El protocolo IPsec es uno de los métodos más utilizados en el mundo para crear túneles VPN seguros, ya que permite cifrar y autenticar la comunicación entre dos redes remotas a través de Internet. Su relevancia radica en que ofrece confidencialidad, integridad y protección contra accesos no autorizados, sin necesidad de enlaces dedicados. Gracias a su compatibilidad con diferentes fabricantes y su flexibilidad en algoritmos de seguridad, IPsec es una solución confiable para empresas que requieren conectar sucursales, oficinas remotas o centros de datos de manera segura y estable.
En IPsec, un frame (marco) es la unidad de información transmitida a través del túnel. Al mezclar equipos de diferentes marcas pueden surgir problemas de compatibilidad, ya que no siempre soportan las mismas versiones de protocolo ni comparten la misma lista de algoritmos de cifrado o autenticación. Por ello, es fundamental validar previamente qué ofrece cada fabricante antes de implementar un enlace mixto.
⚠️ Nota: Antes de aplicar los cambios en un ambiente productivo, verifique la configuración en laboratorio o fuera de horario crítico.
1. Requisitos previos
Dos equipos NSE 3000 con acceso a cnMaestro.
Conectividad a Internet en cada sitio.
Direcciones IP públicas o dinámicas ya asignadas.
Definir previamente:
Subred local y subred remota.
Dirección IP pública del peer.
Clave precompartida (PSK).
2. Creación de Grupo NSE (Cada sitios es un NSE)
En cnMaestro, ir a:
Configuration > NSE GroupsSeleccionar Add New.
Configurar:
Nombre del grupo.
Password de administración.
Interfaz VLAN y servidor DHCP si aplica.
WAN con IP estática, dinámica o PPPoE.
3. Configuración del Túnel IPsec
En el menú del grupo, ir a:
VPN > Site-to-Site VPNActivar Enable Site-to-Site VPN.
Dar clic en Add New e ingresar:
Name: Nombre del túnel.
IKE Version: v2 (recomendado).
Role:
Initiator (inicia conexión).
Responder (espera conexión).
Remote Address: IP pública del peer.
Local/Remote ID: Texto o IP para identificar el peer.
Local Subnets: Subred local (ej. 192.168.1.0/24).
Remote Subnets: Subred remota (ej. 192.168.2.0/24).
Pre-Shared Key (PSK): Clave acordada en ambos lados.
Dead Peer Detection: 30-60 segundos sugerido.
4. Parámetros de Seguridad
Verificar que en ambos equipos coincidan:
IKE Fase 1:
Cifrado: AES-256
Autenticación: SHA256
DH Group: 14
IKE Fase 2:
Cifrado: AES-256
Autenticación: SHA256
DH Group: 14 o “Disabled” si no se usa PFS.
5. Validación del Túnel
En cnMaestro, ir a:
Monitor and Manage > Network > VPN Sites.Seleccionar el equipo y revisar el estatus del túnel.
Estado Activo = túnel operativo.
Revisar que los contadores de tráfico aumenten.
Network > VPN Sites
Preguntas frecuentes
¿Qué es IPsec y para qué se usa?
IPsec (Internet Protocol Security) es un conjunto de protocolos que asegura la comunicación entre dispositivos a través de redes IP. Se usa principalmente para proteger datos en tránsito mediante cifrado, autenticación e integridad, comúnmente en VPNs corporativas.
¿Cuál es la diferencia entre modo transporte y modo túnel?
Modo transporte: protege solo la carga útil del paquete IP, útil cuando los extremos son hosts finales.
Modo túnel: protege todo el paquete IP, encapsulándolo dentro de uno nuevo. Se usa típicamente entre gateways (routers o firewalls) para crear VPNs site-to-site.
¿Qué son AH y ESP en IPsec?
AH (Authentication Header): proporciona autenticación e integridad, pero no cifrado.
ESP (Encapsulating Security Payload): proporciona cifrado, autenticación e integridad, por lo que es más común para proteger información sensible.
¿Por qué a veces no funciona IPsec entre dispositivos de diferentes marcas?
Cada fabricante puede implementar versiones distintas de IPsec, algoritmos de cifrado y listas de autenticación. Esto puede generar incompatibilidad si no se configuran de forma coherente entre ambos extremos. Siempre hay que validar qué ofrece cada dispositivo.