VPN
La VPN de la plataforma Mirox proporciona acceso remoto seguro a las redes internas de plantas individuales. En lugar de mantener un perfil VPN separado para cada planta, cada usuario recibe un único perfil VPN personal a través del cual todas las plantas para las que el usuario está autorizado pasan a ser accesibles. Los cambios de permisos, las nuevas plantas, las nuevas subredes o las cooperaciones revocadas se reflejan automáticamente en el perfil VPN — sin que el usuario tenga que reinstalarlo.
Concepto
La VPN se basa en WireGuard, un protocolo VPN moderno, ligero y cifrado, y está diseñada como un túnel de inicio de sesión único personal hacia todas las redes de plantas concedidas:
- Un perfil por usuario: cada usuario autenticado puede emitir exactamente un perfil VPN personal e instalarlo en su dispositivo. La plataforma denomina a este perfil tu certificado VPN — ese es el nombre de producto de tu par de claves WireGuard personal; WireGuard en sí utiliza pares de claves en lugar de certificados X.509.
- Criptografía moderna: WireGuard usa un intercambio de claves Curve25519 (X25519) y cifrado autenticado. Tu clave privada se genera en tu propio dispositivo y Mirox nunca la almacena — Mirox solo ve tu clave pública.
- Túnel dividido (split tunnel): solo el tráfico destinado a las redes privadas de las plantas entra en el túnel. Tu tráfico de internet normal — correo, web, videollamadas — permanece en tu propia conexión y nunca pasa por Mirox.
- Gestión automática de rutas: el conjunto de subredes de plantas accesibles se deriva dinámicamente de tus permisos actuales (rol de organización, rol de trabajo, cooperaciones). Cualquier cambio de permiso actualiza automáticamente el conjunto de rutas.
- Alta disponibilidad: el túnel termina en una infraestructura multirregión de alta disponibilidad y se restablece automáticamente contra un punto de entrada saludable si el actual falla.
Qué ofrece la VPN
Túnel personal a todas las plantas concedidas
Una vez instalado el perfil VPN, el usuario puede dirigirse a todas las redes de plantas para las que tiene permisos — exactamente como si estuviera físicamente en el emplazamiento. Esto suele abarcar:
- Interfaces web de inversores, controladores de seguidores, data loggers, PCs de armario de control
- Acceso SSH a dispositivos de servicio
- Herramientas de diagnóstico Modbus / TCP contra componentes en la red de la planta
- Las propias herramientas del usuario que se comunican directamente con la infraestructura de la planta
Las múltiples plantas con subredes locales solapadas (p. ej. dos plantas que usan ambas 192.168.1.0/24) se desambiguan automáticamente por el sistema, de modo que no es posible la confusión.
Ciclo de vida del certificado
El usuario controla su certificado directamente a través de la interfaz de la plataforma:
- Emitir: crea un nuevo perfil VPN. El archivo de configuración completo que contiene la clave privada se muestra exactamente una vez en el navegador y nunca se almacena en la nube.
- Rotar: sustituye el conjunto de claves sin eliminar el certificado. Útil, por ejemplo, al cambiar de dispositivo o cuando se sospecha de un compromiso. La nueva clave privada se muestra de nuevo solo una vez.
- Revocar: deshabilita el certificado de inmediato. Todas las conexiones en curso se terminan en el siguiente ciclo de sincronización. El rastro de auditoría del certificado se conserva durante el periodo de retención exigido legalmente.
Conflictos de rutas y control por ruta
Las subredes accesibles se derivan de tus permisos y se mantienen actualizadas automáticamente (consulta Cómo se mantienen actualizadas tus rutas). Quedan dos palancas en tus manos de cara al usuario:
- Los conflictos entre dos plantas que usan la misma subred local se marcan de forma visible en la vista general de rutas. Tú decides cuál de las plantas en conflicto tiene prioridad para ti.
- Tú puedes deshabilitar temporalmente rutas individuales, p. ej. para alcanzar dos plantas con rangos de subred idénticos una tras otra.
Vista general de sesiones
El usuario dispone de una vista general de sesiones dedicada para su propio certificado dentro de la plataforma:
- Conexiones actuales con tiempo de conexión, origen geográfico y volumen de datos transferidos
- Sesiones históricas para trazabilidad
- Región y nodo del endpoint de terminación (para un diagnóstico de latencia sencillo)
Esta vista general es la vista de autotransparencia del usuario sobre su propio certificado. El rastro de auditoría completo de cumplimiento — diseñado para cumplir los requisitos de registro de acceso remoto de KRITIS y de la directiva NIS2 de la UE — lo mantiene por separado el operador de la planta y no forma parte de esta vista — consulta Registro de auditoría.
Seguridad y control
¿Quién puede emitir un certificado?
Cualquier usuario autenticado puede emitir un certificado propio — pero el certificado por sí solo no basta para alcanzar ninguna planta. Solo los permisos concedidos a través del sistema de permisos (rol de organización, rol de trabajo, cooperación) abren rutas realmente.
¿Quién puede alcanzar qué planta?
El acceso VPN a nivel de red es deliberadamente la capacidad más restringida de la plataforma. Las subredes de una planta se añaden a tu perfil VPN únicamente cuando tienes el rol de trabajo de Operador en esa planta. Esta es una regla única y autoritativa — tener un perfil VPN, o poder ver una planta, nunca abre por sí solo una ruta.
Tienes el rol de Operador en una planta cuando se te concede de cualquiera de estas formas:
- Directamente — el rol de trabajo de Operador se te asigna en esa planta o portfolio concretos.
- Heredado a través de tu organización — los Administradores y Moderadores de la organización se asignan a Operador en las plantas propias de su organización.
- A través de una cooperación — otra organización comparte una planta contigo y la cooperación concede el rol de Operador; un técnico externo con Operador en una planta compartida obtiene las mismas rutas que el personal propio de la planta.
Todos los demás roles se quedan sin ruta de red, por diseño:
| Rol | ¿Ruta VPN de red? | Qué obtienen en su lugar |
|---|---|---|
| Operador | Sí | Una ruta WireGuard hacia las redes de la planta |
| Technical Manager (Asset Manager (Technical)) | No | El Proxy de navegador hacia las interfaces web de los dispositivos, visibilidad del registro de auditoría de acceso y la gestión de los servicios VPN de la organización |
| Asset Manager (Commercial), Visualizador, miembros simples, invitados, usuarios externos sin el rol | No | Ningún camino en absoluto hacia la red de la planta |
El resultado es un diseño escalonado y limpio: los Operadores obtienen acceso VPN a nivel de red, los Technical Managers trabajan a través del Proxy de navegador y supervisan quién alcanzó qué en la auditoría de acceso, y todos los demás no tienen ninguna ruta hacia la red de la planta.
Custodia de claves
- La clave privada se genera en el navegador del usuario y nunca sale del dispositivo.
- Mirox solo conoce la clave pública del usuario y la IP del túnel asignada a él.
- En caso de rotación o revocación, las claves antiguas se invalidan en el servidor de inmediato.
Cómo se mantienen actualizadas tus rutas
Tu lista de plantas accesibles nunca es algo que mantengas a mano. Se deriva de tus permisos en vivo, y Mirox mantiene ambos sincronizados automáticamente:
- Se recalcula en el momento en que cambia un permiso. Cuando se te concede Operador en una nueva planta — directamente, a través de tu organización o mediante una cooperación — tu conjunto de rutas se recalcula en ese mismo momento, en el mismo paso que el propio cambio de permiso.
- Las nuevas plantas aparecen sin descargar nada de nuevo. Instalas tu perfil VPN una sola vez. Las plantas recién autorizadas aparecen en tu lista accesible en cuestión de segundos — nunca reimportas ni reinstalas la configuración para obtener acceso a una planta.
- El acceso retirado se elimina y el camino se desmantela. Cuando se retira un permiso — una cooperación finaliza, tu rol de trabajo cambia, una planta se elimina — las rutas correspondientes se eliminan y el camino de red hacia esa planta se desmantela en cuestión de segundos. No se requiere ninguna acción manual.
- Una verificación periódica en segundo plano vuelve a comprobar a todos. De forma independiente a estas actualizaciones instantáneas, una comprobación programada en segundo plano vuelve a verificar el acceso de cada usuario en un ciclo recurrente y corrige cualquier ruta que se haya desincronizado, de modo que tu conjunto accesible siempre refleja tus permisos reales.
Disponibilidad multirregión
La VPN personal está diseñada para alta disponibilidad. Se ejecuta en múltiples regiones de centro de datos independientes, con múltiples servidores VPN de WireGuard en cada región, de modo que no hay un único punto de fallo. La arquitectura de la plataforma está diseñada para ofrecer una disponibilidad del 99,999 %.
- Conmutación por error automática. Tu túnel siempre se conecta a un punto de entrada saludable. Si uno deja de estar disponible, tu conexión se restablece automáticamente contra otro servidor saludable — no tienes que reconfigurar nada.
- Selección de la mejor región. Cuando te conectas, se te enruta a un punto de entrada que ofrece buena accesibilidad para tu ubicación, seleccionado de forma transparente por el sistema.
- Agentes de planta supervisados. El agente de monitorización de cada planta — el componente local o en la nube por el que fluye el tráfico VPN — está supervisado por una capa de orquestación que verifica continuamente que el agente existe y está listo. Si un agente falla, se redespliega o reubica automáticamente en un host saludable, de modo que el fallo de un único host no deja una planta fuera de línea durante mucho tiempo.
El agente de la planta es el único punto de entrada
Todo el tráfico VPN hacia una planta fluye a través del propio agente de monitorización de esa planta. El agente es el punto de estrangulamiento entre Mirox y la red de la planta, y el diseño mantiene esa frontera estricta:
- El agente solo marca hacia afuera, hacia Mirox. Abre una conexión saliente hacia la plataforma; la red de la planta nunca tiene que exponer un puerto entrante a internet para que el acceso VPN funcione.
- Sin agente, sin acceso. Una planta simplemente es inalcanzable por VPN hasta que su agente está en línea. Hasta entonces, la planta aparece como «aún no accesible» en tu lista de rutas y se activa automáticamente en cuanto el agente se conecta.
- Limitado a su propia planta. Cada agente está confinado a la red de su propia planta. Es la única vía hacia esa planta y nunca cruza hacia la red de otra planta o de otra organización.
Aislamiento entre plantas y organizaciones
Mirox opera la VPN como infraestructura de plataforma compartida, pero el tráfico de cada usuario está estrictamente confinado:
- Tu túnel solo transporta tus propias rutas. Cada conexión se sirve con su propio conjunto aislado de rutas, derivado únicamente de tus permisos de Operador.
- Las subredes no autorizadas nunca se enrutan. Las redes de plantas para las que no estás autorizado no se limitan simplemente a estar bloqueadas — directamente no existe ninguna ruta hacia ellas, por lo que no hay ningún camino para alcanzarlas.
- Las organizaciones no pueden verse entre sí. Como la accesibilidad se deriva por usuario a partir de sus propias autorizaciones, las organizaciones que comparten la plataforma nunca pueden ver las redes de plantas de las demás.
- Defensa en profundidad frente al escaneo. Además del aislamiento de rutas por usuario, los puntos de entrada de la VPN aplican una limitación de velocidad que protege frente al escaneo y sondeo de red.
Auditoría y cumplimiento
Cada acceso a través de la VPN es auditado en su totalidad por el sistema Mirox. El rastro de auditoría registra:
- Qué usuario se conectó, cuándo y desde dónde
- A qué subredes de plantas se accedió durante la sesión
- A qué dispositivos específicos (IP, protocolo, puerto) se accedió y con qué frecuencia
- Cuánto volumen de datos se transfirió por sesión y subred
El rastro de auditoría se conserva durante al menos 730 días y solo es accesible para la organización operadora responsable de la planta respectiva — no para el propio usuario conectado. Está diseñado para cumplir los requisitos de registro de acceso remoto de las normas KRITIS alemanas y de la directiva NIS2 de la UE; los registros de auditoría no pueden ser editados ni eliminados por los usuarios. Para más detalles, consulta Registro de auditoría de acceso.
Distinción de funciones relacionadas
Mirox ofrece varias modalidades de acceso remoto que es fácil confundir. La VPN personal descrita en esta página es una de cinco; la tabla muestra para qué sirve cada una y quién la controla.
| Modalidad | Propósito | ¿Quién la controla? |
|---|---|---|
| VPN personal (esta página) | Un túnel personal que alcanza todas las redes de plantas para las que estás autorizado | Tú, dentro de tus permisos |
| Servicio VPN de organización | Un túnel compartido y gestionado por la organización, desplegado en una región, con plantas enrutadas a través de él para todo el equipo | Admin o moderador de la organización |
| VPN directa de planta — salida | El agente de la planta marca hacia la VPN remota existente de un cliente, de modo que Mirox puede alcanzar una red alojada por el cliente | Admin o moderador de la organización |
| VPN directa de planta — host | El agente de la planta aloja un endpoint VPN públicamente accesible al que se conectan emplazamientos remotos; Mirox aprovisiona las claves y certificados automáticamente | Admin o moderador de la organización |
| Proxy de navegador | Abre la interfaz web de un dispositivo directamente desde el navegador, sin cliente VPN que instalar | Operador de la planta (configura los destinos web) |
La VPN personal es la herramienta adecuada para el personal técnico que necesita usar de forma productiva herramientas arbitrarias contra dispositivos de varias plantas. El Proxy de navegador es la elección correcta cuando solo hace falta abrir la interfaz web de un dispositivo — sin instalación de VPN, directamente desde el navegador. Las VPN de organización y directas de planta son túneles a nivel de infraestructura gestionados de forma centralizada, en lugar de un perfil personal que llevas contigo.
Funciones relacionadas
- Proxy — acceso basado en navegador a los dispositivos de la planta sin cliente VPN
- Registro de auditoría de acceso — rastro de auditoría completo de todos los accesos por VPN y Proxy
- Sistema de permisos — controla qué usuario alcanza qué plantas
- Cooperaciones — compartir plantas con organizaciones de terceros
- Inspector de red local — comprobaciones de accesibilidad de la red de la planta desde el lado de la plataforma
- Preguntas frecuentes sobre acceso remoto — respuestas a preguntas habituales sobre el acceso por VPN y Proxy, el enrutamiento, el aislamiento y la disponibilidad