Servidores

Nuevas Mejoras de Configuración VPN: IKEV2 y Split Tunneling

Con esta actualización podrás ajustar parámetros clave del túnel y diagnosticar incidencias sin salir del panel.
El objetivo es darte más control y más autonomía en la operación diaria.

1. Introducción

En este tutorial aprenderás a:

  • Seleccionar la versión de IKE que utiliza tu túnel (v1, v2 o Automático).

  • Activar o desactivar Split Tunneling cuando trabajes con varias redes remotas.

Si todavía no tienes configurado un túnel VPN activo, te recomendamos revisar primero la guía Cómo crear una VPN site-to-site en Jotelulu, donde se explica paso a paso cómo desplegar y vincular ambos extremos de la conexión.

 

2. Pre-requisitos

  • Acceso al panel de Jotelulu con permisos sobre la suscripción de red.

  • Un túnel VPN ya creado y operativo.

  • Si vas a usar Split Tunneling, haber declarado al menos dos redes remotas en la configuración del túnel.

También puedes consultar el tutorial Cómo crear y gestionar redes VPC en Jotelulu si necesitas revisar la estructura de tus redes antes de configurar la VPN.

 

3. Paso 1. Configurar la versión de IKE

La plataforma permite elegir la versión de IKE usada en la negociación del túnel:

  • IKEv1: útil si el equipo remoto sólo soporta v1.

  • IKEv2: recomendado por compatibilidad, seguridad y estabilidad.

  • Automático (Auto): la plataforma decide el comportamiento según quién inicia la conexión.

     

Comportamiento en modo Automático

  • Si Jotelulu inicia la conexión: se intentará IKEv2 por defecto. Si el extremo remoto sólo acepta v1, la conexión puede no establecerse correctamente.

  • Si Jotelulu responde (modo pasivo): se adapta a la versión que proponga el origen (v1 o v2).

Comparativa: IKEv1 vs IKEv2

 

 

🟩 Conclusión: siempre que ambos extremos lo permitan, usa IKEv2. Es más rápido, seguro y compatible con las funcionalidades avanzadas de Jotelulu (como Split Tunneling o la gestión de logs detallados).

Cuándo usar cada opción

  • Usa IKEv2 si ambos extremos lo soportan: negociación más robusta y mejor interoperabilidad.

  • Usa IKEv1 sólo si el fabricante o versión remota no soporta v2.

  • Usa Auto si no controlas quién inicia siempre la conexión y quieres compatibilidad flexible. Si detectas problemas en Auto, fija explícitamente v1 o v2.

     

Cambiar la versión requiere renegociación. Programa el cambio en una ventana sin tráfico crítico.

 

4. Activar Split Tunneling

El Split Tunneling permite que, cuando declaras varias redes remotas en un mismo túnel, la plataforma cree una SA (Security Association) independiente para cada red, en lugar de agruparlas en una sola.

 

Esto ofrece una mayor flexibilidad al partner, que puede decidir cómo quiere gestionar la conexión entre sus redes remotas y Jotelulu, adaptándose al comportamiento de su infraestructura o del fabricante con el que trabaje.

En algunos entornos puede resultar más eficiente mantener una única SA (modo unificado), mientras que en otros es preferible separar las redes (modo Split Tunneling).
La decisión dependerá del diseño de red y de las recomendaciones del fabricante remoto.

 

Activa Split Tunneling para generar una SA independiente por cada red remota (requiere IKEv2).

 

4.1 Compatibilidad entre fabricantes

Cada fabricante gestiona de forma distinta cómo se agrupan o separan las redes en un túnel VPN.
A continuación, se muestran algunos comportamientos habituales como referencia:

 

 

💡 Importante:
No se trata de un problema de compatibilidad.
Jotelulu permite que el partner elija libremente el modo de funcionamiento (unificado o Split Tunneling) para adaptarse al diseño de su infraestructura y al comportamiento de sus equipos.

 

4.2 Condiciones y compatibilidad técnica

  • El control de Split Tunneling aparece solo cuando hay dos o más redes remotas configuradas.

  • Requiere IKEv2. Si lo activas, el sistema ajustará automáticamente la versión del túnel.

  • Si el extremo remoto trabaja con una SA única, el túnel seguirá activo y funcional; simplemente operará en modo unificado.

     

4.3 Recomendaciones prácticas

  • Consulta la documentación del fabricante remoto para entender cómo gestiona las múltiples redes IPsec.

  • Documenta los cambios y valida las rutas de cada red antes de cerrar la configuración.

  • Usa IKEv2 siempre que sea posible: es la versión más compatible con la segmentación por SAs.

     

5. Conclusión :

Con estas mejoras puedes ajustar la versión de IKE y elegir si usar Split Tunneling cuando trabajas con varias redes, adaptando el túnel a tu topología y a las capacidades del equipo remoto.
Si es tu primera VPN, revisa también las guías de:

Jose Pastor
4 de febrero de 2026