Configura la VPN WireGuard en tu router AVM FRITZ!Box paso a paso
El fabricante AVM ha lanzado la última versión de su sistema operativo FRITZ!OS 7.50, esta nueva versión tiene una novedad muy importante, y es que han incorporado el protocolo de VPN WireGuard, uno de los más rápidos, seguros y fáciles de configurar. Esta nueva actualización se irá lanzando poco a poco a todos los modelos actuales y antiguos del fabricante, el primer router en disfrutar de esta actualización es el FRITZ!Box 7590, uno de los tope de gama del fabricante. Si quieres conocer cómo configurar el servidor VPN para conectarte a tu red local de forma rápida y segura, a continuación tienes un completo tutorial paso a paso.
Configuración del servidor VPN
Para configurar correctamente el servidor VPN WireGuard en nuestro router FRITZ!Box es obligatorio asegurarnos que tenemos la versión FRITZ!OS 7.50 o superior, solamente a partir de esta versión tenemos esta característica tan importante. A continuación, deberás tener lo siguiente configurado correctamente en el router:
- Conexión a Internet directa con nuestro proveedor, no podemos hacerlo en modo punto de acceso (repetidor), debe estar en modo router.
- El proveedor de Internet nos debe proporcionar una dirección IP pública, si tienes una conexión detrás de CG-NAT no podrás utilizar el servidor VPN ni ningún servicio que necesite el reenvío de puertos en la NAT.
- Debemos tener configurado un host de DNS dinámico configurado, ya sea el propio que nos proporciona FRITZ! de manera gratuita, o cualquier otro como No-IP o DynDNS entre muchos otros disponibles en el firmware. Para configurar el host DNS dinámico de FRITZ! debes irte al menú de «Internet / MyFRITZ!» y registrarte correctamente en el servicio.
Una vez que lo tengamos todo listo, podemos ver lo siguiente en el menú principal:
La configuración del servidor VPN con este nuevo protocolo WireGuard está en el menú de «Internet / Permitir acceso«. En este menú de configuración podrás encontrar también el redireccionamiento de puertos, acceder a los diferentes servicios de FRITZ!Box, la configuración del DNS dinámico con DynDNS y otros proveedores, así como a la configuración de los dos protocolos VPN que tenemos disponibles.
Para configurar el servidor, nos vamos al menú de «VPN (WireGuard)«, en este menú nos hará una breve descripción de este protocolo y qué necesitaremos para que todo funcione correctamente:
- La aplicación de WireGuard para smartphones y tablets, o bien el programa oficial para nuestro ordenador (PC, Mac, Linux etc).
- Usar la dirección de MyFRITZ! o el DNS dinámico personalizado que nosotros queramos.
Una vez que hayamos cumplido con estos requisitos, podemos pinchar en «Añadir una conexión» y empezar con el asistente de configuración.
En el primer menú tenemos dos opciones de configuración:
- Instalación simplificada: con esta configuración podemos configurar el servidor VPN con este protocolo para que uno o varios clientes se conecten al router y accedan a la red local y hagan redirección de Internet. La arquitectura de VPN es conectar a clientes remotos a la red local doméstica para que salgan a Internet con seguridad. Esta es la opción que deberías elegir en la gran mayoría de los casos.
- Configuración personalizada: con esta configuración podrás crear conexiones VPN entre dos redes con WireGuard, por ejemplo, podrías conectarte con un servidor VPN WireGuard remoto, comunicar dos routers entre sí (arquitectura Site-to-Site) y más. Esta opción solamente la deberías elegir si vas a hacer una configuración «especial» como las indicadas.
Nosotros elegimos «Instalación simplificada» que es la de configurar el servidor VPN correctamente para que clientes (smartphones, tablets, portátiles) se conecten al servidor VPN de casa de forma remota, y accedan tanto a los recursos compartidos como también a Internet. Pinchamos en «Seguir» y tardará unos segundos en pasar a la siguiente pantalla, esto se debe a que está generando las claves públicas y privadas internamente, y el proceso tarda un poco.
En cuanto termine el proceso de creación de claves, tenemos dos opciones para configurar el cliente (los smartphones, tablets y PC):
- Smartphone y tablet: pueden escanear el código QR a través de la app de WireGuard, elegimos la opción de «Importar a través de código QR», lo escaneamos y automáticamente se configurará el cliente correctamente.
- Ordenador o portátil: podemos descargar el fichero de configuración en texto plano, para posteriormente importar la configuración en el cliente WireGuard del PC, ya sea Windows, Linux o MacOS.
Debajo de cada método tenemos una breve explicación de cómo funcionaría, si seguimos los pasos que nos indica no tendremos ningún problema a la hora de configurarlo.
Al descargar el fichero de configuración, podremos verlo con cualquier editor de texto:
Si no queremos hacer redirección de Internet, es decir, salir a Internet a través del servidor VPN de nuestro router, entonces en la sección de «AllowedIPs» deberías quitar el 0.0.0.0/0 ya que indica que todo el tráfico se enruta por el túnel VPN.
Si pinchamos en el botón de «Cerrar» no podemos volver a descargar nuevamente la configuración por temas de seguridad, en caso de olvidarlo, tendrás que borrar la configuración y crearla de nuevo.
En el menú principal de «Internet / Permitir acceso / VPN (WireGuard)» podemos ver la conexión VPN que acabamos de crear, tal y como podéis ver, está activada e incluso la podemos desactivar temporalmente en cualquier momento. También nos indicará qué dirección IP privada tiene el cliente VPN asociado. Cuando la conexión está establecida podemos ver la dirección IP de origen, la negociación final y también el tráfico total de datos intercambiados.
Si pinchamos en «Editar» podemos cambiar el nombre de la conexión WireGuard sin problemas, el resto de opciones no podemos editarlas ni cambiarlas. Un aspecto importante es que la «Clave acordada» es la «PreSharedKey» que hemos visto antes, pero en este menú no tenemos la clave privada por temas de seguridad, por lo que no nos servirá acceder a este menú y ver la clave pública y la clave precompartida.
Una vez que hayamos terminado la configuración completa, en el menú principal podemos ver uno o varios perfiles con el nombre de «Acceso remoto», uno por cada cliente VPN que hayamos configurado.
Tal y como podéis ver, configurar el servidor VPN en este router es realmente muy sencillo. Ahora os vamos a enseñar cómo se realiza la conexión en un PC y la velocidad que podemos obtener.
Configuración de los clientes VPN y test de velocidad
Nuestra recomendación es que utilices los clientes oficiales de WireGuard, ya sea para PC (Windows, Linux o MacOS) como también para smartphones y tablets. En este ejemplo hemos usado el cliente oficial para el ordenador con sistema operativo Windows 11. Lo único que debemos hacer es pinchar sobre «Añadir túnel» y cargar el fichero de configuración que hemos descargado del FRITZ!Box. Una vez cargado, pinchamos sobre el perfil y pinchamos en «Activar» para proceder con la conexión.
Veréis que la conexión se establece en menos de dos segundos, y podremos ver el estado de la conexión en todo momento, así como los datos transferidos a través del túnel VPN.
En cuanto a la velocidad conseguida, con el router FRITZ!Box 7590 que ya tiene bastantes años, hemos conseguido una velocidad de descarga de 135Mbps y una velocidad de subida de casi 200Mbps, un resultado sobresaliente teniendo en cuenta el hardware. Modelos más actuales como el FRITZ!Box 5590 Fiber o el FRITZ!Box 7590 AX conseguirán más velocidad, ya que su procesador es más potente.
Una vez que hemos visto cómo es la configuración del cliente, os vamos a mostrar los menús disponibles en la configuración avanzada del router.
Configuración avanzada de WireGuard
En el menú de configuración avanzada, o mejor dicho, «Configuración personalizada» podemos realizar diferentes conexiones VPN de manera muy rápida y fácil.
En la primera configuración podemos directamente importar la configuración de WireGuard en el router, además, nos permite diferentes configuraciones como «enviar todo el tráfico de red por la VPN», permitir NetBIOS a través de la conexión y también la posibilidad de que solamente ciertos dispositivos de la red local deben ser accesibles a través de esta conexión VPN. De esta forma, podemos fácilmente importar el archivo de configuración de servicios como NordVPN, Surfshark y otros.
En el menú de «Ajustes personalizados» también podemos responder sí o no a diferentes preguntas que nos hace, para facilitarnos la configuración avanzada del router, como, por ejemplo, realizar una VPN Site-to-Site y comunicar dos redes entre sí.
Tal y como habéis visto, la configuración de WireGuard es muy sencilla pero efectiva, mucho más rápida y fácil que configurar una conexión IPsec como teníamos hasta ahora. En todos los análisis de los FRITZ!Box os hemos dicho que echamos de menos un protocolo diferente a IPsec, como OpenVPN o WireGuard, y aquí tenemos este último que nos proporcionará el mejor rendimiento en descarga y subida posible.