Configurar una VPN en tu router con OpenVPN paso a paso

  • Ventajas, desventajas y requisitos clave para montar OpenVPN en un router doméstico o profesional.
  • Guías prácticas para configurar OpenVPN en routers TP-Link, ASUS y Omada.
  • Recomendaciones de cifrado, seguridad avanzada y solución de errores habituales al conectar.
  • Alternativas a OpenVPN y consejos para elegir la VPN y el equipo más adecuados para cada escenario.
Daniel Terrasa

14 minutos

Router configurado con servidor OpenVPN

Configurar una VPN directamente en el router con OpenVPN es una de las formas más potentes y flexibles de proteger toda tu red doméstica o de empresa sin complicarte la vida instalando apps en cada dispositivo. Al hacerlo bien, cualquier equipo que se conecte a tu WiFi o por cable saldrá a Internet a través de un túnel cifrado, como si estuviera físicamente en otra red.

Esta guía reúne, reorganiza y amplía la información técnica de fabricantes como TP-Link, ASUS, Omada y la documentación oficial de OpenVPN para que tengas en un solo artículo todo lo necesario: qué es OpenVPN, qué ganas y qué pierdes al usarlo, cómo montarlo en routers y servidores, cómo conectarte desde PC y móvil, y cómo resolver los errores más habituales.

Qué es OpenVPN y por qué usarlo en tu router

OpenVPN es un software de VPN de código abierto que crea un «túnel» cifrado entre un cliente (tu portátil, móvil, etc.) y un servidor (tu router, un servidor Linux, un NAS…). Trabaja sobre SSL/TLS, lo que permite usar certificados digitales, claves, usuario y contraseña, y una gran variedad de algoritmos de cifrado modernos.

Una de sus grandes ventajas frente a otros protocolos como IPsec es que resulta más sencillo de configurar. Además, está disponible prácticamente en cualquier sistema operativo (Windows, macOS, GNU/Linux, Android, iOS, routers, firewalls, NAS…).

Cuando instalas y activas OpenVPN en el router, el propio router actúa como servidor VPN. Tu red local pasa a ser el «lado seguro», y los dispositivos remotos (clientes VPN) se conectan desde fuera de casa u oficina atravesando Internet, pero siempre cifrados. El router hace de puerta de enlace entre la VPN y tu LAN.

El resultado es que puedes navegar de forma segura desde redes WiFi públicas, acceder a tus recursos internos (NAS, impresoras, cámaras IP, servidores SMB/FTP…) como si estuvieras en tu casa, y además ocultar tu IP real o sortear bloqueos geográficos según cómo montes la configuración.

openvpn

Ventajas y desventajas de usar una VPN y OpenVPN

Montar una VPN en el router con OpenVPN tiene muchas ventajas prácticas, pero también algunos inconvenientes que conviene conocer antes de ponerte manos a la obra, para elegir bien el equipo, el proveedor de Internet y el tipo de montaje. He aquí la lista:

  • Posibilidad de cambiar u ocultar tu dirección IP.
  • Cifrar el tráfico para evitar que te espíen (especialmente útil en WiFi abiertas).
  • Acceder a contenido restringido por país.
  • Navegar con un grado de anonimato mucho mayor.

En el apartado de privacidad, la VPN evita que cualquiera pueda ver fácilmente qué webs visitas o desde dónde te conectas, aunque tu operador siempre tendrá cierto nivel de visibilidad. Aun así, dificulta muchísimo que se te pueda rastrear a través de sniffers, puntos de acceso inseguros o redes compartidas.

Como contrapartida, el cifrado y el paso por el servidor VPN consumen recursos y suelen reducir la velocidad y el ancho de banda disponible, sobre todo si el router es poco potente o usas servicios gratuitos. Además, sigue siendo imprescindible un buen antivirus y cuidado al descargar software, porque una VPN no te inmuniza frente a malware.

Sus puntos fuertes son la seguridad, la estabilidad, el amplio margen de personalización (capa 2 o 3, túneles TUN o TAP, IP dinámica sin problema, compatibilidad con NAT…) y el gran control sobre reglas de firewall y scripts de arranque, pero exige entender bien su configuración, sobre todo si vas a personalizar algoritmos y certificados.

Requisitos previos y consideraciones importantes (CG-NAT, IP pública y DNS dinámico)

Antes siquiera de activar OpenVPN en el router tienes que comprobar varios puntos clave:

  • Si tu router soporta servidor OpenVPN.
  • Que tu conexión a Internet tenga IP pública.
  • Si necesitas usar DNS dinámico.

Muchos routers de gama media y alta de TP-Link, ASUS u Omada traen ya servidor OpenVPN integrado, pero no todos los modelos lo incluyen ni en todos los firmwares. Conviene revisar las especificaciones de tu modelo y, si hace falta, actualizar el firmware a la última versión que ofrezca el fabricante.

El requisito más crítico es disponer de una IP pública en la WAN del router. Si tu operador usa CG-NAT y te entrega una IP privada compartida (algo frecuente en conexiones 4G/5G o ciertos ISPs), no podrás redirigir puertos desde Internet a tu router, por lo que la VPN no será accesible desde fuera. En ese caso tendrás que pedir una IP estática o pública al ISP.

Para poder localizar tu router por nombre y no por IP numérica, es muy práctico activar un servicio de DNS dinámico en el propio router (NO-IP, DynDNS, el servicio propio del fabricante, etc.). De esta forma podrás conectarte a midominio.no-ip.org en lugar de memorizar tu IP pública, que puede cambiar.

Además, es recomendable sincronizar bien la hora del sistema del router con Internet, ya que los certificados digitales y las funciones TLS dependen de fechas y horas correctas. Un desfase puede provocar errores extraños de validación de certificados.

openvpn

Cómo funciona OpenVPN a nivel técnico y qué modos ofrece (TUN/TAP, UDP/TCP)

OpenVPN puede operar en modo TUN o TAP, y utilizando UDP o TCP como protocolo de transporte. Cada elección afecta al rendimiento, la compatibilidad y el tipo de red que se crea entre cliente y servidor.

  • El modo TUN emula una interfaz punto a punto y trabaja con tráfico IP exclusivamente. Es ideal para crear una nueva subred virtual (por ejemplo 10.8.0.0/24) donde se ubican los clientes VPN, separados de la LAN física. Es el modo más usado para acceso remoto y suele ofrecer mejor rendimiento.
  • El modo TAP simula una interfaz Ethernet de nivel 2, encapsulando directamente tramas Ethernet. Esto permite que los equipos remotos estén en la misma subred que la LAN, útil cuando quieres que los clientes VPN parezcan «enchufados» al switch local, aunque puede dar problemas si coinciden rangos de red y suele ser menos eficiente.

En cuanto a protocolo, se recomienda usar UDP frente a TCP para el túnel VPN, ya que evita retransmisiones internas innecesarias y soporta mejor situaciones de pérdida de paquetes y ataques de denegación de servicio. TCP también es posible, pero introduce más sobrecarga y duplicidad de controles de sesión.

En la práctica, la mayoría de configuraciones recomendadas usan TUN sobre UDP, con una subred virtual dedicada a la VPN y rutas específicas para acceder a la LAN o para forzar todo el tráfico de Internet a través del túnel.

Cifrado, certificados y seguridad avanzada en OpenVPN

Uno de los puntos fuertes de OpenVPN es que permite elegir con bastante precisión los algoritmos de cifrado simétrico, asimétrico y de hash, así como la versión de TLS y distintas medidas adicionales contra ataques de denegación de servicio.

Para la infraestructura de clave pública (PKI), es habitual usar certificados basados en curvas elípticas (EC) en lugar de RSA clásico. Por ejemplo, se puede configurar Easy-RSA 3 para generar la CA, el certificado del servidor y los de los clientes con la curva secp521r1 y firmarlas con SHA512, obteniendo claves muy seguras y relativamente ligeras.

En el canal de control (negociación TLS), OpenVPN soporta como mínimo TLS 1.2 y, en versiones recientes, TLS 1.3. Se recomiendan suites fuertes con Perfect Forward Secrecy, como TLS-ECDHE-RSA-WITH-AES-256-GCM-SHA384 o las nuevas TLS_AES_256_GCM_SHA384 y TLS_CHACHA20_POLY1305_SHA256 para TLS 1.3, siempre comprobando con openvpn –show-tls qué soporta tu instalación.

Para el canal de datos (tráfico VPN real), los cifrados recomendados son AES-256-GCM o AES-128-GCM, que integran autenticación (AEAD) y hacen innecesario un hash separado. Si tu procesador no dispone de aceleración AES-NI, el cifrado CHACHA20-POLY1305 suele ofrecer mejor rendimiento y también está soportado desde OpenVPN 2.5.

Otra capa extra importante es el uso de una clave HMAC adicional con tls-crypt (o tls-auth en versiones antiguas), que protege la fase inicial de la conexión frente a flooding de puertos UDP, ataques SYN y escaneos, además de ocultar la propia clave precompartida cuando se usa tls-crypt. Todos los clientes deben compartir esta misma clave si usas la primera versión, mientras que con tls-crypt-v2 cada cliente puede tener una diferente.

openvpn

Creación de la PKI con Easy-RSA y organización de certificados

Si montas un servidor OpenVPN «puro» en GNU/Linux o similar, lo habitual es crear tus propios certificados con Easy-RSA 3, ajustando el archivo vars para definir si usarás RSA o EC, el hash, la curva, la caducidad de la CA y de los certificados, etc.

Tras copiar vars.example a vars y editarlo puedes elegir el modo cn_only para simplificar los DN, activar EASYRSA_ALGO ec, seleccionar la curva secp521r1, configurar la expiración (por ejemplo 10 años para la CA y 1080 días para los certificados), y fijar EASYRSA_DIGEST a sha512.

Con ese archivo listo, inicializas la PKI con ./easyrsa init-pki, creas la CA con ./easyrsa build-ca (con o sin contraseña en la clave privada) y, a partir de ahí, generas una solicitud de certificado para el servidor y tantas para clientes como necesites, firmándolas luego como server o client respectivamente.

En este punto es muy recomendable organizar los archivos en carpetas claras:

  • Una para el servidor (ca.crt, servidor.crt, servidor.key, ta.key, y opcionalmente dh.pem si no usas ECDHE).
  • Otra por cada cliente (ca.crt, clienteX.crt, clienteX.key y ta.key).

Así te evitas mezclar claves y certificados.

Además de los certificados, OpenVPN permite usar autenticación adicional por usuario/contraseña, bien contra el propio sistema, bien contra un servidor RADIUS u otra base de datos, reforzando la seguridad frente al robo de certificados.

Configurar clientes OpenVPN en PC, móviles y routers

El siguiente paso es configurar los clientes remotos, que pueden ser ordenadores Windows o Linux, móviles Android/iOS, otros routers o incluso equipos que se conecten desde un controlador como Omada.

En un cliente clásico de escritorio, el archivo cliente.ovpn incluye directivas como client, dev tun, proto udp, la línea remote con la IP pública o el dominio del router y el puerto escogido, resolv-retry infinite, nobind y la ruta a ca.crt, el certificado y la clave del propio cliente, más tls-crypt ta.key.

Para mayor seguridad, el cliente valida al servidor con remote-cert-tls server, usa el mismo cipher y auth que el servidor, e idealmente replica las mismas suites TLS soportadas. Es fundamental que haya coincidencia en cifrados y curvas; de lo contrario, el handshake TLS fallará.

En Android puedes usar la app oficial de OpenVPN o aplicaciones de terceros más avanzadas que soportan las últimas características. Normalmente basta con copiar en la memoria del móvil la carpeta con ca.crt, cliente.crt, cliente.key, ta.key y el .ovpn, y luego importar ese perfil desde la propia app.

En Windows, el cliente Community de OpenVPN suele esperar que copies el .ovpn y los certificados a C:\Program Files\OpenVPN\config (o la ruta que haya durante la instalación). Después, con un clic derecho en el icono de OpenVPN en la bandeja, eliges el perfil y conectas.

tp link extender

Configurar OpenVPN en routers TP-Link

Varios routers TP-Link de nueva generación traen servidor OpenVPN integrado en su interfaz web avanzada, lo que simplifica bastante las cosas porque generan automáticamente los certificados y el archivo .ovpn para los clientes.

En un escenario sencillo con un solo router en la red, el flujo suele ser: entrar en la interfaz web, ir a Avanzado > Servidor VPN > OpenVPN, marcar Habilitar servidor VPN y, si es la primera vez, pulsar en Generar para crear el certificado interno.

A continuación se elige el tipo de servicio (UDP o TCP), se define el puerto de servicio entre 1024 y 65535, se configura la subred y máscara de la VPN, y se escoge el tipo de acceso del cliente: Solo red doméstica (solo lan 192.168.x.x) o Internet y red doméstica (todo el tráfico de Internet pasa por la VPN).

Tras guardar la configuración y generar/actualizar los certificados, se pulsa en Exportar para descargar el archivo de configuración OpenVPN que usarán los clientes. Luego solo tienes que instalar el cliente OpenVPN en el PC o móvil, copiar el archivo exportado a la carpeta config y conectar.

Cuando hay dos o más routers en la topología doméstica (por ejemplo, un router del ISP y un router TP-Link detrás), además de configurar OpenVPN en el segundo router tendrás que crear un reenvío de puertos (servidor virtual) en el primero, apuntando el puerto externo hacia la IP LAN del segundo y el mismo puerto interno que usa OpenVPN.

Configurar OpenVPN en routers ASUS

Los routers ASUS con firmware ASUSWRT también incluyen servidor OpenVPN con interfaz gráfica bastante amigable, aunque cambian ligeramente las pantallas entre versiones de firmware anteriores y posteriores a 3.0.0.4.388.xxxx.

El proceso arranca accediendo a la GUI del router desde http://www.asusrouter.com o su IP LAN, iniciando sesión con usuario y contraseña de administración y yendo a VPN > Servidor VPN para activar OpenVPN.

En la configuración general se define el puerto del servidor (por ejemplo 2000 o un valor entre 1024 y 65535), la longitud de encriptación RSA por defecto, y de nuevo si los clientes podrán acceder solo a la red local o también a Internet a través del router.

Una vez aplicado todo, se exporta el archivo client.ovpn desde la sección de servidor OpenVPN. Ese archivo ya incluye certificados, claves y parámetros necesarios. Si más adelante cambias claves o certificados, deberás volver a exportarlo y distribuirlo a los clientes.

En la sección de Detalles VPN > Configuración avanzada se pueden editar manualmente claves y certificados, ajustar parámetros como versión de TLS o algoritmos, y adaptar la configuración a entornos más exigentes sin tocar el firmware.

Configurar OpenVPN en Omada (TP-Link) como servidor y crear usuarios

En entornos gestionados con controlador Omada puedes definir políticas de VPN tipo Servidor OpenVPN para acceso Cliente-a-Sitio, lo que resulta ideal cuando quieres centralizar la gestión en un solo panel.

Desde el controlador accedes a Configuración > VPN, pulsas en Agregar para crear una nueva política y especificas un nombre (por ejemplo «prueba»), la pones en estado Habilitado, eliges Propósito Cliente a Sitio y Tipo de VPN: Servidor VPN – OpenVPN.

En esa misma política decides si usas túnel dividido o completo: Split Tunnel para que solo el tráfico hacia la red interna pase por la VPN, o túnel completo para que todo el tráfico de Internet también vaya por el servidor. También eliges protocolo (TCP/UDP), el puerto de servicio (por defecto 1194), el modo de autenticación (local), el tipo de red local y el rango de direcciones IP que se asignarán a los clientes.

Después creas usuarios de VPN en Configuración > VPN > Usuarios, asignando nombre de cuenta y contraseña, seleccionando protocolo OpenVPN y vinculando el usuario al servidor VPN recién creado. Cada usuario tendrá así sus credenciales básicas.

Finalmente se exporta el archivo .ovpn desde la lista de políticas, se copia al cliente (PC, portátil, etc.), se instala el software OpenVPN Community, se coloca el archivo en la carpeta config y se conecta. En el controlador puedes verificar el estado en Insight > Estado de VPN.

Actualizaciones recientes de OpenVPN y alternativas disponibles

OpenVPN sigue evolucionando con cada versión, añadiendo mejoras de seguridad, rendimiento y usabilidad. Entre los cambios recientes destacan tls-crypt-v2 (para asignar claves específicas por cliente y mitigar aún más ataques DoS), el soporte de CHACHA20-POLY1305 y la negociación mejorada de cifrados de datos mediante data-ciphers.

Al mismo tiempo, se ha ido retirando soporte para cifrados obsoletos como BF-CBC en configuraciones por defecto, empujando a los administradores a usar AES-GCM o CHACHA20, mucho más seguros y rápidos en la práctica.

En empresas, también es habitual combinar OpenVPN con soluciones de nube como Azure VPN Gateway o con firewalls que integran IPsec y otros protocolos para conexiones sitio-a-sitio, mientras que en entornos domésticos un router compatible con OpenVPN bien configurado suele aportar todo lo necesario.

Con todo lo visto, configurar una VPN en el router con OpenVPN pasa de ser algo misterioso a un proyecto totalmente abordable si cumples los requisitos básicos (IP pública, router compatible, algo de paciencia) y sigues una estructura clara: preparar certificados o usar los que genera el router, activar y ajustar el servidor, exportar la configuración para los clientes y probar con calma corrigiendo errores típicos; a cambio ganas una red mucho más segura, flexible y preparada tanto para teletrabajo como para proteger de un plumazo todos los dispositivos de casa.