Tipos de redes VPN
Las redes privadas virtuales (VPN) son ampliamente usadas por los usuarios, tanto a nivel doméstico para evadir bloqueos y censura, así como a nivel empresarial para comunicar diferentes sedes de las empresas, o permitir que sus trabajadores puedan teletrabajar y estar dentro de la red local de la empresa. Existen diferentes tipos de VPN en cuanto a su arquitectura, protocolos utilizados, así como también si son gratuitas o de pago. Hoy os vamos a explicar en detalle qué tipos de VPN existen, y qué tener en cuenta a la hora de usar una u otra.
Dependiendo de lo que queramos hacer con una VPN, tendremos que elegir entre una arquitectura u otra, así como también qué protocolo utilizar para ello, porque actualmente tenemos varios protocolos muy seguros y rápidos, aunque cada uno tiene sus puntos fuertes y también sus puntos débiles. Además, se puede dar el caso de que algunas VPN sean gratuitas y otras de pago, aunque lógicamente el uso de los diferentes protocolos siempre es gratis, porque te estarás montando tú el servidor y dando acceso a los diferentes clientes.
Tipos de VPN según la arquitectura
La arquitectura de una VPN es lo primero que debes valorar si vas a configurar una, porque no es lo mismo poder acceder de manera local a los recursos locales de tu hogar o empresa, que intercomunicar diferentes sedes de una empresa para que se pueda acceder a todos los recursos. No importa qué protocolo utilices, porque todos los protocolos permiten realizar estas configuraciones, pero sí es crítico que planifiques bien la red si piensas comunicarlas con una VPN.
VPN de acceso remoto o Roadwarrior
En una arquitectura de acceso remoto, el servidor VPN estará ubicado en el hogar del usuario o bien en la empresa. No importa si está instalado directamente en el router o en un servidor, lo más importante es que esté expuesto a Internet para aceptar comunicaciones entrantes. En esta arquitectura, todos y cada uno de los clientes VPN se conectarán al servidor usando sus propias claves criptográficas o credenciales de acceso. Una vez que se han conectado al servidor VPN remoto, podrán realizar dos configuraciones en el propio cliente:
- Acceder a los recursos de la red local solamente. Esto permite que el usuario que se conecta, solamente pasará el tráfico de Internet por la VPN cuando se requiera acceso a algún recurso de la red local. Si navegamos por Internet con normalidad, no pasará el tráfico por la VPN, sino que saldremos con la IP pública de nuestro operador.
- Reenviar todo el tráfico de Internet a través de la VPN. Esto permite que el usuario que se conecta, pase todo su tráfico de red a través del servidor VPN. Esta es la configuración que debes realizar si quieres acceder a todos los recursos del hogar o empresa, y, además, quieres proteger tu conexión con el cifrado punto a punto de la VPN. En esta arquitectura, ten en cuenta que todo tu tráfico pasará por el servidor que se encargará de cifrar y descifrar todos los datos, así que el tráfico podría ser interceptado y manipulado en este punto.
En la siguiente imagen podéis ver cómo sería esta arquitectura:
Este tipo de arquitectura de VPN está pensado para los siguientes usos:
- Trabajadores que quieren conectarse a la empresa para acceder a recursos privados.
- Usuarios que quieren acceder a los recursos de su red local de manera segura.
- Usuarios que quieren proteger su conexión Wi-Fi o de datos, conectándose al servidor VPN de su hogar o empresa, y que hacer redirección de todo el tráfico de red.
Como podéis ver, este tipo de arquitectura VPN es una de las más utilizadas por los usuarios, ya sean trabajadores o bien usuarios domésticos.
VPN entre sitios o Site-to-Site
En las arquitecturas Site-to-Site, normalmente el servidor y cliente VPN estarán directamente en el router o firewall, no es muy habitual encontrarnos el servidor VPN en un servidor, aunque también podría ser posible en determinados casos. El cliente siempre deberá estar en el router, para poder gestionar adecuadamente las rutas de origen y destino entre las diferentes redes.
Este tipo de arquitectura VPN se utiliza principalmente para comunicar sedes de empresas entre sí, con el objetivo de que puedan compartir sus recursos. Imaginemos que tenemos una empresa de formación con dos sedes, podríamos establecer un túnel VPN entre ellas para poder compartir recursos entre ellas muy fácilmente. En el caso de tener tres sedes, entonces tendríamos una empresa que actúe como servidor VPN y el resto actuarán de «cliente» pero compartiendo todas las rutas, así que será una arquitectura multisite-to-site. También existe la posibilidad de diseñar una red mallada, donde todas las sedes se comuniquen con todas, para así garantizar el buen funcionamiento de toda la red, y en caso de la caída de una sede que las otras puedan seguir comunicándose.
En este tipo de arquitecturas, también es muy importante qué configuraciones se realizan a nivel de rutas, y es que tenemos dos posibles configuraciones:
- Acceder a los recursos de la red local. Esto permite que los usuarios se una sede, puedan acceder a los recursos de otra sede a través de la VPN establecida. En el caso de querer acceder a Internet, lo harán a través de la conexión a Internet y no por el túnel VPN que hemos establecido.
- Reenviar todo el tráfico de Internet a través de la sede remota. Esto permite que una sede reenvíe todo el tráfico hacia otra sede, y esta última se encargue de gestionar todo el tráfico de Internet de la primera y la suya propia. Este tipo de configuración no es muy habitual, a no ser que quieras aplicar políticas de uso de Internet de manera avanzada, y lo tengas todo centralizado en el mismo sitio.
En la siguiente imagen podéis ver cómo sería esta arquitectura:
Esta arquitectura Site-to-Site también podríamos realizarlas entre cada una de las sedes, entonces tendríamos una red VPN Mesh o mallada, de tal forma que tendremos una mayor resiliencia en caso de fallo de una de las sedes, algo fundamental para el buen funcionamiento del negocio.
Este tipo de arquitectura de VPN está pensado para los siguientes usos:
- Empresa con varias sedes que quieren comunicarse entre sí para compartir los recursos, y hacerlo transparente de cara a los PC o clientes finales. Por este motivo, el router debe gestionar todo a nivel de servidor o cliente VPN, sin que tengamos que instalar nada en los ordenadores de los trabajadores.
- Usuarios domésticos que quieren reenviar el tráfico de uno o varios dispositivos de la red local a través del servidor VPN remoto, por ejemplo, para evadir los bloqueos de Netflix o cualquier otro servicio.
- Usuarios domésticos que disponen de dos o más viviendas, y quieren comunicarlas entre sí para acceder a los recursos compartidos como un servidor NAS.
Como podéis ver, este tipo de arquitectura VPN es una de las más utilizadas por las empresas, no es habitual entre usuarios debido a su complejidad de configuración.
Por supuesto, tanto las VPN de acceso remoto como las Site-to-Site pueden convivir sin ningún problema. A nivel de configuración, podríamos configurar una VPN de acceso remoto para aceptar a los usuarios, y posteriormente levantar varios túneles VPN a las diferentes sedes de las empresas. A nivel corporativo es muy habitual usar el protocolo IPsec IKEv2, pero perfectamente se podría usar también los protocolos OpenVPN o WireGuard, lo importante es la configuración y no el protocolo, ya que todos soportan tanto acceso remoto como site-to-site.
VPN de pago o gratis
Cuando hablamos de VPN de pago o gratis, nos referimos a empresas que están dedicadas a las VPN y que se encargan de configurar y alojar sus servidores en centros de datos, con el objetivo de dar servicio a sus usuarios. Si tú te configuras tu propia VPN, tanto en la parte del servidor como de los clientes, haciendo uso de los principales protocolos como WireGuard, OpenVPN e IPsec, siempre será completamente gratis porque tú estarás montando tu propia infraestructura. Sin embargo, en el caso de que tengas que usar servidores de terceros, entonces la cosa cambia mucho, ya que podrían cobrarte una suscripción mensual o anual por dicho acceso a sus servicios.
VPN de pago
Las VPN de pago son ampliamente utilizadas por los usuarios domésticos, el motivo de usar estos servicios, normalmente, es para evitar la censura en determinados países donde bloquean el acceso a webs, pero también para evadir bloqueos regionales, porque podremos conectarnos a servidores VPN que están ubicados en casi todos los países del mundo. Otros usos habituales son las de añadir una capa de privacidad y anonimato a la hora de navegar por Internet, ya que muchos servicios permiten bloquear anuncios e incluso cookies de seguimiento, haciendo que la navegación sea más privada.
Hoy en día existen una gran cantidad de servicios VPN de pago, los más destacables son los de NordVPN, Surfshark, PrivadoVPN, CyberGhost y PureVPN entre otros muchos. Todos ellos disponen de más o menos las mismas características, y es que tendremos cientos de servidores repartidos por todo el mundo, la posibilidad de elegir varios protocolos VPN, ancho de banda ilimitado, posibilidad de conectar muchos dispositivos de forma simultánea con una única cuenta, y mucho más.
VPN totalmente gratis
En el caso de servicios gratuitos, actualmente existen muchos supuestos servicios de VPN gratis, pero debes extremar las precauciones porque si es gratis, seguramente el producto seas tú. Recuerda que, si redireccionas todo el tráfico a través del servidor VPN, justo aquí podrán interceptar tu tráfico e incluso manipularlo. No os recomendamos usar ningún tipo de VPN gratuita, excepto WARP VPN que es de Cloudflare, uno de los gigantes de Internet. Esta VPN WARP nos proporcionará una gran velocidad de descarga y subida, una latencia muy baja, y nos permitirá conectarnos de forma muy rápida gracias a sus programas y aplicaciones para móviles. Un aspecto muy importante, es que este servicio de VPN no permite evadir bloqueos regionales, siempre te conectará de forma automática en un servidor que esté ubicado en el mismo país.
Otra VPN gratuita que puedes usar es la de Opera integrada en su navegador, aunque realmente esto es un proxy y no una VPN, porque no permite redireccionar el tráfico de red de fuera del navegador. Otra alternativa es usar el servicio gratis de PrivadoVPN que te ofrece hasta 10GB de datos mensuales, así que si usas las VPN de forma esporádica puede ser una muy buena opción.
Protocolos de VPN
Para poder hacer uso de cualquier VPN, es totalmente necesario usar un protocolo diseñado para tal fin, que se encargue de encapsular y desencapsular el tráfico de red intercambiado. Hay diferentes tipos de protocolos VPN, los más destacables son WireGuard, OpenVPN e IPsec, ya que son ampliamente usados tanto por empresas como también usuarios domésticos.
WireGuard
El protocolo WireGuard es uno de los más populares hoy en día, dispone de la mejor seguridad posible de manera predeterminada, ya que no podemos hacer ajustes en la negociación del tipo de cifrado, sino que directamente es el más seguro con un conjunto de algoritmos robustos. Otro aspecto muy importante es su velocidad, en comparación con OpenVPN o IPsec, este protocolo es capaz de duplicar e incluso triplicar la velocidad real en descarga y subida. Además, otras características son que la latencia de la conexión es extremadamente baja, aunque lógicamente la latencia depende de muchos factores.
En un mundo cada vez más conectado, en los dispositivos móviles como smartphones o tablets, es muy habitual ir cambiando de red Wi-Fi a red móvil continuamente. Este protocolo permite hacer roaming, eso significa que no tendremos que establecer ningún tipo de conexión previa antes de enviar los datos. Esto nos permitirá que el cambio de una red a otra sea totalmente transparente, perfecto
Este protocolo está muy optimizado en sistemas Linux, donde normalmente instaremos el servidor, ya que está integrado a nivel de kernel para tener el mejor rendimiento posible. Disponemos de programas para todos los sistemas operativos, y también aplicaciones tanto para Android como iOS, y ambas en las tiendas oficiales respectivamente.
Sin lugar a dudas, este protocolo de VPN es uno de nuestros favoritos, porque es muy moderno, rápido y seguro, además, es mucho más fácil de usar que otros como OpenVPN o IPsec, sobre todo si tú mismo tienes que configurar tanto el servidor como el cliente.
OpenVPN
OpenVPN es un protocolo ampliamente conocido y utilizado, tanto por usuarios domésticos como también por empresas. Dispone de una gran cantidad de opciones de configuración, y no solo con respecto al establecimiento de la conexión, pudiendo usar TLS 1.2 y TLS 1.3, sino también de cara a las opciones de autenticación, pudiendo autenticar a los clientes a través de una PKI (Infraestructura de clave pública) para tener la máxima seguridad posible. Además, tenemos la posibilidad de añadir un segundo factor de autenticación, perfecto para proteger aún más la autenticación en empresas donde la seguridad sea crítica.
Otras características de OpenVPN, son que podremos configurar tanto la arquitectura de acceso remoto, como también un site-to-site, con el fin de adaptarse perfectamente a las necesidades de las empresas o usuarios domésticos. Aunque este protocolo funciona usando el protocolo UDP, tal y como sucede con WireGuard, lo cierto es que también soporta TCP y podremos usarlo. No obstante, nuestra recomendación es que uses UDP porque al usar TCP tendremos un rendimiento menor.
IPsec
El protocolo IPsec es el más utilizado por empresas grandes para usar los túneles VPN, ya sea en modo acceso remoto, donde los trabajadores se conectarán con sus equipos a la red interna de la empresa, o bien usando el modo site-to-site para comunicar diferentes sedes. Lo mejor de IPsec es que tendremos una grandísima cantidad de opciones de configuración avanzadas, tanto en la parte de autenticación, establecimiento de la conexión, como el cifrado de todos los datos. Otro aspecto muy bueno, es que los routers o firewalls disponen generalmente de aceleración de cifrado por hardware, y el software soporta aceleración de IPsec, lo que significa que obtendremos un gran rendimiento VPN, similar al conseguido por WireGuard.
A la hora de configurar una VPN usando IPsec, es fundamental que valores bien qué software utilizar, porque dependerá en gran medida la seguridad del túnel VPN. Hay veces que los diferentes fabricantes disponen de una integración de IPsec muy básica donde no están todas las opciones disponibles, así que valora bien qué software vas a utilizar. De lo contrario, será mejor usar WireGuard o bien OpenVPN.
- Archivado en
- Conectividad