Saltearse al contenido
Blog

Cómo Configurar VPN Cliente WireGuard en MikroTik

Resumen > Aprende a configurar un router MikroTik como cliente WireGuard. Esta guía técnica cubre generación de claves, configuración del peer y técnicas avanzadas como reglas Mangle para tunelizar dispositivos específicos e implementar un ‘Kill Switch’ para evitar fugas de datos.

Cómo Configurar VPN Cliente WireGuard en MikroTik

WireGuard ha revolucionado la forma en que pensamos sobre las VPN en routers MikroTik. Desde el lanzamiento de RouterOS v7, los usuarios tienen acceso a un protocolo significativamente más rápido y fácil de auditar que opciones antiguas como OpenVPN o L2TP/IPsec. En esta guía recorreremos el proceso técnico para configurar tu MikroTik como cliente WireGuard, enfocándonos en el control granular del tráfico local.

Obtener tus Credenciales de WireGuard

Antes de usar WinBox, necesitas una configuración de tu proveedor VPN (como Proton VPN o NordVPN). WireGuard se basa en un intercambio de claves pública/privada. Asegúrate de tener los siguientes datos listos:

  • Clave Privada: Para la interfaz MikroTik.
  • Clave Pública: Del servidor VPN.
  • Dirección y Puerto del Endpoint: IP o URL del servidor.
  • IP Permitidas: Usualmente 0.0.0.0/0 para un túnel completo.
Configuración de Interfaz WireGuard MikroTik

Paso 1: Crear la Interfaz WireGuard

Primero, debemos definir la interfaz túnel en el router MikroTik.

  1. Abre WinBox y ve al menú WireGuard.
  2. Haz clic en el botón + para agregar una nueva interfaz.
  3. Nómbrala WG-Client.
  4. Pega tu Clave Privada. MikroTik generará automáticamente la Clave Pública correspondiente.
  5. Haz clic en OK.

Luego, asigna la dirección IP proporcionada por tu servicio VPN a esta nueva interfaz en IP > Addresses.

Paso 2: Configurar el Peer

El “Peer” es el servidor remoto al que te conectarás.

  1. En la ventana WireGuard, ve a la pestaña Peers.
  2. Selecciona tu interfaz WG-Client.
  3. Ingresa la Clave Pública del servidor remoto.
  4. Configura el Endpoint y el Puerto del Endpoint.
  5. En Allowed IPs, ingresa 0.0.0.0/0 (esto permite el paso del tráfico, pero aún no enruta todo automáticamente).
Agregar un Peer WireGuard en WinBox

Paso 3: Enrutamiento Basado en Políticas (PBR)

Normalmente, no quieres que toda tu red use la VPN. Quizás solo quieres que un servidor o PC específico use el túnel. Logramos esto con reglas Mangle.

  1. Ve a IP > Firewall > Mangle.
  2. Crea una regla nueva: Chain: prerouting.
  3. Src. Address: Ingresa la IP local del dispositivo que quieres tunelizar (ejemplo: 192.168.88.50).
  4. Action: mark routing.
  5. New Routing Mark: Llámalo via-wireguard.
  6. Desmarca “Pass Through”.
Regla Mangle MikroTik para Marcas de Enrutamiento

Paso 4: Enrutamiento y el “Kill Switch”

Ahora, indica al router que el tráfico marcado como via-wireguard debe pasar por el túnel.

  1. Ve a IP > Routes.
  2. Agrega una ruta nueva: Gateway: WG-Client, Routing Table: via-wireguard.
  3. Kill Switch: Añade una segunda ruta con la misma tabla de enrutamiento (via-wireguard), pero configura el Tipo como blackhole y una distancia mayor.

Nota: La ruta blackhole asegura que si el túnel WireGuard se cae, el tráfico del dispositivo se descarta en lugar de filtrarse por tu conexión ISP convencional.

Configuración de Rutas Blackhole para Kill Switch VPN

Sobre MKController

¡Esperamos que esta información te ayude a manejar mejor tu MikroTik y tu universo de Internet! 🚀
Ya sea afinando configuraciones o poniendo orden a la locura de la red, MKController está aquí para simplificar tu vida.

Con gestión en la nube centralizada, actualizaciones de seguridad automáticas y un panel que cualquiera puede dominar, tenemos lo necesario para optimizar tu operación.

👉 Comienza tu prueba gratuita de 3 días ahora en mkcontroller.com — y descubre el verdadero control sin esfuerzo de tu red.