Conectando dos HOMAG entre sedes con VPN

El problema antes de empezar

Una planta de carpintería industrial tenía dos sedes: en una estaba la oficina de diseño (los diseñadores trabajando en woodWOP / CAD), y en otra estaba la maquinaria HOMAG — dos máquinas CNC para corte y mecanizado. Entre ambas sedes, varios kilómetros.

El flujo antes era: el diseñador terminaba el proyecto, exportaba los archivos de corte (formatos típicos: MPR, HCD, CSV de nesting), los copiaba a una USB, y alguien tenía que llevarla físicamente hasta la planta. Si había un cambio de último minuto, otro viaje. Si la USB se dañaba o se perdía, retrabajo completo.

Lo que el cliente quería era simple de pedir y no tan simple de implementar: que el diseñador exportara y las dos HOMAG lo vieran, como si fuera una carpeta de red local.

Una de las dos HOMAG conectada a la red Ethernet de la planta — Una de las dos HOMAG en planta — el switch industrial alimenta las máquinas y los puntos de cableado de la zona

La solución, en dos capas

Capa física: Ethernet en la planta

Cada HOMAG, como casi todas las máquinas CNC industriales modernas, trae un puerto Ethernet RJ45 en su PC de control (woodWOP o el controlador propietario, dependiendo de la línea). El primer paso fue tirar cable UTP categoría 6 blindado desde el rack de la planta hasta cada máquina, dejando reservadas conexiones adicionales para futuras ampliaciones.

En entornos industriales hay tres cosas que no se pueden ignorar:

Interferencia electromagnética: motores grandes, variadores de frecuencia y la propia maquinaria generan ruido. Para tramos largos cerca de equipos potentes usamos cable blindado (S/FTP) con conectores RJ45 metálicos y aterrizaje correcto del shield.
Polvo de aserrín: el peor enemigo del switch en una carpintería. La electrónica activa va en gabinete metálico cerrado IP54 mínimo, no en una repisa abierta.
Caída de tensión / picos: UPS dedicada para el switch y para los PC de las HOMAG. Cuando la red eléctrica de la planta arranca un motor grande, la caída puede tumbar el equipo y dejar un corte a medias.

Cableado estructurado y switch de planta — Cableado estructurado UTP cat6 desde el rack hasta cada máquina, con marcado de origen y destino en cada extremo

Capa lógica: VPN site-to-site entre sedes

Con las dos HOMAG ya en red local en la planta, faltaba unir esa red local con la red local de la sede de diseño, como si fueran un solo dominio LAN. La herramienta para eso es una VPN site-to-site — un túnel cifrado permanente entre los routers de ambas sedes.

Las opciones razonables hoy son:

IPsec — el estándar de la industria, soportado por casi cualquier router empresarial (Mikrotik, Ubiquiti EdgeRouter, pfSense, Fortinet). Maduro, robusto, configuración más densa pero predecible.
WireGuard — moderno, muchísimo más simple de configurar, rendimiento excelente. Soportado nativamente en Mikrotik RouterOS 7+, pfSense 2.6+ y la mayoría de los firewalls actuales.
OpenVPN — la opción veterana; sigue funcionando bien pero pierde rendimiento contra WireGuard.

El resultado del lado del diseñador: carpetas de red que apuntan a los PC de cada HOMAG por su IP privada (algo como \\192.168.20.10\nesting y \\192.168.20.11\nesting), y que se comportan como si estuvieran al lado, no a kilómetros.

Importante

La VPN nunca debe ser una excusa para exponer la maquinaria industrial a internet. Las HOMAG quedan detrás del firewall, sin redirección de puertos directa hacia afuera. El único acceso desde la otra sede pasa por el túnel cifrado, autenticado por certificados o claves precompartidas, y limitado por reglas de firewall a los recursos estrictamente necesarios (puertos SMB para el share de archivos, nada más).

El flujo nuevo, paso a paso

HOMAG vista frontal en operación — HOMAG operando con el flujo conectado — el archivo entra por red, no por USB

El diseñador termina el proyecto en la sede de diseño y exporta los archivos de corte/mecanizado en el formato que entienden las HOMAG.
Los guarda en una carpeta de red compartida que, gracias a la VPN, está mapeada como unidad local en su PC.
En la planta, cada HOMAG ya tiene su carpeta apuntada como ruta de entrada — el operario solo abre el archivo y lo carga al programa de mecanizado de la máquina correspondiente.
Cuando hay un cambio, el diseñador sobrescribe y el operario simplemente vuelve a abrir. Sin viajes, sin USBs perdidas, sin versiones cruzadas.

Lo que aprendí en este proyecto

La red industrial no es la red de oficina

Lo que en oficina se resuelve con un switch desktop de US$ 30 detrás del escritorio, en planta requiere switch industrial DIN-rail con rango de temperatura ampliado, alimentación 24V redundante, y montaje en gabinete cerrado. La diferencia de precio se paga la primera vez que no hay una caída de comunicación a las 11 de la mañana con una de las máquinas cortando una tabla de US$ 600.

El cliente quiere automatización, no infraestructura

Nadie en la carpintería se levantó pensando "necesito una VPN site-to-site IPsec". Lo que querían era "que no haya que correr con el USB". La infraestructura es invisible cuando funciona, y eso es justamente lo que vale.

Documenta como si te fueras a ir mañana

Diagrama de red, IPs asignadas, contraseñas en gestor (no en post-it), credenciales de los routers, qué firmware tiene cada equipo, y un runbook de "si la VPN cae, esto es lo que se chequea primero". Si yo no estoy disponible un día, el cliente o cualquier otro técnico tiene que poder retomar.

¿Tienes un escenario parecido?

Si tienes maquinaria industrial, oficinas en distintas sedes o necesitas mover archivos pesados entre ubicaciones sin depender de USBs o correo, cuéntame qué tienes y vemos cómo armarlo. Trabajo con HOMAG, BIESSE, SCM y máquinas CNC de cualquier marca que tenga puerto Ethernet o serial-a-Ethernet.