Cuando la operación depende de túneles VPN activos, una caída en horario pico puede paralizar procesos completos. La arquitectura de la conexión, los ajustes técnicos y la calidad del enlace base determinan si tu VPN site-to-site aguanta la carga o se desconecta justo cuando más la necesitas.
Contar con internet dedicado y VPN site-to-site permite sostener accesos seguros entre sedes, usuarios remotos, servidores o servicios cloud sobre una base de conectividad más estable y predecible. Pero la estabilidad no depende solo del ancho de banda: errores en MTU, conflictos de NAT o falta de priorización pueden tumbar el túnel incluso con conectividad robusta.
Arquitectura de túnel: cómo se construye una VPN site-to-site estable
Una VPN site-to-site conecta redes en ubicaciones geográficas distintas mediante túneles cifrados, permitiendo que los recursos se compartan entre oficinas, centros de datos o entornos cloud. El protocolo IPsec opera en la capa de red y es el estándar para conexiones sitio a sitio, cifrando cada paquete IP y ofreciendo seguridad robusta para arquitecturas permanentes.
A diferencia del acceso remoto individual, la VPN sitio a sitio funciona de forma transparente para los usuarios finales. Los túneles permanentes se establecen entre la infraestructura de red de cada ubicación, y la configuración de enrutamiento dirige el tráfico automáticamente sin intervención del usuario. Esto simplifica la gestión y reduce la carga operativa en equipos distribuidos.
Componentes clave del túnel
Gateway VPN en cada extremo (firewall, router o appliance dedicado)
Protocolo de cifrado negociado (AES-256, SHA-2, grupos Diffie-Hellman)
Configuración de enrutamiento estático o dinámico (BGP para entornos complejos)
Cómo viaja el tráfico en una VPN corporativa site-to-site
En una VPN site-to-site estable, el recorrido del tráfico debe entenderse como una cadena completa y no solo como un túnel cifrado entre dos puntos.
Todo parte en la red local de la sede A, donde los equipos envían tráfico hacia un firewall o gateway VPN. Ese equipo identifica qué datos deben entrar al túnel, los cifra y los encapsula para enviarlos por el enlace WAN hacia internet o hacia la red del proveedor.
Desde ahí, el tráfico atraviesa la conectividad base con reglas que deben mantenerse consistentes de punta a punta.
Al otro lado, el tráfico llega al gateway VPN de la sede B, donde se descifra y se enruta hacia la red interna correspondiente.
Para que este recorrido funcione con continuidad, ambos extremos deben compartir parámetros compatibles de cifrado, políticas claras de enrutamiento y una lógica de priorización que evite que el tráfico crítico compita en igualdad de condiciones con descargas, navegación o procesos secundarios.
Visto así, la estabilidad de la VPN no depende de un solo punto, sino de la coordinación entre gateway, cifrado, MTU, NAT, enrutamiento y calidad del enlace base.
Es importante que todos estos elementos funcionen de manera adecuada y coordinada, especialmente en horario peak, para evitar túneles que se reconectan, aplicaciones que se cuelgan o tráfico sensible que pierde continuidad justo cuando la operación más lo necesita.
Errores frecuentes que tumban el túnel: MTU y NAT
El MTU define el tamaño máximo de paquete que puede transmitirse sin fragmentación; en una VPN, debe ajustarse para acomodar el overhead de cifrado y encapsulación, o se producirá una fragmentación que genera caídas y pérdida de rendimiento. Si el host se conecta mediante VPN corporativa, la MTU será menor porque el túnel debe encapsular el tráfico dentro de un paquete IPsec y enviarlo a través de la red local.
El síntoma clásico: algunas aplicaciones funcionan, otras se cuelgan. Los retrasos o timeouts al acceder a ciertos sitios web o servicios mientras estás conectado a la VPN suelen indicar problemas de MTU; puedes diagnosticarlo con el comando ping usando distintos tamaños de paquete para determinar el valor óptimo. Ajustar el MTU en el cliente VPN o en el router resuelve la mayoría de estos casos.
NAT traversal es otro problema común: NAT modifica las cabeceras de paquetes para mapear múltiples direcciones IP privadas a una pública, lo que puede interrumpir la encapsulación requerida por la VPN. Protocolos como OpenVPN e IKEv2/IPsec incluyen características diseñadas para manejar NAT, usando técnicas como encapsulación UDP o NAT-T para sortear las limitaciones impuestas por NAT y asegurar conexión estable.
Pasos para diagnosticar MTU
Ejecutar ping con flag "do not fragment" y tamaños crecientes de paquete
Identificar el valor máximo que pasa sin fragmentación
Restar overhead del protocolo VPN (típicamente 60-80 bytes para IPsec)
Configurar MTU resultante en interfaz de túnel o cliente VPN
Priorización de tráfico: QoS aplicado a VPN empresarial
QoS es una técnica para optimizar el uso de la red priorizando el tráfico según objetivos de negocio, asegurando que aplicaciones críticas reciban los recursos necesarios incluso en momentos de alta demanda. En un entorno con VPN activa, la priorización evita que descargas o tráfico secundario afecten videoconferencias, transacciones o acceso a sistemas ERP.
QoS controla y administra los recursos de red estableciendo prioridades para tipos específicos de datos, reduciendo pérdida de paquetes, latencia y jitter. La tecnología funciona marcando paquetes para identificar tipos de servicio, luego configurando routers para crear colas virtuales separadas por aplicación según su prioridad, reservando ancho de banda para aplicaciones críticas.
Para implementar QoS en túneles VPN, clasifica el tráfico en categorías:
crítico (VoIP, videoconferencia, transacciones);
productivo (correo, navegación corporativa);
no esencial (streaming, descargas personales).
Las aplicaciones críticas para el negocio como CRM, ERP o VoIP empresarial deben tener mayor prioridad, garantizando alta prioridad en la entrega de aplicaciones sensibles a retrasos en todo momento.
Qué aporta Entel Empresas cuando la VPN forma parte de la operación crítica
Cuando una VPN corporativa conecta sucursales, usuarios remotos, servidores o servicios cloud, el punto ya no pasa solo por “tener internet”, sino por asegurar que el túnel funcione sobre una base estable y predecible.
Entel Empresas presenta Internet Dedicado como una conexión con capacidad exclusiva 1:1, velocidad simétrica, IP fija y foco en VPN, servidores y servicios cloud, atributos que conversan directamente con este tipo de arquitectura.
Por qué esto importa en una VPN corporativa
Ayuda a sostener el túnel en horas de alta demanda, al operar sobre un enlace exclusivo 1:1 y no sobre capacidad compartida.
Entrega una base más consistente para tráfico cifrado, especialmente cuando la empresa depende de VPN, servicios cloud o servidores.
Incorpora IP fija, un atributo relevante para configuraciones VPN que requieren referencias estables entre extremos o servicios expuestos.
Suma soporte especializado 24/7, algo especialmente valioso cuando la conectividad incide en accesos remotos o continuidad operativa.
Cómo se realiza la implementación con Entel Empresas
1) Define el alcance con el equipo técnico
Consolida el inventario de sitios a conectar, rangos IP de cada ubicación y requisitos de ancho de banda por túnel. Si parte de la infraestructura proviene de distintos proveedores, sepáralo por origen para tramitarlo de forma ordenada y evitar conflictos de configuración.
2) Deja listas las validaciones clave
Para que la solicitud avance sin tropiezos, asegúrate de:
Equipamiento compatible en cada extremo (firewalls, routers con capacidad IPsec)
Direcciones IP públicas estáticas asignadas o gestionadas por el proveedor
Políticas de seguridad y ACLs documentadas para cada sitio
3) Ejecución en ventana técnica coordinada
La activación de túneles VPN se ejecuta en ventana acordada, típicamente fuera de horario productivo. Es normal que durante la transición exista interrupción temporal, por lo que vale la pena coordinar canal alternativo (4G/5G de respaldo) y avisos internos a las áreas afectadas.
4) Pruebas de conectividad por sitio
Una vez completado el cambio, valida lo esencial: conectividad entre sitios, latencia, throughput, acceso a aplicaciones críticas y servicios especiales si aplica (VoIP, videoconferencia, acceso a cloud).
Preguntas frecuentes
¿Qué diferencia hay entre IPsec y SSL VPN en entornos corporativos?
IPsec cifra todo el tráfico a nivel de red y es ideal para conectar sitios completos de forma permanente. SSL VPN opera a nivel de aplicación, es más flexible para acceso remoto individual desde navegador, pero no reemplaza IPsec en arquitecturas sitio a sitio.
¿Cómo sé si el problema de mi VPN es MTU o ancho de banda?
Si algunas aplicaciones funcionan y otras se cuelgan (especialmente al transferir archivos grandes o acceder a ciertos sitios), es MTU. Si todo va lento de forma uniforme, es ancho de banda insuficiente o congestión en el enlace.
¿Es posible aplicar QoS solo en un extremo del túnel VPN?
Técnicamente sí, pero pierde efectividad. QoS debe aplicarse en ambos extremos y en todos los dispositivos intermedios para que la priorización se mantenga de punta a punta; de lo contrario, el tráfico vuelve a competir sin orden al salir del segmento con QoS.
Tu próxima decisión de conectividad importa
La diferencia entre una VPN site-to-site que aguanta la operación y una que falla en horario crítico está en los detalles técnicos. Arquitectura correcta, ajustes finos de MTU y NAT, y priorización de tráfico con QoS son los pilares que sostienen la estabilidad.
Pero todo eso se apoya en un enlace base confiable. Entel Empresas puede aportar una base de conectividad pensada para operaciones que dependen de VPN, servicios cloud y tráfico sensible. Sin conectividad estable y simétrica, ninguna configuración de túnel resuelve las caídas recurrentes ni la latencia impredecible que afecta aplicaciones en tiempo real.