Túnel dividido de VPN - No necesitas enrutar todo a través de la VPN
Cuando usas una VPN, todo tu tráfico de internet se enruta a través del servidor VPN. Aunque esto es ideal desde el punto de vista de la seguridad, introduce penalizaciones de velocidad y puede impedir el acceso a recursos de la red local como impresoras y dispositivos NAS.
El túnel dividido resuelve este problema. Enruta selectivamente parte del tráfico a través del túnel VPN mientras permite que el resto viaje directamente por tu conexión normal a internet, equilibrando seguridad y usabilidad. Sin embargo, una configuración incorrecta puede crear una falsa sensación de seguridad donde crees estar protegido pero no lo estás.
Cómo funciona el túnel dividido
En una conexión VPN estándar (túnel completo), cada paquete de tu dispositivo se envía primero al servidor VPN y luego se reenvía a internet. Con el túnel dividido, el cliente VPN manipula la tabla de enrutamiento del dispositivo para dirigir solo tráfico específico al túnel VPN, mientras el resto sale por la puerta de enlace predeterminada (tu router habitual).
Técnicamente, el cliente VPN crea dos entradas de enrutamiento: el tráfico destinado a rangos de IP específicos (por ejemplo, una red corporativa en 10.0.0.0/8) se enruta a la interfaz VPN, mientras que todo lo demás sigue la ruta predeterminada hacia tu router local.
Dos modos de túnel dividido
- Inclusión (lista blanca): Solo el tráfico especificado pasa por la VPN. Todo lo demás usa la conexión normal
- Exclusión (lista negra): Todo el tráfico pasa por la VPN excepto las exclusiones especificadas
Para usuarios preocupados por la seguridad, se recomienda el modo de exclusión (VPN por defecto, con excepciones mínimas). Para usuarios que priorizan la comodidad, el modo de inclusión (solo tráfico esencial por VPN) es más práctico.
Túnel completo vs. túnel dividido - Comparación directa
| Aspecto | Túnel completo | Túnel dividido |
|---|---|---|
| Ruta del tráfico | Todo el tráfico vía VPN | Solo tráfico seleccionado vía VPN |
| Velocidad | Reducción general | El tráfico fuera de la VPN mantiene velocidad completa |
| Seguridad | Todo el tráfico cifrado | El tráfico fuera de la VPN no está cifrado |
| Acceso local | Bloqueado (requiere configuración extra) | Disponible |
| Riesgo de fuga DNS | Bajo | Alto (depende de la configuración) |
| Carga del servidor VPN | Alta | Baja (solo tráfico necesario) |
En entornos de teletrabajo empresarial, el enrutamiento de túnel completo obliga a que todo el tráfico de los empleados - incluyendo YouTube y redes sociales - pase por el servidor VPN, saturando el ancho de banda. Cambiar a túnel dividido solo para el tráfico corporativo puede reducir la carga del servidor VPN entre un 60 y un 80% en muchos casos.
Riesgos de seguridad que debes conocer
El túnel dividido sacrifica seguridad a cambio de comodidad. Debes comprender los siguientes riesgos antes de activarlo.
Riesgo de fuga DNS
Las consultas DNS del tráfico enrutado por la VPN pueden filtrarse fuera del túnel hacia los servidores DNS de tu ISP. Esto se conoce como fuga DNS. En una configuración de túnel dividido, una configuración DNS incorrecta puede exponer los nombres de dominio de tus destinos VPN a tu proveedor de internet.
La solución es bloquear el DNS del cliente VPN a los servidores DNS del proveedor de VPN, o configurar las consultas DNS para que siempre viajen a través del túnel VPN independientemente de la política de túnel dividido.
Movimiento lateral de malware
Con el túnel dividido, tu dispositivo se conecta simultáneamente a la red corporativa protegida por VPN y a internet sin protección. Si un malware infecta tu dispositivo a través de la conexión a internet, puede moverse lateralmente hacia la red corporativa a través del túnel VPN.
Exposición de la dirección IP
El tráfico excluido de la VPN revela tu dirección IP real - la que se muestra en IP確認さん - directamente al servidor de destino. Si usas una VPN por privacidad, ten en cuenta que el tráfico excluido filtra tu dirección IP y ubicación reales.
Cuándo usar cada modo
La decisión de usar túnel dividido depende de tu caso de uso y modelo de amenazas.
- El túnel completo es apropiado cuando: Usas Wi-Fi público, la protección de la privacidad es la máxima prioridad, o la política de seguridad corporativa lo exige
- El túnel dividido es apropiado cuando: Trabajas en remoto y necesitas acceder tanto a sistemas corporativos como a la navegación web general, mantener la calidad del streaming de vídeo, o acceder a dispositivos de red local (impresoras, NAS)
Tu elección de protocolo VPN también afecta la velocidad. Protocolos de alto rendimiento como WireGuard pueden minimizar la penalización de velocidad del modo de túnel completo, eliminando potencialmente la necesidad del túnel dividido.
Considera combinar el túnel dividido con un interruptor de emergencia VPN. En una configuración de túnel dividido, el interruptor de emergencia bloquea solo el tráfico designado para la VPN cuando la conexión se cae, mientras el tráfico fuera de la VPN continúa sin verse afectado.
Resumen - El túnel dividido requiere un uso informado
El túnel dividido es una solución práctica a los problemas de velocidad y usabilidad de las VPN. Sin embargo, abre deliberadamente brechas en tu perímetro de seguridad. Decidir qué enrutar a través de la VPN y qué excluir requiere comprender la sensibilidad de cada flujo de tráfico.
En caso de duda, comienza con el modo de túnel completo y cambia al modo de exclusión solo cuando surjan problemas de velocidad o acceso local, manteniendo la lista de exclusiones lo más reducida posible.
Para profundizar en la tecnología VPN, los libros de redes son un recurso valioso.