Saltearse al contenido
MKController Blog
InstagramYouTubeFacebook

Tutorial

Configurar VPN WireGuard en MikroTik

Configura un router MikroTik como cliente WireGuard con enrutamiento por políticas y kill switch en cinco pasos en RouterOS v7.

MKController5 min read

Resumen WireGuard funciona de forma nativa en routers MikroTik desde RouterOS v7 y es la manera más rápida y sencilla de enviar dispositivos específicos de la LAN a través de un túnel VPN. Esta guía configura el MikroTik como cliente WireGuard, añade enrutamiento por políticas para que solo los dispositivos elegidos usen el túnel e instala una ruta blackhole como kill switch que descarta el tráfico si el túnel cae en lugar de dejarlo escapar por el ISP.

¿Cómo funciona WireGuard en MikroTik?

WireGuard es un protocolo VPN moderno que viene de fábrica con RouterOS v7 — sin paquetes adicionales, sin contenedores, sin módulos de kernel que compilar. En un router MikroTik, configuras una interfaz WireGuard, le asignas una IP de túnel de tu proveedor VPN, añades un peer (el servidor remoto) con su clave pública y su endpoint, y luego decides qué tráfico local atraviesa realmente el túnel usando enrutamiento por políticas.

El resultado es un túnel criptográfico rápido y auditado que rinde notablemente mejor que OpenVPN o L2TP/IPsec en el mismo hardware. El protocolo fue diseñado para tener unos pocos miles de líneas de código en vez de decenas de miles, por eso corre más rápido y es más fácil de verificar para investigadores de seguridad.

Obtén tus credenciales WireGuard

Antes de abrir Winbox, reúne la configuración de tu proveedor VPN (Proton VPN, Mullvad, NordVPN o un servidor WireGuard autoalojado). Necesitas cuatro datos:

  • Private Key: asignada a la interfaz de tu MikroTik. El portal del proveedor suele entregarte un archivo de configuración que la contiene.
  • Public Key: pertenece al servidor remoto. El MikroTik la usa para autenticar al peer.
  • Dirección y puerto del Endpoint: la IP o hostname del servidor y el puerto UDP donde escucha (habitualmente 51820).
  • Allowed IPs: normalmente 0.0.0.0/0 para un túnel completo que maneja todo el tráfico. Restríngelo si solo quieres que ciertas subredes pasen por el túnel.
Configuración de la interfaz WireGuard de MikroTik en Winbox

Paso 1: Crea la interfaz WireGuard

En Winbox, ve al menú WireGuard y haz clic en + para añadir una nueva interfaz. Nómbrala WG-Client, pega la Private Key que te dio el proveedor y haz clic en OK — el MikroTik derivará la clave pública correspondiente automáticamente. En IP → Addresses, añade la IP que el proveedor asignó a tu túnel (algo como 10.66.66.2/32).

Paso 2: Configura el peer

El peer es el servidor remoto al que te conectas. En la ventana de WireGuard, cambia a la pestaña Peers y añade un peer apuntando a la interfaz WG-Client:

  • Public Key: la clave pública del servidor.
  • Endpoint y Endpoint Port: la IP y el puerto UDP del servidor.
  • Allowed IPs: 0.0.0.0/0. Esto permite que todo el tráfico pase por el túnel — pero todavía no enruta nada. El enrutamiento ocurre en el Paso 4.
Añadiendo un peer WireGuard en Winbox

Paso 3: Enrutamiento por políticas (PBR)

Habitualmente no quieres que toda la LAN pase por la VPN — solo dispositivos concretos, como una estación de trabajo que necesita acceder a un servicio con restricción geográfica o un servidor multimedia que maneja tráfico sensible a la privacidad. MikroTik resuelve esto con reglas Mangle que marcan paquetes, y tablas de enrutamiento que actúan según esas marcas.

  1. Ve a IP → Firewall → Mangle.
  2. Añade una nueva regla con Chain: prerouting.
  3. Establece Src. Address a la IP local del dispositivo que quieres tunelizar (por ejemplo, 192.168.88.50).
  4. Establece Action a mark routing.
  5. Establece New Routing Mark a via-wireguard.
  6. Desmarca “Pass Through” — sin esto, reglas posteriores pueden sobrescribir la marca y perderás el túnel.
Regla Mangle de MikroTik marcando tráfico para enrutamiento WireGuard

Paso 4: Enrutamiento y el kill switch

Ahora indica al router que cualquier paquete marcado como via-wireguard debe pasar por el túnel.

  1. Ve a IP → Routes.
  2. Añade una nueva ruta: Gateway: WG-Client, Routing Table: via-wireguard, Distance: 1.
  3. Añade el kill switch — añade una segunda ruta con la misma Routing Table (via-wireguard), establece Type a blackhole y dale una Distance mayor (por ejemplo, 10).

La ruta blackhole es la pieza clave. Si el túnel WireGuard cae, la ruta normal desaparece, la blackhole toma el relevo y los paquetes que coincidan con la regla Mangle se descartan silenciosamente en vez de volver al ISP — sin fugas de DNS, sin fugas de IP, sin tráfico sin cifrar saliendo por la WAN.

Tabla de enrutamiento MikroTik con blackhole kill switch para WireGuard

Verifica el túnel

Desde el dispositivo que marcaste para tunelizar, abre un sitio como ifconfig.me o whatismyip.com. Debería mostrar la IP del servidor VPN, no la de tu ISP. Luego, en el MikroTik, ejecuta:

/interface/wireguard/peers print stats

Un peer en funcionamiento muestra contadores recientes de bytes rx y tx que aumentan a medida que generas tráfico. Si los contadores se quedan en cero, la causa más común es un puerto de endpoint ausente o incorrecto, o un firewall en la WAN que descarta UDP saliente.

Consejos

  • Mantén la distancia del kill switch mayor que la de la ruta activa — si las inviertes por accidente, la blackhole pasa a ser la principal y todo el tráfico tunelizado se descarta, incluso con el túnel arriba.
  • Si gestionas varios dispositivos MikroTik de forma remota a través del mismo túnel, consulta nuestra guía de gestión remota con SSTP para un protocolo complementario, o WireGuard para gestión remota de MikroTik para el patrón completo de administración remota.
  • WireGuard no reintenta handshakes de forma agresiva cuando el endpoint es inalcanzable; si tu proveedor VPN rota servidores, planea rotar también la configuración del endpoint.

Da el siguiente paso

WireGuard en un MikroTik lleva veinte minutos. Mantener la misma configuración — mismas claves rotadas a tiempo, misma regla de kill switch, mismas marcas Mangle — en una flota de sitios es donde importa la disciplina operativa. La deriva aparece: un ingeniero cambia una regla Mangle para un cliente, un router se resetea y el kill switch desaparece, una rotación de claves se salta un dispositivo.

MKController envía la misma configuración de WireGuard, Mangle y enrutamiento a cada MikroTik de tu inventario y resalta los dispositivos que divergen de la plantilla. Cuando un túnel cae o un kill switch falta en un cliente, el panel lo señala antes de que el cliente lo note.

Comienza tu prueba gratuita de MKController