Ingresar un ticket

Chau IP Pública Costosa: Guía para armar un Bypass Corporativo con Starlink

En el ámbito de la infraestructura de redes corporativas, los costos ocultos pueden asfixiar el presupuesto de una Pyme. Recientemente, en la localidad de Maciel, un proveedor de conectividad local (Ultra Fibra) dispuso que aquellas empresas que utilizaban sus enlaces dedicados debían abonar un recargo de U$S 100 mensuales adicionales en concepto exclusivo de IP Pública Estática.

Ante este escenario de costos abusivos y la necesidad de mantener servicios locales como Cloud y WebDAV en producción, la respuesta óptima no fue ceder al gasto, sino diseñar una arquitectura de red alternativa. Implementamos un bypass de CGNAT utilizando un proxy inverso descentralizado.

Análisis de Costos: El Impacto Financiero del Bypass de IP Pública

La reingeniería de la infraestructura no solo optimizó la redundancia del sistema mediante enlaces satelitales, sino que pulverizó los costos fijos mensuales. A continuación, se presenta el desglose comparativo de la transición económica:

Concepto de Gasto Esquema Anterior (Enlace Dedicado) Esquema Actual (Doble Starlink + VPS)
Conectividad Principal $150.000 (Abono Fibra) $45.000 (Starlink Res./Pyme 1)
Conectividad de Respaldo $150.000 (Starlink Prioritario + Extras) $45.000 (Starlink Res./Pyme 2)
Direccionamiento IP Estática U$S 100 (~$140.000 ARS) $0 (Bypass por Túnel)
Infraestructura en la Nube $0 $7.000 (VPS Canadá Nginx)
TOTAL OPERATIVO MENSUAL ~$440.000 ARS ~$97.000 ARS

Retorno de Inversión (ROI): Esta reestructuración representó un ahorro neto superior al 75% para el cliente. Bajo un modelo de negocio basado en valor, el integrador tecnológico absorbe el 50% del ahorro como un abono mensual por administración de red, garantizando un flujo recurrente y una reducción de costos real para la empresa.

Configuración del Túnel WireGuard y Mitigación de CGNAT con Starlink

El principal desafío de prescindir de una IP pública sobre conexiones satelitales como Starlink es el comportamiento del Carrier-Grade NAT (CGNAT). Los gateways satelitales cierran las tablas de traducción de puertos UDP de forma agresiva ante la falta de actividad física.

El Secreto de la Estabilidad: Keep-Alive en 25 Segundos

Para evitar que el VPS pierda la ruta lógica hacia el servidor local, es fundamental forzar el mantenimiento del socket abierto. En la configuración de WireGuard del servidor interno (Debian), aplicamos la siguiente directiva dentro de la sección del Peer:

[Peer]
PublicKey = ********************************************
Endpoint = vps-******.ar:*****
AllowedIPs = 10.10.20.1/32
PersistentKeepalive = 25

Esta instrucción envía un paquete de control persistente cada 25 segundos, impidiendo que el enrutamiento CGNAT de Starlink expire y asegurando disponibilidad inmediata desde el nodo central en Canadá.

Arquitectura del Proxy Inverso en Nginx (Configuración de Producción)

Una vez establecido el túnel de comunicación segura y resuelto el aislamiento del protocolo IPv6 para unificar todo en el túnel IPv4 de WireGuard, configuramos el archivo definitivo en el servidor frontal (VPS) para procesar de forma segura las peticiones HTTPS y dar soporte a la subida de archivos pesados de Nextcloud.

# Bloque de redirección obligatoria HTTP a HTTPS
server {
    listen 80;
    listen [::]:80;
    server_name ba****.m*****.com.ar www.ba****.m*****.com.ar;
    return 301 https://$host$request_uri;
}

# Bloque seguro definitivo (Producción)
server {
    listen 443 ssl;
    listen [::]:443 ssl;
    server_name ba****.m*****.com.ar www.ba****.m*****.com.ar;

    # Gestión de Certificados SSL (Let's Encrypt Centralizado)
    ssl_certificate /etc/letsencrypt/live/ba****.m*****.com.ar/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/ba****.m*****.com.ar/privkey.pem;
    include /etc/letsencrypt/options-ssl-nginx.conf;
    ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem;

    # Parámetro crítico para sincronización de archivos WebDAV / Nextcloud
    client_max_body_size 512M;

    location / {
        proxy_pass https://10.10.20.2; # Destino: Apache2 en Debian Local
        proxy_ssl_verify off;
        proxy_http_version 1.1;
        
        # Inyección de Cabeceras de Identidad para Apache
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto https;
        proxy_set_header X-Forwarded-Ssl on;
        proxy_set_header X-Forwarded-Port 443;
        
        # Ajustes de rendimiento para evitar timeouts en conexiones de datos
        proxy_buffering off;
        proxy_read_timeout 300s;
    }
}

Conclusión: Soberanía de Red e Infraestructura de Bajo Costo

El uso combinado de plataformas de Proxy Inverso en la nube junto con túneles de VPN eficientes permite desvincular a las organizaciones de los monopolios de conectividad local. Este esquema desplaza la inversión desde la infraestructura física sobrefacturada hacia la consultoría de redes inteligente, mejorando las métricas de disponibilidad y el rendimiento general de las aplicaciones corporativas.