Por qué crear un router VPN con Raspberry Pi en lugar de usar una VPN convencional

Qué dispositivos no pueden protegerse con una aplicación VPN

Muchos dispositivos, como Smart TV, consolas de videojuegos (PS5, Xbox), Apple TV y varios dispositivos IoT, no admiten la instalación de clientes VPN. Esto significa que no pueden conectarse directamente a un servidor VPN, lo que genera problemas al intentar eludir bloqueos o proteger su red doméstica.

Ventajas y desventajas del router DIY frente al router VPN comercial

Crear un router VPN basado en Raspberry Pi ofrece control total y flexibilidad. Puede configurarlo según sus necesidades y utilizar diferentes protocolos. Sin embargo, requiere tiempo y habilidades. Los routers comerciales, como GL.iNet, son más fáciles de configurar y tienen una interfaz lista para usar, pero son menos flexibles y suelen ser más caros.

Cuándo Raspberry Pi es una solución excesiva

Raspberry Pi puede ser una solución excesiva si tiene necesidades simples, como proteger únicamente un dispositivo. En esos casos, es mejor usar una solución lista para usar o un cliente VPN en el dispositivo, si es compatible.

Lo que necesitará: hardware, firmware y elección del protocolo

Qué Raspberry Pi elegir: Pi 4, Pi 5 o Pi Zero 2W

Raspberry Pi 4 con 2GB de RAM es la elección óptima para un router VPN. Es suficientemente potente para procesar tráfico a velocidades de hasta un gigabit y cuesta alrededor de 3500 rublos. Pi 5 es más rápido, pero más caro y excesivo para la mayoría de las redes domésticas. Pi Zero 2W es demasiado lento para el cifrado, solo apto para velocidades de hasta 50 Mbps.

¿Es necesario un segundo adaptador de red (USB Ethernet o Wi-Fi)?

Si Pi se ubicará entre el router del proveedor y su red, se necesitará un segundo adaptador de red, como USB Ethernet. Esto permitirá separar las interfaces WAN y LAN, garantizando una conexión estable.

OpenWrt vs Raspberry Pi OS: qué instalar en el router

Raspberry Pi OS Lite es la mejor opción para quienes desean el máximo control y están dispuestos a trabajar con la línea de comandos. OpenWrt ofrece una interfaz web cómoda y es más adecuado para usuarios menos experimentados.

WireGuard vs OpenVPN vs Shadowsocks: qué funciona en Rusia en 2026

WireGuard es un protocolo rápido y eficiente, pero en Rusia suele ser bloqueado por DPI. Shadowsocks y VLESS/XRay son más resistentes a los bloqueos, ya que disfrazan el tráfico como HTTPS.

Instalación paso a paso de WireGuard en Raspberry Pi OS

Configuración inicial de Raspberry Pi OS Lite

Instale Raspberry Pi OS Lite en una tarjeta microSD. Conecte Pi a la red y realice la actualización del sistema:

sudo apt update&& sudo apt upgrade.Instalación de WireGuard y generación de claves

Instale WireGuard:

sudo apt install wireguard. Genere las claves:wg genkey | tee privatekey | wg pubkey > publickey.Configuración de IP forwarding e iptables NAT

Active IP forwarding:

echo "net.ipv4.ip_forward=1" | sudo tee -a /etc/sysctl.conf. Configure iptables:sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE.Configuración de wg0.conf: lado del cliente

Cree el archivo

/etc/wireguard/wg0.conf con la configuración. Incluya sus claves y direcciones IP. Ejemplo:

:51820Inicio automático de WireGuard al arrancar el sistema

Agregue WireGuard al inicio automático:

sudo systemctl enable wg-quick@wg0.Verificación: todo el tráfico pasa por la VPN

Asegúrese de que todo el tráfico pase por la VPN:

curl ifconfig.me debe mostrar la IP externa de su VPN. Verifique las fugas de DNS connslookup google.com.Configuración de Pi como router: DHCP, DNS y enrutamiento para toda la red

Instalación de dnsmasq: servidor DHCP y DNS en Pi

Instale dnsmasq para gestionar DHCP y DNS:

sudo apt install dnsmasq. Configure el archivo/etc/dnsmasq.conf para la distribución de direcciones IP.Distribución de direcciones IP a los dispositivos a través de Pi

Configure el rango de direcciones IP:

dhcp-range=192.168.1.10,192.168.1.100,12h. Esto permitirá a Pi distribuir direcciones IP a todos los dispositivos de la red.Configuración de DNS over HTTPS o DNS over TLS para protegerse del espionaje del proveedor

DNS over TLS o DoH protegerán sus consultas DNS. Use 1.1.1.1 de Cloudflare o 8.8.8.8 de Google como servidores.

Split tunneling: parte del tráfico por VPN, parte de forma directa

Configure iptables para el túnel dividido:

iptables -A PREROUTING -t mangle -s 192.168.1.50 -j MARK --set-mark 1. Esto permitirá que determinados dispositivos eviten la VPN.Cómo conectar Pi entre el router del proveedor y la red doméstica

Conecte Pi al router del proveedor y a su red mediante dos interfaces de red. Esto permitirá a Pi controlar todo el tráfico.

Alternativa: OpenWrt en Raspberry Pi

Instalación de OpenWrt en una tarjeta microSD

Descargue la imagen de OpenWrt del sitio oficial y grábela en una tarjeta microSD. Inserte la tarjeta en Raspberry Pi e inicie el sistema.

Configuración de VPN a través de la interfaz web LuCI

En LuCI, configure la VPN a través de la sección correspondiente. Esto es más sencillo que trabajar con la línea de comandos.

WireGuard en OpenWrt: paquetes y configuración

Instale los paquetes necesarios de WireGuard:

opkg update&& opkg install luci-proto-wireguard. Configure la interfaz y las rutas a través de la interfaz web.Ventajas de OpenWrt: interfaz web lista, firewall, DDNS

OpenWrt proporciona una interfaz cómoda de gestión, admite firewall y DDNS, lo que lo hace ideal para principiantes.

Evasión de bloqueos: configuración de Shadowsocks y VLESS/XRay en lugar de WireGuard

Por qué WireGuard es bloqueado por el DPI de los proveedores rusos

Los proveedores rusos utilizan DPI para bloquear WireGuard. Esto se debe a las características distintivas del tráfico que son fáciles de identificar.

Shadowsocks-rust en Raspberry Pi: instalación y configuración

Instale Shadowsocks-rust:

cargo install shadowsocks-rust. Configure los ajustes para enmascarar el tráfico.VLESS + XRay: el protocolo más resistente a los bloqueos en 2026

VLESS con XRay es prácticamente indistinguible del tráfico HTTPS, lo que lo hace resistente a los bloqueos. Requiere más recursos, pero ofrece una excelente protección.

Amnezia VPN: solución lista con ofuscación para Pi

Amnezia VPN es un proyecto ruso de código abierto diseñado para eludir bloqueos. Admite ofuscación y se configura fácilmente en Pi.

Prueba de velocidad: WireGuard vs Shadowsocks vs VLESS en Pi 4

En Raspberry Pi 4, WireGuard ofrece velocidades de 300-400 Mbps, Shadowsocks — 150-250 Mbps debido al cifrado. VLESS es similar en rendimiento a Shadowsocks, pero más resistente.

Diagnóstico y problemas típicos

Hay internet pero la VPN no levanta: qué verificar

Verifique el estado del servicio WireGuard:

journalctl -u wg-quick@wg0. Asegúrese de tener las claves y la ruta correctas.Los dispositivos de la red no tienen internet a través de Pi

Verifique la configuración de iptables y DNS. Asegúrese de que IP forwarding esté habilitado:

cat /proc/sys/net/ipv4/ip_forward.Fugas de DNS: cómo detectarlas y resolverlas

Verifique las fugas de DNS con

tcpdump -i eth0 port 53. Use DNS over TLS para protección.Pi se sobrecalienta bajo carga: ¿es necesario un ventilador?

Raspberry Pi 4 puede sobrecalentarse con cifrado intensivo. Instale un disipador de calor o ventilador para mejorar la disipación térmica.

La VPN se desconecta de noche: configuración de keepalive y watchdog

Use keepalive en la configuración de WireGuard y cree un script watchdog para el reinicio automático de la VPN al desconectarse.

¿Qué Raspberry Pi es el más adecuado para un router VPN?