Cómo crear VPN: guía completa de principiante a experto

Una red privada virtual (VPN) es una herramienta de privacidad esencial. Y, aunque puedes suscribirte a un servicio comercial de VPN con aplicaciones fáciles de usar, también es posible establecer una VPN por tu cuenta.

Este artículo te ayudará a valorar los pros y los contras de crear tu propia VPN y te guiará a lo largo del proceso de establecer una. También aprenderás sobre los protocolos VPN, las mejores prácticas de seguridad, cómo resolver problemas comunes y mucho más.

¿Deberías crear tu propia VPN o usar una comercial?

La mayoría de la gente no necesita crear su propia VPN. Suscribirse a un servicio VPN comercial fiable y de alta calidad, como ExpressVPN, es mucho más fácil y probablemente más seguro. Al fin y al cabo, estamos hablando de un software que ha sido sometido a pruebas exhaustivas por expertos internos y externos, cosa que nunca sucede con una VPN propia.

Para ayudarte a tomar una decisión, hemos desglosado los pros y los contras de crear tu propia VPN frente a usar una VPN comercial.

Ventajas e inconvenientes de crear tu propia VPN

Cuándo puede ser mejor una VPN comercial

Como ya hemos dicho, para la mayoría de la gente, una VPN comercial es la mejor opción. Esto es especialmente cierto en caso de que...

• Necesites opciones de servidores a nivel mundial: las VPN comerciales tienen servidores en decenas de países de todo el mundo.
• Quieres algo fácil de usar: una buena VPN comercial se encarga de todo lo molesto por ti. Puedes terminar de descargar una VPN y conectarte a un servidor en menos de 5 minutos, y nunca tendrás que preocuparte por el mantenimiento.
• La privacidad es tu prioridad: las VPN comerciales usan IP compartidas y rotan sus direcciones IP constantemente, por lo que es muy difícil rastrearte. Los mejores proveedores de servicios VPN también tienen estrictas políticas de no guardar registros para proteger tu privacidad.

Cómo crear tu propia VPN: una guía paso a paso

Hay dos principales maneras de crear tu propia VPN: puedes establecer un servidor VPN en casa usando tu propio hardware, o puedes optar por alojar tu VPN en un servidor virtual privado (VPS) basado en la nube.

Una instalación doméstica es rentable y te brinda un acceso remoto y seguro a tu red doméstica, pero requiere más conocimientos técnicos y mantenimiento práctico. Además, tienes que mantener tu dispositivo encendido en todo momento.

El hosting en un VPS evita la compleja instalación de la red doméstica y ofrece un mejor tiempo de actividad y mucho más ancho de banda, pero cuesta casi tanto como un servicio VPN comercial, y significa que una vez más le confiarás tu tráfico de Internet a un tercero.

Método 1: instalar un servidor VPN en casa

Si quieres gestionar tu propia VPN, puedes usar las compilaciones nocturnas de ExpressVPN y su protocolo Lightway. Esta guía te ayudará a instalar el servidor y el cliente desde cero. Los pasos suponen que tienes un servidor Linux y un cliente Linux, macOS o Windows.

Requisitos previos

Antes de empezar, asegúrate de que tienes instaladas las siguientes herramientas:

• Servidor Linux (x86_64, arm64 o riscv64)
• Acceso root o sudo tanto en el servidor como en el cliente
• Paquetes necesarios en el servidor Linux: jq, yq, apache2-utils, iproute2, iptables Dependencias de instalación en Debian/Ubuntu:
  sudo apt-get update
  sudo apt-get install jq yq apache2-utils iproute2 iptables
• En clientes Windows: se requiere Wintun
• En clientes Linux/macOS: se necesita acceso root/sudo para la gestión del dispositivo TUN

Paso 1: conseguir el binario del servidor

Descarga el binario del servidor apropiado para tu arquitectura:

Esto te proporcionará un ejecutable del servidor listo para ser ejecutado.

Paso 2: descargar el script de inicio del servidor

El script server_start.sh se encarga de la configuración de la red y del arranque del servidor:

Paso 3: crear las credenciales de usuario (lado del servidor)

Lightway usa archivos del estilo de htpasswd para gestionar los usuarios:

Sustituye myuser por el nombre de usuario que desees.

Para añadir más usuarios posteriormente, omite el parámetro -c:

Tras crear el archivo de contraseñas, restringe sus permisos para que solo el propietario pueda leerlo:

Paso 4: generar certificados TLS

El servidor necesita certificados TLS para cifrar el tráfico. Para las pruebas, basta con certificados autofirmados:

Paso 5: configurar el servidor

Descarga un archivo de configuración de ejemplo:

Edita los siguientes campos:

• user_db → ruta a lwpasswd
• server_cert → ruta a server.crt
• server_key → ruta a server.key

Por seguridad, restringe el acceso a la configuración de tu servidor:

Paso 6: iniciar el servidor

El script establecerá la interfaz TUN, activará la redirección de IP, configurará las reglas NAT/SNAT e iniciará el servidor Lightway en el puerto 27690 (por defecto).

Paso 7: configurar el cliente

1. Consigue el binario del cliente para tu plataforma y hazlo ejecutable (Linux/macOS).

En Windows, descarga wintun.dll y colócalo en el mismo directorio que lightway-client.

Copia ca.crt del servidor a la máquina cliente. Esto establece la confianza entre el cliente y el servidor.

2. Descarga un ejemplo de configuración de cliente.

Edita los siguientes campos:

servidor → IP o nombre de host del servidor

ca_cert → ruta a ca.crt

usuario y contraseña → coinciden con las credenciales del servidor

Restringe los permisos en la configuración del cliente para proteger las credenciales:

3. Inicia el cliente:

Si todo está configurado correctamente, el tráfico de tu cliente se enrutará a través de tu servidor VPN Lightway. Si tienes problemas:

• Asegúrate de que todas las rutas de los archivos en las configuraciones son correctas.
• Revisa las reglas del cortafuegos de tu servidor para permitir el tráfico VPN.
• Las pruebas en una sola máquina pueden fallar sin una separación de red adecuada; se recomienda usar una configuración cliente/servidor real.
• Las compilaciones nocturnas se actualizan con frecuencia; busca nuevas versiones si detectas errores.

Método 2: usar un proveedor de servicios en la nube para alojar tu VPN

Crear una VPN usando un proveedor de servicios en la nube es muy parecido a alojar una en tu propio hardware. La mayoría de los servicios VPS son compatibles con protocolos populares como OpenVPN y WireGuard. También puedes alojar una VPN usando Lightway.

Sin embargo, el proceso puede variar en función de tu VPS, por lo que te recomendamos que sigas los pasos indicados por tu servicio específico.

Servicios de VPS recomendados

Existen muchos servicios de VPS diferentes. El mejor para alojar una VPN depende en gran medida de tus necesidades concretas. Aquí tienes un resumen rápido de algunos de los servicios más populares.

• Digital Ocean: es un proveedor de VPS de gran reputación con centros de datos en todo el mundo. También viene con OpenVPN preinstalado y es aclamado por tener una documentación excelente. Sin embargo, es una opción algo más cara.
• Hetzner: es una opción popular en la comunidad tecnológica por su asequibilidad y fiabilidad. Sin embargo, tiene menos ubicaciones con servidores VPN en todo el mundo. Sus centros de datos están ubicados principalmente en Alemania y Finlandia.
• Oracle: ofrece un generoso nivel gratuito que lo convierte en una opción viable para los usuarios con un presupuesto limitado, siempre que estés dispuesto a lidiar con sus limitaciones de recursos. Ten en cuenta que algunos usuarios señalan que este servicio a veces elimina servidores gratuitos sin avisar.

Opcional: instala una VPN en tu rúter para proteger tu red doméstica

Si tu objetivo principal es poder disfrutar de conectividad VPN en toda tu casa, en lugar de crear tu propia VPN, la solución más sencilla sería instalar un servicio VPN comercial en tu rúter. Hay varias opciones para hacerlo.

Opción 1: usar un rúter con una VPN preinstalada

Un rúter VPN es un rúter con una VPN preinstalada y preconfigurada. Aircove de ExpressVPN es uno de ellos.

Todo el tráfico que pasa a través de un rúter VPN está cifrado, por lo que es una excelente opción para proteger el tráfico de Internet de todos los dispositivos de tu casa sin tener que instalar una aplicación VPN en cada uno de ellos.

Además, un rúter VPN también protegerá los dispositivos que no sean compatibles con las aplicaciones VPN, como las consolas, los dispositivos de streaming y los altavoces inteligentes.

Opción 2: instala manualmente una VPN en tu rúter actual

Algunos servicios comerciales de VPN ofrecen archivos de configuración que te permiten instalar manualmente la VPN en tu rúter actual. Sin embargo, este método requiere algunos conocimientos técnicos, y debes asegurarte de que tienes un rúter compatible. Lee más sobre el tema en nuestra guía para instalar una VPN en un rúter.

Opción 3: flashea tu rúter actual con el firmware de la VPN

Si no quieres comprar un rúter VPN, pero tu rúter actual no admite configuraciones VPN manuales, es posible que puedas desbloquear esta funcionalidad «flasheándolo» con firmware de terceros como DD-WRT, OpenWRT o FreshTomato. Esto sustituye el software original del rúter por una versión personalizada que admite configuraciones de VPN.

Eso sí, ten en cuenta que flashear el rúter anulará su garantía y, si se hace incorrectamente, puede dañarlo de forma permanente (o «brickearlo»).

Explicación de los protocolos VPN: ¿cuál debes usar ?

Un protocolo VPN rige cómo se transmiten los datos entre un dispositivo y el servidor VPN. La elección del protocolo VPN puede afectar a la velocidad, seguridad y fiabilidad de tu tráfico.

Aquí tienes un desglose de algunos de los protocolos VPN más comunes que se usan hoy en día:

• OpenVPN: un protocolo seguro y de código abierto que ofrece buenas velocidades y goza de una gran confianza. Puede disfrazar el tráfico VPN como tráfico normal de Internet, por lo que muchos servicios VPN comerciales lo usan para ofuscarse.
• WireGuard: un protocolo más reciente, de código abierto, conocido por su velocidad y eficacia gracias a un código ligero. Sin embargo, no es compatible con el modo de Protocolo de Control de Transmisión (TCP), por lo que puede que no sea una buena opción para redes con cortafuegos estrictos.
• Lightway: un protocolo moderno y de código abierto creado por ExpressVPN. Es más rápido, usa menos código que muchos protocolos antiguos y se ha sometido a auditorías de seguridad independientes. También incluye protección postcuántica. Este soporte técnico está integrado en la versión predeterminada de Lightway, por lo que no tienes que hacer ningún cambio adicional para activar la criptografía post-cuántica (PQC).
• Protocolo de tunelización de capa 2 con seguridad de protocolo de Internet (L2TP/IPsec): un protocolo más antiguo y lento que las principales VPN actuales apenas usan.
• Protocolo de tunelización punto a punto (PPTP): uno de los protocolos más rápidos, pero su cifrado es débil y fácil de vulnerar. Está anticuado y ya no se recomienda para las conexiones seguras.

Para obtener información más detallada y comparaciones directas, lee nuestra guía sobre protocolos VPN.

Buenas prácticas de seguridad para tu VPN casera

Activa la desconexión automática

La desconexión automática corta el tráfico de Internet en caso de que se caiga la conexión VPN. Esto evita fugas accidentales de datos. Algunos clientes VPN, como el cliente oficial de OpenVPN, OpenVPN Connect, incluyen una función de desconexión automática. Si el cliente que estás usando no la tiene, puede que tengas que crear reglas de cortafuegos personalizadas para bloquear el tráfico de Internet a menos que la VPN esté activa.

Usa un cifrado fuerte y protocolos actualizados

Elige un protocolo VPN moderno de confianza, como OpenVPN o WireGuard, que use un cifrado fuerte. Evita usar protocolos VPN inseguros y anticuados, como PPTP.

Vigila tu servidor para evitar accesos no autorizados

Para mantener la seguridad de tu servidor VPN casero, es importante que lo supervises para detectar cualquier actividad sospechosa. Hay algunas herramientas que pueden ayudarte con esto. Una de las más populares es Fail2Ban. Vigila la actividad de inicios de sesión de tu servidor y bloquea automáticamente las direcciones IP que no se registran repetidamente. Esto protege tu VPN de los ataques de fuerza bruta, en los que alguien intenta adivinar tu contraseña intentándolo una y otra vez.

Otra herramienta útil es Wazuh, que recopila y estudia los registros de tu servidor (como los registros de quién se conectó, cuándo y qué errores se produjeron). Busca patrones inusuales, como fallos repetidos, cambios extraños en los archivos o actividades inesperadas, y puede alertarte para que puedas investigar.

Casos de uso reales de una VPN autoalojada

Las VPN autoalojadas pueden usarse en muchos de los mismos casos que las VPN comerciales: para proteger tu actividad durante el teletrabajo, superar las limitaciones de tu proveedor de servicios de Internet (ISP) por contenidos o mantener una conexión estable mientras viajas. Sin embargo, en la mayoría de estos casos, una VPN comercial suele ser más fácil de instalar, ofrece más ubicaciones de servidores y puede proporcionar una mayor protección de la privacidad desde el principio.

Una excepción clave es el acceso a tu red local privada desde cualquier lugar. Las VPN comerciales no proporcionan acceso a los dispositivos de tu red doméstica, como impresoras, servidores de archivos o dispositivos del Internet de las Cosas (IoT), mientras que una VPN autoalojada te permite conectarte directamente a la red de área local (LAN) de tu casa u oficina.

Problemas habituales de las VPN caseras y cómo resolverlos

Crear tu propia VPN puede ser gratificante, pero a menudo conlleva dificultades. Aquí tienes algunos problemas habituales de las VPN caseras y cómo solucionarlos.

Caídas de conexión o velocidades lentas

Un rendimiento lento de la VPN puede tener muchas causas, como la distancia física al servidor, la congestión de la red o una carga elevada en el servidor VPN.

Para solucionar problemas, empieza probando tu velocidad de Internet sin la VPN. Después, intenta conectarte a un servidor VPN que esté más cerca de ti. Cambiar a un protocolo VPN diferente también puede mejorar la velocidad. Por último, comprueba si otras aplicaciones de tu dispositivo anfitrión de la VPN están usando ancho de banda o potencia de procesamiento.

Conflictos de redirección de puertos y cortafuegos

Para que tu servidor VPN acepte conexiones entrantes, tienes que redireccionar los puertos necesarios desde cualquier dispositivo de red que actúe como puerta de enlace (como un rúter o un cortafuegos) a la dirección IP local de tu servidor VPN. Si estos puertos no se redireccionan correctamente o si las reglas del cortafuegos bloquean el tráfico de la VPN, los clientes no podrán conectarse.

Comprueba el cortafuegos de tu servidor VPN para asegurarte de que permite los puertos necesarios. Si usas un proveedor de servicios en la nube para alojar tu VPN, comprueba el cortafuegos o la configuración de seguridad de tu proveedor de VPS. Universal Plug and Play (UPnP), que automatiza la redirección de puertos, puede entrar en conflicto con las reglas de redirección de puertos configuradas manualmente, lo que podría causar problemas de conexión o un comportamiento incoherente, así que prueba a desactivarlo.

Fugas de DNS y cómo evitarlas

Una fuga del Sistema de Nombres de Dominio (DNS) se produce cuando tus consultas de DNS se filtran fuera del túnel VPN cifrado. Esto puede permitir a terceros rastrear tus actividades en Internet y ver tu dirección IP. Las fugas de DNS pueden producirse si tu VPN está mal configurada.

Puedes evitar las fugas de DNS asegurándote de que tu VPN usa solo servidores DNS seguros, bloqueando el tráfico que no sea de la VPN mediante reglas de cortafuegos y desactivando IPv6 si tu VPN no es compatible con él. Comprueba si hay fugas usando herramientas gratuitas, como nuestro verificador de fugas de DNS.

Costes de crear y gestionar tu propia VPN

Crear tu propia VPN puede ser más rentable que usar una VPN comercial, pero no es gratis.

Costes de hardware y electricidad (para instalaciones domésticas)

Si alojas el servidor VPN en tu propio hardware, tendrás que pagar el propio dispositivo y la factura de la electricidad para mantenerlo en funcionamiento las 24 horas.

Hosting en la nube y licencias de software

Aunque existen algunas opciones gratuitas muy limitadas (como el nivel gratuito Compute Engine de Google Cloud), alojar tu VPN en un proveedor de servicios en la nube suele implicar el pago de una comisión por acceder a sus servidores. Si tu uso es ligero, podrías conseguir un plan VPS por unos 2 $ al mes con un servicio económico. Sin embargo, si necesitas más recursos o un mejor rendimiento, puede que tengas que pagar más de 4 $ al mes. Esto significa que crear tu propia VPN podría acabar costando tanto como suscribirte a una VPN comercial.

Costes de mantenimiento ocultos

Cuando gestionas tu propia VPN, puede que tengas que invertir tiempo y dinero en el mantenimiento continuo. Por ejemplo, el hardware puede romperse y necesitar ser sustituido, y es posible que quieras invertir en software de cortafuegos avanzado o en servicios de supervisión que te ayuden a mantener tu VPN segura y funcionando sin problemas.