VPN para acceder a CRM: configuración y elección en 2026

Si CRM ha dejado de abrirse, ya no es solo una incomodidad. Los gerentes no pueden acceder a las transacciones, el director no ve el embudo, las integraciones se caen. VPN para acceder a CRM resuelve este problema, pero solo si se entiende qué problema específico se está resolviendo, porque las tareas pueden ser diferentes y las herramientas también.

Aquí analizaremos tres escenarios diferentes: CRM extranjera bloqueada o limitada por geolocalización, el proveedor ralentiza el tráfico a través de DPI, y CRM corporativa interna disponible solo desde la red de oficina. En cada caso se necesita un enfoque propio.

Por qué CRM deja de abrirse y cómo VPN lo resuelve

El error de acceso a CRM puede tener cuatro fuentes diferentes. No se pueden mezclar: la solución es diferente para cada uno. A veces, el gerente ve "conexión restablecida", pero la verdadera razón no es un bloqueo, sino un DPI agresivo de Rostelecom o MTS, que simplemente corta el tráfico por firma.

Geobloqueo de CRM extranjeras (Salesforce, HubSpot, Pipedrive)

Salesforce y HubSpot desde 2022 limitan el acceso desde direcciones IP rusas, no por requerimiento de Roskomnadzor, sino por su propia política de cumplimiento de listas de sanciones. Pipedrive se comporta de manera más suave, pero también allí ocurren fallos. El gerente entra en el navegador, abre app.salesforce.com y recibe una página en blanco o un redireccionamiento a una página con un aviso de indisponibilidad.

VPN cambia la dirección IP a una europea o americana, y CRM "ve" la conexión desde Alemania o los Países Bajos. El acceso se restablece.

Bloqueos y ralentización a través de DPI en proveedores rusos

DPI — inspección profunda de paquetes — es una tecnología de análisis de tráfico que los proveedores rusos utilizan por requerimiento de TSPU (medios técnicos para contrarrestar amenazas). Roskomnadzor a través de este sistema ralentiza o bloquea el tráfico incluso donde no hay un bloqueo formal.

Prácticamente se ve así: CRM se abre, pero carga la lista de transacciones durante 15-20 segundos en lugar de 1-2. La telefonía dentro de CRM desaparece. Los archivos adjuntos no se cargan. El proveedor no bloquea nada formalmente, simplemente el tráfico se corta por la firma del protocolo. VPN elude DPI, encapsulando el tráfico en un túnel cifrado que el analizador no puede clasificar.

Contorno corporativo cerrado: acceso solo desde la red de oficina

Esta es una historia fundamentalmente diferente. Si CRM está en el propio servidor de la empresa y solo está disponible dentro de la red corporativa, un VPN comercial público no ayudará aquí. Se necesita un gateway VPN corporativo: el empleado se conecta a él, obtiene una "IP de oficina virtual" y solo entonces entra en el contorno cerrado.

El gateway corporativo lo configura el departamento de TI. Puede ser un servidor OpenVPN, Cisco AnyConnect, FortiClient o WireGuard en el propio servidor de la empresa. Un NvoVPN público o cualquier otro servicio comercial no reemplazará un túnel corporativo en esta situación.

Qué hace exactamente VPN: cifrado, cambio de IP, túnel a la oficina

VPN hace tres cosas al mismo tiempo: cifra el tráfico (el proveedor no ve el contenido y no puede aplicar DPI por firma), cambia la dirección IP de salida (el geobloqueo por IP deja de funcionar) y crea un túnel a la red necesaria (caso corporativo). Por eso, vpn para acceder a crm no es una sola herramienta, sino varios escenarios diferentes de aplicación de una misma tecnología.

Qué protocolo VPN elegir para trabajar con CRM

El protocolo no es marketing, es una diferencia real en velocidad, latencias y resistencia a bloqueos. Para CRM esto es importante: una interfaz pesada con análisis y archivos adjuntos es sensible a las latencias. Analicemos honestamente.

WireGuard — velocidad y bajas latencias para CRM en la nube

WireGuard es actualmente la mejor opción para CRM en la nube en términos de rendimiento. El protocolo funciona en el espacio del núcleo de Linux, tiene un código mínimo (~4000 líneas frente a ~400 000 de OpenVPN) y ofrece latencias un 20-30% más bajas que OpenVPN en los mismos servidores. Para Bitrix24 o amoCRM, donde la página de transacciones carga decenas de solicitudes AJAX, esto es notable.

Un inconveniente, pero significativo: WireGuard se detecta fácilmente por la firma del tráfico. Si el proveedor corta intencionadamente las conexiones VPN, WireGuard será bloqueado primero.

OpenVPN — compatibilidad con gateways corporativos

OpenVPN es el estándar de facto para gateways VPN corporativos. Cisco, Fortinet, Check Point — la mayoría de las soluciones corporativas soportan configuraciones compatibles con OpenVPN. Si el departamento de TI ha proporcionado un archivo .ovpn, eso es.

En velocidad, OpenVPN es aproximadamente un 15-25% más lento que WireGuard debido a su funcionamiento en el espacio de usuario. En modo TCP (que es necesario para eludir algunos firewalls), las pérdidas son aún mayores. Para CRM con carga moderada es bastante aceptable.

IKEv2/IPsec — estabilidad al cambiar entre Wi-Fi y red móvil

IKEv2 tiene soporte integrado para MOBIKE, un mecanismo que mantiene la sesión VPN al cambiar entre Wi-Fi y LTE. El gerente en el coche se mueve de la zona Wi-Fi a internet móvil — la conexión no se interrumpe, CRM sigue funcionando.

Para empleados de campo con la aplicación móvil de CRM (amoCRM, Bitrix24 Mobile) esto es realmente importante. Inconveniente: IKEv2 se detecta y bloquea más fácilmente por sistemas DPI agresivos que VLESS o Shadowsocks.

Shadowsocks, VLESS/XRay, Amnezia — eludir DPI donde un VPN normal es cortado

Si WireGuard y OpenVPN son cortados por el proveedor, no es el fin. Protocolos enmascarados hacen que el tráfico se parezca al HTTPS normal: DPI no puede clasificarlo como VPN y lo permite pasar.

VLESS/XRay — la opción más moderna con desarrollo activo. Shadowsocks — probado por la clásica, un poco más fácil de configurar. Amnezia VPN — un desarrollo nacional que envuelve WireGuard en enmascaramiento y sigue siendo abierto. Los tres son notablemente más difíciles de configurar que los protocolos estándar, pero funcionan donde los demás ya no pasan.

Tabla comparativa: velocidad, eludir bloqueos, facilidad de configuración

NvoVPN soporta WireGuard y protocolos de ocultación; se puede alternar entre ellos según la situación. Pero esta es una de las opciones, no la única.

Configuración de VPN para acceder a CRM: guía paso a paso

Pasemos por pasos reales. No "descargue la aplicación y presione conectar", sino exactamente lo que se debe hacer para que la vpn para acceder a crm funcione correctamente, sin pérdida de velocidad y sin efectos secundarios.

Paso 1. Determine el tipo de CRM: en la nube o interno

Esta es la primera pregunta, sin la cual todo lo demás no tiene sentido. CRM en la nube (Bitrix24 en cloud.bitrix24.ru, amoCRM en su dominio.amocrm.ru, Salesforce en *.salesforce.com) — se necesita una VPN comercial para cambiar IP o eludir DPI. CRM interno en el servidor de la empresa — se necesita un gateway VPN corporativo, cuya dirección y credenciales son proporcionadas por el departamento de TI.

Si no está seguro: intente acceder a la CRM a través de internet móvil, desconectando el Wi-Fi corporativo. Si se abre — la CRM es en la nube. Si no — probablemente, es interna.

Paso 2. Instalación del cliente en Windows y Mac

Para WireGuard: descargue el cliente oficial de wireguard.com. En Windows es wireguard-installer.exe, en Mac — la aplicación de Mac App Store. La instalación es estándar, sin características especiales. Para OpenVPN en Windows — OpenVPN Connect v3 (no GUI v2, está obsoleto). En Mac — Tunnelblick o el mismo OpenVPN Connect.

Importante: no confunda el cliente WireGuard de wireguard.com con aplicaciones como "WireGuard VPN Pro" en Windows Store — son envolturas de terceros, la calidad es impredecible.

Paso 3. Configuración en Android e iPhone/iOS para trabajar en el campo

En Android: WireGuard desde Google Play (aplicación oficial del equipo de WireGuard), OpenVPN Connect desde la misma tienda. En iPhone: WireGuard desde App Store, OpenVPN Connect allí mismo. Ambas aplicaciones son gratuitas, son software cliente, no un servicio.

En iOS hay un matiz: el perfil VPN a través de IKEv2 se puede instalar directamente en la configuración del sistema (Configuración → VPN → Agregar configuración VPN) sin una aplicación de terceros. Para IKEv2 corporativo es más conveniente.

Paso 4. Importación de la configuración (archivo .conf / código QR)

En el cliente WireGuard en el escritorio: presiona "Agregar túnel" → "Importar desde archivo" → selecciona el archivo .conf que te proporcionó tu servicio VPN o el departamento de TI. El túnel aparece en la lista con el nombre del archivo de configuración.

En móvil es más conveniente el código QR: en el cliente de escritorio de WireGuard haz clic en el túnel → "Exportar a código QR", abre la aplicación móvil, presiona "+" → "Escanear código QR". El teléfono importará la configuración en un segundo. Para OpenVPN es similar: en OpenVPN Connect en móvil — "Importar" → "Cargar desde archivo", si el archivo .ovpn ya está en el teléfono.

Paso 5. Verificación de acceso a CRM y prueba de velocidad

Después de conectarte: abre CRM y mide el tiempo de carga de la lista de negocios o contactos (esta es la operación más pesada para la mayoría de las CRM). Paralelamente — ping al servidor CRM a través de la terminal o línea de comandos:ping app.salesforce.com. Un ping normal a través de VPN a un servidor europeo es de 30–80 ms. Si es superior a 150 ms — cambia el servidor al más cercano al centro de datos de CRM.

Para Salesforce, los centros de datos en Europa son Frankfurt y Ámsterdam. Para Bitrix24 Cloud — Moscú y Alemania. Elige el servidor VPN en consecuencia.

Paso 6. Split tunneling: permitir solo CRM a través de VPN

El split tunneling es una configuración en la que solo el tráfico a las direcciones necesarias pasa a través del túnel VPN, mientras que todo lo demás (YouTube, correo, otros sitios) va directamente. Para los negocios, esto es crítico por dos razones: la velocidad de CRM es mayor (no hay carga adicional en el canal VPN), y las integraciones de CRM con servicios externos no se rompen.

En WireGuard, el split tunneling se configura a través del campo AllowedIPs en el archivo de configuración. En lugar de0.0.0.0/0 (todo el tráfico) especifica rangos de IP específicos de CRM. Por ejemplo, para Salesforce: rangos de su documentación oficial (Salesforce Trust). Para amoCRM — IP de tu subdominio a través denslookup tu_dominio.amocrm.ru. La mayoría de los clientes VPN comerciales tienen esta configuración en la GUI bajo el nombre "Split tunneling" o "Túnel dividido".

Si todo el tráfico se envía a través de VPN sin split tunneling — los webhooks y las integraciones de CRM (por ejemplo, con telefonía o 1C) pueden comenzar a enviar solicitudes con la IP de VPN, lo que romperá las listas blancas en el lado receptor.

Seguridad de los datos de CRM al trabajar a través de VPN

En CRM se almacenan datos personales de los clientes: nombres, teléfonos, historial de negociaciones. Esto no es una abstracción — es una responsabilidad directa según la ley 152-FZ. Por lo tanto, la elección de VPN para acceder a CRM no es solo una cuestión de conveniencia, sino una cuestión de seguridad de la información.

Cifrado de tráfico y protección de la base de clientes en Wi-Fi público

Sin VPN, el tráfico a CRM en una red pública (cafés, aeropuertos, coworking) puede ser interceptado teóricamente en un ataque de tipo MITM. Las CRM modernas funcionan a través de HTTPS, lo que ya proporciona cifrado, pero VPN añade una capa adicional y oculta los metadatos — a qué dominios te conectas, con qué frecuencia, qué volumen de datos transmites.

Para los gerentes que trabajan desde cafeterías o en viajes de negocios, un VPN con cifrado de tráfico es una protección razonable de los datos corporativos.

Política de VPN gratuitas y riesgo de filtración de datos

Las VPN gratuitas no ganan dinero con suscripciones. Ganan dinero con los datos de los usuarios — tráfico, metadatos, en el peor de los casos, con el contenido de las sesiones. Hola VPN en 2015 vendió el ancho de banda de los usuarios a botnets. Betternet registró y vendió datos a anunciantes. Estos son casos documentados, no teoría.

Para trabajar con CRM, donde se almacena la base de clientes — este es un riesgo inaceptable. Un VPN de pago con una política clara de no registro y que haya pasado una auditoría independiente es el estándar mínimo. Vale la pena pagar $3–7 al mes por esto.

Aprobación con el departamento de TI y la política de seguridad de la empresa

Antes de instalar cualquier VPN en un dispositivo de trabajo o en una red de trabajo — consulta con el departamento de TI si esto contradice la política de seguridad corporativa. En algunas empresas, el uso de VPN no aprobadas en laptops corporativas viola la política y puede llevar a consecuencias disciplinarias.

Si el departamento de TI ha proporcionado un VPN corporativo — úsalo. Si no, y necesitas acceso a un CRM en la nube bloqueado por el proveedor — discútelo con TI y documenta la aprobación. Esto protege tanto a ti como a la empresa.

152-FZ y almacenamiento de datos personales de clientes

La ley 152-FZ impone al operador de datos personales la responsabilidad de protegerlos durante la transmisión y almacenamiento. Si un empleado trabaja con la base de clientes a través de un canal no cifrado o a través de un servicio VPN con una política de registro dudosa — este es un riesgo potencial de cumplimiento con los requisitos de la ley.

No daré consejos legales aquí — no es mi perfil. Pero tener en cuenta esta responsabilidad al elegir una solución VPN para trabajar con CRM es razonable. Un VPN corporativo aprobado o un servicio de pago verificado con política de no registro cubre los requisitos básicos.

Resolución de problemas típicos: CRM se ralentiza o no se abre a través de VPN

Conectaste VPN, pero CRM aún se comporta de manera incorrecta. Analicemos fallos específicos — no de manera abstracta, sino con razones y acciones reales.

CRM se abre, pero muy lentamente — elección de un servidor cercano

La principal razón de la lentitud de CRM a través de VPN es la gran distancia entre el servidor VPN y el centro de datos de CRM. Si estás conectado a un servidor en Nueva York, y Bitrix24 está en Alemania — el tráfico va a través del Atlántico y de regreso. El ping aumenta, la interfaz se ralentiza.

Solución: elige un servidor geográficamente cercano al centro de datos de CRM. Generalmente, puedes averiguar la ubicación del centro de datos en la documentación del servicio o a través detraceroute/tracert al dominio CRM. Cambie a WireGuard: tiene menos sobrecarga en comparación con OpenVPN en el mismo canal.

Interrupciones constantes de la conexión en internet móvil

WireGuard en móvil puede desconectarse al cambiar entre torres LTE o al cambiar de red Wi-Fi→LTE. Esto no es un error, es el comportamiento del protocolo al cambiar la IP del dispositivo. Solución: cambie a IKEv2: MOBIKE mantiene la sesión al cambiar de red. O active en la configuración de WireGuard el keepalive constante (parámetro PersistentKeepalive = 25 en la configuración).

VPN activado, pero CRM sigue sin estar disponible (DNS, split tunneling)

Tres razones comunes. Primera: el DNS no cambió al resolver VPN, y el dominio CRM se resuelve en una IP bloqueada. Verifique:nslookup su_dominio.crm.com con VPN activado debería devolver una IP diferente de la que tenía sin VPN. Segunda: en el split tunneling el dominio CRM fue excluido accidentalmente del túnel. Verifique la lista de excepciones. Tercera: el DPI agresivo del proveedor bloquea incluso el tráfico VPN cifrado: cambie a VLESS/XRay o Shadowsocks.

Captcha y bloqueo de cuenta al cambiar de IP

Los sistemas de seguridad de CRM (especialmente Salesforce y HubSpot) rastrean la geografía de los accesos. Si ayer accedió desde Moscú y hoy desde una IP de servidor VPN en los Países Bajos, el sistema puede solicitar verificación adicional o bloquear temporalmente el acceso.

Solución: use el mismo servidor VPN de forma constante: una IP, un país. No cambie entre servidores sin necesidad. Si CRM lo permite, agregue la IP de VPN a la lista de confiables en la configuración de seguridad de la cuenta. Al usar un servidor VPN compartido con varios colegas, una IP para varios usuarios puede generar sospechas en el sistema. En tal caso, considere una IP dedicada que ofrecen algunos servicios VPN.

No es recomendable desactivar la autenticación de dos factores: no es la causa del problema. Simplemente configure la aplicación de autenticación (Google Authenticator, Authy) en lugar de SMS, así el cambio de IP no restablecerá la sesión.