VPN IPsec multi-sitio con Fortinet: cuándo usar hub-and-spoke y cuándo dar el salto a ADVPN

Conectar varias sedes por internet sigue siendo una necesidad básica para muchas empresas, aunque el escenario haya cambiado mucho. Ya no se trata solo de unir una oficina central con dos delegaciones. Ahora hay usuarios híbridos, aplicaciones en cloud, cámaras, puntos de venta, almacenes, telefonía IP, servicios SaaS, escritorios remotos, backups, monitorización y equipos que necesitan trabajar como si estuvieran dentro de una red común.

En ese contexto, una arquitectura VPN IPsec hub-and-spoke con FortiGate sigue siendo una forma práctica de crear conectividad cifrada entre sedes sin depender necesariamente de circuitos privados dedicados. La idea es sencilla: una sede central o centro de datos actúa como hub, y cada oficina remota, o spoke, establece un túnel IPsec hacia ese punto central. Fortinet describe las VPN site-to-site como conexiones que permiten a oficinas en ubicaciones fijas establecer enlaces seguros entre sí sobre una red pública como internet.

El valor de este diseño está en su equilibrio. Es relativamente fácil de entender, permite centralizar políticas y facilita que las sucursales accedan a recursos compartidos en la sede principal, como ERP, ficheros, bases de datos, servicios internos o herramientas administrativas. Pero también tiene límites. Cuando el número de sedes crece o cuando las oficinas necesitan hablar mucho entre ellas, el modelo tradicional puede empezar a generar latencia, cuellos de botella y más carga sobre el hub.

El modelo hub-and-spoke: simple, seguro y fácil de operar

En una VPN hub-and-spoke, cada sede remota mantiene su propia red local y se conecta de forma cifrada al hub mediante IPsec. El hub suele estar en el centro de datos, en la sede principal o en una ubicación con mejor conectividad, mayor capacidad de firewall y servicios compartidos.

Un ejemplo típico sería una empresa con una sede central en Madrid y oficinas en Valencia, Bilbao y Sevilla. Cada oficina tendría su FortiGate, su red local y un túnel IPsec hacia el FortiGate central. El tráfico hacia aplicaciones corporativas pasaría por el hub. Si una oficina necesita comunicarse con otra, el tráfico puede ir primero al hub y desde ahí salir hacia la otra sede, según la configuración de rutas y políticas.

Fortinet documenta este patrón como una configuración en la que las conexiones VPN salen desde una unidad central hacia múltiples pares remotos. También indica que el tráfico puede pasar entre redes privadas detrás del hub y redes privadas detrás de los spokes, e incluso entre redes remotas a través del hub.

ElementoFunción en la arquitectura
HubPunto central de terminación VPN y políticas de seguridad
SpokeSede remota que establece túnel IPsec hacia el hub
Túnel IPsecCifra el tráfico entre sedes sobre internet
Rutas y políticasDefinen qué redes se ven y qué tráfico se permite
MonitorizaciónPermite revisar estado de túneles, latencia, caídas y uso

La ventaja principal es la gestión. Todas las sedes tienen un camino claro hacia el centro. Las reglas pueden diseñarse de forma ordenada y el control de seguridad queda concentrado en una arquitectura comprensible. Para muchas pymes, cadenas de retail, clínicas, despachos, colegios, hoteles o empresas con varias delegaciones, este diseño es suficiente y evita complicaciones innecesarias.

También facilita el crecimiento inicial. Añadir una nueva oficina suele consistir en desplegar un nuevo FortiGate, crear el túnel hacia el hub, publicar sus redes internas, ajustar políticas y verificar conectividad. Si se usa FortiManager, además, la administración centralizada puede ayudar a mantener plantillas, objetos, políticas y configuración con menos trabajo manual.

Dónde aparecen los límites

El hub-and-spoke tradicional tiene un problema natural: el hub se convierte en el centro de todo. Eso puede ser bueno para controlar, pero no siempre es óptimo para rendimiento.

Si una oficina remota necesita acceder sobre todo a la sede central, el modelo funciona bien. Pero si muchas sucursales necesitan comunicarse entre ellas, enviar todo por el hub añade recorrido. El tráfico de Sevilla a Bilbao puede pasar por Madrid aunque ambas oficinas estén conectadas a internet con buenos enlaces. Eso aumenta latencia y consume capacidad del firewall central.

También aparece un punto de concentración. Si el hub cae, muchas sedes pueden quedar aisladas. Por eso en entornos medianos o grandes conviene pensar en hubs redundantes, doble operador, rutas de respaldo, monitorización activa, pruebas de failover y políticas claras de continuidad. La alta disponibilidad no consiste solo en tener dos firewalls; también hay que comprobar que rutas, DNS, servicios, certificados, túneles y dependencias siguen funcionando cuando se produce una caída.

Otro aspecto que se suele subestimar es el direccionamiento IP. Para que una red multi-sitio sea limpia, cada sede debe tener rangos bien definidos y sin solapamientos. Usar el mismo 192.168.1.0/24 en varias oficinas puede parecer cómodo al principio, pero acaba complicando rutas, NAT, soporte y resolución de incidencias. En una arquitectura VPN, el plan de direccionamiento es una decisión de diseño, no un detalle menor.

La seguridad tampoco termina al levantar el túnel. IPsec cifra el tráfico entre sedes, pero no decide por sí solo qué debe permitirse. Hay que crear políticas de firewall, segmentar redes, limitar acceso entre oficinas, registrar eventos, revisar logs y aplicar el principio de mínimo privilegio. Una VPN mal segmentada puede convertir una incidencia local en un problema corporativo.

ADVPN: cuando las sedes necesitan hablar entre ellas

Para despliegues más grandes, Fortinet ofrece ADVPN, Auto Discovery VPN. Su objetivo es resolver una limitación clásica del hub-and-spoke: permitir que los spokes establezcan túneles directos entre sí bajo demanda, sin que todo el tráfico tenga que atravesar siempre el hub. Fortinet define ADVPN como una tecnología IPsec que permite a los spokes de una VPN tradicional hub-and-spoke crear túneles directos y dinámicos entre ellos cuando lo necesitan.

Esto tiene sentido cuando hay muchas sedes, mucho tráfico lateral o aplicaciones distribuidas. Por ejemplo, una empresa con almacenes, oficinas comerciales y centros regionales puede necesitar comunicaciones frecuentes entre delegaciones. En ese caso, que todo pase por el centro puede ser ineficiente. ADVPN mantiene el hub como punto de control y descubrimiento, pero permite atajos entre sedes para reducir latencia y carga.

Fortinet también incluye soporte de ADVPN en su asistente de IPsec VPN hub-and-spoke. En la verificación de túneles, la documentación indica que cada spoke mantiene su túnel hacia el hub y, si otro spoke está activo, puede establecerse también un shortcut directo de spoke a spoke.

La combinación con SD-WAN puede mejorar aún más el diseño. Si una sede tiene fibra principal, 5G de respaldo y otro enlace secundario, las políticas SD-WAN pueden ayudar a decidir qué camino usar según latencia, pérdida, jitter o disponibilidad. El reto está en no confundir facilidad de despliegue con ausencia de diseño. ADVPN y SD-WAN aportan flexibilidad, pero también exigen buena documentación, monitorización y pruebas.

Para decidir entre hub-and-spoke básico y ADVPN conviene hacerse una pregunta muy directa: ¿las sedes remotas consumen sobre todo servicios centrales o necesitan comunicarse intensamente entre ellas? Si casi todo va al centro, el hub-and-spoke clásico puede bastar. Si hay mucho tráfico entre delegaciones, ADVPN empieza a ser más interesante.

La arquitectura multi-sitio ideal no es siempre la más avanzada, sino la que mejor encaja con la operación. Una red de tres oficinas no necesita la misma complejidad que una organización con 80 sedes, varios operadores, aplicaciones críticas y requisitos de continuidad. Fortinet ofrece piezas para ambos escenarios, pero el diseño debe empezar por el negocio: qué sedes hay, qué aplicaciones usan, qué tráfico generan, qué latencia toleran y qué ocurre si una conexión falla.

Una VPN IPsec bien planteada puede reducir costes frente a modelos WAN más tradicionales, aprovechar enlaces de internet y mantener cifrado entre ubicaciones. Pero para que funcione de verdad debe acompañarse de direccionamiento ordenado, políticas restrictivas, redundancia donde haga falta, monitorización y gestión centralizada. La seguridad no está solo en el túnel; está en cómo se gobierna todo lo que pasa por él.

Preguntas frecuentes

¿Qué es una VPN IPsec site-to-site?
Es una conexión cifrada entre dos o más redes fijas, normalmente sedes de una empresa, usando una red pública como internet.

¿Qué significa hub-and-spoke?
Es una topología en la que una sede central actúa como hub y las sedes remotas, llamadas spokes, se conectan a ella mediante túneles VPN.

¿Cuándo tiene sentido usar ADVPN?
Cuando muchas sedes necesitan comunicarse directamente entre sí y no conviene que todo el tráfico pase siempre por el hub central.

¿IPsec garantiza por sí solo la seguridad?
No. IPsec cifra el tráfico, pero hacen falta políticas de firewall, segmentación, control de accesos, monitorización y una configuración correcta.

¿Qué errores conviene evitar en una VPN multi-sitio?
Usar rangos IP solapados, no documentar rutas, abrir demasiado tráfico entre sedes, depender de un único hub sin respaldo y no monitorizar los túneles.

encuentra artículos

newsletter

Recibe toda la actualidad del sector tech y cloud en tu email de la mano de RevistaCloud.com.

Suscripción boletín

LO ÚLTIMO

Las últimas novedades de tecnología y cloud

Suscríbete gratis al boletín de Revista Cloud. Cada semana la actualidad en tu buzón.

Suscripción boletín
×