INFRAESTRUCTURA · REDES PRIVADAS SEGURAS
Tu red bien diseñada cierra la puerta antes de abrirla.
Firewall pfSense (o OPNsense) configurado con criterio: VLANs separando invitados, gestión, oficina y servidores. Reglas de tráfico explícitas y documentadas. VPN WireGuard para teletrabajo o acceso entre sedes. Sin “todo abierto porque es más cómodo”.
Una red bien diseñada no es paranoia. Es decidir quién accede a qué desde el día uno.
30 minutos. Gratis. Sin compromiso.
SI TE PASA ESTO
¿Te suena alguno de estos síntomas?
Tu Wi-Fi de invitados es la misma que la del equipo (o no sabes seguro si están separadas).
El antivirus saltó la semana pasada en un PC y nadie sabe explicar cómo entró el bichito.
Tu informático actual configuró el router del operador y “ya funciona”, pero no hay documentación.
Quieres dar acceso remoto a un proveedor externo y la única opción que conoces es enviar contraseña del Wi-Fi.
Una red sin segmentar y sin reglas explícitas es una puerta abierta que algún día alguien cruzará. La buena noticia: arreglarlo no requiere parar la operativa.
ALCANCE DEL SERVICIO
Qué red monto y qué no.
pfSense (o OPNsense) en hardware dedicado con VLANs separando: red invitados, red interna oficina, red de gestión administrativa, red de servidores. Reglas de tráfico explícitas y documentadas.
VPN WireGuard para teletrabajo del equipo. Sites-to-site VPN si hay varias sedes. Acceso de proveedores externos con credenciales y permisos por tiempo limitado, no clave del Wi-Fi.
pfSense Plus con cada paquete añadido (IDS/IPS, antivirus L7, DNS filtering, etc.) suena bien pero consume recursos y suele aportar poco si no se monitoriza activamente. Te recomiendo solo lo que vas a usar.
Arquitecturas zero-trust (BeyondCorp, Cloudflare Access, Tailscale enterprise) son potentes y caras. Para una PYME pequeña con VPN bien segmentada basta. Si necesitas zero-trust de verdad (regulación, alto patrimonio), te lo digo y vamos a por ello.
CÓMO TRABAJAMOS
Cuatro pasos. Sin sorpresas.
CASOS REALES
Así trabaja una red bien segmentada.
Despacho profesional · 14 empleados · Bizkaia
Situación previa: red plana sin segmentar, Wi-Fi único para todos, router del operador sin configurar. Auditoría externa identificó que cualquier dispositivo conectado podía ver el NAS de archivos sensibles.
Qué montamos: pfSense en hardware Protectli, 4 VLANs (invitados / equipo / impresoras / servidores), Wi-Fi separado por SSID y VLAN, reglas de firewall documentadas, VPN WireGuard para teletrabajo.
Resultado: NAS de archivos sensibles accesible solo desde VLAN equipo + VPN, equipo de invitados aislado (incluyen proveedores en visita), zero incidentes de movimiento lateral en auditoría 12 meses después.
PYME industrial con planta + oficinas · 35 empleados · Gipuzkoa
Situación previa: PCs de oficina, PCs de planta y máquinas CNC todo en la misma red, “porque siempre fue así”. Riesgo identificado: ransomware en oficina pudiera saltar a controladores industriales.
Qué montamos: pfSense con segmentación OT/IT (red industrial separada de red ofimática, comunicación solo a través de DMZ controlada), VPN site-to-site con sede secundaria, hardening de switches managed.
Resultado: red industrial aislada de internet salvo flujos específicos auditados, equipo CNC inaccesible para usuario ofimático medio, plan de continuidad documentado.
PREGUNTAS FRECUENTES
Lo que más me preguntan sobre redes.
Ambos son forks de la misma raíz y muy similares en funcionalidad. pfSense lleva más años, tiene comunidad enorme y más documentación. OPNsense es más nuevo, con interfaz más moderna y ciclos de release más rápidos. En PYME suelo desplegar pfSense por estabilidad y volumen de soporte comunitario, pero OPNsense es una alternativa perfectamente válida. Te lo digo según el caso.
Router del operador no vale (son cajas cerradas con funcionalidades limitadas). Necesitas hardware dedicado: para PYMES pequeñas, Protectli o Netgate (mini-PC con varios puertos NIC) entre 400€ y 900€. Para volumen alto, hardware mayor. Te recomiendo según ancho de banda y nº dispositivos.
Es más simple (menos código que auditar = menos bugs), más rápido (menos overhead) y más fácil de configurar correctamente. OpenVPN sigue siendo válido y mejor soportado en clientes muy antiguos. Para casi todos los casos PYME modernos, WireGuard es la opción que recomiendo.
Depende de cómo se configure. Una VPN para acceso a red corporativa (split tunnel) solo enruta el tráfico hacia tus servidores internos, el resto va por la conexión del usuario. Una VPN full tunnel enruta TODO por tu red, lo que cifra navegación pero consume tu ancho de banda. Te configuro la opción que encaje con tu caso.
HABLEMOS
Cuéntame cómo está tu red hoy.
Diagnóstico inicial gratuito de 30 minutos. Te digo si tu red actual está bien segmentada o si tiene puertas abiertas que conviene cerrar.
Te respondo en menos de 24 horas laborables.