VPN IPsec site-to-site: conecta sedes de forma segura

Cuando una empresa necesita interconectar dos o más sedes a través de Internet de forma segura, la tecnología IPsec sigue siendo la referencia del sector. A diferencia de las soluciones de acceso remoto orientadas a usuarios individuales, una VPN site-to-site crea un túnel permanente entre los routers o firewalls de cada sede, haciendo que las redes locales de ambas ubicaciones se vean como si estuvieran directamente conectadas. Esto permite que los empleados de la sede B accedan a los servidores de la sede A con la misma transparencia que si estuvieran en el mismo edificio.

IPsec es en realidad un conjunto de protocolos y estándares definidos por el IETF, no un único protocolo. Esta naturaleza modular explica tanto su flexibilidad como su complejidad: dos dispositivos de diferentes fabricantes pueden establecer un túnel IPsec siempre que ambos soporten los mismos algoritmos y modos de operación. Equipos como Cisco ASA, Palo Alto Networks, Fortinet FortiGate, pfSense o MikroTik pueden interoperar sin problema cuando la configuración es correcta.

Esta guía explica los fundamentos de IPsec, el proceso de negociación IKE, las fases de establecimiento del túnel, la configuración práctica en escenarios reales y las buenas prácticas de operación y monitorización que todo administrador de red empresarial debe conocer.

Fundamentos de IPsec: AH, ESP y los modos de operación

IPsec opera en la capa de red (capa 3) y puede trabajar en dos modos distintos. El modo transporte cifra únicamente la carga útil del paquete IP, manteniendo la cabecera original. El modo túnel, que es el utilizado en las VPN site-to-site, encapsula el paquete IP completo (cabecera incluida) dentro de un nuevo paquete IP, lo que oculta las direcciones IP originales de origen y destino. Este modo es el apropiado cuando el tráfico debe atravesar redes públicas y no se quiere revelar la topología interna de las sedes.

Dentro de IPsec existen dos protocolos de seguridad: AH (Authentication Header) y ESP (Encapsulating Security Payload). AH proporciona autenticación e integridad pero no cifrado, lo que lo hace inadecuado para la mayoría de los escenarios empresariales modernos donde la confidencialidad es un requisito. ESP proporciona cifrado, autenticación e integridad, y es el protocolo prácticamente universal en implementaciones actuales. En la gran mayoría de despliegues encontrarás ESP en modo túnel.

El protocolo IKE: cómo se negocia el túnel

El establecimiento de un túnel IPsec se realiza mediante el protocolo IKE (Internet Key Exchange). La versión actual es IKEv2, definida en el RFC 7296, que mejora significativamente la velocidad de establecimiento del túnel y la robustez ante cambios de red respecto a IKEv1. El proceso de negociación se divide en dos fases bien diferenciadas que es fundamental entender para diagnosticar problemas.

Fase 1: establecimiento del canal seguro (IKE SA)

En la Fase 1, los dos extremos del túnel negocian un canal seguro entre sí (llamado IKE SA o ISAKMP SA en IKEv1). Este canal se usa para proteger las negociaciones posteriores. Los parámetros que se negocian en esta fase incluyen el algoritmo de cifrado (AES-256 es el estándar actual), el algoritmo de hash (SHA-256 o SHA-384), el grupo Diffie-Hellman para el intercambio de claves (grupo 14 o superior, correspondiente a 2048 bits o más) y el método de autenticación (clave precompartida o certificados digitales). Ambos extremos deben tener exactamente la misma configuración en estos cuatro parámetros; cualquier discrepancia hace que la Fase 1 falle, lo que es la causa más común de problemas en nuevos despliegues.

Fase 2: protección del tráfico de datos (Child SA)

Una vez establecido el canal seguro de la Fase 1, la Fase 2 negocia los parámetros específicos para proteger el tráfico de datos entre las sedes: el protocolo (ESP), el algoritmo de cifrado y hash para los datos, y los selectores de tráfico (qué redes de cada sede pueden comunicarse a través del túnel). Los selectores de tráfico son críticos: si la sede A tiene la red 192.168.1.0/24 y la sede B tiene la red 192.168.2.0/24, los selectores deben reflejar exactamente esos rangos. Un error habitual es configurar 0.0.0.0/0 como selector en un extremo y la red específica en el otro, lo que causa asimetría en la negociación.

Métodos de autenticación: PSK vs certificados digitales

La clave precompartida (PSK, Pre-Shared Key) es el método más sencillo y el más utilizado en despliegues con pocas sedes. Su mayor riesgo es operacional: si la misma PSK se usa en todos los túneles y un dispositivo perimetral es comprometido, todos los túneles quedan expuestos. Además, las PSK débiles son vulnerables a ataques de diccionario offline si un atacante captura el tráfico del handshake IKE. La recomendación es usar PSK de al menos 32 caracteres aleatorios y cambiarlas periódicamente.

Los certificados digitales X.509 son más seguros y escalables, pero requieren una infraestructura de clave pública (PKI) funcional. Cada dispositivo perimetral recibe un certificado firmado por la CA interna de la empresa, lo que permite la autenticación mutua sin compartir secretos. Es la opción recomendable cuando el número de sedes supera las cinco o cuando existen requisitos de cumplimiento normativo (ISO 27001, ENS, etc.) que exigen gestión formal de credenciales.

Diseño de la topología: hub-and-spoke vs malla completa

En una empresa con sede central y varias sucursales, la topología hub-and-spoke es la más habitual: todos los túneles convergen en el firewall de la sede central, que actúa como concentrador. Esta arquitectura simplifica la gestión (solo hay que mantener la configuración de la sede central para añadir nuevas sucursales) pero introduce la sede central como punto único de fallo y cuello de botella para el tráfico entre sucursales (que debe pasar por el hub aunque origen y destino estén geográficamente cercanos).

La malla completa (full mesh) establece un túnel directo entre cada par de sedes, eliminando el hub como intermediario. El tráfico toma siempre el camino más corto, lo que mejora la latencia entre sucursales. El inconveniente es la escalabilidad: con N sedes se necesitan N*(N-1)/2 túneles, lo que para diez sedes supone 45 túneles que mantener. Una solución intermedia es la malla parcial: túneles directos solo entre las sedes con mayor volumen de tráfico entre sí, y el hub para el resto.

Configuración práctica en FortiGate

Fortinet FortiGate es uno de los firewalls más extendidos en el mercado PYME y mediana empresa en España. La configuración de un túnel IPsec site-to-site en FortiGate se realiza desde la sección VPN > IPsec Tunnels del interface web. El asistente de creación guía al administrador a través de todos los parámetros necesarios: nombre del túnel, interfaz WAN de salida, IP o FQDN del peer remoto, método de autenticación, parámetros de Fase 1 y Fase 2, y las rutas estáticas necesarias para dirigir el tráfico al túnel. Una vez creado el túnel, es necesario crear una política de firewall que permita el tráfico desde la red local hacia la interfaz del túnel y viceversa.

Un elemento que se olvida con frecuencia en los despliegues FortiGate es el perfil de fase 2 con DH group activado (PFS, Perfect Forward Secrecy). PFS garantiza que, aunque una clave de sesión sea comprometida en el futuro, las sesiones anteriores no puedan ser descifradas. Activarlo tiene un pequeño coste computacional en el renegociado, pero es una práctica recomendada para cualquier organización con datos sensibles.

Configuración en pfSense/OPNsense

Para empresas con presupuesto más ajustado o que prefieren software libre, pfSense y su fork OPNsense son alternativas muy capaces. Ambos usan strongSwan como backend IPsec y ofrecen interfaces web razonablemente completas. La configuración en pfSense se realiza desde VPN > IPsec. Se crea primero la entrada de Fase 1 (con el endpoint remoto, la autenticación y los algoritmos) y después las entradas de Fase 2 (con los selectores de tráfico y los algoritmos de cifrado de datos). Las rutas necesarias se añaden automáticamente al activar el túnel si se usa la opción de instalación automática de rutas.

Interoperabilidad entre fabricantes

Uno de los principales valores de IPsec es su estandarización, que permite que dispositivos de diferentes fabricantes establezcan túneles entre sí. Sin embargo, en la práctica existen pequeñas diferencias de implementación que pueden causar problemas. Los más comunes son: diferencias en el rekey de las SA (cuándo y cómo se renuevan las claves), el manejo del Dead Peer Detection (DPD, el mecanismo que detecta si el extremo remoto ha dejado de responder) y el comportamiento ante fragmentación de paquetes IKE. Cuando dos dispositivos de diferentes fabricantes no logran establecer el túnel, la herramienta más útil es capturar el tráfico UDP en el puerto 500 (IKEv2) o 4500 (IKEv2 con NAT-traversal) y analizar el intercambio con Wireshark para identificar en qué punto de la negociación falla.

NAT-Traversal: tunelizar IPsec a través de NAT

Una complicación frecuente en despliegues reales es que uno o ambos extremos del túnel están detrás de un dispositivo NAT (un router doméstico en el caso de una sucursal pequeña, por ejemplo). IPsec ESP no es compatible con NAT estándar porque la modificación de las cabeceras IP por el dispositivo NAT invalida la comprobación de integridad. La solución es NAT-Traversal (NAT-T): cuando los dispositivos detectan que hay un NAT en el camino (durante la negociación IKE), encapsulan los paquetes ESP dentro de UDP en el puerto 4500. Esto permite que el NAT los procese correctamente. La mayoría de implementaciones modernas activan NAT-T automáticamente cuando lo detectan.

Monitorización y diagnóstico de túneles IPsec

Una vez en producción, es fundamental monitorizar el estado de los túneles. La métrica más importante es si el túnel está establecido y transmitiendo tráfico. En FortiGate, esto se puede ver en VPN > Monitor; en pfSense en Status > IPsec. Para monitorización automatizada, la mayoría de firewalls exponen el estado de los túneles por SNMP, lo que permite integrarlo con herramientas como Zabbix, PRTG o Nagios. Una alerta que notifique cuando un túnel lleva más de cinco minutos caído es suficiente para la mayoría de los escenarios.

• Verificar que los logs de IKE no muestran errores de negociación de forma periódica.
• Comprobar los contadores de paquetes transmitidos y recibidos en ambos extremos para detectar flujo asimétrico.
• Usar herramientas de diagnóstico como 'ipsec statusall' (strongSwan) o el CLI de diagnóstico de FortiGate para ver el estado detallado de las SA.
• Configurar alertas de latencia en el túnel: una degradación del RTT puede indicar problemas en el enlace WAN antes de que el túnel caiga.
• Documentar los parámetros de cada túnel en un repositorio centralizado para facilitar la resolución de incidencias y las auditorías.

Cifrado moderno: algoritmos recomendados y obsoletos

La elección de algoritmos en IPsec tiene un impacto directo en la seguridad del túnel. DES y 3DES están completamente obsoletos y no deben usarse en nuevos despliegues. MD5 y SHA-1 para la autenticación también son inseguros. La configuración recomendada para 2024 en adelante es: AES-256-GCM para el cifrado (en Fase 2, ya que GCM incluye autenticación, eliminando la necesidad de un HMAC separado), SHA-256 o SHA-384 para la integridad en Fase 1, grupo Diffie-Hellman 14 como mínimo (idealmente grupo 20 o 21 para curva elíptica), e IKEv2 obligatorio.

Muchos dispositivos heredados solo soportan IKEv1 o algoritmos débiles. Si no es posible actualizarlos a firmware más reciente, la opción más prudente es aislar esos túneles y planificar su reemplazo a corto plazo. Mantener túneles con algoritmos débiles en producción es un riesgo que ningún responsable de seguridad debería aceptar sin una evaluación formal del riesgo.

Integración con SD-WAN

Las soluciones SD-WAN modernas (Fortinet Secure SD-WAN, Cisco Meraki, Versa Networks) utilizan IPsec como protocolo de transporte para los overlay tunnels que crean sobre los enlaces WAN disponibles. La diferencia respecto a una VPN IPsec clásica es que el plano de control SD-WAN gestiona automáticamente la selección del túnel en función de la calidad del enlace, permitiendo hacer fail-over entre conexiones MPLS, fibra e incluso 4G/5G de forma transparente para las aplicaciones. Si tu empresa ya tiene o planea adoptar SD-WAN, IPsec seguirá siendo la base tecnológica, pero la capa de gestión la proporciona la plataforma SD-WAN en lugar de la configuración manual.

IPsec no es elegante, pero es el pegamento que mantiene conectadas las redes empresariales de todo el mundo. Entender sus mecanismos de negociación es una habilidad que cualquier ingeniero de redes necesita tarde o temprano.

Conclusión

IPsec site-to-site sigue siendo la tecnología de referencia para interconectar sedes empresariales de forma segura, especialmente en entornos multi-vendor donde la interoperabilidad es un requisito. Su complejidad es real, pero dominando los conceptos de IKE, las fases de negociación y los parámetros de cifrado, cualquier administrador de red puede desplegar y mantener túneles robustos. Invierte tiempo en documentar cada túnel, monitorizar su estado y revisar periódicamente los algoritmos usados: la seguridad de tu infraestructura de conectividad depende de ello.