Un hogar con dos teléfonos, dos portátiles, una smart TV, una consola y un altavoz inteligente son siete dispositivos que quizá necesiten todos cobertura VPN. Instalar y mantener un cliente VPN en cada uno es tedioso. Algunos, sobre todo las consolas y muchos dispositivos IoT, no pueden ejecutar un cliente VPN normal en absoluto. Otros, como las smart TV, pueden admitir aplicaciones VPN solo en ciertas plataformas.
Un router VPN resuelve esto ejecutando la VPN en el propio router, así cada dispositivo detrás de él hereda el túnel sin instalar nada. El término abarca varias configuraciones distintas: un router que se conecta hacia fuera a un proveedor de VPN en nombre de la LAN, un router que actúa como servidor VPN para que puedas tunelizar desde otro sitio, o una pasarela autoalojada en un VPS que controlas de principio a fin.
La versión corta
- Un router VPN ejecuta software VPN en el router para que cada dispositivo conectado, incluidos los que no pueden ejecutar un cliente VPN por sí mismos, use el túnel automáticamente.
- Tiene dos modos que resuelven problemas distintos: el modo cliente tuneliza el tráfico saliente hacia un proveedor de VPN o tu propio servidor; el modo servidor permite que dispositivos remotos tunelicen hacia tu LAN.
- WireGuard es el protocolo adecuado para una VPN a nivel de router en casi todos los casos. El código base es pequeño, el coste por paquete es bajo y las CPU de los routers domésticos lo manejan mejor de lo que manejan OpenVPN.
- Tienes cuatro formas de conseguir uno: usar un router que ya admita VPN, instalar firmware personalizado en un router que ya tengas, comprar un router VPN preconfigurado, o saltarte el hardware por completo y ejecutar WireGuard en un VPS. La última opción es la más sólida si quieres elegir el servidor, control jurisdiccional o ya tienes autoalojamiento.
Cómo funciona realmente un router VPN
Cuando un dispositivo se conecta a un router VPN en modo cliente, el dispositivo no sabe que está en una VPN. Recibe una concesión DHCP normal del router, abre una conexión TCP a un destino y envía paquetes. El router se encarga del cifrado. El dispositivo ve una LAN normal. Hay dos modos que conviene entender, y la mayoría de los «routers VPN» domésticos solo hacen bien el primero.
Modo cliente VPN (saliente)
En modo cliente, el router guarda las credenciales de la VPN y tuneliza todo el tráfico saliente en nombre de los dispositivos que tiene detrás. El flujo de datos es: dispositivo → router → túnel cifrado → servidor VPN → internet pública.
Cada dispositivo de la LAN usa el mismo túnel automáticamente. El router toma cada paquete, lo cifra y lo reenvía al endpoint VPN configurado. La internet pública ve la IP de salida del servidor VPN, no la IP asignada por el ISP del hogar. Esta es la configuración que la gente suele querer decir cuando habla de un «router VPN».
El cifrado ocurre en la CPU del router. Este es el detalle mecánico importante. Los routers domésticos más antiguos y baratos pueden llevar chips ARM o MIPS a baja frecuencia con poca aceleración criptográfica, mientras que los routers más nuevos con capacidad VPN son mucho más rápidos. En cualquier caso, el router sigue siendo el responsable de cifrar cada byte que va hacia y desde cada dispositivo de la red, así que el hardware del router se convierte en el techo de rendimiento.
El protocolo importa aquí por la misma razón. El coste por paquete de WireGuard es menor que el de OpenVPN, por eso el soporte de WireGuard en routers domésticos es la característica que merece la pena buscar. Consulta la guía existente de configuración de WireGuard en un VPS.
Modo servidor VPN (entrante)
En modo servidor, el propio router ejecuta un servidor VPN. Los dispositivos remotos en la internet abierta se conectan de forma entrante a la IP pública del router y aterrizan en la LAN como si estuvieran sentados en el salón. El flujo de datos es: dispositivo remoto → IP pública → servidor VPN del router → recursos de la LAN.
Esto resuelve un problema distinto. Es acceso remoto, no privacidad saliente. Un portátil en una cafetería puede llegar a un servidor de archivos de casa. Un teléfono en el extranjero puede llegar a la red doméstica. El router es el servidor VPN; el teléfono es el cliente VPN.
El modo servidor requiere una dirección IP pública enrutable. Si tu ISP te ha puesto detrás de CGNAT, y muchos ISP residenciales lo hacen, no hay una IP pública a la que conectarse de forma entrante, y este modo no funciona sin trucos adicionales. El reenvío de puertos también suele ser necesario, lo que lo limita a quienes son dueños del router y pueden configurar su cortafuegos.
Los dos modos no son mutuamente excluyentes. Un router capaz puede ejecutar ambos a la vez. Pero los casos de uso son totalmente distintos. El modo cliente es para «quiero toda mi casa detrás de una salida VPN». El modo servidor es para «quiero llegar a mi casa desde otro sitio».
Las cuatro vías hacia una VPN a nivel de router
No hay una sola cosa llamada «conseguir un router VPN». Hay cuatro vías, y se ordenan en dos ejes: cuánto control de hardware y firmware quieres, y si quieres un proveedor comercial o tu propio servidor al otro extremo del túnel. La vía adecuada depende de cuál de esos ejes te importe más.
Vía 1: usa tu router actual (si admite VPN)
Varios fabricantes de routers domésticos ya incluyen soporte nativo de cliente VPN, incluido WireGuard, en su firmware de serie. ASUS admite WireGuard de forma nativa en el firmware reciente. Las series Flint y Beryl de GL.iNET admiten WireGuard de fábrica, documentado en su tutorial oficial.
Esta es la vía más barata y de menor riesgo. Si tu router ya está en esta lista, no instalas nada y no inutilizas nada. Introduces una configuración de WireGuard en el panel de administración y el túnel se levanta. La limitación es la obvia: el router tiene que admitir el protocolo que quieres, y las opciones de protocolo dependen de lo que el fabricante incluya. A los modelos más antiguos no se les añadirá WireGuard de forma retroactiva.
Vía 2: instala firmware personalizado (OpenWrt, DD-WRT, FreshTomato)
Si tu router no está en la lista de compatibles, puedes reemplazar su firmware por una de las alternativas de código abierto. OpenWrt es el más mantenido activamente de los tres y tiene el soporte de hardware más amplio. DD-WRT también está activo, con una filosofía de diseño distinta y un conjunto mayor de dispositivos compatibles. FreshTomato continúa el proyecto Tomato original, pero está restringido a los chipsets de Broadcom y atiende a una comunidad mucho más pequeña.
El firmware personalizado te da elección de protocolo: OpenVPN, WireGuard, IPsec, todos configurables. También te da todo lo demás que ofrecen esos proyectos: mejor QoS, reglas de cortafuegos granulares, gestión de paquetes. El precio es riesgo y tiempo.
Consejo Pro
Instalar firmware personalizado puede inutilizar un router de forma permanente si eliges la imagen equivocada, pierdes la corriente a mitad de la instalación o ejecutas una compilación con un fallo para tu revisión de hardware concreta. Elige un modelo que el proyecto de firmware admita explícitamente, lee la página específica del dispositivo y asume que has anulado la garantía. Si el router que inutilizas es tu único router, prepárate para estar sin conexión el tiempo que tardes en conseguir uno de repuesto.
Vía 3: compra un router VPN preconfigurado
La vía más sencilla. Fabricantes como GL.iNET venden routers con WireGuard integrado de fábrica. Algunos proveedores comerciales de VPN también venden routers de marca preconfigurados para su servicio, lo que significa que lo enchufas, introduces las credenciales de tu cuenta y listo.
Las contrapartidas son el precio y el bloqueo de proveedor. Los routers preconfigurados cuestan más por unidad que montarlo tú mismo. Si la unidad viene con la marca de un proveedor de VPN concreto, quedas atado a los protocolos, países de salida y política de registros de ese proveedor. Si el proveedor cambia sus condiciones o cierra, el router no migra a un servicio nuevo con facilidad.
La cuarta vía es algo distinta porque no requiere comprar ni reinstalar el hardware del router. Aun así te da cobertura VPN a nivel de router si tu router apunta aguas arriba al VPS, pero el endpoint VPN en sí vive en un servidor en lugar de dentro del router.
Vía 4: usa un VPS como pasarela VPN
Ejecuta WireGuard u OpenVPN en un VPS Linux y luego apunta tu router o tus dispositivos individuales a ese servidor. Esto no es comprar un router de hardware. Es una estrategia de endpoint distinta, así que sus contrapartidas merecen su propia sección más abajo.
| Vía | Complejidad de configuración | Techo de rendimiento | Cambio de servidor | Riesgo de hardware | Coste recurrente | Encaje |
|---|---|---|---|---|---|---|
| Router existente | Bajo | Limitado por la CPU del router | A través del panel de administración | Ninguno | Ninguno más allá del ISP | Ya tienes un router compatible |
| Instalar firmware personalizado | Alta | Limitado por la CPU del router | A través del panel de administración | Riesgo de inutilización | Ninguno más allá del ISP | Quieres flexibilidad de protocolo y aceptas el riesgo |
| Router preconfigurado | El más bajo | Limitado por la CPU del router | Depende del fabricante | Ninguno | Coste de hardware; suscripción al proveedor si viene incluida | Quieres enchufar y listo y aceptas el sobreprecio |
| VPS como pasarela | Medio-alto | Limitado por la CPU del VPS (más alto) | Levanta un VPS nuevo en otra región | Ninguno | Alquiler mensual del VPS | Quieres elección jurisdiccional, mejor rendimiento o ya tienes autoalojamiento |
Cuándo tiene sentido un router VPN y cuándo no
La cuestión no es si una VPN de router es mejor que una VPN de dispositivo en abstracto. Es si tu situación concreta realmente exige cobertura para toda la red, porque en el momento en que pones una VPN en el router, cada dispositivo detrás de él paga el mismo impuesto de cifrado.
Casos de uso donde una VPN de router justifica su coste de configuración
Los hogares con muchos dispositivos son el caso más claro. Una vez que gestionas más de cuatro o cinco dispositivos, instalar y actualizar clientes VPN en cada uno es una lata. La configuración a nivel de router se hace una sola vez.
Los dispositivos con soporte VPN limitado o incómodo son el segundo caso. Las consolas de videojuegos, la mayoría de los dispositivos IoT y los hubs domóticos más antiguos normalmente no tienen una aplicación VPN normal disponible. Algunas smart TV pueden ejecutar aplicaciones VPN, sobre todo Android TV / Google TV y los modelos más nuevos de Apple TV, pero la VPN a nivel de router sigue ayudando cuando la plataforma de la TV no admite tu proveedor o cuando quieres una política de red única y coherente.
Los viajes son el tercer caso. Un router de viaje compacto con soporte de WireGuard significa que un solo túnel cubre cada dispositivo de una habitación de hotel (teléfono, portátil, tableta) a través del Wi-Fi del router, independientemente de lo que haga la red del hotel. La misma lógica se aplica a una pasarela VPS accedida a través del router de viaje.
Las oficinas pequeñas y los espacios compartidos son el cuarto caso. Una única política de red coherente aplicada en la pasarela es más fácil de razonar que una flota de configuraciones a nivel de dispositivo que se van separando con el tiempo.
Casos donde la VPN de router es la elección equivocada
Si cambias de país de salida de la VPN con frecuencia por contenido restringido por región, pruebas de jurisdicción o cualquier otro motivo, una VPN a nivel de router es la herramienta equivocada. Alternar salidas en un teléfono es un toque. Hacerlo en un router requiere entrar en el panel de administración.
Si necesitas túnel dividido a nivel de aplicación, algunas apps a través de la VPN y otras directas, una aplicación VPN a nivel de dispositivo lo gestiona de forma limpia. El router no puede saber fácilmente qué aplicación generó qué paquete.
Si algunos dispositivos de tu red necesitan la VPN y otros activamente no deben tenerla, la VPN de router pone a todos detrás de la misma IP de salida. Las apps bancarias marcan el tráfico VPN. Los servicios de streaming restringidos por región se rompen. Una política general en el router significa un apaño general para cada excepción.
Si tienes uno o dos dispositivos, una capa a nivel de router resuelve un problema que no tienes.
How-To Geek planteó el argumento de la latencia en 2023: una VPN para toda la red impone la latencia de la VPN a cada dispositivo conectado, incluidos los que hacen tareas sensibles a la latencia como juegos, videollamadas y reuniones en tiempo real que no se benefician de la protección VPN durante esas actividades. Ese argumento es correcto y merece sopesarse. La solución no es abandonar la VPN del router. Es reconocer que quizá quieras algunos dispositivos fuera del túnel.
Muchos proveedores comerciales de VPN todavía limitan las conexiones simultáneas por cuenta, mientras que otros ahora ofrecen recuentos de dispositivos más altos o ilimitados. Una VPN de router puede seguir siendo útil porque el proveedor normalmente ve el router como una sola conexión VPN, aunque haya varios dispositivos detrás de él.
Elección de protocolo: WireGuard, OpenVPN y los demás
La elección de protocolo importa más en un router que en un portátil, porque la CPU del router es la que hace el cifrado y la CPU del router es lenta. Un portátil moderno con AES-NI maneja OpenVPN o WireGuard igual de bien a gigabit. Un router doméstico no.
WireGuard es la respuesta adecuada para casi cualquier escenario. El código base es muchísimo más pequeño que el de OpenVPN, lo que facilita auditarlo y revisarlo. La criptografía es moderna: ChaCha20 para el cifrado, Poly1305 para la autenticación, Curve25519 para el intercambio de claves. El handshake se completa en una sola ida y vuelta; el handshake TLS de OpenVPN requiere varias. El coste de procesamiento por paquete es lo bastante bajo como para que las CPU de los routers domésticos lo manejen donde sufrirían con OpenVPN. WireGuard ya cuenta con soporte nativo en ASUS, GL.iNET y la mayoría de los proyectos de firmware personalizado.
OpenVPN aún tiene su sitio. Es maduro, está ampliamente soportado y tiene una integración más amplia con sistemas de autenticación empresariales. Si ya tienes un despliegue de OpenVPN con certificados emitidos, o tienes un requisito de compatibilidad concreto que WireGuard todavía no cumple, OpenVPN sigue siendo una opción razonable. Funciona bien en routers capaces.
L2TP/IPsec sigue apareciendo en muchas páginas de administración de routers, sobre todo por compatibilidad heredada. Puede funcionar, pero no es el protocolo que elegir para una VPN nueva a nivel de router cuando WireGuard está disponible. PPTP debería tratarse como muerto. Tiene problemas de seguridad conocidos, y Microsoft ya ha empezado a retirar PPTP y L2TP de futuras versiones de Windows Server.
Consejo Pro
Si la CPU de tu router tiene más de cinco años y carece de aceleración por hardware para WireGuard, ejecuta WireGuard de todos modos. Incluso sin aceleración, suele superar a OpenVPN acelerado en el mismo hardware. Las excepciones son raras e implican chips específicos de Broadcom con descarga dedicada de OpenVPN. Si no puedes verificar que tu router cae en uno de esos casos límite, opta por WireGuard por defecto.
Una nota sobre las afirmaciones de rendimiento que circulan por internet. La propia página de rendimiento de WireGuard describe sus benchmarks publicados como «viejos, anticuados y no demasiado bien hechos». Son los propios autores del proyecto. Los ratios concretos de rendimiento que encuentras citados en blogs de terceros normalmente no tienen una fuente fiable. La afirmación cualitativa de que WireGuard suele superar a OpenVPN, sobre todo en hardware de menor potencia, está bien fundamentada. Los multiplicadores concretos no.
¿Deberías montar un router VPN o usar una pasarela VPS?
Para un lector técnico, la comparación más limpia es la ubicación del endpoint: ¿la VPN termina en hardware de tu casa, o en software que corre en un servidor que alquilas?
Un router VPN de hardware tiene algunas fortalezas concretas. El límite de cifrado está físicamente aislado en un dispositivo que posees. No hay coste de alquiler recurrente más allá de tu ISP. El modelo mental es simple: una caja, una configuración, un cable a la pared. Para un escenario de viaje, un router de hardware en formato de bolsillo (las unidades de clase Beryl de GL.iNET, por ejemplo) es un objeto realmente útil.
Un VPS como pasarela tiene fortalezas distintas. Un VPS decente normalmente te da una computación más predecible y más margen que un router doméstico barato, sobre todo cuando necesitas varias salidas, mayor enlace ascendente o más túneles concurrentes. Tú eliges la jurisdicción. La salida VPN está donde esté el VPS, y puedes moverla. Controlas el demonio VPN y su registro a nivel de aplicación, aunque el proveedor de hosting sigue controlando la infraestructura subyacente. Si quieres una segunda salida en otra región, levantas otro VPS en 10 minutos en lugar de comprar otro router.
Un punto de partida razonable para dimensionar una pasarela VPN personal es 1 vCPU y 1 GB de RAM, que maneja de 5 a 10 conexiones de dispositivo concurrentes ejecutando WireGuard a anchos de banda residenciales. Un cifrado concurrente más pesado o un enlace ascendente mayor justifican un plan optimizado para CPU. El trabajo de cifrado está limitado por CPU, no por memoria. Consulta mejores VPS para VPN para el dimensionamiento del plan.
Elige hardware si quieres coste mensual cero por encima de tu ISP, ya tienes un router capaz, o necesitas específicamente un formato de router de viaje. Elige un VPS si quieres mejor rendimiento de cifrado del que puede dar un router doméstico, elección jurisdiccional en la salida, o ya tienes otros servicios autoalojados y añadir un demonio más no supone ninguna carga extra. Para entornos de red restrictivos, la vía del VPS también puede ser más fácil de adaptar que la configuración de un router de serie, porque controlas el software del servidor y no estás limitado a los protocolos que el fabricante del router exponga en su panel de administración.
Si optas por la vía del VPS, los criterios de compra son simples: elige una región cercana, CPU suficiente para el cifrado, una IP dedicada y un proveedor que te dé acceso root sin ocultar los detalles de red. El VPS Linux de Cloudzy es una opción para esto, y el marketplace tiene despliegues de un clic de WireGuard y OpenVPN Access Server si quieres saltarte la configuración manual del servidor.
Preguntas frecuentes
¿Necesito un router especial para usar una VPN?
No. No necesitas un router especial si tu router actual ya admite el modo cliente VPN. Muchos modelos recientes de ASUS y GL.iNET admiten WireGuard u OpenVPN en el firmware de serie, pero el soporte depende del modelo y la versión de firmware exactos. Si tu router no admite una VPN de forma nativa, puedes instalar firmware personalizado como OpenWrt o ejecutar la VPN en un dispositivo aparte, como un VPS, una Raspberry Pi o un servidor Linux pequeño, por el que el router enrute.
¿Un router VPN ralentizará mi internet?
Sí, algo. La CPU del router hace el trabajo de cifrado, y las CPU de los routers domésticos son más lentas que las de tu teléfono o portátil. La magnitud de la ralentización depende del chip del router, del protocolo (WireGuard es más ligero que OpenVPN) y de si el router tiene aceleración por hardware. Un router moderno ejecutando WireGuard normalmente pierde una pequeña fracción del rendimiento de la WAN. Un router más antiguo ejecutando OpenVPN puede perder mucho más.
¿Cuál es la diferencia entre un router VPN y una aplicación VPN en mi dispositivo?
Un router VPN pone el túnel a nivel de red, así que cada dispositivo conectado (teléfono, portátil, smart TV, consola, IoT) usa la VPN automáticamente sin instalar nada. Una aplicación VPN pone el túnel en un solo dispositivo y protege solo ese dispositivo, pero permite un control más fino: enrutamiento por aplicación, cambio fácil de servidor y exclusión de apps concretas. La contrapartida es cobertura para toda la red frente a flexibilidad por dispositivo.
¿Qué protocolo VPN debería usar en mi router, WireGuard u OpenVPN?
WireGuard, en casi todos los casos. El código base es más pequeño, la criptografía es moderna y el coste de procesamiento por paquete es lo bastante bajo como para que las CPU de los routers domésticos lo manejen bien. OpenVPN sigue siendo una opción razonable si ya tienes un despliegue de OpenVPN con certificados emitidos, o si tienes un requisito de compatibilidad concreto que WireGuard todavía no cumple.
¿Puedo usar un VPS en lugar de un router VPN de hardware?
Sí. Instala WireGuard u OpenVPN en un VPS Linux y luego apunta un router OpenWrt o DD-WRT a él como túnel aguas arriba, o conecta dispositivos individuales al VPS directamente. Este enfoque te da elección jurisdiccional en la salida, control sobre el demonio VPN y sus registros a nivel de aplicación, y más margen de computación que la mayoría de las configuraciones de routers domésticos. La contrapartida es que operas un servidor, incluido parchearlo y monitorizarlo.
