Cómo instalar VPN en el router Keenetic en 2026: paso a paso

Si quieres entender cómo instalar VPN en Keenetic para que todo el tráfico en casa pase a través de un túnel — sin aplicaciones separadas en cada teléfono, Smart TV y PlayStation — estás en la página correcta. Keenetic lo permite, pero hay varios métodos, y difieren mucho en complejidad y capacidades.

La pregunta principal de inmediato: ¿solo necesitas eludir sitios bloqueados o también ocultar el tráfico VPN del DPI del proveedor? Esto lo determina todo. Analizaremos ambos escenarios.

Qué métodos existen para instalar VPN en Keenetic

KeeneticOS — el firmware que Keenetic desarrolla por sí mismo — ya contiene clientes VPN de serie. Están disponibles a través de la interfaz web my.keenetic.net en las secciones "Otras conexiones" y "Filtros de Internet". Este es el camino más simple, y para la mayoría de las tareas es suficiente.

Pero también hay una ruta avanzada: la instalación de Entware (gestor de paquetes para routers) y paquetes adicionales como XKeen o Shadowsocks. Esto ya es para aquellos a quienes el proveedor les corta el propio WireGuard a través de DPI.

Clientes VPN integrados en KeeneticOS

KeeneticOS soporta WireGuard, OpenVPN, IKEv2/IPsec, SSTP, L2TP/IPsec y PPTP. PPTP — olvídalo, no es seguro y en realidad no cifra los datos. Los demás funcionan bien, pero la elección depende de la tarea y del modelo del router.

Los componentes se instalan en la sección "Configuración general" → "Modificar conjunto de componentes". Si WireGuard no está allí — la versión del firmware es antigua, necesitas actualizar al menos a KeeneticOS 3.7.

Componente «Proxy Cloudflare DNS over HTTPS» y eludir DPI

No es una VPN, pero a veces ayuda con algunos bloqueos. DoH cifra las consultas DNS, por lo que el proveedor no ve a qué dominios accedes. Pero la dirección IP de destino sigue siendo visible. Para YouTube, que se ralentiza a nivel de IP, esto no es una solución.

Instalación a través de Entware y paquetes de terceros

Entware es un repositorio de paquetes que se puede instalar en una unidad USB conectada al enrutador. A través de él se instala XKeen (una envoltura sobre XRay con soporte para VLESS/XTLS), Shadowsocks-libev, AmneziaWG y otras herramientas. Es potente, pero requiere un entendimiento básico de comandos de Linux y tiempo para configurarlo.

Cuándo es suficiente el cliente integrado y cuándo se necesita Entware

El WireGuard integrado funcionará si tu proveedor simplemente bloquea sitios por IP o dominio — esto es la mayoría de los casos en 2026. Si el proveedor filtra activamente el tráfico a través de DPI y bloquea el propio protocolo WireGuard (esto ocurre con algunos ISP regionales) — se necesita AmneziaWG o XKeen/VLESS. Si no estás seguro — comienza con el WireGuard integrado y ve si funciona.

Configuración de WireGuard en Keenetic paso a paso

WireGuard es la mejor opción para la mayoría de las redes domésticas. Rápido, económico en CPU, y se configura en 10 minutos. Aquí te mostramos cómo instalar VPN en Keenetic a través de WireGuard.

Paso 1. Instalación del componente WireGuard en KeeneticOS

Ve a my.keenetic.net → «Configuración general» → «Cambiar conjunto de componentes». Busca «Cliente VPN WireGuard» en la sección «Red» y marca la casilla. El enrutador descargará el componente y se reiniciará. Esto toma alrededor de 2–3 minutos.

Si el componente no está en la lista — primero actualiza el firmware a través de «Configuración general» → «Actualización de KeeneticOS». Sin el componente WireGuard no tiene sentido continuar.

Paso 2. Importar configuración (archivo .conf o entrada manual de claves)

Ve a «Otras conexiones» → «Conexiones VPN» → botón «Agregar». Selecciona «WireGuard». Aquí hay dos opciones: importar un archivo .conf listo (más fácil) o ingresar los parámetros manualmente.

El archivo .conf listo lo proporciona el proveedor de VPN — NvoVPN, Mullvad, ProtonVPN y otros lo entregan en el área de cliente. El archivo se ve así:

Haz clic en «Importar configuración», carga el archivo — todos los campos se llenarán automáticamente. Al ingresar manualmente, completa cada campo por separado: PrivateKey, PublicKey, Endpoint (dirección del servidor y puerto a través de dos puntos), AllowedIPs.

Paso 3. Configuración de la tabla de enrutamiento y prioridad de conexión

Después de crear la conexión, busca el interruptor «Usar para salir a Internet» — actívalo. Sin esto, la VPN se levantará, pero el tráfico no pasará a través de ella. El enrutador pensará que es un túnel adicional, no la ruta principal.

En la sección «Prioridad de conexiones» asegúrate de que WireGuard esté por encima de la conexión WAN principal. De lo contrario, al reiniciar, el enrutador puede volver a salir directamente.

Si necesitas enrutamiento selectivo (algunos sitios a través de VPN, otros directamente) — desactiva «Usar para salir a Internet» y configura políticas de acceso para los dispositivos o dominios necesarios a través de la sección «Políticas de acceso a Internet».

Paso 4. Verificación de la conexión y fugas de DNS

Ve a ipleak.net o dnsleaktest.com desde cualquier dispositivo en la red. Debería aparecer la IP del servidor VPN, no tu IP real. Los servidores DNS también deben ser del proveedor de VPN, no de tu ISP. Si ves tu IP real en DNS — en la configuración hay un DNS incorrecto o no está especificado.

Configuración de OpenVPN e IKEv2 en Keenetic

OpenVPN e IKEv2 son alternativas a WireGuard, cada una con sus pros y contras. Tiene sentido elegir entre ellos solo si WireGuard no es adecuado por alguna razón.

Importar archivo .ovpn a través de la sección OpenVPN

El principio es el mismo: «Otras conexiones» → «Conexiones VPN» → «Agregar» → «OpenVPN». Cargas el archivo .ovpn que proporciona el proveedor. El archivo contiene certificados, claves y configuraciones — casi no es necesario ingresar nada manualmente.

El problema es otro: OpenVPN es pesado para el procesador del enrutador. En Keenetic Giga o Ultra esto no se nota. En Keenetic Lite o Start, la velocidad caerá a 20–40 Mbps incluso con un canal de 100+ Mbps — el procesador simplemente no puede manejar la encriptación. Esto no es un error, es una limitación física.

Configuración de IKEv2/IPsec para una conexión estable

IKEv2 se agrega a través de la misma interfaz. Necesitas especificar la dirección del servidor, el identificador, el nombre de usuario y la contraseña o certificado — depende de lo que proporcione el proveedor. IKEv2 puede reconectarse al cambiar de red (de Wi-Fi a Internet móvil y viceversa) sin interrumpir la sesión. Para dispositivos móviles esto es conveniente, pero la configuración es un poco más complicada que WireGuard.

Cuándo elegir OpenVPN y cuándo IKEv2 o WireGuard

WireGuard es la primera opción casi siempre. Más rápido, más ligero, más fácil. OpenVPN — si el proveedor de VPN no soporta WireGuard, o se necesita la máxima compatibilidad con hardware antiguo. IKEv2 — si la carga principal proviene de dispositivos móviles y es importante la estabilidad al cambiar de redes.

Errores típicos en los registros y cómo leerlos

Mira los registros en «Diagnóstico» → «Registro del sistema». Filtra por palabras clave: «WireGuard», «OpenVPN», «IPsec». Errores comunes: «handshake timeout» en WireGuard — PublicKey incorrecto o Endpoint no disponible; «TLS Error» en OpenVPN — certificado caducado o CA incorrecto; «No proposal chosen» en IKEv2 — discrepancia en los algoritmos de encriptación entre el cliente y el servidor.

Eludir DPI y bloqueos de YouTube, Instagram, Telegram en Keenetic

Esta es la sección más importante para quienes viven en Rusia. WireGuard estándar elude bloqueos de sitios — YouTube, Instagram, Twitter/X, Telegram, TikTok se abren normalmente. Pero Roskomnadzor y los proveedores en 2026 pueden bloquear no solo sitios, sino también los propios protocolos VPN a través de DPI (Inspección Profunda de Paquetes). Si el proveedor ve el patrón WireGuard en el tráfico — lo corta.

Por qué WireGuard normal no siempre elude el DPI del proveedor

WireGuard tiene una firma característica — un formato específico de paquetes de handshake por UDP. Los sistemas DPI modernos lo reconocen y bloquean la conexión incluso antes de que el túnel se levante. Si ves que WireGuard intenta conectarse constantemente, pero no puede, y el ping al servidor pasa — probablemente sea DPI.

Es fácil de comprobar: intenta conectarte a través de Internet móvil de otro operador. Si allí funciona, pero en casa no — tu proveedor doméstico está filtrando el protocolo.

Instalación de XKeen (XRay/VLESS) a través de Entware en una unidad USB

XKeen es un paquete para Keenetic que instala XRay con soporte para VLESS+XTLS-Reality. El tráfico VLESS es prácticamente indistinguible del HTTPS normal — DPI no lo ve. Pero para la instalación se necesita una unidad USB (mínimo 1 GB, formateada en ext4) y un enrutador con puerto USB.

Orden de acciones: conecta la memoria USB → en KeeneticOS en la sección «Gestión» → «Dispositivos USB» asegúrate de que se haya detectado → instala el componente «OPKG Gestor de paquetes» → a través de SSH o terminal web inicia la instalación de Entware con el comandoopkg install entware. Después de esto, a través deopkg install xkeen se instala el propio XKeen.

Si la memoria USB no se detecta, probablemente esté formateada en NTFS o FAT32. KeeneticOS para Entware requiere ext2/ext3/ext4. Formatea a través de GParted o en Linux con el comandomkfs.ext4 /dev/sdX.

Shadowsocks y Amnezia WG (AmneziaWG) como protección contra bloqueos de protocolo

AmneziaWG es un fork de WireGuard con adición de ofuscación. El tráfico se disfraza como ruido aleatorio, DPI no lo reconoce como WireGuard. En 2026, varios servicios VPN lo soportan, y es la forma más sencilla de eludir el bloqueo de protocolo: la configuración es casi la misma que la de WireGuard normal, solo que la configuración es diferente.

Shadowsocks es una herramienta probada, especialmente popular para eludir el firewall chino. Funciona de manera estable, pero requiere instalación a través de Entware. La velocidad suele ser más baja que la de WireGuard, pero más alta que la de OpenVPN.

Enrutamiento selectivo: permitir solo los sitios necesarios a través de VPN

Cuando la VPN está activada para todo el tráfico, a veces los bancos rusos y los servicios gubernamentales se niegan a funcionar: pueden bloquear direcciones IP desde el extranjero. La solución es el enrutamiento selectivo.

En KeeneticOS se llama «Políticas de acceso a Internet». Se puede crear una política «A través de VPN» y asignarla a dispositivos específicos (Smart TV, teléfono) o configurar el enrutamiento por dominios a través de XKeen, donde las listas de sitios se definen en la configuración de XRay. Los recursos rusos (Sberbank, servicios gubernamentales, VKontakte) van directamente, los bloqueados (YouTube, Instagram, Telegram) a través de un túnel.

Verificación del funcionamiento de la VPN y resolución de problemas

Después de haber entendido cómo instalar la VPN en Keenetic y haber completado la configuración, es necesario asegurarse de que todo funcione correctamente y no solo esté «conectado».

Cómo verificar que todo el tráfico pasa a través de la VPN (prueba de IP y fugas de DNS)

La forma más confiable es entrar en ipleak.net desde un teléfono o computadora en tu red. El servicio mostrará la dirección IP, la geolocalización y los servidores DNS. La imagen correcta: la IP pertenece al servidor VPN, los servidores DNS también son del proveedor de VPN, no de tu ISP.

La segunda herramienta es dnsleaktest.com, Prueba Extendida. Realiza varias consultas DNS y muestra a través de qué servidores pasaron. Si ves servidores de tu proveedor, tienes una fuga de DNS. Se soluciona escribiendo manualmente los DNS en la configuración de WireGuard o en la configuración DHCP del router.

Prueba de velocidad antes y después de conectar la VPN

Metodología: haz una prueba en fast.com o speedtest.net sin VPN, anota el resultado. Luego conecta la VPN y repite. La diferencia en velocidad depende del modelo del router y del protocolo. No te bases en cifras ajenas: están medidas en otro hardware y en otro canal. Solo tus propias pruebas darán una imagen real.

Si la velocidad ha caído drásticamente, primero verifica si se ha seleccionado OpenVPN en el router económico. Prueba otro servidor del proveedor de VPN, preferiblemente uno geográficamente más cercano.

Qué hacer si la VPN se conecta, pero no hay Internet

Este es el problema más común. Lista de verificación en orden:

• ¿El interruptor «Usar para salir a Internet» está activado en la configuración de la conexión VPN?
• ¿En la configuración de AllowedIPs está0.0.0.0/0, y no una subred específica?
• ¿El DNS está escrito en la configuración: el campo DNS no está vacío?
• ¿No hay conflicto con doble NAT: el router no está detrás del router del proveedor?
• ¿La prioridad de la conexión VPN es mayor que la del WAN principal en la sección de prioridades?

El doble NAT es una historia aparte. Si tu router está conectado al router del proveedor (y no directamente a la línea), a veces no se puede levantar WireGuard debido al bloqueo de puertos UDP. La solución es pedir al proveedor que asigne una IP externa o que coloque el puerto del router en DMZ en el dispositivo del proveedor.

Por qué cae la velocidad y cómo aumentarla

En los Keenetic económicos (Lite, Start) el punto débil es el procesador MIPS sin aceleración de hardware para cifrado. OpenVPN lo carga hasta el 100% a velocidades de 50 Mbps. WireGuard es más eficiente: en el mismo hardware permite pasar de 2 a 3 veces más tráfico. AmneziaWG es un poco más lento que el WireGuard normal debido a la ofuscación, pero la diferencia es pequeña.

Si la velocidad sigue siendo baja, activa el enrutamiento selectivo. Permite que solo los servicios bloqueados pasen a través de la VPN, y el resto del tráfico directamente. La carga en el procesador disminuirá proporcionalmente al volumen de tráfico que realmente pasa a través del túnel.