InicioBlog › VPN
VPN

VPN para Acceso Remoto Seguro con MikroTik: Home Office y Sucursales

19 de Mayo de 2025·8 min de lectura·Equipo Mikrosinc

Desde la expansión del trabajo remoto, la pregunta que más recibimos de gestores de TI en pequeñas empresas es: "¿cómo hago que mis empleados accedan al sistema interno de la empresa desde casa con seguridad?". La respuesta correcta — y frecuentemente subestimada — es una VPN corporativa gestionada.

Si tu empresa tiene un router MikroTik en la oficina, ya tienes toda la infraestructura necesaria para esto. En este artículo, mostramos cómo configurar acceso VPN seguro para home office e interconexión de sucursales.

¿Por qué VPN y no simplemente abrir el acceso directo?

Algunas empresas "resuelven" el acceso remoto abriendo puertos en el router — por ejemplo, exponiendo el RDP o el sistema ERP directamente a internet. Esto crea riesgos graves:

Con VPN, el tráfico viaja cifrado y el acceso externo solo es posible tras autenticación en la VPN. Los sistemas internos quedan invisibles para internet.

Eligiendo el protocolo VPN para PYMEs

WireGuard Recomendado
✓ Más rápido
✓ Menos overhead
✓ Configuración simple
✓ RouterOS 7.x
✓ Apps para Windows/macOS/iOS/Android
L2TP/IPSec
✓ Nativo Windows/iOS
✗ Configuración compleja
✗ Más lento
✗ Problemas con CGNAT
✗ Protocolo más antiguo
OpenVPN
✓ Muy configurable
✗ Requiere cliente instalado
✗ Más lento que WireGuard
✗ Configuración laboriosa
✗ Soporte limitado en RouterOS

Para PYMEs en 2025, WireGuard es la elección clara: más rápido, más simple y con soporte nativo en todos los sistemas operativos y dispositivos móviles.

Escenario 1: Empleados en home office accediendo a la oficina

En este escenario, el router MikroTik de la empresa funciona como servidor VPN. Cada empleado en home office tiene un peer WireGuard configurado en el notebook o celular.

Configurar el servidor VPN en el router MikroTik

# Crear interfaz WireGuard en el router de la empresa
/interface wireguard add \
  name=wg-homeoffice \
  listen-port=51820

# Asignar IP a la interfaz del túnel
/ip address add \
  address=10.10.0.1/24 \
  interface=wg-homeoffice

# Liberar puerto en el firewall
/ip firewall filter add \
  chain=input protocol=udp dst-port=51820 \
  action=accept comment="WireGuard home office"

Agregar peer para cada empleado

# Cada empleado genera su par de claves en la app WireGuard
# e informa la clave pública al administrador

# Agregar peer del empleado Juan
/interface wireguard peers add \
  interface=wg-homeoffice \
  public-key="CHAVE_PUBLICA_JOAO" \
  allowed-address=10.10.0.2/32 \
  comment="João - Home Office"

# Agregar peer de la empleada María
/interface wireguard peers add \
  interface=wg-homeoffice \
  public-key="CHAVE_PUBLICA_MARIA" \
  allowed-address=10.10.0.3/32 \
  comment="Maria - Home Office"

Configuración en el dispositivo del empleado (app WireGuard)

El empleado instala la app WireGuard (Windows, macOS, Android o iOS) y agrega un túnel con la siguiente configuración:

# Archivo de configuración WireGuard para el empleado Juan
[Interface]
PrivateKey = CHAVE_PRIVADA_JOAO
Address = 10.10.0.2/32
DNS = 192.168.1.1  # DNS de la oficina (opcional)

[Peer]
PublicKey = CHAVE_PUBLICA_DO_MIKROTIK
Endpoint = SEU_IP_PUBLICO:51820
AllowedIPs = 192.168.1.0/24  # Solo tráfico de la oficina por el túnel (split tunnel)
PersistentKeepalive = 25

Split tunneling: definiendo AllowedIPs = 192.168.1.0/24 (solo la red de la oficina), el empleado usa internet normalmente en casa y solo el tráfico hacia sistemas internos pasa por la VPN. Esto mejora la velocidad y no sobrecarga el enlace de la empresa. Si quieres enrutar todo el tráfico por la VPN (más seguro), usa AllowedIPs = 0.0.0.0/0.

Escenario 2: Interconectar sede y sucursal

Para conectar dos redes de oficinas permanentemente, el proceso es el mismo descrito en el artículo Cómo Configurar VPN WireGuard Site-to-Site en MikroTik. La diferencia principal es que aquí ambos lados tienen múltiples usuarios, por lo que es importante configurar las rutas correctamente para que todos los dispositivos de cada lado puedan verse entre sí.

Revocar acceso de un empleado que dejó la empresa

Una ventaja crítica de WireGuard sobre VPNs con usuario/contraseña es que el acceso se controla mediante claves criptográficas. Para revocar el acceso de un empleado, basta con eliminar el peer correspondiente:

# Eliminar peer del empleado que se fue
/interface wireguard peers remove \
  [find comment="João - Home Office"]

# Acceso revocado inmediatamente — no hay contraseña que cambiar

Monitorear quién está conectado

# Ver peers conectados (last-handshake indica actividad reciente)
/interface wireguard peers print

# Monitorear tráfico por peer
/interface wireguard peers monitor [find]

Gestiona las VPNs de toda la empresa en un panel

El VPN Orchestrator de Mikrosinc provisiona, monitorea y revoca accesos WireGuard para todos los empleados y sucursales en un único panel — sin necesidad de editar configuraciones manualmente en cada router.

Conocer el VPN Orchestrator

Artículos relacionados

Cómo Configurar WireGuard Site-to-Site en MikroTik → Hardening MikroTik: Guía Completa de Seguridad → Segmentación de Red con VLANs en MikroTik →