Javierin.com

Sin categoría

Crear tu primera VLAN en OPNsense paso a paso

Javier 0
Crear tu primera VLAN en OPNsense paso a paso

Crear tu primera VLAN en OPNsense paso a paso

Guía paso a paso para segmentar tu red doméstica con VLANs en OPNsense sin necesidad de hardware extra. Desde crear la interfaz hasta configurar el firewall para aislar dispositivos IoT o una red de invitados.

Por Javier · Actualizado: 2025-09-05

Crear una VLAN en OPNsense implica definir una interfaz virtual sobre un puerto físico mediante el estándar IEEE 802.1Q, asignarle un ID entre 2 y 4094, configurar su propio rango DHCP y escribir reglas de firewall explícitas para controlar qué tráfico puede cruzar entre segmentos. Todo sin hardware adicional.

Tu red doméstica también puede estar ordenada

Si tienes OPNsense funcionando en casa pero tu red es una sola zona plana donde el portátil del trabajo, el móvil de los críos, el NAS y los cacharros IoT comparten el mismo segmento, no estás solo. Es la configuración por defecto con la que todo el mundo arranca, y tiene sentido hasta que te das cuenta de que cualquier trasto con firmware dudoso tiene acceso directo a tus datos.

Quizá llevas tiempo leyendo sobre VLANs pero el término te suena a cosa de CPDs y certificaciones caras. La realidad es que OPNsense lo tiene integrado desde el minuto uno, y si ya sabes moverte por su interfaz, el salto conceptual es más pequeño de lo que parece. Lo que necesitas no es un switch gestionado de gama alta ni un título de networking: necesitas entender qué hace exactamente una VLAN y seguir los pasos en el orden correcto.

Este tutorial te lleva desde cero hasta tener una VLAN operativa con su propio rango de IPs, DHCP y reglas de firewall básicas. Sin atajos que luego se rompen, con las advertencias donde toca.

Por qué importa

Sin hardware extra

Una VLAN segmenta tráfico a nivel de capa 2. Solo necesitas OPNsense y un switch gestionado con soporte 802.1Q.

Hasta 4094 segmentos

El estándar IEEE 802.1Q permite IDs del 1 al 4094. Puedes aislar IoT, invitados y trabajo en redes totalmente independientes.

Firewall por segmento

El tráfico entre VLANs está bloqueado por defecto. Solo pasa lo que tú permites explícitamente con reglas en OPNsense.

WiFi multi-SSID incluido

Si tu AP soporta VLAN tagging, cada SSID puede vivir en su propia VLAN sin cablear nada adicional.

Qué necesitas antes de empezar

Para seguir este tutorial necesitas tener OPNsense instalado y funcionando. La versión exacta de los menús puede variar según la release que tengas, pero el flujo general es el mismo desde hace varias versiones mayores.

En cuanto a hardware, con esto es suficiente para empezar:

  • Un router o mini-PC corriendo OPNsense con al menos dos interfaces de red
  • Opcionalmente, un switch gestionado si quieres que la VLAN llegue a dispositivos cableados más allá del router
  • Un AP WiFi con soporte multi-SSID y VLAN tagging si quieres una red inalámbrica separada

Hay un punto que vale la pena aclarar desde el principio: si tienes un switch no gestionado de esos de 8 o 16 puertos sin ningún menú de configuración, ese switch no entiende el etiquetado 802.1Q. Las VLANs no pueden atravesarlo. Funciona perfectamente para dispositivos conectados directamente al router o a un AP compatible, pero no para los que pasen por ese switch sin gestionar.

El caso de uso más habitual en un homelab doméstico es justamente este: un AP WiFi con soporte multi-SSID que mapea cada red inalámbrica a una VLAN distinta, sin necesidad de tocar ningún switch.

Crear la interfaz VLAN en OPNsense

El primer paso ocurre en Interfaces → Other Types → VLAN. Aquí le dices a OPNsense que quieres crear una interfaz lógica sobre una física existente.

Pulsa el botón + para añadir una nueva VLAN y rellena los campos:

  • Parent interface: la interfaz física sobre la que viajará el tráfico etiquetado. Suele ser la LAN, por ejemplo igb1 o em1.
  • VLAN tag: el ID numérico entre 2 y 4094. El 1 está reservado como VLAN nativa por convención. Elige uno que tenga lógica para ti; yo uso rangos: 10 para la red principal, 20 para IoT, 30 para invitados.
  • VLAN priority: déjalo en 0 salvo que tengas una razón concreta para cambiarlo.
  • Description: ponle un nombre legible. Te lo agradecerás en tres meses cuando no recuerdes para qué era la VLAN 27.

Guarda y aplica. En este punto OPNsense sabe que existe esa VLAN, pero todavía no tiene dirección IP, DHCP ni reglas de firewall propias.

Asignar la VLAN como interfaz activa

Crear la VLAN en el paso anterior no es suficiente para usarla: hay que registrarla como interfaz en el sistema. Ve a Interfaces → Assignments.

Verás la lista de interfaces activas (WAN, LAN…) y al final un desplegable con las interfaces disponibles. Ahí aparecerá tu VLAN recién creada. Selecciónala y pulsa Save.

Ahora entra en la interfaz recién asignada, que aparecerá con nombre genérico tipo OPT1. Configura lo siguiente:

  • Enable: activa la casilla.
  • Description: cambia OPT1 por algo como IOT o GUEST. Este nombre es el que verás luego en las reglas de firewall.
  • IPv4 Configuration Type: Static IPv4.
  • IPv4 Address: la IP que actuará como gateway de esta VLAN. Por ejemplo, 192.168.20.1 /24.

Guarda y aplica cambios. OPNsense ya tiene una interfaz activa en esa subred y sabe cómo enrutar el tráfico que llegue desde ella.

Activar DHCP para la nueva VLAN

Sin DHCP, los dispositivos en esa VLAN tendrían que configurarse con IP estática. Para la mayoría de casos domésticos, el DHCP automático es lo práctico.

Ve a Services → DHCPv4 y selecciona la interfaz que acabas de crear; debería aparecer en el menú lateral con el nombre que le pusiste.

Configura el rango de concesiones:

  • Range: por ejemplo de 192.168.20.100 a 192.168.20.200. Así dejas las IPs bajas libres para asignaciones estáticas si las necesitas.
  • DNS servers: puedes dejarlo vacío para que use el del sistema, o apuntar a un Pi-hole u otro resolver propio.

Guarda. Los dispositivos que se conecten a esta VLAN recibirán IPs en ese rango de forma automática.

Reglas de firewall: el momento de decidir qué puede hablar con qué

Esta es la parte que más gente pasa por alto: crear la VLAN no aísla nada por sí solo. El aislamiento real viene de las reglas de firewall. Sin reglas explícitas, el tráfico entre interfaces puede quedar más abierto de lo que esperas.

Ve a Firewall → Rules y selecciona la pestaña de tu nueva interfaz VLAN.

Permitir acceso a internet

Para que los dispositivos de la VLAN puedan salir a internet, necesitas una regla de paso básica:

  • Action: Pass
  • Interface: tu VLAN (IOT, GUEST, la que sea)
  • Source: la subred de la VLAN, por ejemplo IOT net
  • Destination: cualquiera (any)

Esto abre el acceso a internet pero no necesariamente el acceso a tu LAN principal, porque las interfaces son entidades separadas en el firewall.

Bloquear el acceso a la LAN principal

Si quieres que los dispositivos de IoT no puedan llegar a tu NAS, tus PCs o cualquier otro equipo de la red principal, añade una regla de rechazo. Debe ir antes de la regla de permitir internet, porque OPNsense evalúa las reglas de arriba a abajo y aplica la primera que coincide:

  • Action: Block
  • Source: red de la VLAN
  • Destination: red de tu LAN principal, por ejemplo LAN net

Con esto, un dispositivo IoT puede actualizar firmware sin problema, pero no puede explorar tu red local.

Permitir acceso selectivo a servicios concretos

¿Quieres que un dispositivo de IoT pueda llegar a un broker MQTT en tu homelab, pero nada más? Crea una regla de paso específica antes del bloqueo genérico:

  • Action: Pass
  • Source: red de la VLAN
  • Destination: IP del servidor MQTT
  • Destination port: 1883

Las reglas de firewall de OPNsense permiten ese nivel de granularidad sin demasiado esfuerzo. La clave es el orden: regla de paso específica primero, bloqueo genérico después.

Conectar dispositivos a la VLAN

Con OPNsense configurado, el siguiente paso es hacer que los dispositivos reales terminen en esa VLAN. Las opciones dependen de tu hardware.

Dispositivos directamente en el router

Si tienes un puerto físico libre en el equipo que corre OPNsense, puedes asignarlo directamente a la interfaz VLAN. Es útil para un dispositivo concreto que quieres aislar y que está físicamente cerca del router: un NAS secundario, una Raspberry Pi de servicios de dudosa confianza, ese aparato de domótica que no sabes exactamente qué hace en la red.

WiFi con un AP compatible

Este es el caso más habitual en casa. Si tu AP soporta múltiples SSIDs y VLAN tagging —consulta el manual del fabricante, porque no todos los APs de gama baja lo soportan— el flujo es:

  1. Configurar el puerto del router hacia el AP como trunk: permite varias VLANs etiquetadas simultáneamente por el mismo cable.
  2. En el AP, crear un nuevo SSID y mapearlo al VLAN ID que creaste en OPNsense.

Los dispositivos que se conecten a ese SSID recibirán IPs de la VLAN correspondiente, aunque físicamente estén en el mismo AP que el WiFi principal. Un solo cable entre router y AP puede transportar tantas VLANs como SSIDs soporte el AP.

Switch gestionado en medio

Si tienes un switch gestionado —TP-Link TL-SG108E, Netgear GS308E o cualquier otro con menú de configuración de VLANs— puedes propagar la VLAN a través de él hasta tomas de red repartidas por casa.

El puerto que viene del router se configura como trunk (tagged para todas las VLANs que quieras pasar). Los puertos donde conectas dispositivos específicos se configuran como access (untagged para esa VLAN concreta). Así puedes tener, por ejemplo, una toma de red en el salón dedicada exclusivamente a dispositivos IoT, aunque el cable comparta el mismo switch que el resto de la red.

Si tu switch no es gestionado, no hay nada que configurar en él porque directamente no entiende etiquetas 802.1Q. En ese caso, las VLANs solo llegan a lo que conectes directamente al router o a un AP compatible.

Preguntas frecuentes

Q: ¿Necesito un switch gestionado para usar VLANs?

A: Depende de hasta dónde quieres llegar. Si conectas directamente un AP con soporte multi-SSID al router OPNsense por un puerto trunk, puedes pasar múltiples VLANs sin ningún switch gestionado en medio. El switch gestionado solo es imprescindible si necesitas segmentar tráfico en los puertos físicos del propio switch.

Q: ¿Qué pasa si uso el VLAN ID 1?

A: El ID 1 es la VLAN nativa por convención en 802.1Q, lo que significa que el tráfico sin etiquetar suele circular por ella. Técnicamente puedes usarla, pero la práctica habitual es dejarla para gestión o tráfico de administración y empezar tus VLANs de usuario desde el ID 10 o superior para evitar confusiones.

Q: ¿El tráfico entre VLANs queda bloqueado por defecto?

A: Exacto. En OPNsense, el tráfico entre VLANs no pasa a menos que crees reglas de firewall explícitas que lo permitan. Eso es precisamente el punto fuerte de la segmentación: tu red de IoT no puede hablar con tus PCs a no ser que tú lo autorices conscientemente.

Q: ¿Vale cualquier router para crear VLANs con OPNsense?

A: OPNsense corre en tu propio hardware o en una VM, no es el firmware de un router comercial. Necesitas una máquina con al menos dos interfaces de red (o una con soporte de trunk) donde instalar OPNsense. A partir de ahí, las VLANs son virtuales sobre las interfaces físicas existentes, sin hardware adicional.

Q: ¿Por qué separar IoT de la red principal con VLANs?

A: Los dispositivos IoT suelen tener firmware poco actualizado y superficies de ataque amplias. Meterlos en su propia VLAN significa que si uno queda comprometido, el atacante no tiene visibilidad directa de tus PCs ni de tu NAS. Es la forma práctica de aplicar el principio de mínimo privilegio en una red doméstica real.

Javier

Web:

Maker, sysadmin y trastero serial

Related Story

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *