Le preguntamos a Gemini, la inteligencia artificial de Google cómo configurar una VPN en OpenWRT
Explicanos detalladamente cómo configurar una VPN en OpenWRTConfigurar una VPN en OpenWRT es una de las mejores formas de proteger toda tu red doméstica desde la fuente. Aunque OpenWRT soporta varios protocolos, hoy en día la recomendación estándar es WireGuard por su alta velocidad, bajo consumo de recursos y facilidad de configuración frente a OpenVPN.
A continuación, te explico detalladamente cómo configurar OpenWRT como un Cliente WireGuard (para enrutar todo el tráfico de tu casa a través de un proveedor como Mullvad, NordVPN, Proton, o tu propio servidor).
1. Instalación de Paquetes Necesarios
OpenWRT es modular, por lo que primero debemos instalar el soporte para WireGuard y su interfaz gráfica.
Accede a la interfaz web de tu router (LuCI).
Ve a System > Software.
Haz clic en Update lists.
Busca e instala los siguientes paquetes:
luci-proto-wireguard (Instala automáticamente las dependencias de WireGuard).
wireguard-tools
Nota: Es recomendable reiniciar el router después de instalar estos paquetes para que la nueva interfaz aparezca correctamente.
2. Creación de la Interfaz WireGuard
Ahora crearemos el "túnel" que conectará tu router con el servidor VPN.
Ve a Network > Interfaces.
Haz clic en Add new interface.
Name: Ponle algo descriptivo, como VPN_CLIENT.
Protocol: Selecciona WireGuard VPN
Haz clic en Create interface.
Configuración de la pestaña "General Setup":
Private Key: Genera una clave haciendo clic en el botón "Generate New Key Pair" (o pega la clave privada que te dio tu proveedor de VPN).
Public Key: (Se generará automáticamente al guardar).
Listen Port: Déjalo en blanco o usa el puerto estándar 51820.
IP Addresses: Aquí debes poner la IP interna que el servidor VPN te asignó (ej. 10.0.0.2/32).
3. Configuración del Peer (El Servidor)
En la misma configuración de la interfaz, ve a la pestaña Peers. Aquí defines a dónde te conectas.
Haz clic en Add Peer.
Public Key: Pega la clave pública del servidor VPN.
Allowed IPs: Para que todo el tráfico pase por la VPN, pon 0.0.0.0/0.
Endpoint Host: La dirección IP o dominio del servidor VPN.
Endpoint Port: El puerto del servidor (generalmente 51820).
Persistent Keep Alive: Pon 25 (ayuda a mantener la conexión activa detrás de NAT).
4. Configuración del Firewall (Zonas)
Este es el paso donde la mayoría de los usuarios falla. Debes decirle a OpenWRT que la nueva interfaz VPN es una zona de salida (WAN).
Ve a Network > Firewall.
En la pestaña Zones, haz clic en Add.
Name: vpn_zone.
Input / Output / Forward: Ponlos en REJECT / ACCEPT / REJECT (configuración segura).
Masquerading: Actívalo (Marcando la casilla). Es vital para que los dispositivos de tu LAN compartan la conexión VPN.
MSS Clamping: Actívalo (Evita problemas de fragmentación de paquetes).
Covered Networks: Selecciona tu interfaz VPN_CLIENT.
Allow forward from source zones: Selecciona la zona lan.
5. El toque final: DNS y Enrutamiento
Para evitar que tu ISP sepa qué páginas visitas (fugas de DNS), debemos configurar los DNS de la VPN.
Ve a Network > Interfaces > VPN_CLIENT.
En Advanced Settings, desmarca Use DNS servers advertised by peer si quieres usar DNS específicos (como 1.1.1.1 o 9.9.9.9).
Ve a la interfaz LAN y asegúrate de que el Gateway sea el router, pero que los DNS que reciban los clientes sean los de la VPN.
6. Verificación y "Kill Switch"
¿Cómo saber si funciona?
Desde un dispositivo conectado al router, visita ipleak.net. Si aparece la IP del servidor VPN y no la de tu casa, ¡lo lograste!
Configurar un Kill Switch (Opcional pero recomendado)
Si la VPN se cae, el router intentará enviar tráfico por la WAN normal por defecto. Para evitarlo:
Ve a Network > Firewall.
En la zona lan, cambia el Forward hacia la zona wan de ACCEPT a REJECT.
Asegúrate de que el Forward hacia vpn_zone sea el único permitido.
Solución de Problemas Comunes
No conecta: Verifica la hora del router (System > System). WireGuard es muy sensible al tiempo; si la hora es incorrecta por más de unos minutos, el túnel no se establecerá.
Velocidad lenta: Si tu router tiene un procesador débil, asegúrate de activar Software flow offloading en Network > Firewall > Routing/NAT Offloading.
¿Te gustaría que te ayude a configurar una VPN tipo Servidor para que puedas entrar a los archivos de tu casa de forma segura cuando estés de viaje?