Conectividad VPN — Alta y Configuración
Crea un túnel WireGuard dedicado entre tu planta y Rela AI, descarga la configuración adaptada a tu equipo, y valida que el PLC llega a la plataforma.
Conectividad VPN
Un túnel WireGuard dedicado entre tu planta y nuestro concentrador. Nosotros nunca entramos a tu red; tú abres un tubo mínimo que solo deja pasar el tráfico al subnet OT donde vive tu PLC.
¿Para qué sirve?
Los PLCs viven detrás del firewall de la planta. Para que Rela AI pueda leer sus registros Modbus, OPC UA, S7 o EtherNet/IP, necesita una forma de cruzar el firewall sin exponer el PLC a Internet. La VPN self-service resuelve eso con un túnel dedicado, auditable y revocable en segundos — sin tocar tu VPN corporativa ni abrir puertos públicos.
¿Cómo funciona?
- Vas a
Configuración → Conectividad VPNen el dashboard. - Le pones un nombre al túnel (por ejemplo "Planta Torreón") y pulsas Crear.
- Te asignamos automáticamente una subnet privada
/24dentro del rango10.200.0.0/16. - Elegís tu equipo (pfSense, OPNsense, Mikrotik, Ubiquiti, Linux, Windows, Docker) y descargás la configuración adaptada.
- La pegas en tu router/firewall — una sola vez.
- Al primer handshake (10–30 segundos después), el dashboard te muestra Conectado y ya podés crear fuentes Modbus apuntando a la IP privada de tu PLC.
La llave privada de tu extremo del túnel nunca sale de tu equipo: si cambiás de proveedor, la borras y en segundos ya no llegamos a tu red.
Beneficios
| Aislamiento estricto IT/OT | El túnel solo llega al subnet OT. Ni ERP, ni mail, ni impresoras. Cumple con IEC 62443 y Purdue Model. |
| Self-service completo | El cliente pega una configuración y listo — sin intervención de nuestro equipo de soporte, sin tickets, sin esperas. |
| Revocación instantánea | Borras el peer en el dashboard o el router y el tráfico se corta en segundos. |
| Auditable para compliance | Cada handshake queda registrado con public key, timestamp y volumen. SOC 2, ISO 27001 e IEC 62443 conformes. |
| Sin licenciamiento por seat | WireGuard es open source. No pagás Cisco AnyConnect ni Fortinet por cada conexión. |
Alta del túnel — paso a paso
1. Crear el peer en el dashboard
Entrá a /settings/connectivity y pulsá Crear túnel. Poné un nombre legible que identifique la planta (por ejemplo "Planta Monterrey Norte"). Al crear, el sistema:
- Te asigna una subnet privada única (
10.200.X.0/24). - Genera un par de llaves WireGuard. La privada se cifra con GCP KMS y solo se sirve una vez en la descarga.
- Publica un evento al concentrador para aceptar tu peer.
2. Descargar la configuración para tu equipo
Arriba del panel aparece un selector de 7 equipos. Elegí el tuyo:
| Equipo | Archivo descargado | Cómo se aplica |
|---|---|---|
| pfSense 2.7+ | rela-vpn-pfsense.xml | VPN → WireGuard → Tunnels → Import XML |
| OPNsense | rela-vpn-opnsense.xml | VPN → WireGuard → Endpoints → Import |
| Mikrotik RouterOS 7 | rela-vpn-mikrotik.rsc | Terminal → Pegar script línea por línea |
| Ubiquiti EdgeRouter | rela-vpn-ubiquiti.cfg | SSH → Copiar/pegar batch configure...commit...save |
| Linux / Raspberry Pi | rela-vpn.conf | sudo wg-quick up rela-vpn + systemctl enable wg-quick@rela-vpn |
| Windows | rela-vpn.conf | WireGuard Tunnel app → Import tunnel(s) from file |
| Docker Compose | docker-compose.yml + rela-vpn.conf | docker compose up -d en el directorio |
3. Aplicar en el router y validar
Una vez pegada la configuración y activada la interfaz, el túnel hace un handshake cada 25 segundos (PersistentKeepalive). El primero suele ocurrir a los 10–30 segundos.
En el dashboard vas a ver el widget cambiar:
- Pendiente de conexión (estado inicial).
- Conectado (llegó el primer handshake — listo).
- Sin conexión reciente (handshake más de 5 minutos viejo — revisá tu router).
4. Crear la fuente Modbus/OPC UA
Una vez conectado el túnel, ya podés crear una fuente apuntando a la IP privada de tu PLC dentro de tu red interna. El routing es automático: cualquier paquete al rango 10.200.0.0/16 sale por el túnel.
Detalles por equipo
pfSense
Abrí el XML descargado y copiá el contenido. En la consola web del router:
- VPN → WireGuard → Tunnels.
- Clic en el botón de Import (icono de subir archivo).
- Pegás el XML y Save.
- La interfaz se activa automáticamente; en Status → WireGuard ves el peer y el último handshake.
- Verificá que en Firewall → Rules hay una regla que permite el tráfico entre tu LAN OT y la interfaz
rela_vpn.
OPNsense
Misma idea que pfSense pero el path del menú es VPN → WireGuard → Instances:
- VPN → WireGuard → Instances → Add.
- Copiás los valores del XML manualmente (OPNsense no tiene importador XML directo para WireGuard — en su defecto, usá los valores del archivo).
- VPN → WireGuard → Peers → Add, pegás la pubkey del servidor.
- Activá la interfaz en Interfaces → Assignments.
Mikrotik RouterOS 7+
Abrí Terminal (WinBox o SSH) y pegá línea por línea el contenido de rela-vpn-mikrotik.rsc. El script crea:
- Una interfaz WireGuard
rela-vpn. - Una address en esa interfaz.
- Un peer apuntando al concentrador con
allowed-addressde nuestra subnet. - Una ruta estática hacia
10.200.X.0/24víarela-vpn.
Después revisá /interface wireguard peers print — last-handshake debería quedar bajo 30 segundos.
Ubiquiti EdgeRouter / EdgeOS
SSH al router y pegá el batch configure... set... commit... save... exit. Si al guardar da error, revisá que tenés el paquete WireGuard instalado (EdgeOS 2.x lo trae nativo; v1.x requiere .deb manual).
Linux / Raspberry Pi
sudo mv ~/Downloads/rela-vpn.conf /etc/wireguard/rela-vpn.conf
sudo chmod 600 /etc/wireguard/rela-vpn.conf
sudo wg-quick up rela-vpn
sudo systemctl enable wg-quick@rela-vpnEl systemctl enable hace que el túnel sobreviva a un reboot.
Windows
- Descargar el cliente oficial: wireguard.com/install/
- Add Tunnel → Import tunnel(s) from file → seleccionás
rela-vpn.conf. - Clic en Activate.
- Windows Services → Run on startup para que se reactive al bootear.
Docker Compose
Poné docker-compose.yml y rela-vpn.conf en el mismo directorio. Luego:
docker compose up -d
docker compose logs -f rela-vpnSi el contenedor muere por falta de capabilities, asegurate que el host soporta NET_ADMIN y SYS_MODULE (cualquier Linux moderno lo hace).
Troubleshooting
El handshake nunca aparece
- Verificá que el UDP 51820 saliente no está bloqueado en tu firewall o ISP.
- Revisá que la pubkey que muestra tu router es la que generó el dashboard (copy-paste a veces recorta caracteres).
- Si tu router está detrás de NAT, asegurate que
PersistentKeepalive = 25está activo para que el NAT no cierre el mapping.
Handshake activo pero no llega tráfico al PLC
- Revisá que el PLC y el router están en el mismo subnet.
- En pfSense/OPNsense: Firewall → Rules → WireGuard interface debe tener una regla de
Allowentre tu LAN OT y el router. - En Mikrotik:
/ip route printdebe mostrar la ruta10.200.X.0/24 → rela-vpn.
El dashboard dice "Sin conexión reciente"
- Tu router perdió el túnel. Causas comunes: cambio de IP pública (DHCP del ISP), reboot del router sin
systemctl enable, corte de luz. - Revisá los logs del router. En Linux:
sudo journalctl -u wg-quick@rela-vpn.
¿Por qué no usamos tu VPN corporativa?
Esta es la pregunta más común de tu equipo de IT. La respuesta corta es: por seguridad, por compliance, y porque tu VPN corporativa está pensada para humanos, no máquinas. Los 9 motivos técnicos detallados los tenés en ¿Por qué un túnel dedicado?.
Protocolos Industriales (Modbus, S7, EtherNet/IP)
Conecta el agente directamente a PLCs y variadores mediante Modbus TCP, S7comm (Siemens S7-1200/1500) y EtherNet/IP (Allen-Bradley). Lectura y escritura sin gateways.
Cómo probar que la VPN funciona
Checklist técnico para validar end-to-end el túnel WireGuard con Rela AI: desde el primer handshake hasta leer el PLC, con comandos copy-paste y troubleshooting por categoría.