Routers y red 7 min de lectura · módulo pg=228

Túnel administrado de M-Plus (cómo funciona)

El túnel cifrado que conecta tu router al panel. Lo administramos nosotros — vos solo necesitás internet.

El túnel administrado de M-Plus es el método estándar de conexión entre tus routers MikroTik y el panel. Está incluido en todos los planes y funciona desde cualquier conexión a internet — sin IP pública, sin abrir puertos, sin contratar DDNS, sin configurar firewalls. Es la base del producto.

Acceso al panel

Routers → VPN UserMan (?pg=228) y Routers → VPN Router (?pg=229) — para administración avanzada del túnel ya creado.

Cómo funciona, paso a paso

  1. Cuando das de alta un router en el panel, M-TicketPlus genera credenciales de túnel únicas para ese router.
  2. El panel te entrega un comando listo para pegar en el MikroTik.
  3. Al ejecutarlo, el MikroTik configura un cliente OpenVPN que se conecta de salida hacia nuestro servidor.
  4. El router obtiene una IP virtual privada en nuestra red.
  5. El sistema usa esa IP virtual para hablarle por API y darle órdenes (crear usuarios, sincronizar planes, leer estadísticas).

Por qué es la conexión saliente desde el router (y no entrante)

El router siempre inicia la conexión hacia M-Plus, no al revés. Esto es lo que permite que funcione sin IP pública: la mayoría de los proveedores residenciales (cable, fibra, 4G) bloquean conexiones entrantes pero permiten todas las salientes. Un cliente OpenVPN saliente funciona como cualquier app que se conecta a internet.

Ventajas

  • No requiere IP pública. Funciona en cable residencial, fibra, 4G, satelital, CGNAT, doble NAT — cualquier conexión.
  • Sin configuración de firewall. No abrís puertos, no exponés servicios.
  • Tráfico cifrado. Todo el control del router viaja por OpenVPN cifrado.
  • El router queda invisible desde internet. Reduce ataques y escaneos.
  • El cliente final no nota nada. El túnel se usa solo para administración — el internet de tus usuarios sigue su ruta normal.

Limitaciones

  • Latencia ~30–80ms más alta que API directa (el comando viaja por nuestro servidor).
  • Si nuestro servidor de túnel cae, no podés administrar el router remoto. Tenemos infraestructura redundante, pero la red local del cliente sigue funcionando aunque el túnel se caiga — los clientes finales ni se enteran.
Tip: en el panel podés ver en tiempo real el estado del túnel de cada router: conectado/desconectado, latencia, IP virtual asignada, última sincronización. Es la primera pestaña a revisar cuando algo no se sincroniza.

Comando de configuración (referencia)

El panel te entrega el comando exacto con tus credenciales. La estructura general en MikroTik es:

/interface ovpn-client add \
  name=ovpn-mplus \
  connect-to=[servidor_otorgado_por_mplus] \
  port=[puerto] \
  user=[usuario_generado] \
  password=[password_generado] \
  certificate=[cert_generado] \
  add-default-route=no

El parámetro add-default-route=no es importante: el túnel se usa solo para administración, no enruta el tráfico de tus clientes finales por él.

No confundir con UserManager VPN: este artículo cubre el túnel administrado por M-Plus que conecta tu MikroTik al panel. Si lo que querés es crear tus propias VPN para administrar routers de trabajo, sucursales o equipos remotos, eso vive en otro módulo — ver Gestión remota con UserManager VPN.
Volver a Routers y red ¿Te quedaste atascado? Escríbenos

Más en Routers y red

Conexión por API directa (modo avanzado)

5 min · Si ya tenés IP pública dedicada, podés saltar el túnel administrado y conectar el MikroTik por API directa.

Gestión remota con UserManager VPN

7 min · Módulo para crear tus propias VPN, conectar routers de trabajo y administrar redes remotas — todo desde el panel, sin moverte del lugar.

Puertos NAT y reenvío de puertos

4 min · Configurar reglas de port-forwarding desde el panel sin tocar el MikroTik directamente.

Estadísticas de tráfico y reportes

4 min · Gráficos de ingresos, ventas, clientes nuevos, consumo de tráfico — todo desde el panel.