Conectar varias sedes a través de internet sigue siendo una necesidad fundamental para muchas empresas, aunque el escenario haya evolucionado significativamente. Actualmente, no se trata solo de enlazar una oficina central con dos sucursales; el entorno empresarial incluye usuarios híbridos, aplicaciones en la nube, cámaras, puntos de venta, almacenes, telefonía IP, servicios SaaS, escritorios remotos, copias de seguridad, monitorización y dispositivos que requieren funcionar como si estuvieran dentro de una misma red.
En este contexto, una arquitectura VPN IPsec hub-and-spoke con FortiGate continúa siendo una solución práctica para establecer conectividad cifrada entre sedes, sin depender necesariamente de circuitos privados dedicados. La idea es sencilla: una sede central o centro de datos actúa como hub, y cada oficina remota, o spoke, establece un túnel IPsec hacia ese punto central. Fortinet describe las VPN site-to-site como conexiones que permiten a oficinas en ubicaciones fijas crear enlaces seguros entre sí sobre una red pública como internet.
El valor de este diseño radica en su equilibrio. Es relativamente fácil de comprender, permite centralizar políticas y facilitar que las sucursales accedan a recursos compartidos en la sede principal, como ERP, archivos, bases de datos, servicios internos o herramientas administrativas. Sin embargo, también presenta límites. Cuando el número de sedes crece o las oficinas requieren comunicación intensiva entre sí, el modelo tradicional puede generar latencia, cuellos de botella y una carga excesiva en el hub.
El modelo hub-and-spoke: simple, seguro y fácil de gestionar
En una VPN hub-and-spoke, cada sede remota mantiene su propia red local y se conecta de forma cifrada al hub mediante IPsec. El hub suele ubicarse en el centro de datos, en la sede principal o en un lugar con mejor conectividad, mayor capacidad de firewall y servicios compartidos.
Un ejemplo típico sería una empresa con sede central en Madrid y oficinas en Valencia, Bilbao y Sevilla. Cada oficina dispondría de su FortiGate, su red local y un túnel IPsec hacia el FortiGate central. El tráfico dirigido a aplicaciones corporativas pasaría por el hub. Si una oficina necesita comunicarse con otra, el tráfico pasa primero por el hub y, desde allí, sale hacia la otra sede, según las rutas y políticas configuradas.
Fortinet documenta este patrón como una configuración donde las conexiones VPN se establecen desde una unidad central hacia múltiples sitios remotos. Además, indica que el tráfico puede fluir entre redes privadas detrás del hub y entre redes remotas a través del mismo, incluso permitiendo comunicaciones entre oficinas sin pasar necesariamente por el centro.
| Elemento | Función en la arquitectura |
|---|---|
| Hub | Punto central de terminación VPN y gestión de políticas de seguridad |
| Spoke | Sede remota que establece túneles IPsec hacia el hub |
| Túnel IPsec | Cifra el tráfico entre sedes a través de internet |
| Rutas y políticas | Definen qué redes se comunican y qué tráfico está permitido |
| Monitorización | Permite verificar el estado de los túneles, latencia, caídas y uso |
La principal ventaja reside en la gestión centralizada: todas las sedes tienen un camino claro hacia la estructura central. Las reglas y políticas pueden diseñarse de forma ordenada, y la seguridad se concentra en una arquitectura comprensible. Para muchas pymes, cadenas de retail, clínicas, despachos, colegios, hoteles o empresas con varias delegaciones, este diseño es suficiente y evita complicaciones innecesarias.
También facilita el crecimiento inicial. Añadir una nueva oficina suele implicar desplegar un nuevo FortiGate, crear el túnel hacia el hub, registrar sus redes internas, ajustar las políticas y verificar la conectividad. Con herramientas como FortiManager, la administración centralizada ayuda a mantener plantillas, objetos, políticas y configuraciones con menos trabajo manual.
Donde aparecen los límites
El modelo tradicional hub-and-spoke tiene un problema inherente: el hub se convierte en el centro de todo el tráfico. Aunque esto ayuda a controlar, no siempre es eficiente en términos de rendimiento.
Si una oficina remota principal acceso principalmente a la sede central, el modelo funciona bien. Pero si muchas sucursales necesitan comunicarse entre ellas, enviar todo a través del hub puede generar recorridos adicionales. Por ejemplo, el tráfico de Sevilla a Bilbao puede pasar por Madrid, aunque ambas oficinas tengan enlaces adecuados a internet, aumentando latencia y el uso del firewall central.
Además, existe un punto de concentración. Si el hub presenta una caída, muchas sedes pueden quedar aisladas. Por ello, en entornos medianos o grandes, es recomendable contar con hubs redundantes, rutas alternativas, monitorización activa, pruebas de failover y políticas de continuidad claras. La alta disponibilidad no se logra solo con firewalls duplicados; también hay que verificar que rutas, DNS, servicios, certificados y túneles siguen funcionando ante fallos.
Otro aspecto a considerar es el direccionamiento IP. Para una red multi-sede ordenada, cada sede debe tener rangos bien definidos y sin solapamientos. Usar la misma subred 192.168.1.0/24 en varias oficinas puede parecer conveniente inicialmente, pero complica rutas, NAT, soporte y resolución de incidencias. En una arquitectura VPN, el plan de direccionamiento es una decisión clave de diseño, no un detalle menor.
La seguridad tampoco termina con la creación del túnel. IPsec cifra el tráfico, pero no determina qué debe permitirse. Es necesario crear políticas de firewall, segmentar redes, limitar accesos entre oficinas, registrar eventos, revisar logs y aplicar principios de privilegio mínimo. Una VPN mal segmentada puede convertir un problema local en una vulnerabilidad corporativa.
ADVPN: cuando las sedes necesitan comunicarse entre ellas
ADVPN, o Auto Discovery VPN, es una solución para despliegues de mayor escala. Su objetivo es resolver una limitación clásica del modelo hub-and-spoke: habilitar que los spokes establezcan túneles directos entre sí cuando sea necesario, en lugar de que todo pase siempre por el hub. Fortinet define ADVPN como una tecnología IPsec que permite a los spokes de una VPN tradicional crear túneles directos y dinámicos entre ellos en función de la demanda.
Esto resulta útil en escenarios con muchas sedes, tráfico lateral elevado o aplicaciones distribuidas. Por ejemplo, una empresa con almacenes, oficinas comerciales y centros regionales que requiere comunicación constante entre delegaciones. En estos casos, que todo el tráfico pase por el centro puede ser ineficiente. ADVPN mantiene el hub como punto de control y descubrimiento, pero permite atajos directos entre sedes para reducir latencia y carga.
Fortinet incorpora soporte para ADVPN en su asistente de configuración de IPsec VPN hub-and-spoke. Durante la verificación de túneles, se indica que cada spoke mantiene su túnel hacia el hub, y si otro spoke está activo, puede establecerse también una conexión directa entre ellos, creando un shortcut.
La integración con SD-WAN puede potenciar aún más el diseño. Si una sede cuenta con fibra principal, respaldo 5G y un enlace secundario, las políticas SD-WAN pueden determinar la mejor ruta según latencia, pérdida, jitter o disponibilidad. El reto está en no confundir la simplicidad de despliegue con la falta de un buen diseño. ADVPN y SD-WAN ofrecen flexibilidad, pero requieren documentación precisa, monitorización constante y pruebas rigurosas.
Para decidir entre un modelo básico hub-and-spoke y ADVPN, conviene plantearse la pregunta: ¿las sedes remotas consumen principalmente servicios centrales o necesitan comunicarse mucho entre ellas? Si la mayoría del tráfico va al centro, un hub-and-spoke simple puede ser suficiente. Pero si existe una comunicación frecuente entre delegaciones, ADVPN resulta más ventajoso.
El entorno multi-sede ideal no siempre es el más avanzado tecnológicamente, sino el que mejor se ajusta a las necesidades operativas. Una red con tres oficinas no requiere la misma complejidad que una con 80 sedes, múltiples operadores, aplicaciones críticas y altas exigencias de continuidad. Fortinet ofrece soluciones para ambos escenarios, pero el diseño debe partir del análisis del negocio: ¿qué sedes hay? ¿Qué aplicaciones usan? ¿Qué volumen de tráfico generan? ¿Qué latencia pueden tolerar? ¿Qué pasa si una conexión falla?
Una VPN IPsec bien diseñada puede reducir costos en comparación con modelos WAN tradicionales, aprovechar enlaces de internet y mantener cifrado entre ubicaciones. Sin embargo, para que sea efectiva, debe acompañarse de una planificación IP ordenada, políticas restrictivas, redundancia donde sea necesario, monitorización y gestión centralizada. La seguridad no solo está en el túnel, sino en la gobernanza de todo lo que pasa a través de él.
Preguntas frecuentes
¿Qué es una VPN IPsec site-to-site?
Es una conexión cifrada entre dos o más redes fijas, comúnmente sedes de una misma empresa, utilizando una red pública como internet.
¿Qué significa hub-and-spoke?
Es una topología donde una sede central funciona como hub y las sedes remotas, llamadas spokes, se conectan a ella mediante túneles VPN.
¿Cuándo tiene sentido usar ADVPN?
Cuando múltiples sedes necesitan comunicarse directamente entre sí, sin que todo el tráfico pase siempre por el hub central, para mejorar eficiencia y reducir latencia.
¿IPsec garantiza por sí solo la seguridad?
No. IPsec cifra el tráfico, pero es necesario complementar con políticas de firewall, segmentación, control de accesos, monitorización y una configuración adecuada.
¿Qué errores conviene evitar en una VPN multi-sede?
Solapar rangos IP, no documentar rutas, abrir excesivo tráfico entre sedes, depender de un único hub sin respaldo, y no monitorizar los túneles.
