VPN
La VPN de la plataforma Mirox proporciona acceso remoto seguro y basado en certificados a las redes internas de plantas individuales. En lugar de mantener un perfil VPN separado para cada planta, cada usuario recibe un único perfil VPN personal a través del cual todas las plantas para las que el usuario está autorizado pasan a ser accesibles. Los cambios de permisos, las nuevas plantas, las nuevas subredes o las cooperaciones revocadas se reflejan automáticamente en el perfil VPN — sin que el usuario tenga que reinstalarlo.
Concepto
La VPN está diseñada como un túnel de inicio de sesión único personal hacia todas las redes de plantas concedidas:
- Un certificado por usuario: cada usuario autenticado puede emitir exactamente un certificado VPN e instalarlo en su dispositivo.
- Gestión automática de rutas: el conjunto de subredes de plantas accesibles se deriva dinámicamente de los permisos actuales (rol de organización, rol de trabajo, cooperaciones). Cualquier cambio de permiso actualiza automáticamente el conjunto de rutas.
- Alta disponibilidad: el túnel termina en múltiples regiones y conmuta a otra región si es necesario.
- Sin claves compartidas: la clave privada nunca sale del dispositivo del usuario. Mirox solo ve la clave pública.
Qué ofrece la VPN
Túnel personal a todas las plantas concedidas
Una vez instalado el perfil VPN, el usuario puede dirigirse a todas las redes de plantas para las que tiene permisos — exactamente como si estuviera físicamente en el emplazamiento. Esto suele abarcar:
- Interfaces web de inversores, controladores de seguidores, data loggers, PCs de armario de control
- Acceso SSH a dispositivos de servicio
- Herramientas de diagnóstico Modbus / TCP contra componentes en la red de la planta
- Las propias herramientas del usuario que se comunican directamente con la infraestructura de la planta
Las múltiples plantas con subredes locales solapadas (p. ej. dos plantas que usan ambas 192.168.1.0/24) se desambiguan automáticamente por el sistema, de modo que no es posible la confusión.
Ciclo de vida del certificado
El usuario controla su certificado directamente a través de la interfaz de la plataforma:
- Emitir: crea un nuevo perfil VPN. El archivo de configuración completo que contiene la clave privada se muestra exactamente una vez en el navegador y nunca se almacena en la nube.
- Rotar: sustituye el conjunto de claves sin eliminar el certificado. Útil, por ejemplo, al cambiar de dispositivo o cuando se sospecha de un compromiso. La nueva clave privada se muestra de nuevo solo una vez.
- Revocar: deshabilita el certificado de inmediato. Todas las conexiones en curso se terminan en el siguiente ciclo de sincronización. El rastro de auditoría del certificado se conserva durante el periodo de retención exigido legalmente.
Gestión automática de rutas
Las subredes accesibles se derivan de los permisos del usuario:
- Para cada permiso de parque o portfolio, se calcula automáticamente el conjunto de rutas correspondiente.
- Cuando se revoca un permiso (fin de una cooperación, cambio de rol), la ruta también se elimina automáticamente.
- Los conflictos entre dos plantas que usan la misma subred local se marcan de forma visible en la vista general de rutas. El usuario puede decidir cuál de las plantas en conflicto tiene prioridad para él.
- El usuario puede deshabilitar temporalmente rutas individuales, p. ej. para alcanzar dos plantas con rangos de subred idénticos una tras otra.
Vista general de sesiones
El usuario dispone de una vista general de sesiones dedicada para su propio certificado dentro de la plataforma:
- Conexiones actuales con tiempo de conexión, origen geográfico y volumen de datos transferidos
- Sesiones históricas para trazabilidad
- Región y nodo del endpoint de terminación (para un diagnóstico de latencia sencillo)
Esta vista general es la vista de autotransparencia del usuario sobre su propio certificado. El rastro de auditoría completo y conforme a KRITIS / NIS2 lo mantiene por separado el operador de la planta y no forma parte de esta vista — consulta Registro de auditoría.
Seguridad y control
¿Quién puede emitir un certificado?
Cualquier usuario autenticado puede emitir un certificado propio — pero el certificado por sí solo no basta para alcanzar ninguna planta. Solo los permisos concedidos a través del sistema de permisos (rol de organización, rol de trabajo, cooperación) abren rutas realmente.
¿Quién puede alcanzar qué planta?
El conjunto de rutas efectivo de un certificado se comprueba por separado en cada capa de permisos:
- La pertenencia a la organización define qué portfolios y plantas son accesibles en principio.
- El rol de trabajo (Operador, Technical Manager, Asset Manager, Visualizador) decide si las subredes de una planta se añaden al certificado.
- Las cooperaciones entre organizaciones pueden conceder acceso a plantas ajenas — siempre que el usuario cooperante tenga el rol de trabajo de nivel operador requerido en la planta compartida.
Los miembros simples, los invitados o los usuarios externos sin el rol correspondiente no reciben ninguna ruta para esas plantas.
Custodia de claves
- La clave privada se genera en el navegador del usuario y nunca sale del dispositivo.
- Mirox solo conoce la clave pública del usuario y la IP del túnel asignada a él.
- En caso de rotación o revocación, las claves antiguas se invalidan en el servidor de inmediato.
Comportamiento ante la revocación de permisos
Cuando un usuario pierde un permiso — p. ej. porque una cooperación finaliza, su estado de trabajo cambia o una planta se elimina — la ruta correspondiente desaparece automáticamente de su certificado. Cualquier conexión abierta se termina en el siguiente ciclo de sincronización. No se requiere ninguna acción manual.
Disponibilidad multirregión
El túnel puede terminar en múltiples regiones de Mirox simultáneamente. Esto significa:
- El usuario se enruta automáticamente a la región que ofrece la mejor accesibilidad para su planta y ubicación de origen.
- Si una región falla, otra región asume la sesión en el siguiente intento de conexión.
- El usuario no tiene que reconfigurar nada; la región se selecciona de forma transparente por el sistema.
Auditoría y cumplimiento
Cada acceso a través de la VPN es auditado en su totalidad por el sistema Mirox. El rastro de auditoría registra:
- Qué usuario se conectó, cuándo y desde dónde
- A qué subredes de plantas se accedió durante la sesión
- A qué dispositivos específicos (IP, protocolo, puerto) se accedió y con qué frecuencia
- Cuánto volumen de datos se transfirió por sesión y subred
El rastro de auditoría se conserva durante al menos 730 días y solo es accesible para la organización operadora responsable de la planta respectiva — no para el propio usuario conectado. Para más detalles, consulta Registro de auditoría de acceso.
Distinción de funciones relacionadas
Mirox ofrece varias modalidades de acceso remoto que es fácil confundir. La VPN personal descrita en esta página es una de cinco; la tabla muestra para qué sirve cada una y quién la controla.
| Modalidad | Propósito | ¿Quién la controla? |
|---|---|---|
| VPN personal (esta página) | Un túnel personal que alcanza todas las redes de plantas para las que estás autorizado | Tú, dentro de tus permisos |
| Servicio VPN de organización | Un túnel compartido y gestionado por la organización, desplegado en una región, con plantas enrutadas a través de él para todo el equipo | Admin o moderador de la organización |
| VPN directa de planta — salida | El agente de la planta marca hacia la VPN remota existente de un cliente, de modo que Mirox puede alcanzar una red alojada por el cliente | Admin o moderador de la organización |
| VPN directa de planta — host | El agente de la planta aloja un endpoint VPN públicamente accesible al que se conectan emplazamientos remotos; Mirox aprovisiona las claves y certificados automáticamente | Admin o moderador de la organización |
| Proxy de navegador | Abre la interfaz web de un dispositivo directamente desde el navegador, sin cliente VPN que instalar | Operador de la planta (configura los destinos web) |
La VPN personal es la herramienta adecuada para el personal técnico que necesita usar de forma productiva herramientas arbitrarias contra dispositivos de varias plantas. El Proxy de navegador es la elección correcta cuando solo hace falta abrir la interfaz web de un dispositivo — sin instalación de VPN, directamente desde el navegador. Las VPN de organización y directas de planta son túneles a nivel de infraestructura gestionados de forma centralizada, en lugar de un perfil personal que llevas contigo.
Funciones relacionadas
- Proxy — acceso basado en navegador a los dispositivos de la planta sin cliente VPN
- Registro de auditoría de acceso — rastro de auditoría completo de todos los accesos por VPN y Proxy
- Sistema de permisos — controla qué usuario alcanza qué plantas
- Cooperaciones — compartir plantas con organizaciones de terceros
- Inspector de red local — comprobaciones de accesibilidad de la red de la planta desde el lado de la plataforma