La VPN en Windows es necesaria para acceder a los recursos de la empresa: carpetas de archivos, CRM, repositorios Git, pasarelas RDP, sistemas contables y portales. El portátil se conecta a la pasarela corporativa y el tráfico hacia los servicios privados circula por un túnel cifrado.
Windows incluye un cliente VPN integrado, pero para una red de trabajo un solo perfil no es suficiente. Se necesitan servidor, certificados, autenticación multifactor (MFA), DNS y rutas. De lo contrario, la VPN está conectada pero el recurso necesario sigue sin abrirse.
Resumen: lo importante antes de la configuración
Primero conviene entender quién se conecta, qué recursos se necesitan y cómo gestiona la empresa los dispositivos. Para un portátil de prueba basta un perfil manual. Para un departamento es mejor usar Microsoft Intune, directivas de grupo o el cliente oficial del proveedor.
- El cliente integrado de Windows admite IKEv2, SSTP, L2TP/IPsec y PPTP.
- Para esquemas corporativos nuevos suelen elegir IKEv2 o SSTP.
- La función Always On VPN reemplazó a DirectAccess en implementaciones recientes de Microsoft.
- Intune ayuda a distribuir perfil, certificados, DNS y reglas de conexión.
- Cisco Secure Client, GlobalProtect y FortiClient se usan con sus respectivas pasarelas.
Cliente VPN integrado de Windows
En Windows 11 el perfil se agrega a través de «Configuración», «Red e Internet», «VPN», «Agregar VPN». En el campo «Proveedor de VPN» se elige «Windows (integrado)», y luego se indican el nombre de la conexión, la dirección del servidor, el tipo de VPN y el método de inicio de sesión.
En «Nombre de conexión» se escribe un nombre claro, por ejemplo Corp VPN. En «Nombre o dirección del servidor» conviene indicar el nombre de dominio completo de la pasarela, por ejemplo vpn.company.example. Esa dirección es más fácil de cambiar en migraciones que una IP de una instrucción antigua.
IKEv2 es adecuado para certificados y perfiles gestionados. SSTP funciona sobre HTTPS y ayuda en redes donde se bloquean protocolos adicionales. L2TP/IPsec aparece en esquemas antiguos. No se recomienda usar PPTP en implementaciones nuevas: el protocolo está obsoleto.
Un perfil manual es útil para pilotos y equipos pequeños. En una empresa grande es mejor distribuir la configuración de forma centralizada: así hay menos errores con protocolos, contraseñas, direcciones de servidor y certificados.
Always On VPN e Intune
La función Always On VPN activa el túnel automáticamente: tras el inicio de sesión del usuario, al cambiar de red, al salir del modo de suspensión o al acceder a un recurso de trabajo. En implementaciones recientes de Microsoft este mecanismo sustituyó a DirectAccess.
Always On VPN tiene un túnel de usuario y un túnel de dispositivo. El primero se activa tras el inicio de sesión del empleado. El segundo se establece antes del inicio de sesión y ayuda al portátil a obtener directivas, actualizaciones, acceso al controlador de dominio o cambiar la contraseña fuera de la oficina.
El túnel de dispositivo funciona solo con IKEv2, requiere el certificado del equipo y está pensado para Windows Enterprise o Education unidos al dominio. El túnel de usuario se puede configurar con IKEv2 o SSTP.
Desde Microsoft Intune el administrador distribuye el perfil VPN, activa «Always On», especifica servidor, DNS, proxy, método de inicio de sesión y reglas de tráfico. Para esquemas complejos se emplean VPNv2 CSP y configuración en XML.
| Opción | Cómo funciona | Dónde conviene | Qué verificar |
|---|---|---|---|
| Perfil manual | El usuario activa la VPN manualmente | Piloto, equipo pequeño | Tipo de VPN, DNS, certificados |
| Always On VPN | Windows establece el túnel automáticamente | Portátiles corporativos | Suspensión, cambio de red, inicio de sesión |
| Túnel de dispositivo | Funciona antes del inicio de sesión del usuario | Dispositivos del dominio | Windows Enterprise o Education, IKEv2, certificado |
| Perfil de Intune | La configuración llega de forma centralizada | Empresas medianas y grandes | Grupos, certificados, DNS, rutas |
Configuración mediante la interfaz y PowerShell
Para una comprobación rápida abra «Configuración», «Red e Internet», «VPN», «Agregar VPN». Tras guardar, el perfil aparecerá en la lista de conexiones. Haga clic en «Conectar» y verifique los recursos de trabajo, no solo el estado de la VPN.
En la instrucción corporativa conviene especificar el protocolo concreto en el campo «Tipo de VPN». En «Tipo de datos de inicio de sesión» se selecciona nombre de usuario y contraseña, tarjeta inteligente, contraseña de un solo uso o certificado.
Los administradores con frecuencia crean el perfil mediante PowerShell:
Add-VpnConnection `
-Name "Corp VPN" `
-ServerAddress "vpn.company.example" `
-TunnelType Ikev2 `
-AuthenticationMethod Eap `
-SplitTunneling `
-AllUserConnection `
-RememberCredential:$falseTras la configuración abra el sitio interno por nombre de dominio, la carpeta compartida, la pasarela RDP, el repositorio Git o la aplicación web de trabajo. Si un recurso abre por IP pero no por nombre, primero hay que comprobar el DNS.
- Obtenga la dirección de la pasarela VPN, el protocolo y el método de inicio de sesión.
- Instale los certificados si son necesarios.
- Cree la conexión mediante «Agregar VPN», Intune o PowerShell.
- Compruebe los recursos internos por nombres de dominio.
- Verifique el comportamiento tras suspensión, cambio de Wi‑Fi y reinicio.
Clientes corporativos para Windows
Si la empresa usa una pasarela de seguridad dedicada, a menudo instalan el cliente oficial. En Cisco es Cisco Secure Client, en Palo Alto Networks — GlobalProtect, en Fortinet — FortiClient.
Cisco Secure Client procede de AnyConnect y funciona con pasarelas Cisco, perfiles de acceso y verificación multifactor. GlobalProtect se conecta al portal de Palo Alto Networks o a Prisma Access. FortiClient se usa junto con FortiGate y FortiClient EMS, pero antes de desplegar hay que comprobar las versiones del cliente, FortiOS y las funciones disponibles.
OpenVPN Connect se aplica con OpenVPN Access Server, CloudConnexa o un servidor compatible. WireGuard se instala con un cliente independiente y conviene planear previamente la emisión de claves, la revocación de accesos y el registro de conexiones.
Comprobación antes del lanzamiento
En Windows con frecuencia aparecen problemas con DNS, rutas y el estado de la conexión tras la suspensión. La VPN se conecta, pero la carpeta compartida no abre. El portal interno es accesible por IP, pero no por nombre. RDP funciona desde la oficina pero falla desde la red doméstica.
Para dominios corporativos se necesitan servidores DNS internos y reglas para nombres concretos. Los nombres de dominio completos suelen ser más fiables que los nombres cortos de servidor.
Con enrutamiento dividido por VPN circulan solo las subredes corporativas. Con enrutamiento forzado todo el tráfico pasa por la pasarela de la empresa. La segunda opción es más fácil de controlar, pero carga más la infraestructura y puede ralentizar servicios en la nube.
- Pruebe la VPN en Wi‑Fi doméstico, punto de acceso móvil y red de la oficina.
- Verifique el acceso por contraseña, certificado y MFA.
- Abra recursos por nombres de dominio, no solo por IP.
- Compruebe RDP, carpetas SMB, Git, CRM y las aplicaciones web de trabajo.
FAQ
¿Qué VPN es mejor elegir para Windows?
Para el cliente integrado suelen elegir IKEv2 o SSTP. Si la empresa ya usa Cisco, Palo Alto Networks, Fortinet, OpenVPN o WireGuard, es mejor empezar con el cliente compatible con la pasarela existente.
¿Por qué la VPN se conectó pero el sitio interno no abre?
La causa más habitual son problemas de DNS o rutas. Compruebe el acceso por IP, los servidores DNS del interfaz VPN y que la subred necesaria esté en el túnel.
¿Se puede configurar la VPN sin Intune?
Sí, mediante «Configuración» o PowerShell. Pero para un parque grande de dispositivos Intune u otra solución de gestión resulta más conveniente.
