Cómo conectar oficinas con VPN en Gandia de forma segura y estable

La elección del software: WireGuard, Tailscale u OpenVPN para tu negocio y cómo ayuda a conectar oficinas con VPN en Gandia

Aquí es donde la mayoría se pierde. Hace años, la única opción viable y segura era OpenVPN o IPsec. Son protocolos robustos, sí, pero configurarlos puede ser un dolor de cabeza si no tienes conocimientos avanzados de redes. OpenVPN es como un tanque: seguro y fiable, pero lento y pesado de mover. En mi experiencia actual, rara vez lo recomiendo para instalaciones nuevas a menos que haya un hardware heredado que no soporte otra cosa. El código es muy extenso y, a mayor complejidad, más difícil es auditarlo o arreglarlo si algo falla.

Hoy en día, la estrella indiscutible es WireGuard. Es un protocolo moderno, mucho más ligero y rápido. Si OpenVPN tiene miles de líneas de código, WireGuard tiene apenas unas pocas. Esto se traduce en conexiones que se establecen en milisegundos y que consumen mucha menos batería si te conectas desde portátiles o móviles. Para las pymes de nuestra zona, WireGuard es la recomendación estándar que suelo hacer. Es gratuito, de código abierto y está integrado en el núcleo de Linux, lo que lo hace volar en rendimiento.

Pero espera, que hay una tercera vía que está ganando mucho terreno por su sencillez: Tailscale (o alternativas como ZeroTier). Tailscale funciona sobre WireGuard pero elimina la parte complicada de la configuración. No tienes que abrir puertos en el router, lo cual es una bendición si tu proveedor de internet te tiene detrás de un CG-NAT (esa práctica molesta donde compartes IP pública con otros vecinos). Si lo que buscas es inmediatez y el nivel de dificultad más bajo posible, Tailscale es tu amigo. Instalas el programa en los equipos de ambas oficinas, te logueas con tu cuenta y listo, ya se ven entre ellos. Es casi magia.

Nivel de dificultad y requisitos técnicos

Hablemos claro sobre la dificultad. Si optas por una solución tipo Tailscale, el nivel de dificultad es bajo. Podría hacerlo cualquier persona que sepa instalar un programa y loguearse en una web. Digamos que es un 2 sobre 10 en dificultad. No necesitas tocar el router de la operadora, ni saber qué es una máscara de subred. Es ideal si no quieres gastar dinero en horas de técnico y tus necesidades son básicas, como acceder a archivos compartidos.

Sin embargo, si quieres una solución profesional, robusta y permanente, donde sea el propio router quien gestione la conexión (para que no tengas que instalar software en cada ordenador de la oficina), entonces nos vamos a WireGuard montado sobre routers profesionales, como los de la marca Mikrotik o Ubiquiti. Aquí el nivel de dificultad sube a un 7 o 8 sobre 10. Necesitas conocimientos de redes: entender qué es el enrutamiento estático, gestionar el firewall para permitir el tráfico del túnel y configurar las claves públicas y privadas. Pero el resultado es una red transparente: conectas una impresora en la oficina nueva y automáticamente la ven en la vieja sin hacer nada más.

Programas y Hardware recomendado

Para la opción fácil, los programas son Tailscale, ZeroTier o incluso Hamachi (aunque este último ya huele un poco a naftalina). Son software que instalas en Windows, Mac o Linux. Tienen versiones gratuitas generosas que suelen servir para pequeñas empresas. Si pasas de cierto número de equipos, tendrás que pagar una mensualidad por usuario.

Para la opción profesional, que es la que yo suelo montar en mi taller, necesitamos hardware. Mi recomendación favorita por calidad precio son los routers Mikrotik. Un modelo como el hEX S (RB760iGS) cuesta menos de ochenta euros y tiene una potencia increíble. Soporta aceleración por hardware para el cifrado IPsec y mueve WireGuard con soltura. Pones uno en cada oficina y te olvidas. Si prefieres algo más visual y menos de línea de comandos, los equipos de Ubiquiti (la gama UniFi) o incluso algunos modelos avanzados de Asus con firmware Merlin también permiten configurar servidores y clientes VPN de forma relativamente sencilla.

Gestión de la IP Dinámica: El gran obstáculo

Uno de los problemas clásicos al intentar conectar dos sedes es que la IP pública de tu fibra óptica cambia. Hoy es una, apagas el router, y mañana es otra. Si configuras la VPN apuntando a la IP de hoy, mañana dejará de funcionar. ¿Cómo soluciono esto yo? Hay dos caminos.

El camino de pago es llamar a tu operador y pedir una IP Fija. Esto suele costar entre 10 y 15 euros extra al mes. Es lo más estable, pero a nadie le gusta pagar más gastos fijos. El camino del informático astuto es usar un servicio de DDNS (DNS Dinámico). Básicamente, es un pequeño programa (que ya viene dentro de la mayoría de routers) que vigila tu IP pública. Cuando cambia, avisa a un servidor central y actualiza un nombre de dominio. Así, en lugar de conectar a 80.54.xx.xx, conectas a oficina-gandia.dyndns.org. Servicios como No-IP, DuckDNS o el propio servicio gratuito que incluyen los routers de Asus o Mikrotik funcionan de maravilla y son gratis.

Precios y Costes reales

Hablemos de dinero, que es lo que al final importa. Si lo haces tú mismo con software tipo Tailscale: coste cero euros iniciales, solo tu tiempo. Si escalas, unos 5 euros por usuario al mes. Si decides montar la infraestructura con routers Mikrotik: cuenta unos 70 u 80 euros por cada router (necesitas dos), más la mano de obra de la configuración. Si me lo pides a mí o a otro profesional, configurar un túnel Site-to-Site robusto con pruebas de seguridad suele llevar entre 2 y 4 horas de trabajo. A la larga, la opción de hardware propio es más barata porque no tiene cuotas mensuales.

El problema de las subredes: Un error de novato

Te voy a contar una anécdota que me pasa constantemente. Me llama un cliente que ha intentado montarlo él mismo y me dice: Josep, se conecta pero no veo los ordenadores. Llego allí y lo primero que miro son las direcciones IP locales. Resulta que en la Oficina A el router tiene la dirección 192.168.1.1 y en la Oficina B el router también tiene la 192.168.1.1. ¡Error fatal! Si intentas conectar dos redes que se llaman igual, el ordenador no sabe si el archivo que buscas está en local o en remoto. Antes de empezar nada, asegúrate de cambiar la configuración LAN de una de las oficinas. Por ejemplo, deja la principal en 192.168.1.x y pon la secundaria en 192.168.20.x. Es un detalle tonto que te puede costar horas de frustración.

Guía conceptual paso a paso para la interconexión

Ahora que ya tenemos la base teórica y las herramientas, vamos a visualizar el proceso. No te voy a dar comandos de código porque cada dispositivo es un mundo, pero sí la lógica que debes seguir para no perderte. Piensa en esto como la receta de un arroz al horno: los ingredientes pueden variar un poco, pero los pasos son sagrados.

Lo primero es el inventario. Siéntate y anota qué equipos hay en cada lado. ¿Qué router tienes? ¿Tienes acceso de administrador? Muchas veces las operadoras nos dan routers cerrados. En ese caso, lo mejor es poner tu propio router neutro detrás o configurar el de la operadora en modo puente (bridge). Si no puedes hacer eso, tendrás que lidiar con el doble NAT, y ahí es donde Tailscale te salva la vida.

El segundo paso es definir quién es el servidor y quién el cliente. Aunque en una conexión Site-to-Site ambos actúan como iguales, uno debe estar a la escucha esperando la conexión. Normalmente elegimos la oficina central, la que tiene la conexión de fibra más potente o la IP fija, para que haga de servidor. En la oficina satélite configuraremos el cliente que llamará a la puerta de la central.

Tercero, la seguridad. Generar claves de encriptación fuertes es vital. Nada de contraseñas tipo 123456. WireGuard utiliza pares de claves criptográficas que son larguísimas y muy seguras. Una vez establecidas, debes configurar el Firewall. Tienes que decirle explícitamente al router: Oye, si viene tráfico por este túnel VPN, déjalo pasar hacia el servidor de archivos, pero no dejes que nadie de internet entre por ahí.

Presupuesto necesario y consideraciones económicas

Muchas empresas en Gandia me preguntan si esto es muy caro. La respuesta es: depende de lo que valores tu seguridad. Una solución casera mal hecha te puede salir carísima si te entra un virus ransomware a través del túnel y te encripta las dos oficinas a la vez (sí, esto pasa). Por eso, invertir en hardware decente es invertir en tranquilidad.

Desglosemos un presupuesto típico para una pyme local:

• Hardware: 2 Routers Mikrotik hEX S: 160€ aprox.
• Mano de obra configuración inicial: Unos 150€ – 250€ dependiendo de la complejidad.
• Mantenimiento: Cero euros mensuales si usas DDNS gratuito.

Total: Por menos de 500 euros tienes una infraestructura profesional que te dura años. Compáralo con pagar licencias de software mensuales de 10€ por usuario. Si tienes 10 empleados, en 5 meses ya has amortizado los routers.

Si optas por la vía del hazlo tú mismo con software gratuito, el coste es cero, pero asumes el riesgo de que si Windows se actualiza y el servicio se para, pierdes la conexión hasta que alguien vaya físicamente a reiniciar el ordenador. En mi taller siempre digo que lo barato sale caro si implica parar la producción de la empresa.

Problemas frecuentes y cómo los soluciono en mi taller

Aparte del conflicto de subredes que ya te he contado, hay otro clásico: la velocidad. A veces montas el túnel y la conexión va a pedales. Esto suele ser por el MTU (Maximum Transmission Unit). Imagina que el túnel es una tubería dentro de otra tubería. Si el paquete de datos es demasiado grande, roza con las paredes y se rompe. Ajustar el MTU (bajarlo un poco, por ejemplo a 1350 o 1420 bytes) suele hacer que la conexión fluya como la seda.

Otro problema común es la fragmentación de DNS. Estás en la oficina B e intentas acceder a servidor, pero no funciona, tienes que poner la IP 192.168.1.50. Esto es porque el router de la oficina B no sabe resolver los nombres de la oficina A. La solución es configurar el túnel para que también pase las peticiones DNS o editar el archivo hosts de los equipos, aunque esto último es un poco chapuza para mantener a largo plazo.

La importancia de la latencia en las conexiones remotas

Cuando trabajamos en local, la latencia es menor a 1 milisegundo. Es instantáneo. Cuando pasamos por internet y una VPN, la latencia sube. Si tienes fibra en ambas oficinas, deberías tener entre 15 y 30 milisegundos, que es muy aceptable. Pero ojo si una de las sedes usa 4G o internet por satélite. Ahí la latencia se dispara y programas antiguos de base de datos (como los típicos de facturación hechos en Access o Visual Basic antiguo) pueden fallar o corromperse. En esos casos, la VPN sirve para conectar, pero recomiendo usar Escritorio Remoto (RDP) a través de la VPN en lugar de abrir la base de datos directamente a través del túnel.

Escalabilidad: ¿Y si abro una tercera oficina?

Lo bueno de hacerlo bien desde el principio es que crecer es fácil. Si usas una topología de estrella (la oficina central es el centro y las demás se conectan a ella), añadir una tercera sede es solo configurar un nuevo cliente. Si usas Tailscale, es aún más fácil, es malla pura (mesh), todos se conectan con todos automáticamente. Pensar en el futuro te ahorra tener que rehacer todo el año que viene.

Seguridad ante todo: Zero Trust

El concepto de moda es Zero Trust (confianza cero). No te fíes ni de tu propia red. Aunque conectes las oficinas, pon contraseñas a las carpetas compartidas. Segmenta la red. Que la red de invitados (el Wi-Fi que das a los clientes) no tenga acceso al túnel VPN. Parece obvio, pero he visto despachos de abogados donde los clientes conectados al Wi-Fi de la sala de espera podían intentar acceder al servidor de la otra sede porque la red era plana y sin filtros.

Monitorización: Cómo saber si el túnel se cae

No hay nada peor que un cliente llamándote porque «internet no va» cuando en realidad es la VPN. En mi taller suelo configurar scripts sencillos en los routers que hacen un ping cada minuto al otro extremo. Si falla 5 veces seguidas, me mandan un correo o un mensaje a Telegram. Así puedo enterarme del problema antes que el cliente y a veces reiniciarlo en remoto antes de que se den cuenta. Esa proactividad es lo que diferencia un servicio profesional de uno amateur.

El factor humano

Al final, la tecnología está para servirnos a nosotros. De nada sirve la mejor VPN con WireGuard y encriptación militar si luego el usuario se deja el post-it con la contraseña en la pantalla. Formar a los empleados es parte de la configuración. Explicarles que ahora tienen acceso a todo, pero que deben ser responsables. En Gandia somos gente de confianza, pero la seguridad informática no entiende de amistades.

A veces me encuentro con resistencia al cambio. «Es que ahora tengo que hacer clic aquí para conectarme». Parte de mi trabajo es hacer que esa tecnología sea invisible. Por eso me gustan los túneles Site-to-Site en el router. El usuario llega, enciende su PC y trabaja. No sabe si el servidor está en la habitación de al lado o en un polígono industrial a 10 kilómetros. Esa transparencia es el éxito de una buena configuración.

También quiero tocar el tema de los backups. Al tener las oficinas conectadas, puedes configurar que el servidor de la Oficina A haga una copia de seguridad nocturna en un disco duro de la Oficina B. Esto es un plan de recuperación ante desastres brutal. Si hay un incendio o un robo en la sede principal, tienes los datos a salvo en la otra ubicación física. Y todo viaja encriptado por el túnel que hemos montado. Es un valor añadido tremendo.

Otro punto a considerar es el ancho de banda. La encriptación consume CPU del router. Si tienes una fibra de 1Gbps pero pones un router antiguo, la velocidad del túnel quizás no pase de 20 o 30 Mbps. El cuello de botella será el procesador del router intentando encriptar y desencriptar datos a toda velocidad. Por eso recomendaba el Mikrotik hEX S o superior (como el RB4011 o el hAP ax3 para los más exigentes), porque tienen chips dedicados a estas operaciones matemáticas.

En mi experiencia, la estabilidad de la fibra en Gandia ha mejorado mucho en los últimos años, lo que hace que estas soluciones sean muy viables. Antes, con el ADSL, la velocidad de subida era tan ridícula que conectar oficinas era un suplicio. Ahora, con conexiones simétricas, es una gozada ver cómo fluyen los archivos. Aprovecha esta infraestructura.

Mi Conclusión sobre conectar oficinas con VPN en Gandia: No es ciencia espacial, pero requiere mimo y atención al detalle. Si buscas rapidez y cero complicaciones, usa Tailscale. Si buscas robustez, control total y rendimiento, monta una VPN Site-to-Site con WireGuard sobre routers Mikrotik. Sea cual sea tu elección, asegúrate de planificar bien las subredes y tener un plan para cuando la IP cambie. Y si te ves superado, busca a un profesional local que entienda tus necesidades. Al final, lo que buscamos es que la tecnología funcione y nos deje trabajar tranquilos.

Preguntas Frecuentes (FAQs) sobre la conexión de sedes