Qué puertos debo abrir para las VPN PPTP, L2TP, OpenVPN, IPsec y WireGuard

Hoy en día se utilizan mucho las redes Wi-Fi públicas, se pueden usar, pero eso no quiere decir que no tengamos que extremar las precauciones. En ese sentido, nunca debemos olvidarnos de nuestra seguridad, y siempre debemos contar con una conexión VPN. A veces, hay épocas del año como las vacaciones de verano, semana santa o los puentes en los que tener un servicio de este tipo se hace muy necesario. Para nuestra mayor tranquilidad deberíamos optar por una VPN de pago, porque las gratuitas a veces terminan vendiendo parte de nuestros datos. La otra alternativa segura y gratuita es crear un servidor VPN en nuestra casa, en este tutorial vamos a hablar sobre qué puertos abrir para una VPN si utilizas los protocolos PPTP, L2TP, OpenVPN, IPsec y WireGuard.

En muchas ocasiones, aunque queramos desconectar y relajarnos, ya sea en vacaciones o tiempo de ocio, nuestro smartphone nos acompaña. Así, vayamos donde vayamos seguramente en muchos momentos dispongamos de una red Wi-Fi pública disponible que podemos utilizar. Ya sea por nuestra propia seguridad o la de la empresa en la que trabajamos, debemos usarlas con cautela y estar estar protegidos.

Lo primero que vamos a hacer es explicar las razones por la que es necesario tener nuestro propio servidor. Luego veremos qué puertos para una VPN debo abrir en el router dependiendo del protocolo VPN utilizado.

Razones para tener un servidor VPN en nuestra casa

Aquí tenemos que hablar de los servidores VPN externos que son aquellos que nos permiten conectarnos a su red para poder navegar con mayor privacidad y seguridad, cifrando nuestros datos. En este caso sería abrir puertos para una VPN que tendríamos alojada en nuestra red doméstica. La finalidad de utilizar este tipo de servidores es mejorar la seguridad y privacidad de nuestra conexión a Internet al viajar todos nuestros datos cifrados. Así, nuestra información es como si viajara protegida dentro de un túnel gracias al cifrado que impide que los ciberdelincuentes puedan acceder a ella.

Como ya hemos explicado antes, una de las opciones sería contratar una VPN de pago de calidad como NordVPN, SurfShark, CyberGhost o HMA VPN. No obstante, podemos optar por opciones gratuitas e igualmente seguras. Lo único que se requiere es abrir puertos para una VPN en el router y tener el equipamiento de red adecuado.

Hoy en día, cada vez es más frecuente que los usuarios compren routers de fabricantes de reconocido prestigio como ASUS, FRITZ!Box, NETGEAR o D-Link en vez de utilizar los que nos proporciona nuestro proveedor de Internet. La razones por las que optan por este equipamiento de red es por su mayor calidad Wi-Fi, posibilidad de tener tu servidor VPN o multimedia y más. Esto lo consiguen gracias a un mejor hardware y un firmware más completo. Además, otro equipamiento que está ganando gran repercusión son dispositivos como la Raspberry Pi o los servidores NAS. Por lo tanto, si tenemos alguno de estos dos dispositivos en nuestra red doméstica también podemos utilizarlos para montar nuestro propio servidor VPN.

En resumen, tener nuestro propio servidor VPN nos va proporcionar las siguientes ventajas

  1. Nos va a poder permitir conectarnos de forma segura y privada a Internet.
  2. Podremos utilizarla desde cualquier sitio.
  3. No dependeremos de un servicio de pago.
  4. Podremos elegir el protocolo y la seguridad de nuestra VPN. Así podremos escoger entre L2TP, OpenVPN, IPsec y WireGuard, PPTP lo descartamos porque es un protocolo no seguro, aunque todavía se usa.

En base a ello tenemos los inconvenientes que serían:

  • La seguridad recae en nuestras manos, debemos ocuparnos de que tanto ese router, NAS o Raspberry Pi estén actualizados y bien configurados.
  • El consumo de energía es relativo, porque en algunos casos van a estar siempre en funcionamiento, por lo que no supondría ningún coste, como un servidor NAS.

Otro aspecto muy importante cuando tenemos un servidor VPN en nuestra casa, es que podremos acceder a todos los recursos compartidos como si estuviéramos físicamente conectados, por lo que es algo que debemos tener muy en cuenta.

Qué puertos debemos abrir en nuestro router

Si queremos configurar un servidor VPN en un equipo, tendremos que abrir unos determinados puertos TCP o UDP. Cada router tiene su propio firmware con sus propias opciones, al igual que también sucede lo mismo con un Raspberry Pi o un NAS. Eso hace que el procedimiento para cada uno de ellos sea único. Si tomamos como ejemplo el caso de un NAS QNAP, su proceso de configuración es de lo más sencillo. Por otra parte, si nos fijamos en una Raspberry Pi, el procedimiento suele ser más complicado porque la instalación, configuración y puesta en marcha es mucho más «manual».

No obstante, independientemente del equipo de red que utilicemos, todos ellos comparten una característica en común a la hora de la configuración. En este caso se trata que para poder utilizar nuestro servidor VPN necesitaremos tener abiertos los puertos correspondientes. En caso de no hacerlo así nuestro router bloqueará la conexión y no podremos utilizarlo. También sería conveniente que en el DHCP estático del router tuviese establecida una IP fija local o en su defecto, en el propio dispositivo si admite dicha configuración.

También hay que señalar que los puertos que utilizamos van a ser diferentes y variarán en función del protocolo VPN que utilicemos, de hecho, en algunos protocolos se permite utilizar el puerto TCP o UDP que nosotros queramos, pero os vamos a indicar cuáles son los puertos por defecto. A continuación, os mostramos los puertos para una VPN que debemos abrir según el protocolo que utilicemos para crear nuestro servidor.

PPTP

El protocolo PPTP o también conocido como Point to Point Tunneling Protocol, es un protocolo VPN que actualmente está obsoleto debido a su seguridad. Permite configurar redes privadas virtuales en modo cliente/servidor VPN, sin embargo, debido a su cifrado débil no se recomienda utilizar nunca en ninguna circunstancia, ya que presenta bastantes vulnerabilidades.

Este protocolo hace uso del puerto 1723 TCP. Debido a que es un protocolo no seguro que está totalmente obsoleto, lo aconsejable sería mantener cerrado este puerto, y seleccionar otro de los protocolos que mencionamos a continuación en su lugar.

L2TP

El protocolo L2TP o también conocido como Layer 2 Tunneling Protocol, es un protocolo VPN que actualmente se utiliza para redes VPN. Es el heredero del popular protocolo PPTP y fue creado para corregir todos sus fallos, sin embargo, por sí mismo es un protocolo de VPN que no es seguro de utilizar, siempre debe usarse junto con el protocolo IPsec para proporcionar una capa de confidencialidad, autenticidad e integridad a los datos transmitidos. Este protocolo utiliza el protocolo PPP para realizar la conexión, define su propio protocolo de establecimiento de túneles e incluye los mismos mecanismos de autenticación que PPP. La parte negativa es que L2TP tiene deficiencias bastante importantes:

  • Solo realiza la autenticación entre los puntos finales del túnel, y no por cada paquete que viaja por dentro de este túnel.
  • No comprueba la integridad de los datos transmitidos, es decir, no comprueba cada paquete de forma individual.
  • No cifra o encripta ningún paquete de datos, por lo que no proporciona confidencialidad de los datos.
  • Aunque la información contenida en PPP puede ser cifrada, no dispone de los mecanismos necesarios para ello.

Por todos estos motivos, L2TP siempre se utiliza dentro de una conexión IPsec que sí le proporciona seguridad. L2TP utiliza el puerto 1701 con TCP. Este protocolo de VPN no permite el cambio de puerto, es el estándar siempre.

IPSec / IKEv2

El protocolo IPsec o también conocido como Internet Protocol security, es un conjunto de protocolos cuya función es asegurar las comunicaciones que se realizan a nivel de Protocolo de Internet (IP). Este protocolo permite cifrar y autenticar cada paquete que se envía y que se recibe a través del túnel VPN, además, incorpora un protocolo llamado IKE que se encarga de negociar el tipo de cifrado, autenticación e intercambio de claves extremo a extremo. Este protocolo se puede utilizar de manera única, o en conjunción con el protocolo L2TP que hemos visto anteriormente.

Este protocolo utiliza los puertos 500 y 1500 UDP, para que funcione la comunicación con IPsec es necesario abrir ambos puertos, de lo contrario tendremos problemas con el NAT de la red. Este protocolo tampoco permite el cambio de puerto, debemos usar el estándar, además, este protocolo trabaja a nivel de IP (no a nivel de capa de transporte).

OpenVPN

OpenVPN es un protocolo de la capa de transporte que nos permite proteger las comunicaciones creando un túnel seguro. Incorpora una criptografía robusta, proporcionando cifrado de datos punto a punto, autenticación de todos y cada uno de los paquetes, permite revisar la integridad desde el origen hasta el destino de los paquetes etc. OpenVPN tiene dos canales a la hora de establecer un túnel VPN, el canal de control hace uso de la seguridad de TLS, generalmente TLS 1.2 o el nuevo TLS 1.3, el canal de datos hace uso de algoritmos de cifrado simétricos robustos como AES-256-GCM o ChaCha20 en sus últimas versiones.

Este protocolo utiliza por defecto el puerto 1194 UDP, sin embargo, también puede utilizar el puerto 1194 TCP, ya que soporta tanto los protocolos TCP como UDP. Además, vamos a poder seleccionar cualquier puerto para conectarnos, en este caso tenemos la libertad de elegir el puerto TCP o UDP que nosotros queramos.

Wireguard

WireGuard es el protocolo VPN más famoso y popular en la actualidad. Nos proporciona la posibilidad de levantar un túnel VPN de manera muy rápida y segura, este protocolo no permite elegir diferentes suites de cifrado como sí ocurre con OpenVPN, por defecto y de manera única siempre usará los algoritmos más seguros y rápidos. Este protocolo se está empezando a desplegar en routers, servidores NAS, firewalls y otros tipos de dispositivos, ya que tiene un bajo consumo de recursos y una grandísima velocidad.

El puerto por defecto que usa es el 51820 UDP. Sin embargo, podemos configurarlo y poner otro distinto en el servidor, pero siempre debe ser UDP y nunca TCP.

Una vez que ya sabemos qué puertos usan los diferentes protocolos de VPN, os vamos a enseñar un ejemplo práctico para abrir puertos hacia el servidor VPN.

Ejemplo práctico de abrir puertos para una VPN

Estos puertos que acabamos de mencionar en el apartado anterior deberemos abrirlos en nuestro router. Así, en nuestro navegador de Internet pondremos la puerta de enlace de nuestro router e introduciremos su usuario y contraseña para acceder a su configuración web. Una vez dentro deberemos buscar el apartado Port Forwarding, Permitir acceso, Configuración de puertos o como lo haya denominado el fabricante. Ahora vamos a tomar como ejemplo el protocolo L2TP que utiliza el puerto 1701 con TCP.

En este caso se trataría en el apartado Permitir acceso, tendríamos que poner un nombre a la regla, seleccionar el protocolo TCP y añadir el puerto 1701.

Cuando se aplique al equipo que hemos seleccionado que tiene una IP fija local ya asignada, podremos ver la regla completa lista para ser utilizada por nuestro servidor VPN.

En este momento si tenemos bien configurado nuestro servidor VPN con el protocolo L2TP y esté tiene asignada la IP local 192.168.1.3 podremos empezar a operar con él desde el exterior, es decir, desde Internet. Recordad que para el buen funcionamiento de vuestro servidor VPN existen diferentes tipos de protocolos según la VPN que estemos usando y que cada uno de ellos usa un puerto TCP o UDP diferente.

¡Sé el primero en comentar!