Lista de materiales

Keycloak: Código abierto y grandes ambiciones

Introducción

En un mundo en el que cada vez más servicios delegan la gestión de usuarios en terceros, Keycloak ofrece un camino distinto. Este proyecto no es solo un conjunto de APIs para el inicio de sesión. Es un servidor de autenticación completo y autosuficiente que promete librarte del dolor de cabeza de gestionar usuarios, protocolos y seguridad. Y, además, sigue siendo de código abierto. Suena a utopía, pero vamos a analizarlo.

El problema de los certificados a gran escala

En artículos anteriores discutimos que OpenVPN utiliza certificados para la autenticación. Este método es fiable, pero tiene desventajas importantes:

• Incomodidad para los usuarios: Cada usuario necesita recibir e instalar su certificado manualmente.
• Complejidad de gestión: Al despedir a un empleado es necesario revocar su certificado, lo que requiere acciones adicionales.
• Falta de centralización: Cada servicio al que se necesita acceso tiene su propio sistema de autorización.

La solución a este problema es el uso de un proveedor de identidad centralizado, como Keycloak.

VPN: No solo el botón “Encender”

Para muchos usuarios, el VPN es simplemente el botón “Encender”. Sin embargo, cuando se trata de crear un túnel protegido propio, es importante comprender su arquitectura. OpenVPN se basa en dos ideas clave: el modelo cliente-servidor y la infraestructura de clave pública (PKI).

Modelo cliente-servidor

El concepto es sencillo:

• Servidor — es el punto de entrada a su red protegida. Está constantemente “escuchando” solicitudes entrantes y listo para aceptar conexiones.
• Cliente — es su dispositivo (portátil, teléfono), que inicia la conexión al servidor.

Después de que el servidor y el cliente “se ponen de acuerdo”, se crea un túnel protegido entre ellos y todo el tráfico pasa por él.

OpenVPN: Un estándar probado por el tiempo

Introducción

En un mundo donde la velocidad y la simplicidad de WireGuard se han convertido en el nuevo estándar, OpenVPN sigue siendo uno de los protocolos VPN más fiables y flexibles. Funciona tanto en ordenadores clásicos como en equipos de red, ofreciendo compatibilidad multiplataforma y un alto nivel de seguridad. Sin embargo, para entender cómo usarlo, es importante distinguir entre el propio protocolo y sus aplicaciones cliente.

Cuando el control es lo más importante

Servicios como Tailscale y NetBird son convenientes, pero dependen de un servidor de gestión de terceros que se encarga de la autenticación, la distribución de claves y el intercambio de información de rutas. Para quienes, por motivos de seguridad o privacidad, no quieren confiar esa función a nadie, existen dos vías: Headscale y el WireGuard “puro”.

Headscale: Tu propio Tailscale

Headscale es una implementación completamente open-source del servidor de gestión de Tailscale. Permite desplegar tu propio análogo de Tailscale en tu VPS o servidor, utilizando los clientes oficiales de Tailscale.

Cuando una VPN Zero-config — no es solo Tailscale

Aunque Tailscale se ha convertido en el estándar de la simplicidad, no es el único actor en el campo de las VPN Zero-config. ZeroTier y NetBird ofrecen funcionalidad similar, pero con importantes diferencias arquitectónicas e ideológicas.

ZeroTier: conmutador Ethernet virtual

ZeroTier es uno de los servicios pioneros y más conocidos que implementan la idea de redes mesh. Funciona según el principio de una red local virtual. En lugar de depender del protocolo WireGuard, ZeroTier utiliza su propio protocolo y crea un conmutador L2 virtual (capa 2) que une todos los dispositivos en una única red local. Cada dispositivo recibe una dirección IP de la subred virtual y puede “ver” a otros dispositivos como si estuvieran conectados al mismo conmutador físico.

¿Qué es Tailscale?

Tailscale es un servicio VPN que se presenta como una VPN sin configuración (Zero-config). Utiliza el protocolo WireGuard para crear una red en malla protegida entre todos tus dispositivos. La diferencia clave respecto a otras soluciones es la simplicidad. En lugar de configurar manualmente túneles y gestionar claves, Tailscale hace todo el trabajo por ti. Solo necesitas instalar la aplicación en cada dispositivo y autenticarte.

¿Cómo funciona bajo el capó?

Cuando te autenticas, el cliente de Tailscale se comunica con el servidor de gestión (Control Plane). Este servidor, en esencia, es el “cerebro” de la red:

Evolución del acceso remoto

Los servicios VPN tradicionales, que la mayoría conocemos, funcionan según el principio “hub-and-spoke” (estrella). Esto significa que todo el tráfico desde el cliente hacia la red protegida pasa por un servidor central. Este enfoque tiene desventajas:

• Complejidad de configuración: Requiere configuración manual, reenvío de puertos y gestión de claves.
• Rendimiento: Todo el tráfico, incluso entre dos clientes remotos, debe pasar por el servidor central, lo que aumenta la latencia.
• Punto único de fallo: Si el servidor central falla, toda la red deja de funcionar.

La nueva concepción — Zero-config VPN — resuelve estos problemas utilizando una arquitectura de red mallada (mesh).

Enrutamiento dinámico en Keenetic: BGP y OSPF

Cuando el enrutamiento estático no es suficiente

En la mayoría de las redes domésticas las rutas son simples: todo el tráfico se envía a través de un único proveedor. En esos casos es suficiente el enrutamiento estático. Pero, ¿y si tienes una red compleja con varios routers, conexiones redundantes o quieres experimentar con redes avanzadas (advanced networking)? Aquí entran en juego los protocolos de enrutamiento dinámico.

Keenetic como cliente VPN: Protección de toda la red

Cliente VPN a nivel de enrutador: ¿por qué es necesario?

Configurar un cliente VPN en cada dispositivo es una tarea tediosa. Además, muchos dispositivos (Smart TV, consolas de juegos, dispositivos IoT) no admiten esta función. Keenetic resuelve este problema actuando como cliente VPN central para toda la red. Esto permite proteger todos los dispositivos con una sola conexión, sin necesidad de instalar y configurar software en cada uno de ellos.