sin niñera de claves por dispositivo, sin ediciones del fichero de la VPS y sin scripts que mantener. Obtienes monitorización centralizada, acceso remoto seguro y un onboarding mucho más simple que montar tu propia infraestructura WireGuard.

Comienza tu prueba gratis de MKController