Guía Paso a Paso: Cómo Crear una VPN Usando un AP Conectado por Cable a tu Router

En el mundo digital actual, donde la privacidad y la seguridad online se han vuelto más cruciales que nunca, tener control sobre tu propia red es un verdadero tesoro. Si alguna vez has soñado con acceder a tus archivos caseros de forma segura desde cualquier lugar, o simplemente quieres una capa extra de protección para tu navegación, crear tu propia Red Privada Virtual (VPN) es la solución. Y no, no necesitas ser un gurú de la informática para lograrlo. Hoy, vamos a sumergirnos en una guía paso a paso para construir una VPN robusta usando un Punto de Acceso (AP) conectado por cable a tu router principal. ¡Prepárate para transformar tu red!

🤔 ¿Por Qué Crear una VPN con un AP?

Quizás te preguntes: „¿Por qué un AP y no directamente mi router principal?” Es una excelente pregunta y la respuesta tiene varias capas. Muchos routers de consumidor no ofrecen la funcionalidad de servidor VPN de serie, o si lo hacen, sus opciones son limitadas o su rendimiento no es óptimo. Un AP, especialmente uno con firmware personalizado como OpenWrt o DD-WRT, ofrece una plataforma flexible y potente para dedicarse exclusivamente a tareas VPN. Al conectar el AP por cable, lo integramos perfectamente en nuestra red local, permitiéndole funcionar como un servidor VPN autónomo sin sobrecargar tu router principal.

Este enfoque te brinda:

• Mayor Control: Tú decides las reglas, los protocolos y los usuarios.
• Seguridad Mejorada: Cifrado de extremo a extremo para tus datos, lejos de miradas indiscretas.
• Acceso Remoto: Conéctate a tu red doméstica como si estuvieras allí, ideal para NAS, cámaras de seguridad o dispositivos inteligentes.
• Independencia: No dependes de servicios VPN de terceros, manteniendo tus datos verdaderamente privados.

🛠️ Lo Que Necesitarás Antes de Empezar

Antes de embarcarnos en esta aventura de configuración, asegúrate de tener a mano los siguientes elementos:

• Un Punto de Acceso (AP) Compatible: Idealmente, uno que soporte firmware de terceros como OpenWrt o DD-WRT. Modelos de marcas como TP-Link, Netgear, Linksys, D-Link suelen ser buenas opciones. Investiga la compatibilidad específica de tu modelo.
• Un Cable Ethernet: Para conectar el AP a tu router principal.
• Tu Router Principal: Con acceso a su interfaz de configuración para el redireccionamiento de puertos.
• Acceso a Internet: Obviamente, para descargar software y probar la conexión.
• Un Ordenador: Para la configuración inicial del AP.
• Un Servicio de DNS Dinámico (DDNS) (Opcional pero muy recomendable): Si tu ISP no te proporciona una dirección IP pública estática, un servicio como No-IP, DynDNS o DuckDNS te permitirá acceder a tu VPN incluso si tu IP pública cambia.
• Paciencia y Ganas de Aprender: Esto no es un proceso de un solo clic, ¡pero la recompensa vale la pena! 💪

🎯 Elegir el AP Adecuado: La Clave del Éxito

La elección de tu AP es fundamental. No todos los APs son iguales. Busca modelos con suficiente RAM (al menos 64MB, preferiblemente 128MB o más) y espacio de almacenamiento flash para el firmware y los paquetes de la VPN. La mayoría de los APs modernos compatibles con OpenWrt o DD-WRT funcionarán, pero si puedes elegir, opta por uno con un procesador decente para un buen rendimiento de cifrado. Un AP que pueda funcionar en modo „router” (incluso si lo usaremos como un servidor dentro de la LAN) es ideal, ya que estos suelen tener las capacidades de software necesarias.

💡 Consejo Pro: Antes de comprar, consulta la base de datos de OpenWrt o DD-WRT. Busca tu modelo exacto y verifica el soporte. ¡Es tu mejor aliado para evitar dolores de cabeza!

🚀 Fase 1: Preparación del AP y la Red

Paso 1: Flashear el Firmware Personalizado (Si es Necesario)

Si tu AP no viene con una opción de servidor VPN incorporada, o si quieres más flexibilidad, el primer paso será instalar un firmware de terceros. Los más populares son OpenWrt y DD-WRT.

1. Descarga el firmware: Visita la web oficial de OpenWrt o DD-WRT y busca el archivo específico para tu modelo de AP. Asegúrate de descargar la versión correcta. ⚠️ ¡Un firmware incorrecto puede ‘brickear’ tu dispositivo!
2. Conecta el AP: Conecta tu ordenador directamente al AP mediante un cable Ethernet. Asegúrate de que no haya otros cables conectados al AP excepto el de alimentación.
3. Accede a la Interfaz Web: Abre un navegador y ve a la dirección IP por defecto del AP (comúnmente 192.168.0.1 o 192.168.1.1). Inicia sesión con las credenciales por defecto.
4. Flashea el firmware: Busca la sección de „Actualización de Firmware” o „Firmware Upgrade”. Sube el archivo .bin o .trx que descargaste. ¡No desconectes el AP durante este proceso bajo ningún concepto! Espera a que se reinicie.
5. Reconfiguración Inicial: Una vez reiniciado, el AP tendrá una nueva IP (normalmente 192.168.1.1 para OpenWrt) y requerirá una nueva configuración de contraseña y, posiblemente, de la zona horaria.

Paso 2: Configurar la IP del AP en tu Red Local

Para evitar conflictos de IP con tu router principal, y para que tu AP sea fácilmente accesible, vamos a darle una IP estática dentro de tu red local.

1. Conecta el AP a tu router: Ahora sí, conecta el puerto LAN del AP (no el WAN, si tiene uno separado) a un puerto LAN de tu router principal mediante el cable Ethernet.
2. Accede al AP: Ve a la nueva IP del AP (ej. 192.168.1.1 si es OpenWrt) desde tu navegador.
3. Cambia la IP estática: Navega a la configuración de red (en OpenWrt, suele ser „Network” -> „Interfaces” -> „LAN”). Asigna una dirección IP estática que esté dentro del rango de tu red principal pero fuera del rango DHCP de tu router (ej. si tu router es 192.168.1.1 y su DHCP va de .100 a .200, asigna al AP una IP como 192.168.1.5). Configura la máscara de subred (normalmente 255.255.255.0) y la puerta de enlace (Gateway) a la IP de tu router principal (ej. 192.168.1.1). Guarda y aplica los cambios. El AP se reiniciará.

Paso 3: Actualizar Paquetes y Configurar DNS Dinámico (DDNS)

1. Accede de nuevo al AP: Ahora a través de su nueva IP estática.
2. Actualiza los paquetes: Abre una terminal SSH al AP (puedes usar PuTTY en Windows o el terminal en Linux/macOS). Inicia sesión. Ejecuta los comandos:
   opkg update
opkg upgrade (para OpenWrt)
   Esto asegura que tienes las últimas versiones de software.
3. Configura DDNS (si es necesario): Si no tienes una IP pública estática, instala el cliente DDNS en tu AP:
   opkg install luci-app-ddns (para OpenWrt con interfaz LuCI)
   Luego, configúralo desde la interfaz web del AP (Servicios -> Dynamic DNS) con las credenciales de tu proveedor DDNS. Esto permitirá que tu nombre de dominio (ej. mi-vpn-casera.ddns.net) siempre apunte a la IP pública de tu hogar, incluso si cambia.

🛡️ Fase 2: Configuración del Servidor VPN (OpenVPN)

Para esta guía, nos centraremos en OpenVPN, un protocolo maduro, seguro y ampliamente compatible. WireGuard es otra excelente opción, más moderna y rápida, pero la configuración de OpenVPN es un buen punto de partida.

Paso 4: Instalar OpenVPN en el AP

Desde la terminal SSH de tu AP:

opkg install openvpn-openssl easy-rsa

openvpn-openssl es el servidor VPN, y easy-rsa nos ayudará a generar los certificados.

Paso 5: Generar Certificados y Claves

La seguridad de OpenVPN se basa en certificados. Usaremos easy-rsa para crearlos. Los pasos son los siguientes (generalizados para OpenWrt, las rutas pueden variar ligeramente):

1. Inicializar easy-rsa:

   make-cadir /etc/openvpn/easy-rsa
   cd /etc/openvpn/easy-rsa
   ./easyrsa init-pki

2. Crear la Autoridad Certificadora (CA):

   ./easyrsa build-ca nopass

   Te pedirá un „Common Name”. Puedes usar „MiVPN_CA”.

3. Generar el Certificado y la Clave del Servidor:

   ./easyrsa gen-req server nopass
   ./easyrsa sign-req server server

   Confirma con „yes”.

4. Generar el Certificado y la Clave Diffie-Hellman:

   ./easyrsa gen-dh

   Esto puede tardar un tiempo.

5. Generar la Clave TLS-Auth (HMAC):

   openvpn --genkey --secret ta.key

   Esto añade una capa extra de seguridad para proteger contra ataques de denegación de servicio y escaneos de puertos.

6. Generar el Certificado y la Clave del Cliente:
   Repite este paso por cada cliente que quieras conectar.

   ./easyrsa gen-req cliente1 nopass
   ./easyrsa sign-req client cliente1

   Confirma con „yes”. Sustituye „cliente1” por el nombre que desees.

7. Copiar los archivos necesarios:
   Copia todos los certificados y claves generados (ca.crt, server.crt, server.key, dh.pem, ta.key, cliente1.crt, cliente1.key) a la carpeta /etc/openvpn/.

   cp pki/ca.crt pki/issued/server.crt pki/private/server.key dh.pem ta.key /etc/openvpn/
   cp pki/issued/cliente1.crt pki/private/cliente1.key /etc/openvpn/

Paso 6: Configurar el Archivo de Configuración del Servidor OpenVPN

Crea un archivo llamado /etc/openvpn/server.conf con el siguiente contenido (ajústalo según tus necesidades):

port 1194
proto udp
dev tun
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh.pem
tls-auth /etc/openvpn/ta.key 0
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
keepalive 10 120
cipher AES-256-CBC
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3
explicit-exit-notify 1
comp-lzo

Este archivo define cómo funcionará tu servidor VPN. Asegúrate de que las rutas a los certificados y claves sean correctas. La línea server 10.8.0.0 255.255.255.0 define la subred de tu VPN (diferente a tu LAN principal).

Paso 7: Configurar el Firewall en el AP

Necesitamos permitir el tráfico OpenVPN y el reenvío de tráfico entre la interfaz VPN (tun0) y la interfaz de red local del AP.

1. Habilitar IP Forwarding:

   echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf
   sysctl -p

2. Configurar el Firewall (LuCI en OpenWrt):
   Ve a „Network” -> „Firewall” -> „Traffic Rules”.
   • Añade una regla para permitir el tráfico UDP en el puerto 1194 (o el puerto que hayas configurado en server.conf) hacia el AP desde „cualquier zona” (WAN).
   • Crea una nueva zona de firewall para la interfaz VPN (tun0). Nómbrala „VPN” y permite el reenvío hacia la zona „LAN”.
   • Asegúrate de que el enmascaramiento (MASQUERADING) esté habilitado para la zona VPN a WAN.

   Alternativamente, puedes añadir reglas de firewall directamente en la terminal editando /etc/config/firewall y reiniciando el firewall con /etc/init.d/firewall restart. Es un proceso detallado que merece una guía aparte, pero la interfaz gráfica de LuCI lo simplifica enormemente.

Paso 8: Iniciar el Servicio OpenVPN

Desde la terminal SSH:

/etc/init.d/openvpn enable
/etc/init.d/openvpn start

Esto habilitará OpenVPN al inicio y lo iniciará inmediatamente. Puedes verificar el estado con logread | grep openvpn.

📡 Fase 3: Configuración del Router Principal

Paso 9: Redireccionamiento de Puertos (Port Forwarding)

Tu router principal necesita saber que el tráfico entrante para el puerto VPN debe ser enviado a tu AP.

1. Accede a la interfaz web de tu router principal.
2. Busca la sección de „Redireccionamiento de Puertos” o „Port Forwarding”.
3. Crea una nueva regla:
   • Puerto Externo (WAN): 1194 (UDP)
   • Puerto Interno (LAN): 1194 (UDP)
   • Dirección IP Interna: La dirección IP estática que asignaste a tu AP (ej. 192.168.1.5).
   • Protocolo: UDP (OpenVPN usa UDP por defecto, aunque puede usar TCP).

   Guarda los cambios.

📱 Fase 4: Configuración del Cliente VPN

Paso 10: Exportar Configuración del Cliente

Necesitamos un archivo de configuración para cada dispositivo cliente.

1. Desde el AP, copia los siguientes archivos:
   • /etc/openvpn/ca.crt
   • /etc/openvpn/ta.key
   • /etc/openvpn/cliente1.crt
   • /etc/openvpn/cliente1.key

   Puedes usar scp o un cliente SFTP como WinSCP para copiarlos a tu ordenador.

2. Crea un archivo de configuración del cliente (ej. cliente1.ovpn) en tu ordenador con el siguiente contenido:

   client
   dev tun
   proto udp
   remote TU_DOMINIO_DDNS_O_IP_PUBLICA 1194
   resolv-retry infinite
   nobind
   persist-key
   persist-tun
   ca ca.crt
   cert cliente1.crt
   key cliente1.key
   remote-cert-tls server
   tls-auth ta.key 1
   cipher AES-256-CBC
   verb 3
   comp-lzo
   redirect-gateway def1

   ¡Importante! Reemplaza TU_DOMINIO_DDNS_O_IP_PUBLICA con tu dominio DDNS (ej. mi-vpn-casera.ddns.net) o tu IP pública estática. Asegúrate de que los nombres de los archivos de certificado y clave coincidan con los que copiaste.

3. Empaqueta todo: Coloca los archivos ca.crt, ta.key, cliente1.crt, cliente1.key y cliente1.ovpn en una misma carpeta para cada cliente.

Paso 11: Instalar y Configurar el Cliente VPN

En el dispositivo donde quieras conectarte (ordenador, móvil):

1. Descarga el cliente OpenVPN:
   • Windows/macOS/Linux: OpenVPN Connect o la versión de la comunidad.
   • Android/iOS: Aplicación „OpenVPN Connect” desde la tienda de aplicaciones.
2. Importa la configuración:
   Abre la aplicación OpenVPN y busca la opción para importar un archivo de configuración (.ovpn). Selecciona el archivo cliente1.ovpn (o el que hayas creado). Asegúrate de que los otros archivos de certificados estén en la misma ubicación o se referencien correctamente.
3. Conecta: Inicia la conexión VPN. Si todo está configurado correctamente, ¡deberías conectarte!

Paso 12: ¡Prueba tu Conexión! ✅

Una vez conectado, verifica que tu IP pública haya cambiado a la de tu hogar (puedes usar sitios como „whats my IP”). Intenta acceder a un recurso local de tu red (ej. la interfaz web de tu router principal o un NAS). Si puedes, ¡lo has logrado!

⚙️ Optimización y Seguridad Adicional

• Mantén Actualizado: Regularmente, accede a tu AP y actualiza el firmware y los paquetes.
• Contraseñas Fuertes: Utiliza contraseñas complejas para tu AP y para el acceso SSH.
• Limita el Acceso: Si no lo necesitas, deshabilita el acceso SSH y la interfaz web desde la WAN.
• Monitoreo: Revisa los logs de OpenVPN en tu AP para detectar cualquier actividad inusual.
• Protocolo WireGuard: Si buscas mayor velocidad y simplicidad, considera investigar WireGuard una vez que te sientas cómodo con OpenVPN. Es más moderno y su configuración es, en muchos aspectos, más sencilla.

🧐 Mi Opinión Personal (Basada en la Experiencia)

Configurar una VPN personal usando un AP puede parecer un camino lleno de retos técnicos al principio. Habrá momentos en los que sientas que no avanzas, o que un comando no funciona como esperabas. Sin embargo, permítanme decirles, después de haber pasado por este proceso varias veces, que el esfuerzo vale cada minuto invertido. La tranquilidad de saber que tus datos viajan por un túnel cifrado que tú controlas, la libertad de acceder a tu red local desde cualquier cafetería o país, y la independencia de no depender de servicios de terceros (que a menudo tienen políticas de privacidad ambiguas o coste mensual), son beneficios invaluables.

Los servicios VPN comerciales son excelentes para ciertas cosas, como evadir geobloqueos o navegar con anonimato general. Pero para la seguridad de tu hogar, para ese acceso a tus propias cosas, tu VPN casera es insuperable. Es tu fortaleza digital, construida con tus propias manos (y un poco de código). Es una inversión en tu soberanía digital que, con una configuración cuidadosa y un mantenimiento periódico, te servirá fielmente durante años. ¡Anímate, el mundo de la ciberseguridad y el control de tu red te espera!

🎉 Conclusión

¡Felicidades! Has completado una guía exhaustiva para configurar tu propio servidor VPN utilizando un AP conectado a tu router. Ahora tienes las herramientas y el conocimiento para proteger tu tráfico online y acceder a tu red doméstica de forma segura desde cualquier lugar del mundo. Este proyecto, aunque puede requerir un poco de paciencia y lectura, te proporcionará un control y una seguridad que pocos servicios comerciales pueden igualar. Disfruta de tu nueva independencia digital y explora las infinitas posibilidades que tu propia VPN casera te ofrece. ¡El futuro de tu privacidad está en tus manos!