Cómo configurar un túnel VPN en malla seguro para conectar tus oficinas
💼 Impacto en el Negocio
⚠️ Advertencia de Seguridad: La falta de una interconexión segura entre sedes expone los datos corporativos a interceptaciones y ataques de ransomware. Una interrupción de este tipo puede impedir que una PYME acceda a correo, documentación o facturación durante horas o días, deteniendo por completo la actividad comercial.
🔒 Introducción
Interconectar las sedes de una empresa de forma rápida y sin comprometer la privacidad es un reto crítico para la continuidad de negocio. En esta guía aprenderás a desplegar un túnel VPN en malla seguro para unir tus oficinas de Almería y Murcia sin depender de costosas líneas dedicadas.
Utilizaremos una arquitectura de red privada cifrada punto a punto basada en un protocolo moderno de alto rendimiento. Este enfoque destaca por su ligereza, su velocidad de conexión y su reducido consumo de recursos en comparación con tecnologías tradicionales como IPsec.
┌──────────────────────────┐ ┌──────────────────────────┐
│ Sede Almería │ │ Sede Murcia │
│ Subred: 192.168.10.0/24│ │ Subred: 192.168.20.0/24│
│ IP VPN: 10.0.0.1 │ │ IP VPN: 10.0.0.2 │
└─────────────┬────────────┘ └─────────────┬────────────┘
│ │
│ ┌────────────────────┐ │
└────────>│ Túnel VPN en Malla │<────────┘
│ Cifrado (Punto a │
│ Punto) │
└────────────────────┘
🛠️ Requisitos previos
Para seguir este tutorial y levantar tu infraestructura de interconexión, necesitarás:
- Dos servidores o routers con Linux (Debian o Ubuntu) situados en cada sede física.
- Direcciones IP públicas estáticas en al menos una de las sedes (o configuración de DNS dinámico).
- Acceso SSH con privilegios de administrador (
sudo) en ambos nodos. - Puertos UDP abiertos en los cortafuegos perimetrales de cada oficina (por defecto, el puerto
51820).
⚙️ Paso 1: Instalación del servicio y generación de claves
El primer paso consiste en instalar las herramientas necesarias en los servidores de Almería y Murcia. El protocolo de nuestro túnel VPN en malla seguro utiliza criptografía de clave pública para autenticar los nodos.
Ejecuta el siguiente comando en la terminal de ambos servidores:
# Actualizar repositorios e instalar el paquete del túnel seguro
sudo apt update && sudo apt install wireguard -y
Una vez instalado, accede al directorio de configuración para generar el par de claves (pública y privada) que garantizarán la identidad de cada sede:
# Acceder al directorio y establecer permisos restrictivos
cd /etc/wireguard
umask 077
# Generar clave privada y derivar la clave pública
wg genkey | tee privatekey | wg pubkey > publickey
Nota: Repite este proceso en ambos servidores. Guarda el contenido de privatekey y publickey de cada nodo, ya que los necesitarás en el siguiente paso.
⚙️ Paso 2: Configuración de los nodos de red
Ahora definiremos la configuración del túnel VPN en malla seguro para cada oficina. Crearemos el archivo de configuración de la interfaz virtual en cada servidor.
Configuración en el Servidor de Almería (/etc/wireguard/wg0.conf)
Crea el archivo con tu editor de texto preferido y añade la siguiente estructura:
[Interface]
# IP asignada a este nodo dentro de la red VPN
Address = 10.0.0.1/24
# Puerto de escucha para conexiones entrantes
ListenPort = 51820
# Clave privada del servidor de Almería
PrivateKey = <CLAVE_PRIVADA_ALMERIA>
[Peer]
# Clave pública del servidor de Murcia
PublicKey = <CLAVE_PUBLICA_MURCIA>
# IP pública y puerto del servidor de Murcia
Endpoint = ip_publica_murcia:51820
# Subredes a las que Almería debe acceder a través de este túnel
AllowedIPs = 10.0.0.2/32, 192.168.20.0/24
# Mantener la conexión activa detrás de NAT
PersistentKeepalive = 25
Configuración en el Servidor de Murcia (/etc/wireguard/wg0.conf)
De igual forma, configura el nodo de la oficina de Murcia:
[Interface]
# IP asignada a este nodo dentro de la red VPN
Address = 10.0.0.2/24
ListenPort = 51820
# Clave privada del servidor de Murcia
PrivateKey = <CLAVE_PRIVADA_MURCIA>
[Peer]
# Clave pública del servidor de Almería
PublicKey = <CLAVE_PUBLICA_ALMERIA>
# IP pública y puerto del servidor de Almería
Endpoint = ip_publica_almeria:51820
# Subredes a las que Murcia debe acceder a través de este túnel
AllowedIPs = 10.0.0.1/32, 192.168.10.0/24
PersistentKeepalive = 25
⚙️ Paso 3: Habilitar el enrutamiento y levantar el túnel
Para que los equipos de la red local de Almería puedan comunicarse con los de Murcia, el sistema operativo debe permitir el reenvío de paquetes de red (IP forwarding).
Edita el archivo de configuración del sistema en ambos servidores:
# Habilitar el reenvío de paquetes IPv4 de forma permanente
echo "net.ipv4.ip_forward=1" | sudo tee -a /etc/sysctl.conf
sudo sysctl -p
Una vez aplicado el cambio, inicia el servicio de la red privada cifrada punto a punto y configúralo para que se active automáticamente tras cada reinicio del sistema:
# Levantar la interfaz virtual de la VPN
sudo systemctl enable wg-quick@wg0
sudo systemctl start wg-quick@wg0
Para verificar que la conexión se ha establecido correctamente y que existe intercambio de tráfico cifrado, ejecuta el comando de diagnóstico:
# Comprobar el estado del túnel activo
sudo wg show
⚠️ Errores comunes y cómo solucionarlos
1. Los nodos no consiguen establecer conexión (Handshake fallido)
- Causa: El puerto UDP
51820está bloqueado por el cortafuegos del proveedor de internet o del propio servidor. - Solución: Asegúrate de abrir el puerto UDP correspondiente en el router de la oficina y permite el tráfico en el cortafuegos local ejecutando
sudo ufw allow 51820/udp.
2. Hay conexión entre servidores, pero no entre los equipos de las oficinas
- Causa: El reenvío de IP (IP forwarding) no está activo o las rutas en el cortafuegos bloquean el tráfico de tránsito.
- Solución: Verifica que
net.ipv4.ip_forward=1está habilitado y añade reglas de enmascaramiento (MASQUERADE) en IPTables si tu topología de red lo requiere.
💡 Buenas prácticas de mantenimiento y seguridad
- 🔒 Rotación periódica de claves: Cambia las claves públicas y privadas de los nodos al menos una vez al año para mitigar el riesgo de exposición a largo plazo.
- ⚙️ Monitorización activa: Implementa sistemas de alerta temprana que verifiquen la latencia del túnel y notifiquen de inmediato si se pierde la conectividad entre sedes.
- 🛡️ Segmentación estricta: Limita el acceso dentro del túnel únicamente a los servicios y servidores estrictamente necesarios, evitando que un equipo comprometido en una sede infecte la otra.
🎯 Conclusión
Implementar un túnel VPN en malla seguro permite a las pymes de Almería y Murcia unificar sus recursos tecnológicos bajo una misma infraestructura virtual cifrada. Este método elimina la complejidad de las VPN tradicionales, garantizando un rendimiento óptimo y una protección robusta frente a accesos no autorizados.
💡 Accede aquí: Cómo implementar MFA obligatorio en tu servidor SSH (Protege el acceso administrativo a tus nodos de red y evita intrusiones).
❓ Preguntas Frecuentes (FAQ)
¿Este túnel VPN en malla seguro ralentizará la conexión a internet de mis oficinas?
No. Al utilizar un protocolo criptográfico moderno y ejecutarse directamente en el espacio del núcleo de Linux, el consumo de CPU es mínimo y la velocidad de transferencia es prácticamente idéntica a la de tu línea de fibra óptica.
¿Qué ocurre si una de las oficinas cambia de dirección IP pública?
Gracias a la directiva PersistentKeepalive y al diseño dinámico del protocolo, el túnel restablecerá la conexión de forma automática en cuanto el nodo con IP dinámica envíe un nuevo paquete de datos al nodo con IP estática.
¿Es seguro conectar redes locales completas de distintas sedes?
Sí, siempre que se apliquen políticas de seguridad perimetral adecuadas. Es fundamental contar con cortafuegos en cada extremo que filtren el tráfico permitido a través del túnel para evitar la propagación de amenazas.