Cómo configurar un servidor VPN propio en casa

Usar una VPN comercial es cómodo, pero tienes que confiar en que no venden tus datos. La alternativa es montar tu propio servidor VPN en casa, donde tú controlas todo. En esta guía te explico cómo configurar un servidor VPN propio en casa, paso a paso, incluso si nunca has tocado un servidor en tu vida.

Table of contents

Por qué montar una VPN propia tiene sentido

Las VPN comerciales (NordVPN, ExpressVPN, etc.) resuelven dos problemas: privacidad y acceso geográfico. Pero tienen inconvenientes que poca gente menciona:

• Confianza: Confías en que la VPN no registra tu actividad. Algunas lo han hecho.
• Velocidad: Tu tráfico pasa por servidores compartidos con miles de usuarios.
• Coste: Entre 3€ y 12€ al mes de por vida.
• Bloqueos: Muchos servicios detectan y bloquean IPs de VPN comerciales.

Una VPN propia soluciona estos problemas:

• Tú eres el único usuario, así que no hay riesgo de robo de datos
• La velocidad depende solo de tu conexión a internet
• El coste es cero después de la configuración inicial
• Tu IP doméstica rara vez está bloqueada

El inconveniente es que no puedes cambiar de país fácilmente. Tu VPN siempre mostrará tu ubicación real (tu casa). Si necesitas acceder a contenido de otro país, necesitarás una VPN comercial.

Pro-tip: Una VPN propia es ideal para conectarte a tu red doméstica desde fuera: acceder a archivos, ver tu cámara de seguridad o usar tu NAS. No es ideal para saltar bloqueos geográficos.

Qué necesitas para empezar

Antes de configurar, asegúrate de tener lo básico:

Hardware:

• Un ordenador siempre encendido (Raspberry Pi es ideal por su bajo consumo)
• O un router compatible con VPN (algunos routers ASUS y Netgear lo soportan)
• O un NAS (Synology y QNAP incluyen servidor VPN)

Software:

• Sistema operativo Linux (Raspberry Pi OS, Ubuntu Server o Debian)
• OpenVPN o WireGuard (los dos protocolos más populares)

Red:

• Una conexión a internet con IP pública (pregunta a tu operador)
• Acceso a la configuración de tu router para abrir puertos
• Un DNS dinámico si no tienes IP fija (usando No-IP o DuckDNS)

Requisitos mínimos Raspberry Pi:

• Raspberry Pi 4 o superior (2GB RAM mínimo)
• Tarjeta microSD de 16GB+
• Cable Ethernet (WiFi funciona pero es menos estable)
• Fuente de alimentación USB-C

En mi caso, uso una Raspberry Pi 4 con 4GB de RAM que me costó unos 60€. Lleva encendida 24/7 consumiendo apenas 5W, lo que son unos 4€ al año en electricidad.

Configurar WireGuard en Raspberry Pi

WireGuard es más moderno y rápido que OpenVPN. Es mi recomendación para montar una VPN propia:

Paso 1: Instalar WireGuard

1. Conecta a tu Raspberry Pi por SSH o terminal.
2. Actualiza el sistema: sudo apt update && sudo apt upgrade -y
3. Instala WireGuard: sudo apt install wireguard -y

Paso 2: Generar claves

1. Genera la clave privada: wg genkey | sudo tee /etc/wireguard/privatekey | wg pubkey | sudo tee /etc/wireguard/publickey
2. Anota ambas claves (privada y pública).

Paso 3: Configurar la interfaz

1. Crea el archivo de configuración: sudo nano /etc/wireguard/wg0.conf
2. Introduce esta configuración:

[Interface]
PrivateKey = <tu_clave_privada>
Address = 10.0.0.1/24
ListenPort = 51820
SaveConfig = true
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

Paso 4: Abrir puerto en el router

1. Accede a la configuración de tu router (normalmente 192.168.1.1).
2. Busca “Reenvío de puertos” o “Port Forwarding”.
3. Abre el puerto 51820 UDP hacia la IP de tu Raspberry Pi.

Paso 5: Activar WireGuard

1. Ejecuta: sudo systemctl enable wg-quick@wg0
2. Inicia el servicio: sudo systemctl start wg-quick@wg0
3. Verifica que funciona: sudo wg show

Conectar tu móvil y portátil a la VPN

Una vez que el servidor está corriendo, necesitas configurar los clientes:

En Android:

1. Descarga la app WireGuard de Google Play.
2. Abre la app y toca ”+” > “Crear desde archivo” o “Crear tú mismo”.
3. Configura:

[Interface]
PrivateKey = <clave_privada_del_cliente>
Address = 10.0.0.2/24
DNS = 1.1.1.1

[Peer]
PublicKey = <clave_pública_del_servidor>
Endpoint = <tu_ip_pública>:51820
AllowedIPs = 0.0.0.0/0

4. Guarda y activa el túnel.

En Windows:

1. Descarga WireGuard desde wireguard.com.
2. Importa la configuración o créala manualmente.
3. Activa el túnel.

En iPhone:

1. Descarga la app WireGuard de App Store.
2. Importa la configuración o créala manualmente.

Para generar configuraciones automáticamente, usa PiVPN:

1. Ejecuta: curl -L https://install.pivpn.io | bash
2. Sigue el asistente interactivo.
3. Genera clientes con: pivpn add

Configurar DNS dinámico para acceso remoto

Si no tienes IP fija en casa (la mayoría de operadores no la ofrecen), necesitas DNS dinámico:

DuckDNS (gratis):

1. Regístrate en duckdns.org.
2. Crea un subdominio: mipi.duckdns.org.
3. Instala el cliente en tu Raspberry Pi:
   • sudo apt install cron -y
   • crontab -e
   • Añade: */5 * * * * curl -s "https://www.duckdns.org/update?domains=mipi&token=<tu_token>"
4. Actualiza la configuración de WireGuard para usar mipi.duckdns.org en vez de IP.

No-IP (gratis con limitaciones):

1. Regístrate en noip.com.
2. Crea un hostname.
3. Instala el cliente DUC en tu Raspberry Pi.

Con DNS dinámico, cuando tu IP cambie, el dominio se actualiza automáticamente. Así siempre puedes conectarte a mipi.duckdns.org sin importar la IP actual.

Pro-tip: Usa DuckDNS en vez de No-IP. Es completamente gratis, no requiere renovación cada 30 días y funciona perfectamente con WireGuard.

Alternativas a una VPN propia según tu caso de uso

No todo el mundo necesita montar un servidor VPN completo. Dependiendo de lo que busques, puede haber opciones más sencillas:

Acceso remoto a archivos de tu NAS

Si tu principal objetivo es acceder a tus archivos desde fuera de casa, no necesitas una VPN completa. Synology y QNAP ofrecen servicios de acceso remoto integrados (QuickConnect, myQNAPcloud) que funcionan sin abrir puertos ni configurar DNS dinámico. Es menos seguro que una VPN, pero mucho más fácil de configurar.

Acceso a tu ordenador de escritorio

Aplicaciones como TeamViewer, AnyDesk o Chrome Remote Desktop te permiten controlar tu PC desde cualquier lugar sin necesidad de VPN. Son ideales si solo necesitas acceder a un equipo específico.

Acceso a cámaras de seguridad

Muchas cámaras modernas (Ring, Nest, Reolink) tienen sus propias apps con acceso en la nube. No necesitas una VPN para ver tus cámaras. Sin embargo, si prefieres no depender de la nube del fabricante, una VPN propia es la solución más privada.

Comparativa de soluciones

Mi recomendación: Si solo quieres acceder a archivos o ver cámaras, prueba las alternativas primero. Si necesitas acceso completo a tu red doméstica con máxima seguridad, ahí sí vale la pena montar una VPN propia.

FAQ: Preguntas frecuentes

¿Es legal tener un servidor VPN propio?

Sí, completamente legal. Es tu red y tu conexión. No hay restricción en crear un servidor VPN en tu propia casa.

¿La VPN propia reduce mi velocidad de internet?

Ligeramente. La velocidad de tu VPN depende de tu conexión de subida (upload), que suele ser menor que la bajada. Con una conexión de fibra de 600/100 Mbps, tu VPN alcanzará los 100 Mbps de subida.

¿Puedo usar mi VPN propia para saltar bloqueos geográficos?

No. Tu VPN mostrará tu IP doméstica, que es de tu país. Para contenido de otros países, necesitas una VPN comercial con servidores internacionales.

¿Qué pasa si mi Raspberry Pi se apaga?

Tu VPN dejará de funcionar hasta que la enciendas. Usa un SAI/UPS para evitar cortes por apagones. La Raspberry Pi consume tan poca energía que un SAI barato le da horas de autonomía.

Conclusión

Configurar un servidor VPN propio en casa es más sencillo de lo que parece, especialmente con WireGuard y una Raspberry Pi. Tendrás una conexión segura a tu red doméstica desde cualquier lugar, sin depender de servicios de pago ni confiar tus datos a terceros. Dedica una tarde a montarlo y tendrás tu propia VPN funcionando para siempre.