Configurar una VPN directamente en el router es una de las formas más cómodas de proteger toda tu red de casa o de la oficina. En lugar de ir dispositivo por dispositivo, basta con montar un servidor OpenVPN en el router para que cualquier equipo que se conecte al Wi‑Fi salga ya cifrado y con tu IP real oculta.
OpenVPN es de los protocolos VPN más usados del mundo, es de código abierto y está disponible en casi cualquier sistema. Bien ajustado, te permite combinar alto nivel de seguridad, buen rendimiento y compatibilidad con routers de marcas como ASUS, TP‑Link u Omada, además de servidores Linux y Windows.
¿Qué es una VPN y por qué montarla en el router?
Una VPN (Red Privada Virtual) crea un túnel cifrado entre tu dispositivo e Internet, de forma que tu proveedor, redes Wi‑Fi públicas o posibles atacantes no puedan ver ni manipular tu tráfico. A efectos prácticos, tu IP pública cambia por la del servidor VPN y tus datos viajan protegidos.
Si en lugar de instalar la VPN en cada dispositivo la configuras en el router, todo el tráfico que pase por ese router quedará automáticamente protegido: ordenadores, móviles, consolas, Smart TV, cámaras IP, domótica… sin tocar nada en cada aparato (o tocando solo lo mínimo cuando se usa el router como cliente).
Ventajas y desventajas de usar VPN en el router
Ventajas generales de una VPN
Cuando activas una VPN, lo primero que notas es que tu IP pública cambia. Esto implica que puedes ocultar o “disfrazar” tu dirección IP real y navegar con más privacidad, incluso si un servicio te ha bloqueado por IP o quieres evitar rastreos excesivos.
Otra gran ventaja es que la conexión va cifrada de extremo a extremo entre tu dispositivo y el servidor VPN. Aunque te conectes a una Wi‑Fi abierta en un bar o un aeropuerto, un atacante no podrá espiar fácilmente tus credenciales, datos bancarios o ficheros que subes o descargas.
Además, al cambiar tu IP aparente de país, puedes acceder a contenidos restringidos geográficamente: catálogos de streaming, webs bloqueadas por región, páginas de apuestas o servicios vetados en tu ubicación. Para trabajo remoto también es útil para entrar en recursos corporativos desde cualquier lugar.
También mejora tu anonimato relativo: se reduce el rastro directo que dejas atado a tu IP doméstica. Aunque sigan existiendo cookies e historiales, complica bastante el seguimiento sistemático por IP.
Por último, las VPN comerciales y el propio OpenVPN son bastante sencillos de usar para el usuario medio: muchas veces es abrir app, meter usuario y contraseña, pulsar conectar y listo. Y si lo tienes en el router, ni siquiera hay que acordarse de activarla en cada dispositivo.
Inconvenientes y puntos a vigilar
Lo que casi siempre notarás es cierta pérdida de rendimiento. El cifrado y el salto extra hasta el servidor hacen que, según el hardware y el servidor elegido, baje la velocidad y suba algo la latencia. En routers flojos o servicios gratuitos, la diferencia puede ser muy grande.
Otro aspecto es que usar VPN no sustituye al antivirus ni a un buen comportamiento. Si descargas ejecutables infectados o entras en webs maliciosas, la VPN no te va a salvar. De hecho, hay programas supuestamente “VPN gratis” que traen malware, por lo que es importante usar proveedores y software confiables.
Además, en el caso concreto de OpenVPN, aunque la instalación en PC o móvil es sencilla, una configuración avanzada (certificados, scripts, rutas…) puede hacerse cuesta arriba para quien no esté acostumbrado. Montarla en el router añade otra capa: necesitas un router compatible o recurrir a firmwares específicos.
¿Por qué OpenVPN es una buena elección?
OpenVPN es una solución VPN de código abierto muy extendida, capaz de funcionar en modo túnel de capa 3 (TUN) o en modo puente de capa 2 (TAP). Es compatible con prácticamente todos los sistemas de escritorio (Windows, Linux, macOS), servidores, y también con Android e iOS mediante apps.
Al basarse en SSL/TLS, permite autenticación mediante certificados digitales, usuarios/contraseñas o ambas cosas. Es más flexible y, en muchos casos, más fácil de manejar que IPsec, ofreciendo una enorme cantidad de parámetros para ajustar rendimiento y seguridad.
En cuanto a rendimiento, OpenVPN es capaz de ofrecer velocidades muy buenas con latencia baja y conexiones estables, siempre que el servidor tenga recursos suficientes y la configuración de cifrado esté bien elegida. Suele funcionar sobre UDP para evitar retransmisiones y sacar más velocidad, con opciones de compresión y optimización adicionales.
Modos TUN y TAP en OpenVPN
Con el modo TUN, OpenVPN emula una interfaz punto a punto que maneja tráfico IP. Encapsula paquetes IP en UDP o TCP, ideal para crear una subred virtual diferente a la red local física; por ejemplo 10.8.0.0/24 donde se ubican todos los clientes VPN.
En modo TAP, se simula una interfaz Ethernet completa, por lo que se encapsulan tramas Ethernet enteras, no solo IP. Esto permite que los equipos remotos parezcan estar en la misma subred que los locales (útil para algunos escenarios de puenteo y servicios que dependen del broadcast), aunque se complica si la red del origen y del destino comparten el mismo rango.
Criptografía recomendada para una VPN OpenVPN segura
Una configuración moderna y robusta de OpenVPN suele apostar por certificados basados en curvas elípticas (EC) para la CA, el servidor y los clientes, por ejemplo usando la curva secp521r1 y un hash fuerte como SHA‑512 en la firma.
En el canal de control TLS, lo recomendable es usar TLS 1.2 como mínimo, y si es posible TLS 1.3. Se usan suites con ECDHE para Perfect Forward Secrecy, como TLS‑ECDHE‑RSA‑WITH‑AES‑256‑GCM‑SHA384 o las nuevas suites TLS_AES_256_GCM_SHA384 y TLS_CHACHA20_POLY1305_SHA256 en TLS 1.3. Puedes revisar lo que soporta tu instalación con los comandos de OpenVPN para listar ciphers y curvas.
Para el canal de datos, hoy en día lo ideal es AES‑256‑GCM o CHACHA20‑POLY1305. Si tu CPU tiene soporte AES‑NI suele ser más rápido AES‑GCM; en dispositivos sin aceleración, CHACHA20‑POLY1305 acostumbra a rendir mejor. OpenVPN incluye herramientas para ver los cifrados disponibles (openvpn –show-ciphers).
Además, es aconsejable adicionar una capa HMAC con tls-crypt, que cifra y autentica la fase inicial de TLS. Esto mitiga ataques de denegación de servicio, flood de puertos UDP o SYN en TCP, y evita que un cliente sin la clave correcta pueda ni siquiera iniciar el “handshake”. En versiones antiguas se usaba tls-auth; tls-crypt es la evolución que también cifra esa clave precompartida.
Requisitos previos para usar OpenVPN en tu router
Antes de lanzarte a activar OpenVPN en tu router, conviene revisar algunos puntos. Primero, asegúrate de que tu router soporta servidor OpenVPN; muchos modelos de gama media/alta de ASUS, TP‑Link, Omada y otros lo traen, pero no todos.
Segundo, necesitas que tu conexión a Internet tenga IP pública accesible desde fuera. Si estás detrás de CG‑NAT (algo habitual en ciertos operadores de fibra o radioenlace), no podrás redirigir puertos hacia tu router y OpenVPN no funcionará desde el exterior, salvo que el proveedor te dé una IP pública estática o salgas del CG‑NAT.
También es importante configurar un DNS dinámico (DDNS) o tener IP estática en la WAN. Así los clientes podrán conectarse con un nombre (mi-vpn.dyndns.org) sin preocuparse si la IP cambia. Y por seguridad, se recomienda tener la hora del sistema sincronizada con Internet, cosa que los routers modernos hacen vía NTP.
Configuración de servidor OpenVPN en routers TP‑Link
Caso 1: Solo un router en la red doméstica
En un escenario sencillo con un único router TP‑Link, el proceso típico es iniciar sesión en la interfaz web del equipo, ir a la sección avanzada de Servidor VPN > OpenVPN y activar el servidor. Si es la primera vez, el router te pedirá generar certificados para poder continuar.
Después deberás elegir protocolo (UDP o TCP), establecer el puerto del servicio dentro del rango 1024-65535, y definir la subred/máscara de la VPN (por ejemplo 10.8.0.0/24) desde la que se asignarán IPs virtuales a los clientes.
El router también te dejará escoger el tipo de acceso del cliente: solo a la red doméstica, o red doméstica e Internet (para que el tráfico salga a Internet a través de tu casa, útil si quieres usar la IP de tu hogar cuando estás fuera). Una vez ajustado, se guarda la configuración, se genera el certificado si no existía y se exporta un archivo de configuración que luego usarán los clientes OpenVPN.
Caso 2: Dos o más routers en el mapa de red
Si tienes un módem‑router de tu operador y detrás un segundo router TP‑Link en modo neutro, la cosa se complica ligeramente. Igual que antes, configuras OpenVPN en el router interior (Router2): protocolo, puerto, subred VPN, tipo de acceso, generación y exportación del fichero de configuración.
Luego hay que abrir el puerto en el módem/router principal (Router1) hacia la IP del Router2, usando la función de servidor virtual o port forwarding. Es importante que el puerto interno coincida con el puerto de servicio VPN configurado, y que memorices el puerto externo que uses.
Después, en el fichero .ovpn exportado por el Router2, deberás editar dos datos clave: cambiar la dirección remota por la IP WAN del Router1 (la IP pública que te da el operador) y sustituir el puerto por el puerto externo que has redirigido. Guardas el archivo y ya podrás usarlo en los clientes externos.
Configurar servidor OpenVPN en routers ASUS
En los routers ASUS con AsusWRT, el proceso también es bastante guiado. Tras entrar en la interfaz web (http://www.asusrouter.com o la IP LAN del router), accedes a VPN > Servidor VPN y eliges OpenVPN. Según el firmware, la interfaz puede variar ligeramente, pero la lógica es similar.
Podrás establecer el puerto del servidor (se recomienda uno entre 1024 y 65535), longitud de la clave RSA, y si los clientes usarán la VPN solo para la LAN o también para salir a Internet. Por defecto, las credenciales de los clientes OpenVPN suelen ser las del propio router, aunque puedes añadir cuentas específicas para más seguridad.
Una vez aplicados los ajustes, activas el servidor OpenVPN y exportas el archivo de configuración .ovpn, que ya trae embebidos certificados y parámetros básicos. Cada vez que cambies la configuración relevante del servidor, conviene volver a exportar el archivo para que los clientes queden sincronizados.
Servidor OpenVPN con Omada (TP‑Link)
En entornos gestionados con Omada Controller, puedes crear una política de VPN tipo Servidor VPN – OpenVPN con propósito Cliente‑a‑Sitio. Le asignas un nombre, lo habilitas, eliges modo túnel (dividido o completo), protocolo (TCP/UDP), puerto, método de autenticación local y el rango de IPs que se asignarán a los clientes.
También puedes definir DNS primario y secundario que usará el cliente (por ejemplo 8.8.8.8 y 8.8.4.4 o los de tu red interna). Tras guardar la política, se crean usuarios de VPN asociados a ese servidor (con nombre de cuenta, contraseña y tipo OpenVPN).
Luego se exporta el archivo .ovpn de esa política y se importa en el cliente OpenVPN de escritorio o móvil. Si algo falla, a veces conviene usar el cliente “Community” de OpenVPN en lugar de OpenVPN Connect, y ajustar parámetros como data-ciphers (por ejemplo añadiendo AES‑128‑CBC) o cambiar la IP remota a la IP pública real del sitio.
Montar un servidor OpenVPN avanzado en GNU/Linux
Si en lugar de depender de la interfaz del router quieres un control completo, puedes levantar tu propio servidor OpenVPN en un Linux (por ejemplo Debian) y luego crear una ruta estática en el router apuntando a ese servidor para que la red local vea a los clientes VPN.
Instalación básica de OpenVPN en Debian
En Debian u otras distros derivadas, la instalación pasa por actualizar el sistema e instalar el paquete openvpn desde los repositorios. Con un simple comando apt descargas el binario de OpenVPN y sus dependencias, quedando listo para empezar a generar certificados y archivos de configuración.
Generación de certificados con Easy‑RSA 3
Para manejar la PKI (Infraestructura de Clave Pública) de manera cómoda, se suele emplear Easy‑RSA 3, que automatiza la creación de CA, certificados de servidor y clientes. Se descarga normalmente desde GitHub, se descomprime y se trabaja sobre su directorio principal.
El corazón de la configuración está en el archivo vars, donde defines si vas a usar RSA o curvas elípticas (EASYRSA_ALGO), la curva (EASYRSA_CURVE), el hash (EASYRSA_DIGEST), tiempos de expiración y si quieres un Distinguished Name completo o solo CN. Ajustar aquí EC con secp521r1 y SHA‑512 te deja una base criptográfica muy robusta.
Una vez configurado vars, se inicializa la PKI con el comando correspondiente (init-pki), se crea la CA (con o sin contraseña para la clave privada) y se van generando las peticiones de certificado (gen-req) del servidor y de cada cliente, firmándolas después (sign-req) como server o client según proceda.
Después conviene organizar los ficheros en carpetas separadas: una para el servidor y otra para cada cliente, con su .crt, su .key, la ca.crt y la clave ta.key que usarás para tls-crypt. Esto facilita luego crear los archivos .conf/.ovpn sin volverse loco.
Clave tls-crypt y parámetros Diffie‑Hellman
Con las versiones modernas de OpenVPN, cuando utilizas ECDHE no necesitas crear un fichero específico de parámetros Diffie‑Hellman, por lo que puedes marcar dh none en la configuración del servidor. Lo que sí es fundamental es generar una clave simétrica que usarás con tls-crypt (por ejemplo ta.key), que deberás copiar idéntica en servidor y clientes.
Ejemplo de configuración segura del servidor OpenVPN
Un fichero típico de servidor en Linux incluirá directivas como port 11949, proto udp y dev tun, indicando el puerto, el protocolo y el tipo de interfaz virtual. Luego se hace referencia a los certificados y claves: ca, cert, key, dh (o dh none) y tls-crypt ta.key.
En la parte de seguridad, se definen parámetros como cipher AES‑256‑GCM, tls-ciphersuites y tls-cipher con suites TLS 1.2/1.3 seguras, ecdh-curve secp521r1 y tls-version-min 1.2. También se puede desactivar la renegociación (reneg-sec 0) y, si se usa un modo no AEAD, indicar auth SHA512.
La sección de red marcará la topología (subnet) y la subred virtual, por ejemplo server 10.8.0.0 255.255.255.0, además de un fichero ipp.txt para mantener IPs fijas a clientes concretos. Para que los clientes vean la red local, se hace un push de la ruta (route 192.168.X.0 255.255.255.0), se puede forzar el encaminamiento de todo el tráfico por la VPN (redirect-gateway) y dar DNS concretos vía dhcp-option.
También se pueden permitir comunicaciones entre clientes (client-to-client), usar keepalive para detectar caídas y limitar el número máximo de conexiones simultáneas. Finalmente, por seguridad se ejecuta OpenVPN con usuario/grupo sin privilegios, se habilita persistencia de clave e interfaz y se definen rutas de log con un nivel de verbosidad moderado.
Configuración de clientes OpenVPN (PC, Linux, Windows)
Los clientes necesitan un archivo .ovpn o .conf con directivas como client, dev tun, proto udp y remote apuntando al dominio o IP pública del servidor y al puerto que uses. Se suele activar resolv-retry infinite, nobind y persist-key/tun para mejorar la estabilidad.
En cuanto a credenciales, el cliente referenciará la ca, su propio cert y key, y el ta.key para tls-crypt. Deben coincidir cipher, auth y parámetros TLS con los del servidor; si el cliente soporta TLS 1.3, se añaden las tls-ciphersuites pertinentes, y si solo TLS 1.2, se usan tls-cipher equivalentes. Se ajusta el nivel de logs con verb 3 o superior cuando hay problemas.
Hacer que la red local acceda a los clientes VPN
Si montas el servidor OpenVPN en un equipo dentro de tu LAN (una Raspberry Pi, un servidor Debian, etc.), y no directamente en el router, tendrás que crear una ruta estática en el router para que la red 10.8.0.0/24 (o la que uses) sea alcanzable.
La idea es sencilla: en el router indicas que la subred 10.8.0.0/24 tiene como puerta de enlace la IP LAN del servidor OpenVPN (por ejemplo 192.168.1.100). Así, cuando un dispositivo de la red local quiera contestar a un cliente VPN, enviará el tráfico al servidor, que ya se encargará de hacer el enrutado dentro del túnel.
Configurar clientes OpenVPN en Android y otros móviles
En Android puedes usar tanto la app oficial de OpenVPN como clientes más avanzados compatibles con las nuevas funciones (TLS 1.3, data-ciphers modernos, etc.). Lo primero es copiar a la memoria del teléfono la carpeta con ca.crt, el certificado y clave del cliente, ta.key y el fichero .ovpn.
Después, desde la app, se importa el perfil (archivo .ovpn), se revisa que los parámetros cargados coinciden con lo que tienes en el servidor y se guarda. A partir de ahí, solo es pulsar sobre el perfil para establecer la conexión; si todo está bien, verás que el teléfono obtiene una IP de la subred virtual y puede acceder a los recursos remotos.
Problemas habituales al conectar y cómo detectarlos
Al montar OpenVPN por primera vez es bastante típico encontrarse con errores en los logs. Si el cliente indica que no puede resolver el dominio del servidor (Host desconocido), revisa el nombre en remote y el estado del servicio DNS dinámico; como prueba rápida, conecta usando directamente la IP pública para descartar problemas de resolución.
Mensajes como Could not determine IPv4/IPv6 protocol apuntan a que no se resuelve ninguna dirección válida; de nuevo, se revisa el host y los registros DNS. Otros avisos del tipo SIGUSR1[soft,init_instance] received suelen indicar reintentos tras un error previo, por ejemplo una contraseña incorrecta del certificado o problemas de firewall en ruta.
Si el cliente se queda eternamente en estados tipo WAIT sin avanzar, normalmente el puerto no está abierto/reenviado correctamente en el router, o el servidor OpenVPN no está arrancado. Es clave revisar el port forwarding y verificar en el servidor que al menos aparece el mensaje Initialization Sequence Completed.
Otros problemas comunes
En Windows aparecen a veces avisos como que las opciones user y group no están implementadas; no son errores críticos, simplemente directivas propias de Linux que puedes eliminar del .ovpn si te molestan. Otro aviso común es ignorar dh en modo cliente, porque Diffie‑Hellman solo pertenece a la configuración del servidor.
Errores como tls-crypt unwrap error o TLS Error: local/remote TLS keys are out of sync suelen indicar que el fichero ta.key no coincide entre servidor y cliente, o que se ha copiado mal. Revisar y volver a copiar esa clave suele resolverlo.
Si ves advertencias relativas al MTU (link-mtu inconsistent) o a compresión (comp-lzo), probablemente servidor y clientes no coinciden en la configuración de compresión o tamaño máximo de paquete. Hoy en día, por seguridad, lo mejor es desactivar totalmente la compresión en ambos lados siempre que sea posible.
Un genérico TLS handshake failed indica, en esencia, que no se ha encontrado una combinación común de cifrados o hay algún parámetro TLS incompatible. Revisar cipher, data-ciphers, tls-cipher(suites) y versión mínima TLS en servidor y cliente suele sacar el problema a la luz.
¿Qué hace buena a una VPN y alternativas a OpenVPN?
A la hora de elegir una VPN (o un servicio que use OpenVPN por debajo), conviene fijarse en varios factores. Un buen servicio debe ofrecer cifrado fuerte de IP y protocolos, proteger cookies e historiales de navegación y, si puede ser, incluir autenticación de dos factores para acceso a la cuenta.
Funcionalidades como Kill Switch, bloqueo de fugas de DNS, políticas estrictas de no registros y servidores optimizados para streaming o P2P son pluses interesantes. A nivel operativo, que la app sea fácil de usar y el soporte responda rápido tampoco es un detalle menor.
Además de OpenVPN, existen otras tecnologías y servicios: WireGuard (muy rápido y moderno), IPsec (clásico en entornos corporativos), o soluciones tipo NordVPN, ProtonVPN, ExpressVPN, CyberGhost, Surfshark, etc. que empaquetan todo con sus propias apps. También hay alternativas libres como Tinc, que ofrece tunneling cifrado y gran flexibilidad, ideal para redes complejas o integrar VPN en routers y NAS con pocos recursos.
Bien desplegada, una VPN basada en OpenVPN en tu router o servidor doméstico puede darte un acceso remoto seguro a tu red, cifrado robusto, buena velocidad y la comodidad de proteger de golpe todos tus dispositivos, siempre que prestes atención a la configuración de certificados, cifrados, rutas y puertos, y compruebes que tu conexión dispone de IP pública sin CG‑NAT que te corte el camino.