cr0x.net — Problemas difíciles. Soluciones limpias.
Español

VPN de oficina + impresoras: Impresión cruzada estable sin fallos aleatorios

noviembre 23, 2025 • febrero 3, 2026 • Lectura: 29 min • Views: 5

¿Te fue útil?

Tienes dos oficinas. Tienes una VPN. Tienes impresoras. Y de alguna manera, la impresión se comporta como una historia de fantasmas:
la mitad de las veces funciona, luego alguien no cambia nada y se rompe hasta el martes. El director financiero imprime un contrato,
el trabajo “desaparece” y todo el mundo empieza a mirar al cortafuegos como si los hubiera insultado personalmente.

La impresión entre sedes es fácil de hacer que funcione. Es más difícil hacerla aburridamente fiable.
La fiabilidad viene de hacer la ruta de red predecible, escoger protocolos sensatos, centralizar las partes correctas,
y diagnosticar el dominio del fallo rápidamente cuando (no si) algo deriva.

El modelo de fiabilidad: qué significa realmente “impresión estable”

La mayoría de los equipos tratan la impresión como una misión secundaria. Ese es el primer error. La impresión es un sistema distribuido:
clientes, controladores, spoolers, servicios de directorio, resolución de nombres, un túnel VPN, enrutamiento, QoS y un dispositivo
cuya idea de telemetría es un LED parpadeante y una interfaz web de 2009.

“Impresión cruzada estable” tiene tres propiedades:

  1. Ruta predecible: el tráfico de impresión siempre atraviesa el mismo enrutamiento y políticas,
    sin NAT sorpresa, enrutamiento asimétrico o inconsistencias de split tunneling.
  2. Dirección determinista: las impresoras no se encuentran por “red basada en esperanza” (descubrimiento multicast,
    leases DHCP cambiantes, sufijos DNS aleatorios). Se encuentran por nombres estables y IPs fijas.
  3. Límites de spooling que controlas: tú decides dónde se encolan, reintentan y transforman los trabajos.
    Si el WAN es inestable, quieres la cola en el lado que pueda manejar reintentos sin drama para el usuario.

El patrón más fiable para impresión entre sedes suele ser:
servidor de impresión local por sitio (Windows o CUPS), las impresoras permanecen locales, y la VPN se usa para
gestión y excepciones ocasionales entre sedes — no como la ruta principal de datos para cada trabajo de impresión.
Cuando debes imprimir entre sedes (ejecutivos, sala de correo centralizada, etc.), lo haces vía
IPP(S) a un servidor, no apuntando cada portátil directamente a una impresora a través del túnel.

Un “trabajo de impresión fallido” puede significar una docena de modos de fallo distintos. Tu trabajo es reducir ese espacio.
Diseña para que los fallos sean obvios, localizados y recuperables.

Hechos interesantes y breve historia que explican el desorden actual

  • Hecho 1: La impresión LPD/LPR data de los primeros días de BSD Unix. Es simple y duradera,
    y también antecede las expectativas modernas de autenticación por aproximadamente una vida.
  • Hecho 2: “RAW 9100” (estilo JetDirect) se volvió popular porque era extremadamente simple:
    abrir TCP/9100 y transmitir bytes. También es maravillosamente indiferente a la contabilidad de trabajos y la identidad de usuarios.
  • Hecho 3: IPP (Internet Printing Protocol) fue diseñado para reemplazar transportes de impresión más antiguos
    con un modelo más rico: capacidades, atributos, mejor estado y luego TLS mediante IPPS.
  • Hecho 4: Muchas oficinas todavía dependen del descubrimiento multicast (mDNS/Bonjour) porque parece mágico
    en una LAN. Las VPNs y redes ruteadas famosamente no hacen “multicast mágico” a menos que construyas la plomería para ello.
  • Hecho 5: “Point and Print” de Windows se convirtió en un flujo de trabajo de facto durante años,
    pero el endurecimiento de seguridad (especialmente alrededor de la instalación de drivers) cambió la ergonomía. Imprimir se volvió más seguro y más ruidoso.
  • Hecho 6: La impresión SMB (impresora compartida en un servidor Windows) a menudo es fiable en LAN,
    pero a través de WAN hereda cada latencia problemática y caso borde de autenticación que SMB puede ofrecer.
  • Hecho 7: Los controladores de impresora han sido históricamente una fuente rica de problemas a nivel de kernel y spooler.
    Esa es una razón por la que los enfoques “sin controlador” (IPP Everywhere, AirPrint) surgieron.
  • Hecho 8: Existen controladores “universales” porque las flotas son heterogéneas y los drivers de los fabricantes varían mucho en calidad.
    Los controladores universales tienen menos funciones pero son más predecibles — normalmente un intercambio que vale la pena sobre una VPN.

Arquitecturas que funcionan (y por qué)

Opción A (recomendada): servidor de impresión por sitio, impresoras permanecen locales

Pon un servidor de impresión en cada oficina. Los clientes de esa oficina imprimen a su servidor local por la LAN.
El servidor habla con las impresoras locales. La VPN no está en la ruta caliente para la mayoría de los trabajos.
Si necesitas gestión centralizada, gestionas los servidores por la VPN.

Por qué funciona: respeta la física. La latencia y pérdida de paquetes del WAN son el enemigo de “transmitir este blob y no titubear.”
El spooling local contiene el radio de explosión. Si la VPN cae 10 segundos, la oficina todavía puede imprimir.

Opción B: servidor de impresión centralizado, sitios remotos imprimen a él vía IPPS

Un único servidor de impresión (Windows o CUPS) en HQ. Los sitios remotos envían trabajos por la VPN a ese servidor.
El servidor reenvía a impresoras (ya sea en HQ o en sucursales).

Esto puede ser estable si y solo si:
usas un protocolo moderno (IPP/IPPS), ajustas timeouts, tienes enrutamiento predecible, y el servidor tiene capacidad para spooling
sin ahogarse. Sigue siendo más frágil que servidores locales porque toda la impresión depende del túnel y de ese servidor.

Opción C (evitar para la mayoría de oficinas): los clientes imprimen directamente a impresoras remotas sobre la VPN

Aquí es donde nacen los “fallos aleatorios”. Cada portátil se convierte en su propio servidor de impresión, incluyendo toda la rareza de drivers,
estado de sesión y reglas de firewall personales. Además envías payloads de impresión por el túnel desde cada cliente,
lo que amplifica la oscilación de la VPN en dolor para el usuario.

Directo-a-impresora sobre VPN es aceptable para unos pocos usuarios avanzados si lo aseguras:
IPs estáticas, DNS explícito, IPP/9100 según corresponda, y validas la ruta con monitorización.
Pero como postura por defecto de oficina? No.

Opción D: impresión en la nube

La impresión en la nube puede funcionar bien, pero es un cambio de arquitectura: identidad, conectores/agentes, y a veces
reemplazar impresoras heredadas. Si tu objetivo es “hacer fiable la impresión sobre VPN”, la impresión en la nube podría ser la respuesta correcta a largo plazo,
pero no es un parche. Trátalo como una migración.

Conclusión con opinión: si tienes más de un sitio y valoras tus fines de semana, despliega un servidor de impresión por sitio
a menos que haya una razón de negocio sólida en contra.

Protocolos: IPP, RAW 9100, LPD, SMB — escoge tu veneno a propósito

IPP/IPPS (preferido)

IPP es conversador pero capaz. Sobre una VPN, “conversador” puede estar bien si la latencia es estable y el MTU es correcto.
IPPS (IPP sobre TLS) te da cifrado y mejor manejo de identidad que los protocolos antiguos.
Es también la base de la impresión sin controlador (IPP Everywhere).

Qué falla: intercepción TLS o certificados rotos, MTU mal dimensionado causando fragmentación y bloqueos,
e impresoras con implementaciones IPP a medias. Sí, algunos dispositivos declaran IPP y luego entran en pánico cuando les preguntas cosas básicas.

RAW TCP/9100 (simple, a veces demasiado simple)

TCP/9100 es “socket abierto, transmitir bytes.” Tiende a ser resistente ante las tonterías del fabricante, pero te da poco estado
y semánticas débiles de trabajos. A través de una VPN, es vulnerable a timeouts por inactividad y resets de sesión. Si tu firewall o VPN
corta conexiones TCP de larga duración inactivas, los trabajos grandes se sentirán como lanzamientos de moneda.

LPD/LPR (viejo, aún vivo)

LPD es sorprendentemente duradero y a menudo fácil de atravesar redes, pero es una reliquia.
Si necesitas autenticación, auditoría o controles de seguridad modernos, LPD es un mal punto de partida.
Si solo necesitas que un almacén imprima etiquetas de forma fiable desde un sistema controlado, LPD puede estar bien.

Impresora compartida SMB (servidor de impresión Windows)

En entornos Microsoft, esto es común: conéctate a \\printserver\PrinterShare y deja que Windows lo gestione.
En una LAN, a menudo es estable. Sobre una VPN, SMB añade sensibilidad a la latencia, temporización de autenticación,
y resolución de nombres. SMB también tiende a atraer “dispositivos intermedios útiles” y productos de seguridad.

Si gestionas servidores de impresión Windows, mantenlos parcheados y restringe estrictamente la distribución de drivers.
Usa un driver universal a menos que tengas un requisito de función específico.

Verdad seca: las impresoras son el último lugar donde quieres ser “ingenioso.” Escoge un protocolo principal por entorno y estandariza.
La heterogeneidad es como acabas depurando cuatro protocolos a las 4 p.m. un viernes.

VPN y enrutamiento: la plomería aburrida que decide tu destino

Haz el enrutamiento simétrico y explícito

La impresión entre sedes adora el enrutamiento estable y simétrico. Si el tráfico de impresión va cliente → VPN → impresora, la ruta de retorno
también debe ir impresora → VPN → cliente (o impresora → servidor). El enrutamiento asimétrico produce “a veces funciona”
de la manera más desmoralizante: los handshakes TCP tienen éxito y luego los payloads grandes se quedan o se reinician.

Si haces NAT en un lado de la VPN y no en el otro, sé extremadamente deliberado. NAT puede ocultar pecados de direccionamiento,
pero también puede romper ACLs de impresoras, registros y cualquier protocolo que incruste IPs o espere identidad de par estable.

MTU y MSS clamping: el asesino silencioso

La encapsulación VPN reduce el MTU efectivo. Si no ajustas MSS o el MTU, obtendrás fragmentación o fragmentos que se pierden.
La impresión expone esto perfectamente porque los payloads son grandes y a menudo en ráfagas.
Síntomas: trabajos pequeños funcionan, PDFs grandes fallan, o trabajos se quedan en “procesando.”

Timeouts de inactividad y seguimiento de sesiones

Muchas impresoras pausarán a mitad de trabajo para renderizar, grapado o esperar buffers internos.
Mientras tanto, firewalls stateful y dispositivos VPN pueden decidir que el flujo está “inactivo” y matarlo.
TCP/9100 sufre aquí. IPP también puede, dependiendo de la implementación y cómo el cliente transmite datos.

QoS: no dejes que la impresión se quede sin prioridad, ni que deje sin prioridad a todo lo demás

Imprimir no es en tiempo real, pero los usuarios lo perciben como interactivo. Mientras tanto, un trabajo gigante puede saturar un túnel pequeño
y arruinar VoIP. Si tienes ancho de banda limitado, clasifica y regula.
No necesitas perfección; necesitas que “la impresión no deje fuera de servicio a la oficina.”

Resolución de nombres: DNS vence al descubrimiento

mDNS a través de VPN es una trampa a menos que despliegues conscientemente un gateway/reflector mDNS y aceptes la sobrecarga operativa.
Mejor: da a las impresoras nombres DNS estables (o a los servidores de impresión nombres estables), asegura que ambos sitios las resuelvan consistentemente,
y mantén el DNS inverso lo suficientemente sensato para registros y ACLs.

Una cita que vale la pena mantener, porque es todo el juego en operaciones:
La esperanza no es una estrategia. — James Cameron

Broma #1: Una impresora es un ordenador que ha alcanzado la iluminación: comunica solo mediante luces crípticas y juicio silencioso.

Guion de diagnóstico rápido

Cuando la impresión falla a través de una VPN, tu objetivo no es “mirar la interfaz de la impresora.” Tu objetivo es localizar el cuello de botella
en tres comprobaciones: ruta, protocolo, spooler.

Primero: confirma que la ruta de red está intacta (L3/L4)

  1. ¿Puedes alcanzar la IP de la impresora/servidor de impresión desde la subred del cliente?
    Si ICMP está bloqueado, prueba TCP al puerto real de impresión.
  2. ¿El enrutamiento es simétrico?
    Si solo una dirección está enrutada por la VPN, verás resets TCP intermitentes o bloqueos.
  3. ¿MTU/MSS es sensato?
    Los trabajos grandes que fallan pero los pequeños funcionan es un síntoma clásico de MTU.

Segundo: confirma que el endpoint del protocolo es correcto

  1. ¿El cliente imprime a un servidor o directamente a la impresora?
    Si es directo, espera más modos de fallo.
  2. ¿El puerto está abierto extremo a extremo?
    IPP típicamente 631/tcp, IPPS 443 o 631 con TLS según dispositivo, RAW 9100/tcp, LPD 515/tcp, SMB 445/tcp.
  3. ¿La resolución de nombres es estable?
    Si DNS cambia entre IPs locales y remotas, obtendrás “funciona para algunos usuarios.”

Tercero: revisa el spooler y el comportamiento de la cola

  1. ¿El trabajo está atascado en el spooler del cliente, en la cola del servidor o en la cola de la impresora?
    La corrección depende de dónde se detiene.
  2. ¿Los drivers y filtros son estables?
    Un driver roto puede parecer un problema de red.
  3. ¿Hay reintentos/timeouts?
    Si el spooler se rinde demasiado rápido para un enlace de alta latencia, ajústalo o mueve el límite de spooling.

Tareas prácticas: comandos, salidas y decisiones (12+)

Estas son comprobaciones prácticas que puedes ejecutar desde una caja admin Linux (o un servidor de impresión Linux) mientras depuras.
El punto no es el comando; el punto es lo que la salida te dice y qué decisión tomas a continuación.

Tarea 1: Verificar interfaz VPN y rutas

cr0x@server:~$ ip -brief addr show
lo               UNKNOWN        127.0.0.1/8 ::1/128
eth0             UP             10.10.10.20/24 fe80::a00:27ff:fe12:3456/64
wg0              UP             10.99.0.1/24

cr0x@server:~$ ip route
default via 10.10.10.1 dev eth0
10.10.10.0/24 dev eth0 proto kernel scope link src 10.10.10.20
10.20.20.0/24 via 10.99.0.2 dev wg0
10.99.0.0/24 dev wg0 proto kernel scope link src 10.99.0.1

Qué significa: tienes un túnel (wg0) y una ruta al subnet remoto (10.20.20.0/24) a través de él.

Decisión: si la subred de la impresora remota no está enrutada vía la interfaz VPN, arregla el enrutamiento antes de tocar la impresión.

Tarea 2: Confirmar que alcanzas el endpoint de impresión remoto (comprobación TCP)

cr0x@server:~$ nc -vz 10.20.20.50 631
Connection to 10.20.20.50 631 port [tcp/ipp] succeeded!

Qué significa: TCP/631 es alcanzable extremo a extremo; el cortafuegos y el enrutamiento básicos probablemente están bien.

Decisión: pasa a comprobaciones a nivel de protocolo (respuestas IPP, TLS, auth).

Tarea 3: Identificar si MTU probablemente está roto (ping con DF)

cr0x@server:~$ ping -M do -s 1360 10.20.20.50 -c 3
PING 10.20.20.50 (10.20.20.50) 1360(1388) bytes of data.
1368 bytes from 10.20.20.50: icmp_seq=1 ttl=63 time=28.4 ms
1368 bytes from 10.20.20.50: icmp_seq=2 ttl=63 time=28.0 ms
1368 bytes from 10.20.20.50: icmp_seq=3 ttl=63 time=28.2 ms

--- 10.20.20.50 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2003ms

Qué significa: al menos 1360 bytes con DF funcionan; el MTU podría estar bien a ese tamaño.

Decisión: si esto falla con “Frag needed”, ajusta MSS en el túnel/cortafuegos o reduce el MTU en la interfaz VPN.

Tarea 4: Trazar la ruta para capturar asimetría o gateways incorrectos

cr0x@server:~$ traceroute -n 10.20.20.50
traceroute to 10.20.20.50 (10.20.20.50), 30 hops max, 60 byte packets
 1  10.99.0.2  2.114 ms  2.022 ms  2.009 ms
 2  10.20.20.50  28.901 ms  28.744 ms  28.701 ms

Qué significa: el tráfico va por el par VPN y luego a la impresora. Corto y limpio.

Decisión: si ves un salto vía el router de internet o un túnel diferente, corrige las preferencias de ruta.

Tarea 5: Comprobación de saneamiento DNS (directo e inverso)

cr0x@server:~$ getent hosts prn-branch-1.office.example
10.20.20.50     prn-branch-1.office.example

cr0x@server:~$ dig +short -x 10.20.20.50
prn-branch-1.office.example.

Qué significa: mapeo directo e inverso estable.

Decisión: si el DNS inverso apunta a otro sitio o el DNS directo devuelve múltiples IPs, arregla DNS antes de culpar a las impresoras.

Tarea 6: Confirmar qué protocolo usa la cola (CUPS)

cr0x@server:~$ lpstat -v
device for Branch_HP_Color: ipp://prn-branch-1.office.example/ipp/print
device for HQ_Laser: socket://10.10.10.80:9100

Qué significa: la impresora de la sucursal usa IPP, la de HQ usa RAW 9100.

Decisión: prioriza arreglar IPP/TLS/auth para la cola de la sucursal; colas distintas, modos de fallo distintos.

Tarea 7: Enviar un trabajo de prueba pequeño y observar dónde se atasca

cr0x@server:~$ echo "test page $(date)" | lp -d Branch_HP_Color
request id is Branch_HP_Color-381 (1 file(s))

cr0x@server:~$ lpstat -o
Branch_HP_Color-381  cr0x  1024   Sat 27 Dec 2025 02:11:49 PM UTC

Qué significa: el trabajo está encolado en CUPS.

Decisión: si nunca sale de la cola, inspecciona logs de CUPS y conectividad del backend; si sale pero no imprime, inspecciona logs del lado impresora.

Tarea 8: Inspeccionar logs de error de CUPS por timeouts de backend

cr0x@server:~$ sudo tail -n 30 /var/log/cups/error_log
E [27/Dec/2025:14:11:52 +0000] [Job 381] Unable to connect to printer; will retry in 30 seconds
E [27/Dec/2025:14:12:22 +0000] [Job 381] Connection timed out
W [27/Dec/2025:14:12:22 +0000] [Job 381] Retrying job due to previous error; attempt 2 of 5

Qué significa: el spooler no puede mantener una conexión con el endpoint.

Decisión: revisa timeouts de firewall por inactividad, MTU y pérdida de paquetes; también confirma que la impresora no esté en modo ahorro/apagada en el extremo lejano.

Tarea 9: Captura de paquetes en el servidor de impresión (probar resets vs bloqueos)

cr0x@server:~$ sudo tcpdump -ni wg0 host 10.20.20.50 and tcp port 631 -c 12
tcpdump: verbose output suppressed, use -v[v]... for full protocol decode
listening on wg0, link-type RAW (Raw IP), snapshot length 262144 bytes
14:12:01.012345 IP 10.99.0.1.49122 > 10.20.20.50.631: Flags [S], seq 123456789, win 64240, options [mss 1380,sackOK,TS val 111 ecr 0], length 0
14:12:01.041002 IP 10.20.20.50.631 > 10.99.0.1.49122: Flags [S.], seq 987654321, ack 123456790, win 65535, options [mss 1380,sackOK,TS val 222 ecr 111], length 0
14:12:01.041100 IP 10.99.0.1.49122 > 10.20.20.50.631: Flags [.], ack 1, win 64240, options [TS val 111 ecr 222], length 0
14:12:31.044512 IP 10.99.0.1.49122 > 10.20.20.50.631: Flags [F.], seq 1, ack 1, win 64240, options [TS val 333 ecr 222], length 0

Qué significa: handshake tiene éxito; luego nada durante ~30 segundos; luego el cliente cierra.
Esto parece un bloqueo de aplicación o un middlebox que abandona paquetes silenciosamente.

Decisión: verifica MTU/fragmentación y revisa ajustes de ahorro/energía de la impresora; considera forzar IPPS o usar un spooler local en la sucursal.

Tarea 10: Validar comportamiento del endpoint IPP (comprobación HTTP rápida)

cr0x@server:~$ curl -I http://prn-branch-1.office.example:631/
HTTP/1.1 200 OK
Server: CUPS/2.4
Content-Type: text/html; charset=utf-8

Qué significa: el puerto 631 responde HTTP; podría ser un IPP embebido de la impresora o una instancia CUPS.

Decisión: si esperas una impresora pero ves “CUPS”, podrías estar llegando al host/ IP equivocado vía DNS o NAT.

Tarea 11: Comprobar si la impresora es alcanzable en RAW 9100 (si se usa)

cr0x@server:~$ nc -vz 10.20.20.50 9100
Connection to 10.20.20.50 9100 port [tcp/*] succeeded!

Qué significa: el puerto clásico está abierto.

Decisión: si 9100 está abierto pero IPP no, elige un protocolo y estandariza; no permitas que los clientes “cambien automáticamente” durante fallos.

Tarea 12: Confirmar que CUPS ve la impresora como que acepta trabajos

cr0x@server:~$ lpstat -p Branch_HP_Color -l
printer Branch_HP_Color is idle.  enabled since Sat 27 Dec 2025 01:40:02 PM UTC
        Form mounted:
        Content types: any
        Printer types: unknown
        Description: Branch HP Color
        Alerts: none
        Location: Branch Office
        Connection: ipp://prn-branch-1.office.example/ipp/print

Qué significa: la cola está habilitada e inactiva en el lado del servidor.

Decisión: si está “stopped”, ejecuta un reinicio controlado de la cola e inspecciona por qué se detuvo (auth, error de backend).

Tarea 13: Reiniciar la cola limpiamente (no reiniciar todo)

cr0x@server:~$ sudo cupsdisable Branch_HP_Color
cr0x@server:~$ sudo cupsenable Branch_HP_Color
cr0x@server:~$ sudo cupsaccept Branch_HP_Color

Qué significa: restableces el estado de aceptación/habilitado sin reiniciar todo el subsistema de impresión.

Decisión: si deshabilitar/habilitar borra trabajos atascados repetidamente, el problema subyacente sigue allí; recopila logs y arregla la causa raíz.

Tarea 14: En sistemas systemd, comprobar salud de CUPS y errores recientes

cr0x@server:~$ systemctl status cups --no-pager
● cups.service - CUPS Scheduler
     Loaded: loaded (/lib/systemd/system/cups.service; enabled; preset: enabled)
     Active: active (running) since Sat 2025-12-27 13:10:03 UTC; 1h 5min ago
TriggeredBy: ● cups.socket
       Docs: man:cupsd(8)
   Main PID: 1240 (cupsd)
      Tasks: 3
     Memory: 12.4M
        CPU: 2.131s
     CGroup: /system.slice/cups.service
             └─1240 /usr/sbin/cupsd -l

cr0x@server:~$ journalctl -u cups -n 20 --no-pager
Dec 27 14:12:22 server cupsd[1240]: [Job 381] Connection timed out
Dec 27 14:12:22 server cupsd[1240]: [Job 381] Retrying job due to previous error

Qué significa: CUPS está vivo; el fallo es conectividad/backend, no el daemon cayéndose.

Decisión: evita el reflejo de “reiniciar todo”; céntrate en la ruta de red y el comportamiento del dispositivo.

Tarea 15: Medir pérdida de paquetes y jitter rápidamente (mtr)

cr0x@server:~$ mtr -rwzbc 50 10.20.20.50
Start: 2025-12-27T14:14:01+0000
HOST: server                         Loss%   Snt   Last   Avg  Best  Wrst StDev
  1.|-- 10.99.0.2                     0.0%    50   2.1    2.2   1.8   3.4   0.3
  2.|-- 10.20.20.50                   6.0%    50  29.0   31.4  27.9  88.2  10.7

Qué significa: 6% de pérdida hacia la impresora es terrible para protocolos de impresión que esperan entrega TCP continua.

Decisión: arregla el underlay de la VPN (ISP, Wi-Fi, enlace débil), o mueve el spooling local para que la presentación de trabajos sobreviva la pérdida.

Tarea 16: Confirmar contadores de política de firewall (ejemplo nftables)

cr0x@server:~$ sudo nft list ruleset | sed -n '1,120p'
table inet filter {
  chain forward {
    type filter hook forward priority filter; policy drop;
    ct state established,related accept
    iifname "wg0" oifname "eth0" ip daddr 10.10.10.0/24 accept
    iifname "eth0" oifname "wg0" ip daddr 10.20.20.0/24 tcp dport { 631, 9100 } accept
  }
}

Qué significa: permites explícitamente puertos de impresión desde HQ a la sucursal.

Decisión: si tus reglas allow faltan 631/9100/515/445 según sea necesario, añádelas explícitamente y registra drops para visibilidad.

Errores comunes: síntomas → causa raíz → solución

1) “Trabajos pequeños imprimen, PDFs grandes fallan o se cuelgan”

Causa raíz: desajuste MTU/MSS a través de la VPN; fragments son descartados; PMTUD bloqueado.

Solución: ajusta TCP MSS en el túnel/cortafuegos, o establece un MTU menor en la interfaz VPN.
Valida con ping -M do y una captura de paquetes que muestre retransmisiones/fragmentos negros.

2) “Funciona durante horas, luego se detiene hasta que alguien limpia la cola”

Causa raíz: timeouts de firewalls stateful que matan sesiones TCP/9100 de larga duración, o modo de suspensión de la impresora cerrando sockets.

Solución: prefiere IPP con spooling adecuado, reduce la dependencia de streams crudos, o aumenta timeouts de inactividad para flujos de impresión.
También desactiva el ahorro agresivo de energía en la NIC de la impresora si causa churn de conexiones.

3) “Algunos usuarios pueden imprimir, otros no; misma oficina”

Causa raíz: DNS dividido, múltiples sufijos DNS o clientes resolviendo nombres de impresora a IPs diferentes (local vs remoto).

Solución: estandariza la resolución DNS (una sola fuente de verdad), usa nombres estables y evita descubrimiento mDNS para sitios ruteados.

4) “Los trabajos salen del cliente pero nunca aparecen en la impresora”

Causa raíz: los trabajos están atascados en el spooler del servidor, o la impresora rechaza el trabajo por mismatch de driver/PCL/PS.

Solución: revisa logs de la cola del servidor; cambia a un driver universal o IPP Everywhere sin controlador.
Confirma compatibilidad del lenguaje de la impresora (PCL6 vs PostScript).

5) “Todo se rompió después de que ‘optimizamos’ la VPN”

Causa raíz: cambiaron MTU, activaron compresión, activaron ajustes agresivos de encapsulación UDP,
o añadieron shaping sin considerar flujos TCP de larga duración.

Solución: revierte y reintroduce cambios uno a uno con mediciones.
Trata la impresión como una carga canaria porque es sensible a jitter y pérdida.

6) “El descubrimiento de impresoras es inestable entre sitios”

Causa raíz: mDNS/Bonjour y descubrimiento basado en broadcast no atraviesan VPN ruteadas por defecto.

Solución: deja de depender del descubrimiento; publica impresoras vía DNS y colas gestionadas (GPO para Windows, perfiles/MDM para macOS).

7) “Clientes Windows siguen pidiendo instalar drivers o quedan bloqueados”

Causa raíz: endurecimiento de Point-and-Print, políticas de firmado de drivers o paquetes de drivers desajustados en el servidor.

Solución: usa drivers empaquetados soportados por el proveedor o drivers universales, pre-distribuye vía gestión de endpoints y mantiene servidores de impresión parcheados.

8) “La VPN está levantada, pero la impresión falla de forma intermitente en horas punta”

Causa raíz: congestión en el underlay; saturación del túnel; falta de QoS; bufferbloat.

Solución: implementa shaping, reserva capacidad para tráfico interactivo, y evita que la impresión monopolice el túnel.
Considera mover el spooling local para que el WAN lleve flujos de control más pequeños.

Tres micro-historias corporativas desde el terreno

Micro-historia 1: El incidente causado por una suposición equivocada

Una empresa mediana fusionó dos oficinas y las conectó con una VPN site-to-site reluciente. El volumen de tickets del helpdesk
se disparó de inmediato: “La impresión a la otra oficina falla aleatoriamente.” El equipo de red insistía en que la VPN era estable porque
“los pings están bien.”

La suposición equivocada fue sutil: asumieron que el éxito de ICMP significaba que las sesiones TCP se comportarían. En realidad, el enlace VPN estaba
bien para paquetes pequeños, pero el MTU efectivo había bajado tras la encapsulación. PMTUD estaba bloqueado por una regla de firewall que
“nadie recuerda haber añadido”, así que los fragments fueron black-holed.

Los usuarios podían imprimir un documento Word de una página, pero los PDFs de varias páginas se quedaban colgados a mitad de flujo. El spooler
eventualmente caducaba, los usuarios reintentaban, y la impresora luego expulsaba páginas parciales como si audicionara para arte moderno.

La solución fue aburrida e inmediata: ajustar TCP MSS en la interfaz del túnel y permitir los mensajes ICMP “fragmentation needed”.
Después de eso, los trabajos grandes se comportaron. El helpdesk dejó de tratar las impresoras como objetos malditos.

La lección duradera: nunca aceptes “ping funciona” como prueba de que un path WAN es saludable para payloads TCP a granel.
La impresión es un arnés de prueba MTU sorprendentemente efectivo.

Micro-historia 2: La optimización que salió mal

Otra organización tuvo impresión estable durante años usando un servidor de impresión Windows en la sucursal. Alguien decidió que un servidor local era “deuda técnica”
y lo reemplazó por impresión directa: cada puesto mapeaba directamente a cada impresora sobre la VPN. Menos servidores, menos parches, menos problemas.
Ese fue el argumento.

El retroceso llegó en tres oleadas. Primera oleada: drivers inconsistentes. Algunos portátiles tenían drivers del fabricante, otros un driver universal,
otros lo que Windows Update les dio. La salida de impresión varió: falta grapado, bandejas equivocadas, etiquetas rotadas.
No catastrófico, pero embarazoso.

Segunda oleada: carga en la VPN. La mañana pico creó docenas de streams TCP/9100 directos simultáneos a través del túnel. La calidad de VoIP bajó,
y empezaron las quejas de “la VPN está lenta”, incluso para usuarios que no imprimían. El equipo de red respondió apretando timeouts de inactividad
para mantener la tabla de estados pequeña. Ahí llegó la tercera oleada.

Tercera oleada: fallos aleatorios a mitad de trabajo. Los trabajos largos se quedaban colgados. Los usuarios reintentaban. El túnel llevaba aún más tráfico duplicado.
El equipo empezó a reiniciar impresoras, lo que temporalmente “arreglaba” el síntoma al limpiar sockets. Se convirtió en un ritual: si la impresión falla, sacrifica diez minutos a los dioses de la impresora.

Al final volvieron a un servidor de impresión por sucursal. Un solo spooler por sitio hizo que los reintentos fueran sensatos y redujo el ruido en el WAN.
La “optimización” era real—menos servidores—pero externalizó la fiabilidad a cientos de endpoints y a una VPN que no se había apuntado al trabajo.

Micro-historia 3: La práctica aburrida pero correcta que salvó el día

Una firma distribuida tenía impresoras en cinco oficinas y una malla IPsec siempre activa. No trataron la impresión como algo especial;
la trataron como cualquier otro servicio de producción. Las impresoras tenían reservas DHCP estáticas, nombres DNS y un estándar interno pequeño:
IPP cuando era posible, de lo contrario RAW 9100 detrás de un servidor de impresión local. Nada sofisticado.

Una vez por trimestre, alguien ejecutaba una lista de mantenimiento: confirmar versiones de firmware, exportar configuraciones de impresora, verificar colas de servidores de impresión,
y realizar una impresión de prueba controlada a través de cada sitio. También tenían monitorización simple: comprobaciones de puerto TCP y una “presentación sintética de trabajo”
que no desperdiciaba papel (apuntaba a una cola virtual o retenía el trabajo).

Un lunes, una sucursal cambió de ISP. La VPN se levantó, el correo funcionó, las aplicaciones web funcionaron. La impresión falló para esa sucursal.
En lugar de revolverse, ejecutaron el mismo guion: mtr mostró pérdida intermitente y picos; tcpdump mostró retransmisiones; logs de CUPS mostraron timeouts.
No era un problema de impresora.

Entregaron al ISP un informe de pérdida de paquetes limpio y mantuvieron la impresión local mientras el ISP arreglaba el underlay.
Nadie tocó drivers. Nadie reinició impresoras con ira. La práctica era aburrida y evitó el caos.

Broma #2: Imprimir sobre una VPN es como transportar un sofá por una puerta giratoria; es posible, pero más vale medir primero.

Listas de verificación / plan paso a paso

Plan paso a paso para impresión cruzada estable

  1. Elige la arquitectura.
    Por defecto: servidor de impresión local por sitio. Centraliza solo si puedes justificar la dependencia del WAN.
  2. Estandariza protocolo y drivers.
    Prefiere IPP/IPPS y drivers sin controlador o universales cuando sea posible.
    Evita mezclar “algunas colas son IPP, otras SMB, otras RAW” a menos que disfrutes depurar.
  3. Fija el direccionamiento.
    Reservas DHCP para impresoras, nombres DNS estables, y vistas DNS consistentes entre sitios.
  4. Haz el enrutamiento explícito.
    Asegura que ambos lados enruten subredes de impresoras simétricamente sobre el túnel. Evita NAT sorpresa.
  5. Arregla MTU/MSS antes del despliegue.
    Valida con pings DF y algunos trabajos de impresión grandes de prueba. Si no pruebas esto, lo harán los usuarios.
  6. Establece reglas de firewall intencionadas.
    Permite solo los puertos necesarios entre servidores de impresión e impresoras. Registra drops para subredes de impresión.
  7. Ajusta timeouts para la realidad WAN.
    Los enlaces VPN tienen más latencia que LANs; no dejes que los spoolers se rindan demasiado pronto.
  8. Deja de depender del descubrimiento multicast entre sitios.
    Publica impresoras mediante colas gestionadas. Si debes usar mDNS, despliega un reflector conscientemente y móntorealo.
  9. Construye un bucle mínimo de monitorización.
    Comprobaciones de puerto a impresoras, salud de colas en servidores y una presentación sintética periódica.
  10. Documenta el “camino de impresión”.
    Para cada sitio: cliente → servidor → impresora, incluyendo protocolo y puertos. Este es tu mapa de incidentes.

Lista operativa para ventanas de cambio (VPN, firewall, ISP)

  • Antes: ejecuta pruebas MTU DF ping entre servidores de impresión e impresoras remotas; registra el tamaño máximo que funciona.
  • Antes: captura rutas y reglas de firewall actuales relevantes a subredes de impresora.
  • Durante: valida conectividad TCP en los puertos reales de impresión (631/9100/515/445 según aplique).
  • Durante: ejecuta un trabajo de prueba desde cada sitio a cada cola de impresora crítica; observa logs de spooler en tiempo real.
  • Después: confirma que la monitorización está en verde y que el backlog de colas es normal.
  • Si hay problemas: revierte cambios de red antes de “reinstalar drivers.” Los drivers rara vez son el primer dominó.

Lista de seguridad que no arruinará la fiabilidad

  • Prefiere IPPS cuando sea compatible; evita exponer UIs de administración de impresoras ampliamente por la VPN.
  • Segmenta impresoras en VLANs dedicadas y restringe quién puede hablar con ellas (normalmente solo servidores de impresión).
  • Mantén el firmware de impresoras actualizado según un calendario; las impresoras traen vulnerabilidades como cualquier otro equipo.
  • Desactiva protocolos legacy que no uses (versiones antiguas de SMB, telnet, FTP) para reducir la superficie de ataque.
  • Registra autenticación y acciones administrativas en servidores de impresión; no finjas que las impresoras “no son sistemas reales”.

Preguntas frecuentes (FAQ)

1) ¿Deberíamos imprimir directamente a impresoras remotas sobre la VPN?

Solo para excepciones limitadas. Para impresión de oficina normal, usa un servidor de impresión local por sitio.
Directo-a-impresora multiplica la inconsistencia de drivers y convierte la oscilación de la VPN en una caída visible para el usuario.

2) ¿Qué protocolo es mejor sobre una VPN: IPP, RAW 9100, LPD o SMB?

Prefiere IPP/IPPS cuando las impresoras lo soporten bien. RAW 9100 es simple pero frágil con timeouts por inactividad y da estado pobre.
SMB está bien dentro de una LAN Windows, pero a través de VPN es más sensible a latencia y problemas de autenticación.
LPD es antiguo y suele funcionar, pero no es una postura de seguridad moderna.

3) ¿Por qué el descubrimiento de impresoras funciona en una oficina pero no a través de la VPN?

Porque el descubrimiento suele depender de multicast (mDNS/Bonjour) y broadcast, que las VPN ruteadas no transportan por defecto.
Usa DNS y colas gestionadas en lugar de descubrimiento para configuraciones entre sedes.

4) Los trabajos se encolan pero nunca imprimen. ¿Es la impresora o la VPN?

Encuentra dónde se detiene el trabajo: spooler del cliente, cola del servidor o impresora.
Si los logs de CUPS/servidor muestran timeouts de conexión, sospecha de la ruta de red (pérdida/MTU/timeouts).
Si la conexión es estable pero los trabajos fallan, sospecha de mismatch de driver/PDL o límites del lado impresora.

5) ¿Por qué los PDFs grandes fallan más que documentos pequeños?

Problemas de MTU y pérdida de paquetes se manifiestan como fallos dependientes del tamaño.
Arregla MTU/MSS y verifica que PMTUD no esté bloqueado. También revisa congestión del túnel y shaping.

6) ¿Necesitamos QoS para impresión?

Si tu túnel tiene ancho de banda de sobra, quizá no. Si está limitado, sí.
La impresión puede saturar enlaces pequeños y causar “todo va lento.” Regúlala para que sea constante pero no dominante.

7) ¿Cómo evitamos el caos de drivers entre sedes?

Estandariza en impresión sin controlador o drivers universales donde sea posible, y distribuye colas vía gestión central
(GPO/MDM). Evita que los usuarios “añadan impresora” de forma ad-hoc desde menús de descubrimiento.

8) ¿Es mala idea un único servidor de impresión central?

No inherentemente. Es un trade-off: gestión más simple, pero mayor dependencia del WAN y de un solo servidor.
Si centralizas, usa IPPS, ajusta timeouts y haz el servidor robusto (espacio en disco para spools, monitorización, parcheo).

9) Ya tenemos una VPN site-to-site. ¿Por qué necesitamos cambiar algo?

Porque “VPN levantada” no significa “VPN buena para TCP a granel con flujos de larga duración.”
La impresión es sensible a MTU, pérdida, timeouts y resolución de nombres. Haz esos aspectos explícitos y medibles.

10) ¿Cuál es la solución rápida y fiable durante una caída?

Mueve el spooling local: imprime a un servidor local en el mismo sitio que la impresora, y deja que ese servidor reintente.
Si no tienes servidores locales, despliega temporalmente uno (incluso una VM pequeña) y redirige las colas críticas.

Conclusión: siguientes pasos que puedes hacer esta semana

Si quieres impresión estable entre oficinas, deja de tratar las impresoras como electrodomésticos místicos y empieza a tratarlas
como endpoints en una red ruteada con una capa de aplicación frágil. Tu mejor movimiento es arquitectónico: spooling local
cerca de las impresoras, protocolos consistentes, nombres estables y comportamiento VPN medido.

  1. Dibuja el camino de impresión para cada oficina (cliente → servidor → impresora) y anota protocolo/puerto.
  2. Elige un estándar (IPP/IPPS preferido) y migra primero las colas raras.
  3. Arregla MTU/MSS y valida con pings DF y un par de trabajos de impresión intencionalmente grandes.
  4. Reemplaza el descubrimiento por DNS + colas gestionadas. El descubrimiento es para cafeterías, no para WAN corporativas.
  5. Añade dos monitores: disponibilidad de puerto y salud de colas. Quieres saber que está roto antes que el director financiero.

Haz eso, y “fallos aleatorios de impresión” se convierte en “un ticket predecible con una solución corta”, que es lo más cerca
de la felicidad que permite la impresión.

← Anterior
Cuando los núcleos vencen a los relojes: el verdadero punto de inflexión
Siguiente →
ZFS zfs release: Cómo eliminar realmente snapshots «indelebles»

Artículos relacionados

Impresoras entre oficinas: solucionar «Lo veo pero no imprime» sobre VPN enero 23, 2026 Dos enlaces a Internet en la oficina: conmutación por fallo de VPN en MikroTik sin caos noviembre 22, 2025 VPN de oficina + VoIP: Cómo reducir jitter y latencia en túneles octubre 27, 2025 Tailscale: VPN sin dolor y los errores de acceso que aún duelen octubre 15, 2025 ¿No se detecta IOMMU en Proxmox? Arréglalo en 10 minutos (UEFI + flags del kernel) febrero 7, 2026 El tiempo de Windows sigue desviándose: la corrección de NTP que la gente olvida febrero 7, 2026 Mapear automáticamente unidades SMB por usuario al iniciar sesión febrero 7, 2026 Instalación de Void Linux: la distro minimalista que se siente sorprendentemente moderna febrero 7, 2026 Renombrado masivo seguro: el script que no destroza nombres febrero 7, 2026 Claves SSH en WSL: Configuración segura (y cómo no filtrarlas) febrero 7, 2026

Deja un comentario