Configuración manual de VPN: mejores parámetros 2026
Configuración manual de VPN: mejores parámetros 2026 Si estás buscando la mejor configuración manual de vpn — los valores correctos de protocolos, puertos y cifrado que realmente funcionan contra el DPI ruso — este artículo trata precisamente de eso. No son consejos generales, sino cifras concretas
Configuración manual de VPN: mejores parámetros 2026
Si estás buscando la mejor configuración manual de vpn — los valores correctos de protocolos, puertos y cifrado que realmente funcionan contra el DPI ruso — este artículo trata precisamente de eso. No son consejos generales, sino cifras concretas que he comprobado en la práctica en 2026.
La mayoría de los artículos sobre configuración manual de VPN dan instrucciones de "haz clic aquí, introduce tu usuario", pero no mencionan qué MTU establecer, por qué WireGuard en 51820 es fácilmente detectable en la red de un proveedor ruso y qué es Jc en AmneziaWG. Vamos a desglosar esto.
Cuándo la configuración manual de VPN es mejor que una aplicación lista para usar
La aplicación VPN es conveniente. Presionas un botón, te conectas. Pero cuando el proveedor comienza a cortar el tráfico o bloquear el propio protocolo, la aplicación con configuraciones predeterminadas a menudo es la primera en fallar. La configuración manual permite elegir precisamente aquellos parámetros que evitan un filtro específico.
La aplicación es bloqueada por el proveedor, pero la configuración manual no
DPI (Inspección Profunda de Paquetes) en los proveedores rusos puede reconocer patrones de aplicaciones VPN populares — por puertos, handshakes y características temporales del tráfico. La configuración manual con un puerto no estándar y ofuscación se ve diferente. Es por eso que una configuración casera de WireGuard en el puerto 443 a menudo funciona donde la aplicación oficial se detiene.
Selección flexible de puerto, protocolo y cifrado
En modo manual, tú eliges: UDP o TCP, puerto 443 o 1194, qué cifrado usar. Esto es especialmente importante en NAT simétrico de operadores móviles — a menudo corta conexiones UDP, y la única solución es cambiar a TCP/443.
Configuración en dispositivos sin aplicación: router, Smart TV, Apple TV
Apple TV, Smart TV Samsung/LG y consolas de videojuegos — PlayStation, Xbox — no soportan clientes VPN directamente. La única forma de hacer pasar su tráfico a través de VPN es configurarlo a nivel de router. Sin configuración manual, esto es imposible.
Cuándo NO se necesita configuración manual y es más fácil dejar la aplicación
Si la aplicación VPN funciona y la velocidad es satisfactoria — no hay necesidad de tocar nada. La configuración manual conlleva el riesgo de errores en los parámetros, y entonces la conexión no se establecerá en absoluto o habrá fugas de DNS. Los principiantes sin experiencia es mejor que comiencen con una aplicación lista para usar y pasen a la configuración manual solo ante un problema específico.
Mejores parámetros por protocolos: WireGuard, OpenVPN, IKEv2, VLESS, Amnezia
Aquí es donde la mayoría de las guías fallan — dan información general sin valores concretos. A continuación — rangos de trabajo reales para las condiciones de Rusia en 2026. Esto es lo que se llama la mejor configuración manual de vpn en la comunidad profesional.
WireGuard: MTU, Keepalive, AllowedIPs — qué valores establecer
WireGuard es rápido y simple, pero "desnudo" — sin ofuscación — es fácilmente detectado por DPI debido a su handshake característico. Sin embargo, si el proveedor no lo bloquea, es la mejor opción en términos de velocidad.
Parámetros concretos:
- MTU: 1280–1420. Comienza con 1420. Si las páginas se cargan lentamente con un ping normal — disminuye en pasos de 10 hasta 1280. En redes móviles a menudo se necesita 1360 o menos.
- PersistentKeepalive: 25. Mantiene la conexión a través de NAT. Sin este parámetro, la conexión se corta después de unos minutos de inactividad.
- AllowedIPs: 0.0.0.0/0, ::/0. Asegúrate de habilitar el bloque IPv6 — de lo contrario, el tráfico IPv6 irá por fuera del túnel y revelará tu IP real.
- DNS: 1.1.1.1 o 9.9.9.9. No uses el DNS del proveedor dentro del túnel.
OpenVPN: UDP contra TCP, puerto 443, tls-crypt y ofuscación
OpenVPN es un viejo caballo, pero flexible. UDP es más rápido, TCP es más confiable en una red mala. Con un DPI severo, cambia a TCP/443 — esto hace que el tráfico se parezca externamente a HTTPS.
Asegúrate de usartls-crypt en lugar del obsoletotls-auth — cifra incluso el handshake TLS y complica mucho el reconocimiento del protocolo. Sin esto, OpenVPN en el puerto 1194 es detectado instantáneamente. El parámetroverb 3 en la configuración — actívalo para diagnóstico, luego quítalo.
IKEv2/IPsec: cuándo es adecuado y dónde es cortado
IKEv2 es bueno en iOS y macOS — está integrado en el sistema, no necesita una aplicación separada. Se reconecta rápidamente al cambiar de red (Wi-Fi → móvil). Pero IPsec en el puerto 500/4500 UDP es cortado por Roskomnadzor sin ceremonias donde aplica bloqueos activamente. Para uso doméstico en Rusia en 2026 — una elección poco confiable, a menos que funcione a través de un servidor VPN con un puerto no estándar.
Shadowsocks y VLESS/XRay: enmascaramiento como tráfico HTTPS normal
VLESS con transporte XTLS-Reality — en mi opinión, la mejor opción para Rusia en este momento. Se hace pasar por una conexión TLS 1.3 normal a un sitio real (por ejemplo, a microsoft.com o apple.com), y DPI no puede distinguirlo del tráfico legítimo.
Shadowsocks es más fácil de configurar, pero menos resistente a la sondeo activo (active probing). Si el proveedor aplica DPI agresivo con sondeo activo, pueden detectar Shadowsocks. VLESS/Reality es más confiable en este aspecto.
Ambos protocolos funcionan en el puerto 443. No tiene sentido usar otros puertos.
AmneziaWG: parámetros contra DPI (Jc, Jmin, Jmax, S1, S2, H1-H4)
AmneziaWG es un fork de WireGuard con ofuscación del handshake. Son los parámetros de ofuscación los que lo hacen invisible para DPI, que puede reconocer WireGuard estándar.
| Parámetro | Qué hace | Valor de trabajo |
|---|---|---|
| Jc | Número de paquetes basura en el handshake | 3–10 |
| Jmin | Tamaño mínimo del paquete basura (bytes) | 10–50 |
| Jmax | Tamaño máximo del paquete basura (bytes) | 50–1000 |
| S1 | Bytes adicionales en el primer paquete de iniciación | 0–250 |
| S2 | Bytes adicionales en el paquete de respuesta | 0–250 |
| H1–H4 | Valores de Magic Header (deben ser únicos) | uint32 aleatorios |
El servidor y el cliente deben usar los mismos valores para estos parámetros; de lo contrario, la conexión no se establecerá. La aplicación Amnezia VPN los genera automáticamente al crear la configuración. NvoVPN, por ejemplo, proporciona configuraciones listas de AmneziaWG a través del panel personal; no es necesario generarlas manualmente.
Configuración manual paso a paso en diferentes dispositivos
Android: importación de configuración e ingreso manual de parámetros
Para WireGuard: descarga la aplicación oficial WireGuard desde Play Store. Crea un túnel a través de “+” → “Crear desde cero” o “Importar desde archivo/QR”. Al ingresar manualmente, especifica la clave privada, la dirección de la interfaz, DNS, MTU (1280–1420) y los datos del par (clave pública del servidor, endpoint, AllowedIPs, PersistentKeepalive: 25).
Para VLESS: usa v2rayNG o NekoBox. Importa a través de la cadena de enlace vless:// o código QR. Después de la importación, en la configuración del par, verifica que se indique la Reality publicKey y shortId correctos.
iPhone/iOS: perfiles VPN y aplicaciones cliente
La configuración del sistema iOS solo admite IKEv2, L2TP y PPTP (este último no debe usarse en absoluto, no es seguro). Ruta: Configuración → General → VPN y gestión de dispositivos → VPN → Agregar configuración VPN.
WireGuard, VLESS y Shadowsocks requieren una aplicación separada de App Store: WireGuard (oficial), Streisand o Shadowrocket para VLESS/Shadowsocks. Shadowrocket cuesta $2.99 — es de pago, pero funciona más estable que las alternativas gratuitas.
Windows: clientes oficiales y configuración del sistema
IKEv2 se configura a través del Panel de control → Red → Crear conexión → VPN. Para WireGuard: cliente oficial wireguard.com/install. Importa el archivo .conf a través de “Agregar túnel”.
Después de conectarte, verifica que la ruta 0.0.0.0/0 realmente pase a través del túnel:route print en la línea de comandos. Si la dirección IPv6 es visible sin ruta a través de VPN, agrega el bloque ::/0 a AllowedIPs.
Mac y Apple TV
En Mac, WireGuard se instala desde la App Store o a través de Homebrew (brew install wireguard-tools). Apple TV no tiene un cliente VPN propio: se conecta solo a través del router (ver más abajo). A partir de tvOS 17 hay soporte para IKEv2 a través de perfiles .mobileconfig, pero es un escenario de nicho.
Router (OpenWrt/Keenetic) para toda la red
Esta es la única forma de cubrir VPN todos los dispositivos a la vez: Smart TV, consolas, Apple TV. En Keenetic: Internet → Otras conexiones → WireGuard → Agregar. Inserte los parámetros del túnel, par, indique MTU y DNS.
Importante: después de actualizar el firmware de Keenetic o OpenWrt, la configuración de VPN a veces se pierde. Guarde una copia de seguridad de la configuración en un archivo de antemano. En OpenWrt, la configuración de WireGuard se encuentra en /etc/config/network: se puede hacer una copia de seguridad con scp.
Smart TV y consolas de juegos a través del router
No se necesitan acciones adicionales en los propios dispositivos: obtienen internet del router, que ya está en el túnel. El único matiz: si la VPN está configurada solo para parte del tráfico del router, asegúrese de que las direcciones MAC de los dispositivos necesarios caigan en la "zona VPN" de enrutamiento.
Evasión de bloqueos y ralentizaciones: YouTube, Instagram, Telegram y otros
La diferencia entre el bloqueo total y la ralentización (throttling) es importante: en la ralentización, el sitio de YouTube es técnicamente accesible, pero los videos se cargan en 144p. DPI identifica el tráfico y reduce la prioridad, sin bloquear completamente. Para evadir, se necesitan precisamente esas configuraciones que ocultan el tipo de tráfico.
Ralentización de YouTube y qué parámetros ayudan
La ralentización de YouTube en Rusia funciona a través de TSPU (medios técnicos para contrarrestar amenazas): el equipo de Roskomnadzor del lado del proveedor. Puede reconocer el tráfico de YouTube incluso a través de parte de los protocolos VPN.
Lo que ayuda: VLESS+Reality en el puerto 443: el tráfico se ve como HTTPS normal a un sitio externo. AmneziaWG: oculta WireGuard como tráfico aleatorio enmascarado. Shadowsocks con el plugin obfs: menos confiable, pero funciona en algunos casos. WireGuard puro o OpenVPN sin ofuscación puede ser procesado por TSPU.
Instagram, Facebook, Twitter/X: elección del protocolo
Estos servicios están completamente bloqueados por Roskomnadzor: no solo ralentizados. Aquí, cualquier túnel VPN funcional dará acceso. Pero si el proveedor bloquea el propio protocolo VPN, se necesitan opciones enmascaradas: VLESS/Reality, Shadowsocks, AmneziaWG. OpenVPN estándar en 1194 o WireGuard en 51820 puede ser bloqueado a nivel de protocolo.
TikTok y WhatsApp
TikTok en 2026 en RF funciona de manera inestable: algunos proveedores ralentizan, otros no. La misma historia que con YouTube: ayuda VLESS/Reality o AmneziaWG, puerto 443. WhatsApp aún está disponible sin VPN, pero las llamadas a veces se cortan: si es así, una VPN con transporte UDP a menudo resuelve el problema.
Telegram: VPN contra proxies integrados (MTProto)
Telegram tiene soporte integrado para proxies MTProto: esto es más fácil para muchos usuarios que la configuración manual de VPN. Pero el proxy MTProto no cifra todo el tráfico del dispositivo, solo Telegram. Si se necesita acceso a otros servicios, VPN es más correcto. Al elegir VPN para Telegram, use el protocolo UDP (WireGuard o OpenVPN UDP): la latencia es más baja, las llamadas son de mejor calidad.
Qué hacer si el proveedor utiliza DPI estricto y Roskomnadzor bloquea el protocolo
Orden de acciones en caso de DPI estricto: primero intente cambiar el puerto a 443. Si no ayudó, cambie el protocolo a uno enmascarado (VLESS/Reality o AmneziaWG). Si DPI comienza a bloquear un puerto que antes funcionaba, rote puertos y protocolos. Un buen servicio VPN proporciona varios puntos finales con diferentes puertos precisamente para esto.
En caso de doble NAT (router detrás de otro router), los túneles UDP a menudo no se levantan: cambie a TCP/443. Esto es más lento, pero funciona.
Prueba de velocidad y diagnóstico: verificamos que la configuración funcione
No habrá números inventados aquí. La velocidad depende de su tarifa, la carga del servidor y la distancia a él. La metodología correcta es medir por sí mismo y comparar.
Cómo medir la velocidad antes y después de la conexión
Use fast.com o speedtest.net. Haga 3 mediciones sin VPN, anote el promedio. Conéctese a la VPN, espere 30 segundos, haga otras 3 mediciones. Compare. La pérdida de velocidad del 10-30% con un buen servidor VPN en una ubicación cercana es normal. Pérdida del 70% o más: problema con MTU, servidor o protocolo.
Verificación de fugas de DNS y WebRTC
Justo después de conectarse, vaya a dnsleaktest.com y ejecute la prueba extendida. Todos los servidores DNS deben pertenecer al proveedor de VPN o al DNS público que eligió (1.1.1.1, 9.9.9.9), pero no a su proveedor. Una fuga de DNS significa que el proveedor ve sus solicitudes, incluso si la IP está oculta.
Verifique la fuga de WebRTC en browserleaks.com/webrtc. Si en el navegador se ve su IP real, desactive WebRTC a través de una extensión (por ejemplo, uBlock Origin con la configuración correspondiente) o en about:config de Firefox.
Ajuste de MTU: síntomas de un valor incorrecto
El síntoma clásico de un MTU incorrecto: el ping es normal, pero las páginas grandes no se cargan o se cargan a medias, el video se congela después de la búfer. Esto ocurre porque los paquetes pequeños (ping) pasan, mientras que los grandes se fragmentan o se pierden.
Diagnóstico: en Linux/Mac, ejecuteping -M do -s 1400<IP del servidor>y reduzca el tamaño del paquete hasta que el ping pase. Agregue 28 bytes (encabezados IP+ICMP): ese es su MTU óptimo. En Windows:ping -f -l 1400<IP>.
Por qué la velocidad disminuye y cómo solucionarlo
Orden de diagnóstico en caso de baja velocidad:
- Verifique el MTU (ver arriba) — generalmente es el culpable.
- Cambia UDP por TCP o viceversa — a veces una de las opciones pasa mejor a través del proveedor.
- Cambia el servidor por el más cercano geográficamente — cada 100 ms de ping afectan la velocidad en TCP.
- Verifica la carga del procesador del router — WireGuard en modo software en un router débil se ve limitado por la CPU a velocidades superiores a 50 Mbps.
Si todo esto no ayudó — el problema probablemente está en un servidor VPN sobrecargado o en que el proveedor está cortando activamente este tipo de tráfico. Entonces — cambio de protocolo o cambio de servidor.
¿Qué MTU establecer para WireGuard para que no caiga la velocidad?
Comienza con 1420 — este es el valor estándar para la mayoría de las redes. Si notas cortes o carga lenta de páginas con un ping normal, disminuye en pasos de 10: 1410, 1400 y así hasta 1280. Las redes móviles (4G/5G) y las redes con DPI a menudo requieren 1360 o menos — los operadores añaden sus encabezados a los paquetes, reduciendo el MTU efectivo. Regla: encontraste el tamaño mínimo de ping sin pérdidas — ese es tu MTU.
¿Qué protocolo evita mejor el DPI y los bloqueos de Roskomnadzor?
En las condiciones de Rusia en 2026 — VLESS+Reality y AmneziaWG. Ambos se disfrazan como tráfico TLS 1.3 normal, y el DPI no puede distinguirlos de HTTPS legítimo. WireGuard desnudo en el puerto estándar se detecta rápidamente — tiene un handshake característico. OpenVPN sin tls-crypt y ofuscación también es visible. Si el proveedor aplica sondeos activos (envía paquetes de prueba a direcciones sospechosas) — VLESS/Reality se mantiene mejor que Shadowsocks.
¿Se puede configurar VPN manualmente en iPhone sin aplicación?
Sí, pero solo IKEv2/IPsec y el obsoleto L2TP — a través de Ajustes → General → VPN. Estos son protocolos integrados en iOS. WireGuard, VLESS, Shadowsocks y AmneziaWG requieren una aplicación separada de la App Store: WireGuard (gratis), Shadowrocket ($2.99) o Streisand. Sin la aplicación, estos protocolos no funcionan en iOS — restricción del sistema operativo.
¿Por qué la VPN manual funciona más lento que la aplicación?
La razón más común — MTU incorrecto. En segundo lugar: elegiste TCP donde la aplicación usaba UDP (TCP añade sobrecarga). La tercera razón — servidor sobrecargado o lejano. La cuarta — en un router débil, la CPU no puede manejar la encriptación. Verifica en este orden: MTU → UDP/TCP → ping al servidor → carga del procesador.
¿Qué puerto elegir si el proveedor corta VPN?
El puerto 443 TCP — la primera elección. Se utiliza para todo el tráfico HTTPS de Internet, y el proveedor no puede bloquearlo sin desconectar la mitad de los sitios. Esto lo hace el más resistente a la filtración. UDP/443 también funciona y es más rápido que TCP — algunos proveedores no filtran UDP en 443. Si esto también se corta — el problema no está en el puerto, sino en el protocolo mismo: se necesita ofuscación (VLESS/Reality, AmneziaWG).
¿Es legal usar VPN con configuración manual?
El uso de VPN para proteger datos personales y acceder a servicios legales no es un delito penal para particulares en Rusia. La parte legal de la cuestión en relación con tu situación específica debe ser aclarada por un especialista — no somos abogados y no ofrecemos garantías legales. Este artículo trata exclusivamente sobre aspectos técnicos de la configuración de VPN para fines legales.
La configuración manual de VPN mejor seleccionada no es una única configuración universal, sino un conjunto de valores para un proveedor y dispositivo específicos. Comienza con WireGuard MTU 1420 y PersistentKeepalive 25, verifica fugas de DNS, mide la velocidad. Si el proveedor bloquea — pasa a VLESS/Reality o AmneziaWG con puerto 443. Este camino de lo simple a lo complejo es el que da un resultado estable.
Noticias relacionadas
También te puede interesar
Neva VPN: revisión, configuración y eludir bloqueos 2026
Neva VPN: revisión, configuración y eludir bloqueos 2026 Si te has encontrado con el nombre Neva VPN...
Leer másCómo instalar VPN en el router Keenetic en 2026: paso a paso
Cómo instalar VPN en el router Keenetic en 2026: paso a paso Si quieres entender cómo instalar VPN e...
Leer másNo funciona Telegram con VPN activado: causas y solución
No funciona Telegram con VPN activado: causas y solución ¿Por qué no funciona Telegram con VPN activ...
Leer más