Configurar servidores VPN por agente (VPN directa)
Una VPN directa de planta es un túnel dedicado entre el Mirox-Agent de una única planta y el router propio de esa planta — la herramienta adecuada cuando una planta ya ejecuta su propia VPN, o cuando quieres que Mirox aloje una VPN a la que el router de la planta se conecte. A diferencia de la VPN personal, que da a cada usuario un perfil que llega a todas sus plantas autorizadas, una VPN directa es un túnel de infraestructura por planta que configuras una sola vez y sobre el que viaja el tráfico de todo el equipo para esa planta.
Las VPN directas se configuran desde la página Red de una planta, en la pestaña Site VPN.
Abrir en Mirox
Abre la pestaña Site VPN de la planta. En la aplicación, esta es la página Red de la planta, pestaña Site VPN.
Cuándo usar una VPN directa
Recurre a una VPN directa cuando la conectividad de la planta no encaja en el modelo estándar de VPN personal:
- El router de la planta ya aloja su propio servidor VPN. Tienes un archivo de configuración (WireGuard
.conf) o un perfil de OpenVPN (.ovpn) y quieres que Mirox se conecte a él. - El router de la planta solo puede salir, no aceptar conexiones entrantes. Mirox aloja el endpoint de la VPN y el router se conecta a él.
- Quieres un único túnel siempre activo para toda la planta en lugar de que cada usuario lleve un perfil personal.
Para el trabajo técnico del día a día en varias plantas — abrir interfaces web de dispositivos, ejecutar herramientas de diagnóstico — la VPN personal y el Proxy de navegador suelen ser la mejor opción. La tabla siguiente resume la diferencia; la comparación completa está en la página de la función VPN.
| Herramienta | Qué es | Quién la configura |
|---|---|---|
| VPN personal | Un perfil personal que llega a todas las plantas para las que estás autorizado | Cada usuario, dentro de sus permisos |
| VPN directa (esta guía) | Un túnel por planta entre el agente de la planta y su router | Un Moderador o Administrador de la organización de la planta |
| Proxy de navegador | Abre la interfaz web de un dispositivo desde el navegador, sin instalar cliente | El operador de la planta |
Las dos direcciones
Una VPN directa puede funcionar en una de dos direcciones. El asistente de configuración lo pregunta primero, bajo ¿Dónde reside el servidor VPN?
Nota: las líneas discontinuas indican la dirección de la conexión — solo se aplica una dirección por VPN directa.
- Conexión saliente — Mirox se conecta al router de la planta. El router de la planta ejecuta su propio servidor VPN; el Mirox-Agent se conecta como cliente. Elige esta opción cuando ya tienes un archivo de configuración o credenciales para la VPN del router.
- Alojado aquí — el router de la planta se conecta a Mirox. Mirox ejecuta el servidor VPN. Mirox genera el endpoint, el puerto y los certificados y te los entrega para cargarlos en el router de la planta. Elige esta opción cuando el router puede salir pero no puede aceptar conexiones entrantes.
Ambas direcciones admiten WireGuard y OpenVPN (UDP o TCP). Para OpenVPN puedes igualar la configuración de un router antiguo (cifrado, digest de autenticación, versión mínima de TLS, compresión) para que incluso un firmware heredado pueda conectarse.
Antes de empezar
Quién puede configurar VPN directas
La pestaña Site VPN es visible para Technical Manager o superior en la planta (incluido Operador). Crear, editar o eliminar una VPN directa requiere ser Moderador o Administrador de la organización propia de la planta. Los roles inferiores, y los usuarios que llegan a la planta a través de una cooperación, ven los túneles configurados pero no pueden cambiarlos. El acceso sigue el sistema de permisos.
Ten a mano:
- La dirección que necesitas (saliente o alojado), según lo que admita el router de la planta.
- Para la dirección saliente: el archivo de configuración VPN del router (
.confo.ovpn), o la dirección del endpoint y las claves para introducirlas manualmente. - La(s) subred(es) de la planta detrás del router a las que quieres llegar — los rangos de red local (CIDR) donde residen los inversores, loggers y otros dispositivos.
Añadir una VPN directa
- Abrir en Mirox: abre la pestaña Site VPN de la planta — la página Red de la planta, pestaña Site VPN.
- Haz clic en Añadir VPN directa. Se abre un breve asistente.
- Elige la dirección — Mirox se conecta al Park-Router (saliente) o El Park-Router se conecta a Mirox (alojado).
- Ajustes básicos — da un nombre al túnel y una descripción opcional, y elige el protocolo (WireGuard u OpenVPN). Para un servidor OpenVPN alojado también puedes elegir UDP o TCP y, en Avanzado, igualar la configuración de cifrado de un router heredado.
- Detalles de conexión — (solo saliente) sube el archivo
.conf/.ovpndel router, o cambia a la introducción manual y escribe el endpoint y las claves. Para una VPN alojada no hay nada que introducir aquí; Mirox aprovisiona el endpoint y las claves. - Subred de la planta — añade el(los) rango(s) de red local accesible(s) detrás del router. La plataforma valida cada rango y bloquea cualquiera que pudiera entrar en conflicto con el rango reservado del túnel, una ruta VPN de organización u otra VPN directa en la misma planta.
- Revisar y aplicar — confirma el resumen y luego haz clic en Aplicar.
Guarda inmediatamente las credenciales de la VPN alojada
Cuando creas una VPN alojada, Mirox genera el certificado y la clave que el router de la planta necesita para conectarse, y los muestra solo una vez. Descárgalos y cárgalos en el router antes de cerrar el diálogo — no se pueden recuperar más tarde. Si los pierdes, elimina y vuelve a crear el servidor.
Una vez que el túnel está activo, los dispositivos de las subredes de planta configuradas pasan a ser accesibles, y cualquier detección de dispositivos de red que ejecutes en la planta busca a través de él.
La ruta por defecto nunca está permitida
Una VPN directa nunca transporta una ruta 0.0.0.0/0 de "enviar todo". Indica siempre las subredes de planta explícitas a las que quieres llegar. Si subes una configuración que contiene una ruta por defecto, la plataforma la elimina y te pide que añadas los rangos específicos.
Gestionar una VPN directa existente
Cada VPN directa aparece como una tarjeta en la pestaña Site VPN, marcada como Server (alojado) o Client (saliente), con una barra de conexión en vivo y un indicador de tráfico. Abre el menú ... de la tarjeta para:
- Editar — cambiar el nombre, la descripción, las subredes, el endpoint o las claves.
- Reiniciar VPN — reciclar el túnel sin cambiar su configuración; útil tras un cambio de ajustes o una caída transitoria.
- Abrir registros — ver los registros de conexión recientes del túnel para diagnosticar un problema.
- Diagnosticar — (se muestra cuando el túnel está actualmente desconectado) ejecutar una comprobación guiada que sugiere qué corregir.
- Eliminar / Desactivar — quitar el túnel.
Gestionar las subredes de la planta
Las subredes que enruta una VPN directa son las que hacen accesibles los dispositivos de la planta. Añade o quita rangos desde la vista Editar de la VPN en cualquier momento. Quitar una subred que aún tiene dispositivos de red detrás deja esos dispositivos sin ruta — el diálogo de eliminación te avisa y enumera qué dispositivos están afectados, para que puedas reasignarlos antes a otro túnel.
VPN alojada: clientes que se conectan
Una VPN alojada puede aceptar dos tipos de conexiones, ambas gestionadas sin salir de la planta:
- Conexiones de sitio — el propio router de la planta (u otro sitio fijo) que se conecta y anuncia las subredes de la planta. El primer cliente de sitio se crea automáticamente cuando configuras una VPN alojada.
- Conexiones de usuario — personas individuales que se conectan al mismo servidor alojado. Estas se enumeran en la pestaña separada User VPN, donde puedes añadir un usuario, entregarle su perfil de un solo uso y revocar su acceso más tarde.
Desactivar un servidor alojado es destructivo
Eliminar una VPN alojada quita el servidor y todos los clientes conectados — tanto sitios como usuarios. Sus configuraciones existentes dejan de funcionar de inmediato y no se pueden reemitir; si vuelves a habilitar el servidor más tarde, todos los clientes deben crearse desde cero.
Funciones relacionadas
- Usar la VPN — el perfil VPN personal, por usuario, que llega a todas tus plantas autorizadas
- Usar el Proxy — abre la interfaz web de un dispositivo en el navegador sin un cliente VPN
- Gestionar dispositivos de red — detecta y monitoriza los dispositivos accesibles a través de un túnel
- VPN (función) — en qué se diferencian los tipos de VPN y cómo funcionan el enrutamiento y la auditoría
- Inspector de red local — comprobaciones de accesibilidad de la red de la planta desde la plataforma
- Registro de auditoría de accesos — el rastro de auditoría que cubre todo el acceso remoto