Red VPN de malla avanzada: guía completa para empresas

Informatec Digital » Recursos » Red VPN de malla avanzada: guía completa para empresas

Cuando una empresa crece y se reparte entre varias oficinas, sedes en la nube y trabajadores remotos, conectar todo de forma segura y rápida deja de ser opcional y pasa a ser crítico para el negocio. Las tecnologías VPN tradicionales punto a punto se quedan cortas en flexibilidad y resistencia ante fallos, y es ahí donde entra en juego la red VPN de malla avanzada.

Este tipo de arquitectura permite que cada sede u origen de tráfico establezca túneles cifrados directos con el resto de ubicaciones, evitando cuellos de botella en un único hub y ofreciendo alta disponibilidad, mejor rendimiento y un encaje perfecto con enfoques modernos como la confianza cero o los entornos híbridos (on‑premise + nube). A lo largo de este artículo vamos a desgranar cómo funcionan estas redes, qué necesitan a nivel técnico (IPsec, IKE, BGP, routers y firewalls) y cómo encajan con soluciones actuales de wifi en malla y servicios gestionados.

Qué es una red VPN de malla avanzada y en qué se diferencia de otros modelos

Una red VPN de malla avanzada es una topología donde cada sitio establece túneles VPN con todos los demás, de manera que la comunicación entre dos puntos no depende de que un tercero esté disponible o actúe como intermediario. A esta configuración también se la conoce como malla completa (full mesh) o VPN descentralizada.

En lugar de un diseño clásico hub-and-spoke (todas las sedes colgando de una central), la malla avanzada apuesta por una arquitectura distribuida, ideal cuando los recursos están repartidos en varias ubicaciones o cuando se quieren procesos de negocio resilientes que sigan funcionando aunque una sede tenga problemas de conectividad.

En un escenario típico, cada firewall o dispositivo de seguridad —por ejemplo, un Firebox en cada emplazamiento— crea túneles IPsec hacia los demás. Si la oficina corporativa cae, la sucursal y el centro de distribución siguen comunicándose directamente por la VPN, sin pasar por la sede.

Este enfoque encaja muy bien con estrategias de red de confianza cero (Zero Trust Network), donde la seguridad se diseña asumiendo que cualquier parte de la red puede fallar o ser comprometida, y donde se prioriza el cifrado extremo a extremo, la segmentación y la resiliencia.

Casos de uso: de la empresa multicede al entorno híbrido con la nube

Un caso muy habitual para una red VPN de malla avanzada es el de una organización con varias localizaciones: por ejemplo, una instalación de coubicación (Colo), una sede corporativa (Corp), un centro de distribución (Dist) y una oficina remota pequeña (RMT). En este contexto, cada sitio necesita acceso directo y seguro a los recursos del resto.

En este tipo de diseño, pueden existir recursos únicos en una de las ubicaciones (por ejemplo, un ERP crítico en la sede o un servidor de archivos empresarial), por lo que la conectividad fiable entre todas las sedes es esencial. Cuantas más oficinas remotas se incorporan, más importante resulta que el sistema admita añadir nuevos nodos sin rehacer todas las configuraciones.

Cuando la mayor parte de los recursos se concentran en un solo sitio, todavía puede tener sentido una arquitectura centralizada clásica. Sin embargo, si los datos y aplicaciones están repartidos, o si hay procesos de negocio que requieren comunicación directa entre sedes (por ejemplo, sincronización constante entre centros logísticos), la malla completa ofrece una mayor flexibilidad y tolerancia a fallos.

Un caso particular cada vez más común es la combinación de red local y nube, por ejemplo, conectando redes locales con Azure mediante VPN Gateway y creando, además, conexiones de red virtual a red virtual (VNet‑to‑VNet). En estos entornos híbridos, las topologías en malla y los mecanismos de redundancia avanzada son clave para asegurar la continuidad del servicio.

Componentes técnicos esenciales de una red VPN de malla avanzada

Detrás de la etiqueta “VPN de malla” hay una serie de piezas técnicas muy concretas que hacen posible la magia. A grandes rasgos, hablamos de funciones avanzadas de seguridad en una VPN como IPsec para el cifrado de datos e IKE (Internet Key Exchange) para el intercambio de claves y la negociación de parámetros de seguridad entre extremos.

En una configuración típica de Firebox u otros firewalls de nueva generación, cada sede define puertas de enlace (gateways) y túneles de sucursal que conectan con las redes de los otros sitios. Por ejemplo, en una organización de cuatro localizaciones, cada emplazamiento tendrá tres puertas de enlace VPN de sucursal y tres túneles asociados (uno hacia cada una de las otras sedes).

La configuración se suele gestionar a través de herramientas específicas (como Policy Manager en Fireware), donde se pueden ver y ajustar tanto las puertas de enlace de sucursal como los túneles VPN de sucursal, además de las rutas de túnel necesarias para que el tráfico viaje entre las subredes locales y remotas.

Un detalle muy relevante en escenarios de malla es el uso de subredes agregadas en la definición de rutas de túnel en lugar de listar cada red local por separado. Por ejemplo, se puede definir que el túnel “Colo a RMT” utilice la subred 172.16.0.0/16 para representar todas las redes internas de Colo (por ejemplo, 172.16.1.0 y 172.16.2.0), de manera que un único par de rutas de túnel sirve para cubrir múltiples segmentos en lugar de multiplicar los túneles.

Esto reduce drásticamente el número de rutas de túnel necesarias, sobre todo en oficinas pequeñas que solo necesitan llegar a un conjunto resumido de subredes remotas. A cambio, si se requiere un control muy fino del tráfico, se puede optar por definir redes individuales, a costa de más trabajo de configuración y administración.

Requisitos de infraestructura: ancho de banda, hardware y fiabilidad

Una red VPN de malla avanzada es, por definición, más exigente que una configuración simple. Cada túnel implica procesos de cifrado y encapsulado, de forma que el ancho de banda útil de la VPN siempre será algo inferior a la velocidad física del enlace.

Por ello, las empresas deben asegurarse de que los enlaces entre sedes (fibra, MPLS, internet de alta capacidad, etc.) cuentan con ancho de banda suficiente para soportar el tráfico cifrado que circulará por los túneles. Esto es especialmente crítico en ubicaciones que alojan recursos únicos o que actúan como puntos neurálgicos de comunicación.

El tipo de dispositivo de seguridad desplegado en cada punto (por ejemplo, un Firebox adecuado al tamaño de la sede; consulta manuales y fichas técnicas de routers) es igualmente importante. Cada modelo ofrece una velocidad máxima de VPN y una capacidad de túneles simultáneos específica, por lo que no conviene subdimensionar estos equipos si se quiere evitar cuellos de botella.

En términos prácticos, el número de túneles VPN suele depender del número de redes locales y remotas que se desean conectar (según se definan en las rutas de túnel). En una oficina típica, el cálculo se aproxima al número de redes locales multiplicado por el número de redes remotas, salvo que se utilicen subredes agregadas.

También es imprescindible asegurar una conectividad fiable en las sedes que albergan servicios críticos. Aunque la arquitectura en malla tolera fallos en un nodo aislado, si ese nodo contiene aplicaciones o datos indispensables, cualquier problema de conectividad en ese punto se traducirá en pérdida de servicio para el resto de sedes.

IPsec, IKE y perfiles de seguridad: el corazón de la VPN

Una red VPN de malla avanzada se sustenta, a nivel de protocolo, en la combinación de IPsec para el cifrado de datos e IKE (Internet Key Exchange) para el intercambio de claves y la negociación de parámetros de seguridad entre extremos.

IKE es el protocolo que establece una Asociación de Seguridad (SA) entre dos puntos, es decir, el acuerdo mutuo de cómo se cifrará y autentificará el tráfico. Para que una VPN funcione de forma estable, las políticas IKE de ambos extremos deben coincidir en todos los parámetros relevantes (método de autenticación, algoritmos de cifrado y autenticación, grupos Diffie‑Hellman, tiempos de vida, etc.).

En routers como el Cisco RV110W se define una política IKE indicando, entre otros, el modo de intercambio (principal o agresivo), el algoritmo de cifrado (DES, 3DES, AES‑128, AES‑192, AES‑256), el algoritmo de autenticación (MD5, SHA‑1, SHA2‑256), la clave precompartida (pre‑shared key) y el grupo Diffie‑Hellman (por ejemplo, grupo 1 de 768 bits, grupo 2 de 1024 bits o grupo 5 de 1536 bits).

Además de la política IKE, se definen las políticas VPN que determinan qué tráfico se protege a través del túnel, qué identificadores de red se usan para los extremos local y remoto (dirección IP única o subred), y si la política es automática (con negociación IKE de claves y parámetros) o manual (todas las claves y SPI configurados a mano en ambos extremos).

En políticas manuales se especifican valores hexadecimales para SPI entrante y saliente, claves de cifrado (Key‑In y Key‑Out) y algoritmos de integridad (MD5, SHA1, SHA2‑256), asegurándose de que el dispositivo remoto usa exactamente los mismos valores para que el túnel pueda establecerse correctamente.

Perfiles avanzados: “IPsec required”, “IPsec optional” y tráfico en claro

En entornos más sofisticados de red en malla, además de la configuración clásica de túneles entre sedes, se suelen crear perfiles de conexión avanzados que determinan cuándo es obligatorio el uso de IPsec y cuándo se permite tráfico en claro.

Por ejemplo, se pueden definir tres perfiles: uno en el que IPsec es obligatorio (solo se permite tráfico cifrado), otro donde el cifrado es opcional (se acepta tráfico cifrado o en claro en función del destino) y un tercero que permite solo tráfico sin cifrar. En sistemas basados en ipsec.conf, estos perfiles se describen con bloques de conexión (conn) donde se especifica el tipo de conexión (passthrough o transport), el modo de autenticación (por ejemplo, rsasig con certificados), los parámetros de shunt en caso de fallo (drop o passthrough) y las referencias a certificados y claves RSA.

Un ejemplo típico es tener una conexión de tipo passthrough sin autenticación para el perfil “No IPsec”, otra de tipo transporte con autenticación por firma RSA y políticas de corte en caso de fallo para “IPsec required”, y una tercera igualmente de tipo transporte con firmas RSA pero con comportamiento permisivo (passthrough) en caso de fallos para “IPsec optional”.

La combinación de estos perfiles con las rutas adecuadas permite implementar estrategias de seguridad adaptativa, donde ciertos flujos críticos deben ir siempre cifrados, mientras que otros pueden circular en claro en redes internas de alta confianza, o bien aprovechar IPsec de manera oportunista cuando ambos extremos lo admiten.

Configuración de políticas VPN en detalle

Para cada política VPN, además de los parámetros de IKE, es necesario concretar qué tráfico será encapsulado en el túnel. Normalmente se eligen redes origen y destino usando identificadores tipo “Single” (host único) o “Subred”.

Si se selecciona “Single”, la política se aplica a una dirección IP concreta (por ejemplo, un servidor específico). Si se define una “Subred”, la política cubre un rango de direcciones determinado por la combinación de IP de red y máscara de subred; los equipos quedan protegidos por la VPN cuando su IP entra dentro de ese rango.

En el caso de políticas automáticas, además del tiempo de vida de la Asociación de Seguridad (en segundos), se eligen algoritmos de cifrado y de integridad y, opcionalmente, se activa Perfect Forward Secrecy (PFS) con un grupo Diffie‑Hellman adicional. Esto añade una capa de seguridad al generar claves de sesión nuevas que no dependen solo de la clave maestra.

En cualquier escenario, debe garantizarse que tiempos de vida, algoritmos de cifrado, algoritmos de integridad, grupos PFS e incluso la política IKE seleccionada coinciden en ambos extremos del túnel. De lo contrario, la negociación fallará o el túnel se caerá cuando caduque la SA y se intente renegociar.

Los routers de gama profesional acostumbran a ofrecer opciones extra, como Dead Peer Detection (DPD), que vigila si el peer sigue activo y elimina entradas obsoletas para liberar recursos. La DPD suele permitir ajustar frecuencia de comprobaciones y tiempo de espera antes de considerar al peer como “muerto”.

Alta disponibilidad en la nube: Azure VPN Gateway en malla avanzada

Cuando la red VPN de malla avanzada conecta redes locales con infraestructuras en Azure, entra en juego Azure VPN Gateway y sus distintas opciones de redundancia. Cada instancia de Azure VPN Gateway está formada, por defecto, por dos instancias en configuración activo‑en‑espera.

Ante tareas de mantenimiento planificadas o incidencias imprevistas, si la instancia activa deja de estar disponible, la instancia en espera toma el relevo y los túneles S2S (sitio a sitio) o de red virtual a red virtual se restablecen automáticamente. En paradas planificadas, la recuperación suele producirse en unos 10‑15 segundos; en fallos no planificados, puede llegar a 1‑3 minutos. En conexiones de cliente VPN P2S (punto a sitio), las sesiones se desconectan y los usuarios deben volver a conectarse.

Para mejorar la disponibilidad de conexiones entre la red local y Azure, se puede optar por varios esquemas: usar varios dispositivos VPN locales (por ejemplo, tener dos VPN instaladas), configurar instancias de VPN Gateway en modo activo‑activo en Azure, o combinar ambos para una redundancia doble que encaja perfectamente en una topología tipo malla.

Con varios dispositivos VPN locales, se crean varias conexiones S2S desde cada dispositivo hacia la puerta de enlace de Azure, definiendo una puerta de enlace de red local distinta por dispositivo, cada una con dirección IP pública y dirección BGP peer únicas. Mediante BGP y enrutamiento de costo igual (ECMP), se distribuye el tráfico a través de varios túneles activos en paralelo.

En modo activo‑activo de Azure VPN Gateway, cada instancia de puerta de enlace tiene su propia IP pública y establece un túnel S2S IPsec/IKE hacia el dispositivo VPN local, formando dos túneles que en realidad pertenecen a la misma conexión. Desde Azure, se aprovechan ambos túneles de forma simultánea, reforzando la disponibilidad y permitiendo un mejor reparto del tráfico.

Malla completa entre on‑premise y Azure: redundancia doble

La opción más robusta para una red VPN de malla avanzada que combine nube y local es configurar una redundancia doble: puertas de enlace activo‑activo en Azure y, al mismo tiempo, varios dispositivos VPN en la red local. El resultado es una especie de malla completa con cuatro túneles IPsec entre la red virtual de Azure y el entorno on‑premise.

En este diseño, todas las puertas de enlace y túneles se mantienen activos desde el lado de Azure, y el tráfico se distribuye entre los cuatro enlaces. Cada flujo TCP/UDP suele seguir un mismo túnel desde la perspectiva de Azure, pero la combinación de todos los flujos se reparte entre los cuatro, lo que mejora ligeramente el rendimiento agregado y, sobre todo, ofrece una tolerancia a fallos muy alta.

Para implementar esta topología se requieren dos puertas de enlace de red local y dos conexiones diferentes para los dos dispositivos VPN locales, siempre respaldadas por BGP para permitir la conectividad simultánea hacia la misma red on‑premise a través de varias conexiones.

El mismo planteamiento se puede trasladar a la conectividad de red virtual a red virtual dentro de Azure: se crean puertas de enlace activa‑activa en cada red virtual y se conectan entre sí para obtener también cuatro túneles activos entre las VNets. En este caso BGP es opcional, salvo que se necesite enrutar tráfico de tránsito por esa conexión.

Con este tipo de arquitecturas, las redes en la nube dejan de ser simples satélites de la red local para convertirse en nodos de pleno derecho en la malla VPN, lo que aporta mucha flexibilidad a la hora de mover cargas de trabajo, balancear aplicaciones y diseñar planes de continuidad de negocio.

Wifi en malla y VPN: un tándem perfecto en la red corporativa

La idea de “malla” no solo se aplica a las VPN. En el ámbito wifi, soluciones como eero y su tecnología TrueMesh han demostrado que usar múltiples puntos de acceso interconectados es una forma muy eficaz de eliminar zonas sin cobertura, minimizar cortes y reducir el temido buffering en entornos domésticos y de pequeña oficina.

En lugar de un router wifi único intentando cubrir toda la casa o la oficina, la red wifi de malla distribuye varios dispositivos eero por el espacio, permitiendo que los clientes se conecten siempre al punto de acceso más cercano y estable. TrueMesh se encarga de redirigir el tráfico de forma inteligente en función de factores como la disposición física de los nodos, la interferencia de redes vecinas y la carga de dispositivos conectados.

Dependiendo del uso de internet, se recomiendan modelos diferentes: eero 6+ como sistema gigabit asequible, eero Pro 6E para conexiones de hasta 2 Gbps y muchos dispositivos simultáneos, o eero Max 7 para usuarios avanzados con wifi 7, cientos de dispositivos y necesidades de máximo rendimiento tanto por cable como de forma inalámbrica.

Todos estos dispositivos son compatibles con los principales proveedores de internet y entre sí, lo que permite ampliar o actualizar la red wifi gradualmente. Además, reciben actualizaciones automáticas de software con parches de seguridad y mejoras de funcionalidad, un punto clave cuando el wifi es la base de acceso a una VPN corporativa.

Hogar digital, seguridad y gestión centralizada con eero

Más allá de la conectividad básica, los sistemas eero modernos integran funciones de hogar inteligente gracias a la compatibilidad con Thread, Zigbee y Matter (usando Alexa como controlador). En la práctica, esto significa que muchos dispositivos del hogar digital pueden conectarse directamente a la red eero sin necesidad de hubs adicionales.

La aplicación de eero permite, por ejemplo, configurar un dispositivo Thread activando la opción en Ajustes de Red → Thread, o aprovechar el hub Zigbee integrando las cuentas de eero y Amazon bajo la sección Amazon Connected Home. Una vez hecho, se pueden incorporar equipos compatibles mediante la app de Alexa o cualquier altavoz Echo en la red.

Para la gestión del día a día, eero facilita la administración de dispositivos: se pueden asignar equipos a perfiles individuales (para agrupar, por ejemplo, los dispositivos de cada miembro de la familia), aplicar horarios de pausa de wifi (muy útiles para limitar el uso en determinados momentos) y renombrar fácilmente cada dispositivo para identificarlos sin volverse loco.

También es posible habilitar notificaciones para recibir avisos cuando se une un dispositivo nuevo a la red, y crear una red de invitados separada con su propio nombre y contraseña, manteniendo así la red principal más aislada y controlada.

En combinación con servicios de tipo VPN —como el acceso VPN incluido mediante Guardian dentro de la suscripción eero Plus—, el usuario dispone de una capa de cifrado adicional cuando se conecta desde el móvil o la tablet a redes externas, lo que complementa perfectamente las VPN de malla más corporativas.

Servicios adicionales de seguridad: eero Plus y VPN para usuarios finales

La suscripción eero Plus añade una serie de funcionalidades de seguridad avanzadas orientadas al usuario final y a pequeñas organizaciones: protección mejorada, control parental, internet de reserva e integración con tres aplicaciones muy reconocidas: 1Password (gestor de contraseñas), Malwarebytes (protección frente a malware) y Guardian (servicio VPN).

Con los filtros de contenido, los padres pueden definir restricciones por categorías —compras, redes sociales, chats y mensajería, streaming— de forma que determinados dispositivos solo tengan acceso a contenido apropiado. Este tipo de control encaja muy bien en entornos donde la red de malla wifi y la VPN corporativa comparten la misma infraestructura doméstica.

La función de Internet de reserva permite que eero se conecte de forma automática a un punto de acceso móvil o a otra red disponible cuando el proveedor principal cae, y es posible elegir qué dispositivos se mantienen conectados durante la incidencia para optimizar el ancho de banda disponible.

En el terreno de la seguridad personal, la integración con Malwarebytes ofrece protección frente a amenazas online en hasta tres dispositivos compatibles, mientras que 1Password facilita la gestión y almacenamiento seguro de credenciales, algo esencial cuando se trabaja con accesos VPN corporativos, paneles de administración y servicios en la nube.

Finalmente, Guardian aporta una VPN orientada al usuario final, accesible directamente desde la app eero, que cifra el tráfico desde el dispositivo (móvil o tablet) hacia internet, ideal para conexiones desde redes Wi‑Fi públicas o poco confiables. Aunque este tipo de VPN no sustituye a una red de malla avanzada corporativa, complementa muy bien la protección en el extremo del usuario.

VPN de sitio a sitio: pilares para un diseño robusto

En el contexto corporativo, toda red VPN de malla avanzada se construye, en el fondo, a partir de múltiples VPN de sitio a sitio (Site‑to‑Site). Para que estas conexiones sean sólidas y fáciles de operar a gran escala, es fundamental cuidar cinco componentes clave.

El primero es la seguridad tecnológica en empresas: uso de algoritmos criptográficos robustos (AES con claves de 128/192/256 bits, SHA‑2), gestión adecuada de claves, PFS, DPD y buenas prácticas de hardening en dispositivos perimetrales.

El segundo pilar es la facilidad de operaciones: políticas coherentes entre sedes, plantillas de configuración reutilizables, herramientas centralizadas de gestión y monitorización, y procesos claros para alta de nuevas sedes o cambio de parámetros.

En tercer lugar está la escalabilidad simple y segura, que implica poder añadir ubicaciones sin rediseñar toda la topología, aprovechando técnicas como la agregación de subredes, el uso de BGP para rutas dinámicas y la automatización de despliegues.

Los dos últimos pilares son la continuidad del negocio —garantizar que una caída de un nodo o de un enlace no deja aisladas a las sedes— y la implementación flexible, es decir, la capacidad de desplegar la VPN en distintos entornos (on‑premise, nube pública, nubes múltiples) manteniendo políticas de seguridad coherentes.

Servicios VPN gestionados y productos de seguridad dedicados

Para muchas organizaciones, especialmente aquellas sin un gran equipo interno de redes y seguridad, recurrir a servicios de VPN administrados puede ser una decisión muy sensata. Estos servicios externalizan parte de la complejidad: diseño de la topología, elección de hardware, configuración de políticas IPsec/IKE, monitorización 24/7, respuesta a incidencias y mantenimiento continuo.

Fabricantes de seguridad como Fortinet ofrecen productos y servicios dedicados para construir y gestionar VPN de sitio a sitio y redes de malla avanzadas, integrando firewall, SD‑WAN, inspección profunda de paquetes, filtrado web y otras capas de protección. De este modo, la VPN deja de ser un simple “túnel cifrado” y pasa a ser un componente más de una arquitectura de seguridad en capas.

En redes grandes, con decenas o cientos de sedes, estas soluciones reducen drásticamente la carga operativa: permiten definir políticas globales, desplegarlas sobre múltiples dispositivos, gestionar certificados, actualizaciones de firmware y cambios de configuración de forma orquestada, y obtener visibilidad centralizada del estado de todos los túneles.

Bien se opte por una gestión interna o por un servicio externalizado, la clave está en que la VPN de malla avance al mismo ritmo que la organización: que soporte nuevas sedes, nuevos servicios en la nube, picos de tráfico y cambios en las necesidades de seguridad sin convertirse en un freno para el negocio.

Diseñar y operar una red VPN de malla avanzada implica combinar una arquitectura distribuida entre sedes, una configuración cuidadosa de IPsec/IKE, estrategias de alta disponibilidad (en la red local y en la nube), una base wifi en malla fiable y, en muchos casos, servicios adicionales de seguridad y gestión. Integrando todos estos elementos —desde los perfiles “IPsec required/optional”, pasando por la redundancia activo‑activo y BGP, hasta soluciones como eero Plus y plataformas profesionales de firewall— las organizaciones pueden construir redes seguras, escalables y tolerantes a fallos que conectan oficinas, hogares y nubes sin sacrificar rendimiento ni flexibilidad.