(Book) Networking with MikroTik RouterOS: A Practical Approach to Understanding and Implementing RouterOS
Study material for the MTCNA Certification Course, updated to RouterOS v7
$19,97
¿Qué es y cómo se configura Back To Home (BTH) en MikroTik?
- Mauro Escalante
- No hay comentarios
- Comparte este artículo
Facebook
Twitter
LinkedIn
WhatsApp
Telegram
Back To Home es una práctica función que configura tu dispositivo para un acceso VPN seguro desde cualquier lugar del mundo a tu router y a tu red, incluso si tu router no tiene una dirección IP pública o está protegido por NAT o Firewall.
La configuración se realiza con la app MikroTik Back To Home (Android, iPhone).
Si el servidor VPN (tu router) tiene una dirección IP pública, la app creará una conexión VPN directa entre el teléfono y el router. Sin embargo, si no se puede acceder directamente al router desde internet, la conexión se realizará a través de los servidores de retransmisión de MikroTik.
Cifrado
La conexión siempre está cifrada de extremo a extremo; ni el servidor de retransmisión ni ningún otro dispositivo tienen acceso a las claves de cifrado; en esencia, el servidor de retransmisión solo ayuda a tu dispositivo a conectarse al router.
La conexión aparecerá como si saliera de tu router, no del servidor de retransmisión. Si pasa por el servidor de retransmisión, la velocidad podría verse limitada.
Esta función es una opción práctica para acceder a tu red doméstica o ver contenido disponible en tu país desde ubicaciones donde algunos contenidos no están disponibles. No está diseñado para el anonimato, sino para acceder fácilmente a su red doméstica con un solo clic.
Para un control de seguridad más preciso, recomendamos configurar y proteger manualmente una conexión VPN con las opciones avanzadas de RouterOS.
Requisitos y compatibilidad
Requisito | Detalle |
RouterOS | v7.12 o superior, paquetes routeros completos |
CPU soportada | ARM / ARM64 / TILE |
Sub‑menú | /ip cloud |
App móvil | Back to Home para Android / iOS (configura todo vía API) |
Activación de BTH mediante la app
Para configurar Back to Home, debes tener un smartphone con la app BTH y estar dentro de casa, conectado a la red wifi de tu router.
- Conéctate a la red wifi de tu router con tu teléfono.
- Abre la app Back to Home (Android, iPhone).
- Toca “Crear nuevo”.
- Introduce la dirección IP de tu router local (probablemente 192.168.88.1), tu nombre de usuario y contraseña, y toca “Conectar“.
- Asigna un nombre al túnel y toca “Crear túnel“.
- Tu teléfono te pedirá permiso para añadir una nueva configuración de VPN; acéptala con el PIN de tu teléfono.
- La configuración está lista. Ahora puedes desconectarte de la red wifi de tu router y conectarte a cualquier otra red, como LTE/5G, o simplemente salir de casa.
- Toca el botón “Conectar” para activar o desactivar la conexión del túnel seleccionado.
Arquitectura de conexión
[Cliente BTH]──WG/UDP──►(directo)►[Router MikroTik]
│
└─► if no direct path
▼
[Relay MikroTik] ──WG/UDP──►[Router]
- Directo: si el router presenta puerto y IP públicos válidos, el cliente conecta punto‑a‑punto; máximo rendimiento.
- Vía relay: cuando el router está tras CG‑NAT/FW, se establece un túnel triple‑saltado (cliente → relay → router). El relay sólo reencapsula; la clave privada nunca abandona los extremos. El rendimiento puede reducirse al ancho de banda que MikroTik asigna a la relay. help.mikrotik.com
Gestión avanzada desde CLI
# 1) Habilitar DDNS y BTH
/ip cloud
set ddns-enabled=yes back-to-home-vpn=enabled
# 2) Ver estado y parámetros
/ip cloud print
Campos relevantes:
- vpn-dns-name – dominio asignado
- vpn-port – puerto WG
- vpn-status – estado (direct / relay / error)
- vpn-relay‑rtts – RTT por región
- vpn-wireguard-client-config(-qrcode) – perfil o QR para clientes externos
- back-to-home-users – gestor de invitados, con allow-lan y fecha de expiración.
Compartir el acceso
La app permite:
- Invitaciones para invitados (amigos, familia, técnicos).
- Puede limitarse a “Internet only” o permitir acceso LAN completo.
- Exportar archivo WG o QR para PC y otros dispositivos (no existe app BTH para escritorio).
Para compartir tu túnel con alguien:
- Como propietario, conéctate a tu túnel BTH.
- Haz clic en el icono “…” junto a tu túnel y luego en “Administrar recursos compartidos“.
- Introduce la contraseña de administrador del router, ya que modificarás su configuración.
- Toca “Crear” en el administrador de recursos compartidos.
- Introduce el nombre de tu amigo en “Nombre del túnel“, ya que se creará un nuevo túnel para él.
- Especifica la fecha de caducidad de este nuevo túnel de invitado.
- Especifica si el usuario necesitará acceder a la red interna de tu casa. No marques esta opción si solo quiere usar este túnel para acceder a internet.
- Al pulsar “Crear túnel“, se abrirá la hoja de compartir del teléfono. Selecciona el método para enviar el enlace de invitación.
- Una vez que la otra persona haga clic en este enlace, se le pedirá que instale la aplicación BTH, o bien, esta se abrirá y le permitirá configurar este nuevo túnel de invitado en su teléfono.
Compartir el túnel BTH con una computadora mediante la app WireGuard™
Como no existe una app BTH para PC, puedes usar la app WireGuard™ para conectarte al túnel compartido. Incluso puedes compartir la conexión contigo mismo invitando a tu computadora a conectarse.
- Crea un nuevo recurso compartido, esta vez para ti, para usar desde la PC.
- Instala la aplicación WireGuard en su computadora y has clic en “Importar túnel desde archivo“.
Configuración manual de BTH en RouterOS (opcional, si no dispone de un smartphone)
Aviso importante
Es importante tener en cuenta que no es necesario configurar nada en RouterOS para usar Back to Home. Simplemente usa la aplicación BTH (consulta la sección anterior) para habilitarla. El objetivo de Back to Home es evitar usar Winbox o la línea de comandos.
Las siguientes instrucciones son solo para depuradores o administradores experimentados.
- Conectarse al router
- Habilitar el servicio DDNS en la nube: `/ip/cloud/set ddns-enabled=yes`
- Habilitar Back to Home: `/ip/cloud/set back-to-home-vpn=enabled`
- Imprimir la configuración del túnel: `/ip/cloud/print`
- Escanee el código QR (`vpn-wireguard-client-config-qrcode`) o copie la configuración (`vpn-wireguard-client-config`) e introduzca el cliente WireGuard® que prefiera. Solo un cliente a la vez podrá usar esta configuración.
Importante
Después de configurar “Back To Home“, se crea automáticamente una entrada de par (peer) adicional, que se puede ver ejecutando el comando /ip cloud print.
Esto permite que la VPN funcione si el dispositivo no tiene acceso a una dirección IP pública y opta por establecer la conexión mediante el servidor de retransmisión de Mikrotik.
Si el dispositivo tiene acceso a una dirección IP pública, la entrada de par generada se ignora.
[Peer]
PublicKey = //////////////////////////////////////////8=
AllowedIPs = 0.0.0.0/32
Endpoint = example.com:12345
PersistentKeepalive = 15
Eliminación y desactivación de conexiones
En la aplicación para smartphones, la configuración de VPN se añade a la configuración de VPN del sistema. En este sentido, la aplicación “ Back To Home ” solo funciona como un asistente. Proporciona la configuración necesaria al sistema operativo (por eso, el iPhone te avisará si modificas la configuración del sistema).
Para eliminar la conexión creada, accede a la aplicación de ajustes del smartphone y elimina las conexiones VPN desde allí.
En el router MikroTik, debes eliminar manualmente los pares añadidos en el menú Wireguard. Ten en cuenta que el botón “Revocar y desactivar (revoke-and-disable )” no permite pausar la función “ Back To Home “. Una vez que lo hayas hecho en RouterOS, todos los pares (peers) se desasociarán de los servidores de Cloud/Relay y tendrás que volver a crear la conexión desde la aplicación para smartphones. Por lo tanto, una vez que hayas usado la opción “ Revocar y desactivar (revoke-and-disable )” en el menú IP Cloud de RouterOS, también debes eliminar los pares del menú Wireguard, ya que no se pueden reutilizar.
Importante
Al usar vpn-wireguard-client-config o vpn-wireguard-client-config-qrcode, ambas opciones son iguales, solo necesita importar una de ellas a su dispositivo cliente WireGuard.
Usuarios de Back to Home
Submenú: /ip/cloud/back-to-home-users/
Desde RouterOS 7.14, hay un nuevo administrador de usuarios específico para Back to Home disponible en el menú /ip/cloud/back-to-home-users>, donde puedes ver todos los usuarios añadidos por la app móvil Back to Home, cambiar sus preferencias de firewall y añadir nuevos.
[boss@mikrotik-ax] /ip/cloud/back-to-home-users> print detail
Flags: X - disabled; A - active
0 A name="user1" slot=3 expires=never client-address=192.168.216.3/32,fc00:0:0:216::3/128 allow-lan=no
private-key="OHqR2BZXJp0N6//3JzzoJhBJVb0rrSxV0dxQL/2UdXY=" public-key="Na7oEq9XLdeK8ouCUX+tC4FIM51vEnZ7mLiFqG9xiUQ="
[boss@mikrotik-ax] /ip/cloud/back-to-home-users>
Al agregar usuarios en este menú, puede ver su configuración de Wireguard y su código QR con el comando
/interface/wireguard/peers/show-client-config user1
Allow-lan=no agregará a los usuarios a una lista de direcciones de firewall que solo permite el acceso a internet, pero les impide acceder a su red interna. Ten en cuenta que la fecha de vencimiento no se puede cambiar una vez agregado el usuario.
Seguridad y buenas prácticas
- Cifrado: WireGuard usa Curve25519+ChaCha20‑Poly1305; las claves se generan en el router.
- Autorización: Las claves de invitados se almacenan en /ip/cloud/back-to-home-users; se puede fijar expiración.
- Revocación: back-to-home-vpn=revoked-and-disabled elimina todas las peer‑keys y requiere reprovisionar desde cero. help.mikrotik.com
- No es una VPN de anonimato: El origen del tráfico será la IP pública (o relay) de su router doméstico. No oculta identidad frente a su ISP.
Casos de uso típicos
Escenario | Beneficio concreto |
Acceso remoto a cámaras, NAS o PLC sin exponer puertos | “Un click” desde el móvil, sin reglas de firewall manuales |
Administración fuera de banda para filial pequeña sin IP pública | Evita contratar IP fija o túneles B2B; basta LTE NAT |
Streaming de contenidos geo‑bloqueados al viajar | Todo el tráfico sale desde su IP residencial |
Soporte técnico a familiares | Se genera un guest tunnel con caducidad y sin acceso LAN |
Limitaciones
- Rendimiento dependiente del relay si no hay IP pública (típicamente 20–50 Mbps).
- Un solo perfil WireGuard “rápido” cuando se usa vpn-wireguard-client-config; los invitados creados por app son ilimitados pero cada peer consume slots.
- Arquitecturas no ARM/TILE (p.e. MIPSBE) aún no soportadas.
- Dependencia de infraestructura MikroTik para DDNS y relays.
Conclusión
“Back To Home” convierte a cualquier router MikroTik moderno en un servidor WireGuard autoconfigurable que se salta NAT y facilita un acceso remoto seguro con el mínimo esfuerzo.
Es ideal para hogares, oficinas pequeñas y técnicos que buscan rapidez de despliegue sin renunciar a la seguridad criptográfica, reservando las configuraciones manuales de VPN para escenarios que exijan reglas firewall detalladas o mayores prestaciones de ancho de banda.
Breve cuestionario de conocimientos
¿Qué te pareció este artículo?
¿Te atreves a evaluar tus conocimientos aprendidos?
Libros recomendados para éste artículo
Libro Ruteo Avanzado RouterOS v7
Material de estudio para el Curso de Certificación MTCRE, actualizado a RouterOS v7
$19,97
Autoestudio MikroTik
Estudia las certificaciones MikroTik a tu propio ritmo
Autoestudio
Aprende a tu propio ritmo
advertisement (anuncio)
Artículos Relacionados
MikroLABs
Otros temas que te pueden interesar
Cómo funciona el DHCP Alert y para qué sirve
abril 22, 2026
Qué es el Burst y cómo funciona en redes
abril 21, 2026
advertisement (anuncio)
Escríbenos por WhatsApp (+593 98 700 0604)
¿Quieres sugerir un tema?
Todas las semanas posteamos nuevo contenido. Quieres que tratemos sobre algo específico?
Próximos Cursos
Libros MikroTik (español)
advertisement (anuncio)
MONARC Latin America: Soluciones Tecnológicas - monarclatinamerica.com.gt - Guatemala
1
Haz clic para chatear