- Separar la red corporativa y la de invitados puede hacerse con subredes y VLAN sin duplicar toda la infraestructura.
- El uso combinado de NAT, rutas estáticas y reglas de firewall permite controlar qué dispositivos acceden a Internet y a qué recursos.
- Asociar SSID diferentes a VLAN distintas aísla el WiFi de empleados del WiFi de clientes manteniendo una única red física.
- Filtrado por IP, dominio y segmentación ayuda a proteger cámaras, impresoras y servidores frente a accesos no autorizados.
Separar la red de oficina de la red de invitados o clientes se ha convertido en algo casi obligatorio en cualquier empresa, por pequeña que sea. No solo hablamos de privacidad de datos, sino también de evitar problemas tan cotidianos como que un vecino de planta pueda ver tus cámaras IP o que los clientes saturen la conexión que usan los empleados para trabajar. Si necesitas mejorar la seguridad del WiFi, consulta cómo proteger una red de invitados o clientes.
Configurar dos redes completamente diferenciadas en un mismo router o infraestructura puede parecer un lío al principio, sobre todo cuando entran en juego conceptos como VLAN, NAT o rutas estáticas. Sin embargo, con una buena planificación y entendiendo qué hace cada elemento (router, switch, firewall, puntos de acceso…), es posible tener una red interna segura para la empresa y otra aislada para clientes, vecinos o dispositivos menos fiables.
Escenario típico: dos redes independientes que comparten infraestructura
Uno de los casos más habituales en oficinas y pequeños negocios es disponer de dos redes lógicas distintas que, por diferentes motivos, comparten parte del hardware o incluso la conexión a Internet. Por ejemplo, una empresa que comparte la línea con el negocio de la planta inferior, o un despacho que quiere ofrecer WiFi a clientes sin que estos puedan acceder a sus servidores o cámaras.
Imagina una situación real muy común: la empresa de abajo contrata el acceso a Internet y tiene su propio router con la red 192.168.1.x. En la planta superior, otra oficina engancha su propio router a ese primero y crea su red 192.168.2.x. El problema aparece cuando, por un incidente, el negocio de abajo necesita ver las cámaras IP y el DVR que están conectados en la red de arriba, pero sin poder tocar el resto de equipos.
En este contexto, la clave es controlar qué tráfico se permite entre subredes y qué tráfico se bloquea. Se puede abrir un acceso muy concreto (por ejemplo, al puerto del DVR Reolink) mediante reglas de firewall bien afinadas, de forma que los vecinos puedan ver las cámaras, pero nunca acceder a ordenadores, servidores o recursos internos.
Otro escenario típico es tener dos edificios o dos plantas interconectadas mediante un router intermedio o un enlace inalámbrico (por ejemplo, con antenas Ubiquiti), donde cada edificio tiene su propia subred (192.168.1.0/24 y 192.168.2.0/24) y un firewall o router PFSense gestionando sus salidas a Internet. Aquí la separación de redes ya existe, pero hay que decidir qué se puede cruzar entre edificios y qué no, y cómo se gestiona la salida a la WAN cuando hay varias conexiones disponibles.
Uso de varias conexiones a Internet y respaldo entre redes
En muchas oficinas se combinan varias líneas de Internet, bien porque se quiere más ancho de banda, bien porque se necesita redundancia cuando la conexión principal falla. Es frecuente ver dos routers o firewalls independientes, cada uno con su propio ISP, y dos redes internas también separadas. Surge entonces la pregunta: ¿se puede usar el ISP de la otra red como respaldo si mi línea cae?
Cuando los módems del ISP funcionan con PPPoE y conectan directamente a cada firewall, no siempre es factible enchufar un segundo firewall directamente al mismo módem. En ese caso suele plantearse poner un dispositivo intermedio que haga NAT y reparta la conexión hacia ambos firewalls. Esta idea es válida, pero introduce más latencia, más hardware y más puntos de fallo, por lo que conviene valorar alternativas.
Una opción profesional es centralizar el acceso a Internet en un único equipo (por ejemplo, un firewall potente o un router empresarial) que tenga varias WAN y se encargue de hacer balanceo de carga y failover. Así, ambas redes internas (empresa y clientes) salen a Internet a través de este mismo equipo, pero siguen aisladas a nivel de routing y firewall.
Si ya existen dos firewalls o routers totalmente separados, una solución es interconectarlos mediante una tercera interfaz o una subred de tránsito, y aplicar reglas que permitan usar la WAN de un router como respaldo para determinados segmentos de la otra red. Aquí es fundamental jugar con las métricas de las rutas (estáticas o dinámicas) y, en soluciones más avanzadas, con protocolos de enrutamiento o scripts que detecten caídas de la línea principal.
Aislar redes por seguridad usando VLAN y subredes
Cuando hablamos de separar la red de empleados y la red de invitados, muchas veces no se hace con dos routers físicos, sino con una única infraestructura que soporta múltiples VLAN y subredes. Esta es la base de casi todas las redes corporativas modernas y también de muchas pymes con equipos TP-Link, Cisco, Mikrotik, etc.
Una práctica muy extendida en redes empresariales es dividir el tráfico por departamentos: I+D, Marketing, Producto, administración… Cada uno tiene su propia subred y su propia VLAN. Si además se usan puntos de acceso gestionados (como la solución CAP/AC de TP-Link), se puede asociar cada SSID WiFi a una VLAN concreta, de modo que el WiFi de invitados y el WiFi corporativo viajan por “túneles” lógicos separados aunque compartan el mismo aire.
La topología típica en este tipo de escenarios incluye un router de puerta de enlace (gateway) que realiza el NAT hacia Internet, un switch capa 3 donde se definen las VLAN y las interfaces L3 (una IP por cada VLAN/subred), y varios CAP (puntos de acceso administrados) que emiten distintos SSID asociados a las VLAN correspondientes.
Para que todas estas redes puedan salir a Internet, el router de gateway debe soportar NAT para múltiples redes (Multi-Nets NAT). En la interfaz web del router se incorpora cada subred con su máscara, indicando que se trata de tráfico LAN que debe traducirse hacia la WAN. Paralelamente se crean rutas estáticas donde el destino es cada subred interna y el siguiente salto es la IP del switch L3 que hace de “núcleo” de la red.
Si ya existen dos firewalls o routers totalmente separados, una solución es interconectarlos mediante una tercera interfaz o una subred de tránsito, y aplicar reglas que permitan usar la WAN de un router como respaldo para determinados segmentos de la otra red. Aquí es fundamental jugar con las métricas de las rutas (estáticas o dinámicas) y, en soluciones más avanzadas, con protocolos de enrutamiento o scripts que detecten caídas de la línea principal.
Configuración de VLAN, puertos y routing en el switch
El siguiente paso para separar redes dentro de la misma infraestructura física es configurar correctamente las VLAN y el rol de cada puerto en el switch. Este suele ser el corazón de la red cuando hablamos de entornos con varios SSID, múltiples oficinas o combinación de red cableada e inalámbrica.
En la sección de 802.1Q VLAN del switch se definen primero los puertos que van a trabajar en modo troncal (trunk), normalmente los que conectan con los CAP o con otro equipo de distribución. Un puerto trunk puede transportar tráfico etiquetado de varias VLAN simultáneamente, mientras que los puertos de acceso solo llevan una VLAN sin etiquetar, pensados para PCs, impresoras u otros equipos finales.
Después se crean las VLAN propiamente dichas y se añaden a cada una los puertos que deben ser miembros. Por ejemplo, para las VLAN100 y VLAN200 asociadas a dos SSID distintos, se incluyen los puertos 1/0/37 y 1/0/39 (a los que se conectan los CAP) como puertos miembros. De esta forma, el tráfico que llegue etiquetado con la VLAN100 o 200 pasará por esos puertos.
Es habitual también definir una VLAN de gestión (por ejemplo, VLAN10) que agrupa el puerto donde está conectada la controladora (AC), los CAP y un puerto específico para el PC de administración. Se les asigna PVID 10 a esos puertos para que todo el tráfico sin etiqueta pase por la VLAN de gestión, permitiendo que solo desde ese PC se administre el WiFi y el resto de la red inalámbrica.
En switches capa 3 se crean interfaces L3 para cada VLAN, dándoles una IP y máscara estáticas que actuarán como puerta de enlace para cada subred. A partir de ahí se habilita un servidor DHCP por VLAN para repartir direcciones IP a los clientes inalámbricos y cableados; en ese servidor se definen el rango de IPs, la puerta de enlace (la propia interfaz L3 del switch) y los servidores DNS (normalmente el router de salida o DNS públicos como 8.8.8.8).
No hay que olvidar que el servidor DHCP suele estar desactivado por defecto en muchos switches, por lo que, tras crear los grupos de direcciones, hay que activarlo explícitamente. Si se olvida este paso, los dispositivos que se conecten a los SSID no obtendrán IP y parecerá que el WiFi no funciona.
Por último, en el switch se define una ruta estática por defecto (0.0.0.0/0) apuntando al router de puerta de enlace, de forma que cualquier tráfico cuyo destino no sea una subred interna se reenvíe hacia el gateway para salir a Internet. Esta ruta asegura que todos los segmentos (VLAN100, VLAN200, VLAN10, etc.) tengan conectividad hacia el exterior, siempre respetando las reglas de firewall que se apliquen después.
Asociar SSID a VLAN para separar WiFi de empleados y clientes
Una de las grandes ventajas de usar CAP/AC u otras soluciones WiFi gestionadas es poder crear varios SSID con políticas distintas y asociarlos a VLAN diferentes. Es exactamente lo que necesitamos cuando queremos separar el WiFi corporativo del WiFi para invitados o clientes.
El procedimiento general suele ser: primero se pone en marcha la controladora (AC) y se adoptan todos los CAP. Una vez centralizada la gestión, en el apartado de servicio inalámbrico se añaden los SSID necesarios (por ejemplo, “Oficina” y “Clientes”) con sus respectivas configuraciones de seguridad.
Después se vincula cada SSID a una radio del CAP (2,4 GHz o 5 GHz, según convenga) y, crucial para el aislamiento, se asocia a la VLAN previamente creada en el switch. Un ejemplo típico sería asociar el SSID “v100” a la VLAN100 y el SSID “v200” a la VLAN200, haciendo que el tráfico de cada red inalámbrica viaje por una subred y un dominio de broadcast diferente.
La controladora también suele funcionar como servidor DHCP para el segmento de gestión (la red donde viven los CAP), asignándoles IP de forma automática. Suele existir un servidor DHCP por defecto cuyo rango se ajusta a la IP configurada en la interfaz de la AC, de modo que los CAP reciben configuración sin necesidad de cambios adicionales.
Con este diseño, un portátil que se conecte al SSID de empleados recibirá, por ejemplo, una IP del tipo 172.16.10.x, mientras que un dispositivo que se conecte al SSID de invitados tomará una IP 172.16.20.x. Ambos saldrán a Internet sin problemas, pero solo el segmento corporativo tendrá visibilidad sobre servidores internos, impresoras o cámaras, según lo permita el firewall.
Controlar qué dispositivos acceden a Internet con reglas de firewall
Una vez separadas las redes, el siguiente paso es decidir quién puede salir a Internet y hacia dónde. Aquí entra en juego el firewall del router o del propio dispositivo de seguridad (como PFSense o un firewall integrado en un router Teltonika).
En routers Teltonika, por ejemplo, se utiliza el menú Network – Firewall – Traffic rules para crear reglas de reenvío (forward) que permitan o bloqueen el tráfico desde la LAN hacia la WAN. Dentro de la sección “Add New Forward Rule” se define un nombre para la regla, la zona de origen (lan) y la zona de destino (wan), y se añade para empezar a ajustarla.
Si lo que se quiere es cortar totalmente la salida a Internet para todos los dispositivos de la LAN, basta con fijar el protocolo como “Any” y la acción en “Drop”. A partir de ese momento, ningún equipo de esa LAN podrá alcanzar la WAN. Si más adelante se necesita volver a permitir el tráfico, se puede borrar la regla o desactivarla sin necesidad de rehacer toda la configuración.
También es posible ser más selectivo y bloquear solo a uno o varios clientes de la red. En ese caso, en el campo Source address se indica la IP concreta a bloquear (por ejemplo, 192.168.1.100) o incluso un rango, usando notación CIDR (por ejemplo, 192.168.1.100/30 para abarcar de la .100 a la .103). De esta forma, se deja sin Internet a una máquina o grupo de máquinas, manteniendo el resto intactas.
Otra variante útil es limitar el acceso solo hacia determinadas IP públicas o redes. En lugar de bloquear en función del origen, se actúa sobre el destino, indicando en Destination address la IP o el bloque de IPs de los servidores a restringir. Es una forma sencilla de impedir que los clientes accedan a ciertos servicios externos, manteniendo el resto de Internet disponible.
En entornos industriales es habitual querer justo lo contrario: impedir cualquier salida a Internet excepto la que va a un conjunto muy concreto de servidores cloud que recogen datos de PLCs o sensores; para auditar y verificar estas políticas conviene auditar la seguridad de tu red local con Nmap y Wireshark antes de desplegar reglas. Para lograrlo se crean dos reglas: la primera permite el tráfico solo hacia esas IPs específicas en la WAN y la segunda bloquea todo el resto. El orden de las reglas es crítico, ya que el router las evalúa de arriba a abajo y, al encontrar una coincidencia, deja de revisar las siguientes.
De esta forma se garantiza que los dispositivos de producción solo hablan con las direcciones autorizadas, reduciendo la superficie de ataque y cumpliendo requisitos de seguridad o normativas internas sin necesidad de equipos muy complejos.
Bloqueo de sitios web concretos y filtrado por dominios
Más allá del bloqueo por IP o subred, muchas empresas quieren filtrar por dominio para evitar que en la red de invitados o incluso en la corporativa se acceda a webs de descargas, contenido adulto, streaming o mensajería instantánea no autorizada.
En los routers Teltonika este tipo de filtrado no se hace en el firewall, sino desde el menú Services – Web Filter. Ahí se habilita el servicio y se elige el modo de funcionamiento: “Blacklist” (lista negra) para bloquear únicamente ciertos dominios o “Whitelist” (lista blanca) para permitir solo unos pocos y vetar todo lo demás.
El proceso pasa por ir introduciendo uno a uno los dominios en la lista correspondiente. Usando la opción Browse se añaden los sitios a bloquear o permitir, siempre recordando pulsar “Add” y después “Save & Apply” para que los cambios se apliquen. Es un sistema sencillo pero eficaz para controlar el tipo de tráfico web que circula por la red de clientes.
Este tipo de filtro encaja muy bien con el concepto de doble red: se puede mantener un filtrado más estricto en la red de invitados, mientras que en la red interna de la empresa se permite un rango más amplio de sitios, siempre respetando la política de la organización. La combinación de VLAN y filtrado por dominios da un control bastante fino sobre lo que puede hacer cada perfil de usuario.
Casos reales: cámaras IP, impresoras y problemas de convivencia
La necesidad de separar redes no es algo teórico; suele aparecer cuando empiezan los problemas en la vida real. Un ejemplo muy común es el de las cámaras IP y DVR alojados en la red de una oficina, a los que otra empresa o vecino necesita acceder puntualmente sin ver el resto de la infraestructura.
En el caso de una cámara o un DVR tipo Reolink conectados en la red 192.168.2.x, la empresa de la planta baja (192.168.1.x) puede necesitar visualizar esas cámaras por motivos de seguridad. La solución no pasa por mezclar las redes, sino por crear reglas de firewall que permitan solo el tráfico desde IPs concretas de la red 192.168.1.x hacia la IP y puertos del DVR en 192.168.2.x.
Otro problema típico se da con las impresoras de red cuando dos oficinas comparten la misma subred o el mismo equipo de red inalámbrica. Puede suceder que trabajos enviados a una impresora terminen saliendo por otra, sobre todo si ambas son del mismo modelo y están mal diferenciadas. Al separar las redes de las dos oficinas en subredes distintas, cada una con su puerta de enlace y su VLAN, se evita que las colas de impresión “brinquen” de una a otra. Si surgen problemas de detección de impresoras en equipos Windows, revisa soluciones como la guía para Windows 11 no detecta la impresora.
Si solo se dispone de un módem del ISP y un punto de acceso compartido, se puede usar un router adicional (como un TP-Link) para crear una red independiente para la Oficina 2. Esta nueva red tendrá su propio rango IP, su propia clave WiFi y, gracias al NAT, el resto de la infraestructura verá todos los dispositivos como procedentes de una única IP del router de la Oficina 2, reduciendo la visibilidad entre segmentos.
En todos estos casos, el principio es el mismo: subredes separadas, puertas de enlace separadas y un firewall que marca qué tráfico se permite cruzar de una a otra. Así, clientes, vecinos o dispositivos menos confiables nunca tienen acceso directo al “corazón” de la red corporativa.
Crear una segunda red WiFi en routers de operador
Muchos usuarios domésticos y pequeñas oficinas utilizan el router del operador (por ejemplo, un “Smart WiFi”) y se preguntan si es posible crear una segunda red inalámbrica para separar sus equipos de trabajo de los móviles, tablets o dispositivos de visitas.
En la mayoría de estos routers existe la opción de red WiFi de invitados, que crea un SSID separado del principal. Aunque internamente puede seguir perteneciendo a la misma subred o a una VLAN específica del equipo del operador, para el usuario ya supone una separación lógica que impide, por ejemplo, que los invitados vean los recursos compartidos o impresoras del PC principal.
La manera de configurarlo suele ser muy sencilla: se accede a la interfaz de administración del router, se localiza el apartado WiFi de invitados o “segunda red WiFi” y se activa, configurando un nombre de red y una contraseña distintas. Algunos equipos permiten incluso limitar el ancho de banda o el tiempo de conexión de esta red invitada.
Si el router de operador no admite una separación real de tráfico (por ejemplo, no aísla el tráfico de huéspedes respecto al de la LAN principal), se puede recurrir a un router neutro propio que se conecte al del operador. Este router crea su propia subred e incluso VLAN internas, dejando la red del operador solo como un puente hacia Internet.
La filosofía es la misma que en una oficina: una red segura para los dispositivos de trabajo y otra red, con permisos más limitados, para móviles, tablets, IoT o invitados. Esta estructura ayuda a minimizar riesgos y a mantener un mínimo de orden cuando se conectan muchos aparatos distintos al mismo tiempo.
En conjunto, todas estas técnicas (subredes, VLAN, NAT, reglas de firewall y SSID separados) permiten construir, incluso con hardware relativamente sencillo, un entorno de red donde la oficina y los clientes conviven sin molestarse, el tráfico está controlado y los recursos críticos (cámaras, DVR, impresoras, servidores) permanecen aislados de accesos no deseados, mejorando tanto la seguridad como la estabilidad del día a día en la empresa.
Redactor apasionado del mundo de los bytes y la tecnología en general. Me encanta compartir mis conocimientos a través de la escritura, y eso es lo que haré en este blog, mostrarte todo lo más interesante sobre gadgets, software, hardware, tendencias tecnológicas, y más. Mi objetivo es ayudarte a navegar por el mundo digital de forma sencilla y entretenida.