Caso real con Raspberry Pi, MikroTik, Tailscale y Mullvad
Autor: Ruben Galindo
Fecha: Julio 2025
Arquitectura de acceso seguro diseñada con herramientas reales y validada en entornos de producción.
🔎 Introducción
El modelo Zero Trust ha dejado de ser una aspiración futurista y se ha convertido en una necesidad. Sin embargo, para muchos profesionales independientes o pequeñas empresas, la pregunta sigue siendo:
¿Qué tan lejos estoy del verdadero modelo Zero Trust?
En este artículo comparto una arquitectura funcional que implementé con recursos accesibles, usando Raspberry Pi, MikroTik, Tailscale y Mullvad. Todo el sistema fue probado en condiciones reales y cumple principios clave del modelo Zero Trust: control de identidad, segmentación, monitoreo continuo y mínimos privilegios.
📊 Comparativa entre Zero Trust y mi arquitectura real
| Elemento | Zero Trust Moderno | Mi implementación real |
|---|---|---|
| Modelo de acceso | Basado en identidad | Validación híbrida: IP + DNS + usuario |
| VPNs tradicionales | Obsoletas | Reemplazadas por Tailscale + Mullvad |
| Perímetro | Identidad y contexto | IP + firewall MikroTik + listas |
| Acceso granular | Just-In-Time | Activación dinámica en MikroTik |
| Automatización | Onboarding/Offboarding | Scripts con Healthchecks.io |
| Visibilidad | Centralizada (logs, SIEM) | Logs + alertas por correo |
| UX | Acceso sin fricción | MacroDroid + Tasker + Tailscale |
| Movilidad | Acceso seguro desde cualquier lugar | VPN automática al salir de LAN |
| Escalabilidad | Nube, Edge, IoT | Control local con bajo costo |
🧱 Fundamentos de la arquitectura
- Raspberry Pi como nodo de monitoreo y control
- Firewall MikroTik con listas dinámicas de acceso
- VPN mesh con Tailscale y respaldo con Mullvad
- Control de DNS con ControlD
- Scripts en Bash con Healthchecks.io
⚠️ Retos reales enfrentados
- Bloqueo temporal de resolvers DoH por exceso de pruebas
- Falsos positivos en reglas anti-DDoS del MikroTik
- Limitaciones de conectividad en Android (sin root)
✅ Soluciones aplicadas
- Quarantine defensiva con script `controld_tls_probe.sh`
- Whitelist dinámica con `allowed-doh` en MikroTik
- Macro para activar datos móviles si se cae la WAN
- Reconexión automática a WiFi tras detectar disponibilidad
📘 Conclusión
Este caso demuestra que Zero Trust no es exclusivo de las grandes empresas. Es posible aplicar sus principios con herramientas accesibles y creatividad técnica.
Mi red ahora se defiende sola. Y eso es exactamente lo que hace un verdadero ingeniero en infraestructura y automatizaciones.
“No se trata de confiar menos, sino de diseñar para no tener que confiar ciegamente.”
¿Te gustaría que te ayude a implementar algo así en tu red?
Contáctame y lo revisamos.
Etiquetas: Zero Trust, Seguridad, Tailscale, Mullvad, Raspberry Pi, MikroTik, Automatización, VPN Mesh, ControlD, Tasker, Redes