Inicio / Formaciones / Curso VPN Expert
Especialización LanPixel

Curso VPN Expert
Aprende a diseñar VPN's avanzadas con Mikrotik

Domina todas las tecnologías VPN de RouterOS — de IPIP/GRE/EoIP a IPsec con IKEv2 y certificados X.509, pasando por WireGuard, OpenVPN, L2TP, SSTP y ZeroTier. 9 módulos con criterios de elección y troubleshooting real.

WireGuardIPsecIKEv2OpenVPNL2TPGREEoIPZeroTierOnline en directoFUNDAE
Quiero apuntarme Ver temario
LanPixel
Especialización
Certificado de aprovechamiento LanPixel
FUNDAE
Bonificable
Bonificable por Fundae
Online
Laboratorio virtual
Túneles reales sobre routers virtualizados
9 módulos
Temario completo
De IPIP a IPsec road-warrior con EAP
Conoce el curso
MikroTik VPN Expert

El curso definitivo de VPN en RouterOS. 9 módulos que recorren todas las tecnologías de túnel disponibles, desde las más sencillas (IPIP, GRE, EoIP) hasta IPsec IKEv2 con certificados X.509 y road-warrior con EAP-MSCHAPv2.

Empezamos con los fundamentos que casi todos los cursos saltan: la diferencia real entre túnel y cifrado, encapsulación, MTU, MSS clamping y packet flow aplicado a túneles. A partir de ahí, cubrimos cada tecnología con criterios objetivos de cuándo usarla y cuándo descartarla.

Verás los túneles sin cifrado (IPIP, GRE, EoIP) entendiendo su overhead exacto y casos de uso reales, ZeroTier y Back to Home como soluciones modernas de overlay, WireGuard con sus claves y limitaciones documentadas, todo el framework PPP (PPTP, L2TP, SSTP), OpenVPN con sus ciphers y modos, y finalmente IPsec en profundidad: arquitectura, site-to-site, GRE-over-IPsec hardenizado y road-warrior con IKEv2.

El curso cierra con un caso integrador real: HQ + 2 branches + road-warriors + sitio en CGNAT, donde tendrás que decidir y justificar la tecnología por enlace.

Salir sabiendo qué VPN elegir y por qué — no solo cómo configurarla.
Ver temario completo

Cada tecnología se levanta desde cero en laboratorio virtualizado. No miramos diapositivas — montamos los túneles, los rompemos y los diagnosticamos.

En los módulos iniciales montarás IPIP/GRE/EoIP con MSS clamping, observarás la asimetría de rutas en topologías hub-and-spoke y verás cómo el parámetro ipsec-secret abre la puerta a IPsec sin abrirla todavía. ZeroTier y Back to Home se configuran end-to-end, incluyendo el caso de CGNAT.

WireGuard se monta site-to-site con clave estática y road-warrior con QR y archivo .conf. El framework PPP cubre L2TP/IPsec con shortcut, SSTP con TLS/443 y BCP para bridging. OpenVPN incluye CA propia, certificados, ciphers AES-GCM, tls-crypt v2 y export del .ovpn desde RouterOS.

El módulo de IPsec es el más extenso: site-to-site con PSK y luego con certificados X.509, GRE-over-IPsec hardenizado con AES-GCM y allow-fast-path=no, y road-warrior con IKEv2 + EAP-MSCHAPv2 incluyendo bundles PKCS12 para distribuir a clientes Windows, iOS y StrongSwan en Android.

Cierra con troubleshooting real: /ip ipsec active-peers, installed-sa, contadores PPP, /interface wireguard peers y los errores típicos que vas a encontrar en producción (MTU/MSS, NAT-T, FastTrack activo, certificados expirados, DPD mal calibrado).

Qué incluye

Este curso está pensado para profesionales de redes que ya operan MikroTik y necesitan dominar la conectividad segura entre sitios y usuarios remotos.

No exigimos certificación oficial MikroTik para participar, pero sí experiencia operativa con RouterOS. Debes manejarte con WinBox/WebFig, tener interfaces, IPs, rutas y firewall básico al alcance, y entender qué es NAT, DHCP y enrutamiento estático.

Si conectas oficinas remotas, gestionas teletrabajo, montas redes overlay para clientes, eres ISP/MSP que ofrece VPN como servicio o quieres jubilar PPTP por tecnologías modernas (WireGuard, IKEv2), este curso te da el criterio y la técnica.

Requisitos recomendados:
+
Experiencia operativa con MikroTik RouterOS
+
Conocimientos sólidos de TCP/IP y enrutamiento
+
Manejo básico de firewall y NAT en RouterOS
+
Nociones de criptografía (claves pública/privada, certificados)
Consultar disponibilidad
Qué incluye

Todo incluido
en tu formación

Certificado LanPixel

Certificado de aprovechamiento firmado por LanPixel que acredita tu especialización en tecnologías VPN sobre MikroTik.

Material del curso

Documentación completa por módulo, scripts, configuraciones de laboratorio y guías de referencia para cada tecnología VPN.

Laboratorio virtualizado

Cada alumno dispone de su propia topología virtual con varios RouterOS para montar túneles site-to-site, hub-and-spoke y road-warrior.

Bundles de cliente

Plantillas de archivos .conf de WireGuard, .ovpn de OpenVPN y bundles PKCS12 IKEv2 listos para distribuir a tus usuarios.

Acceso a la plataforma

Acceso extendido a la plataforma de formación con materiales, grabaciones de las sesiones y labs disponibles después del curso.

Requisitos previos

Requisitos
recomendados

Este curso es de nivel intermedio-alto. Para aprovecharlo al máximo recomendamos cumplir los siguientes requisitos.

Experiencia MikroTik
Operativa con RouterOS (WinBox, interfaces, IPs, rutas estáticas)
Firewall y NAT
Manejo básico de filter, NAT, masquerade y reglas de forwarding
TCP/IP y enrutamiento
MTU, MSS, fragmentación, rutas estáticas y conceptos de NAT-T
Criptografía básica
Concepto de clave pública/privada, hash, certificados X.509 y PSK
Temario del curso

Programa completo
9 módulos

Formación intensiva que cubre todas las tecnologías VPN soportadas por RouterOS — desde túneles sin cifrado hasta IPsec IKEv2 con certificados. Cada módulo incluye criterios de elección y laboratorio práctico.

RouterOS v7 — Actualizado 2026
  • Túnel ≠ cifrado: por qué la confusión es el origen de muchos errores
  • Encapsulación, MTU, MSS clamping
  • Packet flow aplicado a túneles en RouterOS
  • Tipos de despliegue: site-to-site, road-warrior, overlay
  • Criterios de elección de tecnología
  • IPIP: el túnel mínimo, sólo IP unicast
  • GRE: 24 B de overhead, multicast, transporta IP/IPv6
  • EoIP: 42 B de overhead, encapsula tramas Ethernet completas
  • keepalive y la naturaleza stateless de los tres
  • MSS clamp dentro del túnel
  • Asimetría de rutas en topologías hub-and-spoke
  • El parámetro ipsec-secret como puerta a IPsec (sin abrirla todavía)
  • ZeroTier: paquete NPK, requisito ARM/ARM64, system/device-mode, controller integrado
  • Back to Home: RouterOS 7.12+, ARM/ARM64/TILE
  • Configuración por app móvil y relay servers de MikroTik para CGNAT
  • Cuándo cada uno es la solución correcta
  • Claves pública/privada, peers, AllowedIPs (no es ACL — es la tabla de routing del túnel)
  • Site-to-site con clave estática
  • Road-warrior con QR y archivo .conf
  • Limitación documentada: el AllowedIPs del export queda fijado a 0.0.0.0/0, ::/0
  • WireGuard sobre VRF: el VRF aplica al socket UDP, no a la interfaz wgN
  • /ppp profile y /ppp secret como base común
  • PPTP: configuración mínima y razones para no usarlo en 2026
  • L2TP puro y L2TP/IPsec con shortcut (use-ipsec=yes, ipsec-secret=)
  • SSTP: TLS/443, certificados de servidor, SNI (7.15+), modo seguro vs inseguro entre routers
  • BCP: bridging sobre PPP, soportado en sstp/ppp/pptp/l2tp/pppoe
  • PPP profile + /ppp secret como autenticación
  • Certificados: CA, server, client. require-client-certificate
  • Modes ip (tun/L3) vs ethernet (tap/L2)
  • Ciphers: blowfish128 (descartar), AES-CBC, AES-GCM. Caveat de auth=null con GCM
  • Auth methods: sha1/sha256/sha512 — cuándo cada uno
  • Protocol TCP vs UDP, puerto 1194
  • TLS-auth → tls-crypt → tls-crypt v2: evolución y diferencias
  • Push-routes (7.14+, IPv6 desde 7.21_ab220) y redirect-gateway
  • IPv6 nativo en el túnel y VRF support (7.17+)
  • Export del .ovpn desde el server, import en cliente RouterOS
  • Limitaciones del port: sin LZO, sin NCP autonegotiation, usuario 27 caracteres
  • IKEv1 vs IKEv2. Phase 1 / Phase 2 explicadas con paquetes reales
  • Profile, proposal, peer, identity, policy, policy-template-group
  • AH vs ESP, tunnel vs transport, NAT-T, DPD
  • Site-to-site IKEv2 con PSK y luego con certificados X.509
  • Apertura del shortcut: qué peer y qué policy generan ipsec-secret (en GRE/IPIP/EoIP) y use-ipsec (en L2TP)
  • Defaults sha1/aes128cbc y por qué no son aceptables hoy
  • GRE-over-IPsec hardenizado: la versión manual con IKEv2 + AES-GCM
  • allow-fast-path=no obligatorio cuando el túnel lleva IPsec
  • FastTrack vs IPsec: incompatibilidad documentada y cómo resolverla
  • Limitaciones documentadas: AES-GCM no soportado en autenticación IKEv2; ed25519 para auth no soportado; sin RFC 4478 (reauth) — relevante para interop con StrongSwan
  • Mode Config: address pool, DNS, split-include
  • IKEv2 + EAP-MSCHAPv2 paso a paso
  • Bundles PKCS12 para distribuir certificados a clientes
  • Compatibilidad cliente: Windows nativo, iOS nativo, Android con StrongSwan
  • Split tunnel vs full tunnel: implicaciones de routing y seguridad
  • Diagnóstico por tecnología: /ip ipsec active-peers, installed-sa, contadores PPP, /interface wireguard peers, /ppp active
  • Errores típicos: MTU/MSS, NAT-T, asimetría de rutas, FastTrack activo, certificados expirados, DPD mal calibrado
  • Caso integrador: HQ + 2 branches + road-warriors + sitio en CGNAT
  • Decisión de tecnología por enlace, justificada
Dirigido a

Para quién
es este curso

El curso VPN Expert está diseñado para profesionales que diseñan y operan conectividad segura entre sitios, oficinas y usuarios remotos sobre infraestructura MikroTik.

+
Administradores que conectan oficinas y sucursales con túneles site-to-site
+
Responsables de teletrabajo y acceso remoto seguro
+
ISPs y MSPs que ofrecen VPN como servicio gestionado
+
Ingenieros que migran de PPTP a tecnologías modernas (WireGuard, IKEv2)
+
Técnicos certificados MTCNA/MTCRE que quieren especializarse en VPN
+
Arquitectos de redes overlay y conectividad multi-cloud
Precio por alumno
219 EUR
+ IVA / todo incluido
Duración 3 días (24h)
Horario 9:00 — 18:00
Modalidad Online en directo
Requisito Experiencia RouterOS
Certificado LanPixel
Bonificable FUNDAE
Quiero apuntarme Plazas limitadas — máximo 12 alumnos
Próximas fechas

Calendario
VPN Expert 2026

Clases online en directo con laboratorios virtualizados.

> \ Ver calendario
Formaciones relacionadas

Complementa
tu formación

Combina el VPN Expert con estas certificaciones oficiales MikroTik.

Certificación MTCRE MikroTik

MTCRE

Routing avanzado: OSPF, BGP, VPN, balanceo y túneles dinámicos.

Ver curso →
Certificación MTCSE MikroTik

MTCSE

Seguridad de redes: criptografía, PKI y protección contra ataques.

Ver curso →

Advanced Firewall

Seguridad perimetral: packet flow, RAW, mangle, NAT avanzado, IDS/IPS.

Ver curso →
Bonificación empresas

Formación
bonificable

LanPixel es una entidad formadora y organizadora, es por ello que si eres una empresa o autónomo (con personal a cargo) y quieres bonificar tu formación, nosotros llevamos a cabo todos los trámites para ello.

Especializa a tu equipo en conectividad VPN sobre MikroTik. Diseña túneles seguros entre sedes, teletrabajo y partners con criterio profesional.

$ /interface wireguard add name=wg1 listen-port=51820
Conviértete en
VPN Expert MikroTik
9 módulos online en directo. Todas las tecnologías VPN de RouterOS, con criterios objetivos de elección y troubleshooting real.
Apuntarme ahora Contactar Ver calendario