La configuración de túneles IPIP con MikroTik RouterOS es una solución clásica y muy utilizada cuando se necesita interconectar dos redes remotas en un escenario site-to-site. Es un método simple, eficiente y nativo en RouterOS, ideal cuando se busca encapsular tráfico IP entre dos routers a través de Internet.
En esta guía te explico qué es un túnel IPIP, cuándo conviene usarlo, cómo configurarlo correctamente en MikroTik y qué debes tener en cuenta si necesitas seguridad adicional mediante IPsec, basándome también en experiencia real de implementación.
Al final del artículo encontrarás un pequeño test que te permitirá evaluar los conocimientos adquiridos en esta lectura
¿Qué es un túnel IPIP y para qué se utiliza?
Un túnel IPIP (IP over IP) es un mecanismo de encapsulación que permite enviar paquetes IP dentro de otros paquetes IP. En términos simples, el router “envuelve” un paquete IP original dentro de otro para poder enrutarlo a través de una red intermedia, normalmente Internet.
Este tipo de túnel se utiliza principalmente en:
Conexiones site-to-site
Interconexión de redes privadas
Laboratorios y escenarios de prueba
Enlaces simples entre routers con IP pública
En la práctica, cuando he trabajado con IPIP en MikroTik, lo he usado sobre todo para unir dos sedes remotas donde la prioridad era simplicidad y estabilidad, más que cifrado avanzado.
Requisitos previos para implementar un túnel IPIP
Antes de configurar un túnel IPIP en MikroTik RouterOS, hay varios puntos clave que debes cumplir.
IP pública en ambos extremos del túnel
Para que el túnel funcione correctamente, ambos routers deben ser accesibles desde Internet:
Idealmente con IP pública estática
Si la IP es dinámica, MikroTik ofrece una alternativa muy útil
En escenarios reales, cuando no he tenido IP pública estática, he utilizado sin problemas MikroTik IP Cloud, que permite generar un dominio dinámico (ej. xxxx.sn.mynetname.net) y usarlo directamente en la configuración del túnel.
Esto evita tener que cambiar la configuración cada vez que el ISP modifica la IP.
Conectividad básica y rutas claras
Antes de crear el túnel:
Verifica que ambos routers se hacen ping por la IP pública
Define claramente qué redes se van a intercambiar
Asegúrate de que no haya conflictos de direccionamiento
Configuración básica de un túnel IPIP en MikroTik RouterOS
La configuración del túnel IPIP en MikroTik es bastante directa, ya sea desde Winbox o por CLI.
Escenario
Router A (Sede A)
IP pública:
200.1.1.1Red LAN:
192.168.1.0/24
Router B (Sede B)
IP pública:
200.1.1.2Red LAN:
192.168.2.0/24
IP del túnel:
Router A:
10.10.10.1/30Router B:
10.10.10.2/30
Router A – Configuración CLI
/interface ipip
add name=ipip-to-B local-address=200.1.1.1 remote-address=200.1.1.2
/ip address
add address=10.10.10.1/30 interface=ipip-to-B
/ip route
add dst-address=192.168.2.0/24 gateway=10.10.10.2
Router B – Configuración CLI
/interface ipip
add name=ipip-to-A local-address=200.1.1.2 remote-address=200.1.1.1
/ip address
add address=10.10.10.2/30 interface=ipip-to-A
/ip route
add dst-address=192.168.1.0/24 gateway=10.10.10.1
Verificación del túnel
Puedes comprobar el funcionamiento de varias formas:
Ping a la IP del túnel remoto
Ping entre hosts de ambas redes
Revisión del estado de la interfaz IPIP
Seguridad en túneles IPIP: limitaciones y solución con IPsec
Aquí hay un punto crítico que muchos pasan por alto.
El túnel IPIP NO ofrece seguridad por sí solo.
Solo encapsula paquetes IP, el contenido viaja sin cifrar a través de Internet.
Cuando probé IPIP por primera vez en producción, esto fue lo primero que tuve claro: si el enlace pasa por redes públicas, necesitas cifrado.
Combinación de IPIP con IPsec en MikroTik
La buena noticia es que MikroTik facilita mucho la integración con IPsec.
Para añadir seguridad:
Se habilita la opción IPsec secret en la interfaz IPIP
Se define un secret compartido
El secret debe ser idéntico en ambos extremos
A partir de ahí, MikroTik se encarga automáticamente de:
Crear los peers IPsec
Gestionar el cifrado
Aplicar autenticación e integridad
Detrás de escena, IPsec añade:
Confidencialidad (cifrado)
Autenticación del origen
Integridad mediante hashing
En escenarios reales, esta combinación IPIP + IPsec es una solución muy equilibrada entre simplicidad y seguridad.
Escenarios prácticos y problemas comunes
Uso con IP dinámica
Si uno o ambos lados tienen IP dinámica:
Activar IP Cloud
Usar el dominio generado en lugar de la IP
Verificar resolución DNS desde el router
Esto me ha permitido mantener túneles estables incluso con ISPs residenciales.
Problemas frecuentes
Firewalls bloqueando el protocolo IPIP (protocolo 4)
Secret IPsec diferente en cada extremo
Rutas mal definidas
Conflictos de subredes
La mayoría de fallos no están en el túnel en sí, sino en el ruteo o en reglas de firewall.
Conclusiones y mejores prácticas
El túnel IPIP en MikroTik RouterOS es:
✔ Simple
✔ Nativo
✔ Ideal para site-to-site
Pero recuerda siempre:
IPIP no cifra
Para producción sobre Internet, combínalo con IPsec
Usa IP Cloud si no tienes IP estática
Documenta rutas y subredes antes de configurar
Bien implementado, es una solución muy estable y fácil de mantener.
Preguntas Frecuentes
¿IPIP es lo mismo que una VPN?
No exactamente. IPIP encapsula tráfico, pero no cifra. Con IPsec sí se comporta como una VPN segura.
¿Puedo usar IPIP detrás de NAT?
No es lo ideal. Requiere visibilidad directa entre IPs públicas.
¿Es mejor IPIP o GRE?
IPIP es más simple; GRE ofrece más flexibilidad. Depende del escenario.
Breve cuestionario de conocimientos
¿Qué te pareció este artículo?
¿Te atreves a evaluar tus conocimientos aprendidos?
Libros recomendados para éste artículo
(Book) Networking with MikroTik RouterOS: A Practical Approach to Understanding and Implementing RouterOS
Study material for the MTCNA Certification Course, updated to RouterOS v7
Libro Conceptos Fundamentales de MikroTik, RouterOS v7
Material de estudio para el Curso de Certificación MTCNA, actualizado a RouterOS v7










