(Book) Networking with MikroTik RouterOS: A Practical Approach to Understanding and Implementing RouterOS
Study material for the MTCNA Certification Course, updated to RouterOS v7
$19,97
Qué es IPsec y cuándo se debe utilizar
- Ingrid Espinoza
- No hay comentarios
- Comparte este artículo
Facebook
Twitter
LinkedIn
WhatsApp
Telegram
Si trabajas con redes, tarde o temprano te cruzas con IPsec. Es uno de esos términos que todo el mundo menciona cuando se habla de VPN, pero que no siempre se explica bien en la práctica. En este artículo te explico qué es IPsec, cómo funciona y, sobre todo, cuándo se debe utilizar y cuándo no, con ejemplos reales y problemas habituales que no suelen contarse.
¿Qué es IPsec?
IPsec (Internet Protocol Security) es un conjunto de protocolos diseñados para proteger las comunicaciones a nivel de red, cifrando y autenticando los paquetes IP que se envían a través de una red no confiable, como Internet.
Dicho de forma sencilla:
👉 IPsec permite crear túneles seguros entre dispositivos (routers, firewalls, gateways) para que dos redes se comuniquen como si estuvieran conectadas directamente.
A diferencia de otras VPN que funcionan a nivel de aplicación o transporte, IPsec trabaja en la capa de red, lo que lo hace muy transparente para los sistemas y aplicaciones.
¿Cómo funciona IPsec a nivel de red?
IPsec intercepta los paquetes IP antes de que salgan a Internet, los cifra, los encapsula y los envía por el túnel seguro. Al llegar al otro extremo, el proceso se invierte: se descifran y se entregan a la red destino.
En configuraciones reales, como las VPN site-to-site, IPsec decide qué tráfico debe ir cifrado basándose en políticas, normalmente definidas por:
Red origen
Red destino
Protocolo
En mi caso, al interconectar matrices con sucursales, esta definición de redes es clave, porque ahí se establece exactamente qué tráfico viajará por el túnel y cuál no.
Principales componentes de IPsec
IKE e IKEv2
IKE (Internet Key Exchange) es el protocolo encargado de:
Autenticar los extremos del túnel
Negociar algoritmos de cifrado
Intercambiar claves de forma segura
Hoy en día, IKEv2 es el más recomendado por ser más estable, rápido y tolerante a cambios de red.
ESP y AH
ESP (Encapsulating Security Payload)
Proporciona cifrado, integridad y autenticación. Es el más usado en la práctica.AH (Authentication Header)
Solo autentica, no cifra. Prácticamente en desuso.
En entornos reales, ESP es la opción estándar para la mayoría de implementaciones IPsec.
Modos de funcionamiento de IPsec
Modo transporte
Protege solo la carga útil del paquete IP.
Se usa poco en escenarios empresariales y más en comunicaciones host-to-host.
Modo túnel
Es el modo más común.
Cifra todo el paquete IP original y lo encapsula dentro de uno nuevo.
👉 Este es el modo típico cuando configuras una VPN IPsec site-to-site entre routers o firewalls.
¿Cuándo se debe utilizar IPsec?
IPsec es una excelente opción cuando:
Necesitas interconectar redes completas
Quieres una solución robusta y estandarizada
Trabajas con routers o firewalls que ya lo soportan
La seguridad es prioritaria
Por experiencia, IPsec encaja perfectamente cuando tienes dos o más sedes y necesitas que sus redes internas se comuniquen de forma segura sin depender de aplicaciones específicas.
Casos de uso más comunes de IPsec
VPN IPsec site-to-site
Es el escenario más habitual.
Se crea un túnel permanente entre dos dispositivos para que ambas redes se vean entre sí.
En mis configuraciones, he usado IPsec principalmente para interconectar matriz con sucursal y también sucursal con sucursal, tanto en entornos reales como en laboratorios.
Una ventaja importante es que no necesitas crear rutas manuales: las redes que se van a comunicar se definen directamente en la política del túnel IPsec.
Interconexión de sucursales
Cuando tienes varias sedes:
IPsec permite centralizar servicios
No expone redes internas a Internet
Funciona bien incluso con enlaces económicos
Eso sí, dependiendo del fabricante (por ejemplo, MikroTik), la configuración puede requerir varios pasos y bastante atención al detalle.
Problemas comunes al implementar IPsec
El túnel levanta, pero no hay tráfico
Este es uno de los errores más frustrantes… y más comunes.
En la práctica, me he encontrado con túneles IPsec que aparentan estar funcionando, pero cuando intentas enviar tráfico entre redes, los paquetes se pierden.
La causa suele ser NAT.
NAT y su impacto en IPsec
Muchos routers tienen reglas de masquerade que modifican la IP de origen antes de cifrar el paquete.
Cuando esto ocurre:
La política IPsec deja de coincidir
El router no cifra el tráfico
El túnel no transporta paquetes útiles
👉 La solución es configurar una regla de NAT bypass (omisión de NAT).
Punto crítico aprendido en la práctica:
La regla de NAT bypass debe estar por encima de todas las demás reglas NAT
Sin esa regla, no habrá comunicación entre las redes internas, aunque el túnel esté activo
Este detalle no suele aparecer en guías teóricas, pero en implementaciones reales marca la diferencia entre “funciona” y “no funciona”.
IPsec vs otras tecnologías VPN
IPsec vs SSL VPN
IPsec: ideal para redes completas, site-to-site
SSL VPN: mejor para acceso remoto de usuarios
Si necesitas que redes enteras se comuniquen, IPsec es superior.
IPsec vs WireGuard
WireGuard es más simple y moderno
IPsec es más complejo pero muy probado
IPsec sigue siendo estándar en entornos corporativos
En infraestructuras tradicionales, IPsec sigue siendo una apuesta segura.
Ventajas y desventajas de IPsec
Ventajas
Alto nivel de seguridad
Transparente para aplicaciones
Estándar ampliamente soportado
Ideal para VPN site-to-site
Desventajas
Configuración compleja
Difícil de depurar
Problemas frecuentes con NAT si no se entiende bien
¿Cuándo NO es recomendable usar IPsec?
No es la mejor opción si:
Solo necesitas acceso remoto ocasional
Buscas algo muy simple de configurar
No controlas bien el firewall y NAT
Tu entorno cambia constantemente de IP
En esos casos, una SSL VPN o WireGuard puede ser más práctica.
Conclusión
IPsec es una tecnología potente, robusta y muy usada, especialmente para interconectar redes completas de forma segura. Sin embargo, no es plug & play: entender cómo interactúa con NAT, firewall y políticas es clave para que funcione correctamente.
Cuando se implementa bien —como en túneles site-to-site entre sucursales— es una solución sólida y confiable. Cuando se configura sin entender estos detalles, puede convertirse en un dolor de cabeza.
Preguntas Frecuentes
¿IPsec necesita rutas estáticas?
No necesariamente. En VPN site-to-site, las redes se definen en la política IPsec.
¿Por qué mi túnel IPsec conecta pero no pasa tráfico?
Generalmente por NAT. Falta una regla de NAT bypass o está mal ubicada.
¿IPsec es seguro hoy en día?
Sí, sigue siendo un estándar muy usado y confiable.
Breve cuestionario de conocimientos
¿Qué te pareció este artículo?
¿Te atreves a evaluar tus conocimientos aprendidos?
Libros recomendados para éste artículo
Libro Conceptos Fundamentales de MikroTik, RouterOS v7
Material de estudio para el Curso de Certificación MTCNA, actualizado a RouterOS v7
$19,97
Autoestudio MikroTik
Estudia las certificaciones MikroTik a tu propio ritmo
Autoestudio
Aprende a tu propio ritmo
advertisement (anuncio)
Artículos Relacionados
MikroLABs
Otros temas que te pueden interesar
Cómo funciona el DHCP Alert y para qué sirve
abril 22, 2026
Qué es el Burst y cómo funciona en redes
abril 21, 2026
advertisement (anuncio)
Escríbenos por WhatsApp (+593 98 700 0604)
¿Quieres sugerir un tema?
Todas las semanas posteamos nuevo contenido. Quieres que tratemos sobre algo específico?
Próximos Cursos
Libros MikroTik (español)
advertisement (anuncio)
MONARC Latin America: Soluciones Tecnológicas - monarclatinamerica.com.gt - Guatemala
1
Haz clic para chatear