¿Qué routers domésticos tienen un servidor VPN para conectarnos a casa?

Actualmente muchos fabricantes incorporan en el firmware de sus routers, un servidor VPN de acceso remoto, con el objetivo de que los usuarios puedan conectarse a los recursos compartidos de su hogar, como si estuvieran físicamente en la red local doméstica. Estos servicios de VPN no siempre están en todos los routers, pero con el paso del tiempo se está empezando a popularizar e implantar en los principales routers domésticos en todas las gamas de precio. Hoy en RedesZone os vamos a decir qué fabricantes tienen estos servicios VPN, qué tipo de VPN soportan y qué modelos de routers lo incorporan.

ASUS

El fabricante ASUS ha hecho un gran trabajo con su firmware Asuswrt, el cual tiene varios servidores VPN disponibles haciendo uso de diferentes protocolos. Todos los routers del fabricante de gama media o superior, incorporan estos servidores VPN en el firmware del fabricante. Actualmente tenemos disponible el servidor VPN PPTP, un protocolo que actualmente no es seguro, y, por tanto, no es recomendable utilizarlo.

También tenemos el protocolo OpenVPN, una de los protocolos VPN más seguros y que hace uso del protocolo TLS para asegurar todas las comunicaciones. Una de las características estrella de los routers ASUS, es la posibilidad de configurar de manera muy avanzada su servidor OpenVPN, incluyendo la posibilidad de crear nosotros mismos una Infraestructura de Clave Pública con los certificados que nosotros deseemos, además de poder añadir opciones personalizadas en un campo específico de opciones avanzadas. El firmware Asuswrt incorpora OpenVPN 2.3, por tanto, no dispone de AEAD con AES-GCM en el canal de datos, un hándicap que el fabricante resolverá muy pronto actualizando su servidor OpenVPN a la última versión disponible. Si tienes un router compatible con el firmware Asuswrt Merlin, podrás utilizar AEAD ya que incorpora la última versión de OpenVPN, e incluso podrás utilizar una PKI basada en certificados de curva elíptica en lugar de RSA. Uno de los aspectos que más nos gustan del servidor OpenVPN incorporado en los routers ASUS, es la posibilidad de configurar OpenVPN a nivel básico con usuario y clave, y también a nivel avanzado, ideal para adaptarse perfectamente al perfil de usuario.

Los routers de ASUS también incorporan un servidor IPsec IKEv1 XAuth, aunque en este caso no nos permitirá muchas opciones avanzadas como la selección del cifrado, únicamente nos permitirá crear diferentes usuarios para conectarnos y configurar parámetros básicos. El firmware Asuswrt Merlin también incorpora estas mismas opciones de configuración, no han añadido opciones adicionales en la interfaz gráfica de usuario.

Por último, además de estos tres servidores VPN, también nos permite configurar el cliente VPN de tipo PPTP, L2TP e incluso OpenVPN, con el objetivo de conectar dos routers entre ellos y realizar una arquitectura Site-To-Site para conectar diferentes hogares, sedes de empresa etc.

Tal y como habéis visto, los routers ASUS en cuanto a VPN se refiere son realmente completos, y si instalas el firmware Asuswrt tendrás a tu disposición la última versión de OpenVPN con todas las mejoras. Os recomendamos acceder a nuestra página dedicada del fabricante ASUS donde encontraréis manuales y análisis de sus routers con VPN.

AVM FRITZ!Box

Los routers AVM FRITZ!Box también incorporan un servidor VPN, en concreto, incorpora un servidor IPsec IKEv1 XAuth, aunque en este caso tampoco nos permitirá muchas opciones avanzadas como la selección del cifrado, únicamente nos permitirá crear diferentes usuarios para conectarnos y configurar parámetros básicos.

El funcionamiento es realmente bueno, y además, es apto para todos los usuarios ya que nos guiará con la configuración de nuestro smartphone.

El único aspecto negativo es que no nos permitirá realizar configuraciones avanzadas en el IPsec, de hecho, nos permite las mismas configuraciones que el ASUS.

Estos routers FRITZ!Box con su sistema operativo FRITZ!OS, también nos permitirán configurar un Site-To-Site haciendo uso de IPsec IKEv1, ya sea con un router FRITZ!Box para intercomunicar dos hogares o sedes de empresas, y también nos permitirá comunicarnos con cualquier servidor VPN IPsec que tengamos, aunque deberemos ajustar la fase 1 y fase 2 de dicho protocolo, ya que internamente los FRITZ!Box no soportan todos los protocolos de cifrado disponibles.

Uno de los aspectos que más nos gusta de AVM y su firmware, es que es exactamente igual para todos los modelos de routers, por lo que cualquier equipo de gama media o alta dispondrán de esta funcionalidad de VPN de acceso remoto y de Site-To-Site. Os recomendamos acceder a nuestra página dedicada del fabricante AVM FRITZ! donde encontraréis manuales y análisis de sus routers con VPN.

D-Link

D-Link es otro de los fabricantes que incorporan un servidor VPN, pero hay que tener mucho cuidado porque no todos los modelos de router lo incorporan. Independientemente de que sean de gama alta, es posible que no tengan esta funcionalidad. Por ejemplo, el modelo D-Link DIR-869 EXO sí incorpora un servidor VPN, concretamente el protocolo que utilizan es L2TP/IPsec, y las configuraciones que nos permiten son muy básicas, ya que solamente nos permitirá crear un único usuario donde nos podremos conectar desde varios dispositivos. Teniendo en cuenta que no todos los routers de D-Link incorporan un servidor VPN, si te vas a decidir por un modelo, es muy recomendable que leas análisis en Internet o mirar en detalle las especificaciones técnicas del router en cuestión. En RedesZone siempre os diremos si un router D-Link soporta o no un servidor VPN, podéis ver todos los análisis de D-Link en nuestra página dedicada.

Un aspecto muy importante es que tenemos actualmente una gran cantidad de routers de D-Link compatibles con el firmware DD-WRT. Si flasheamos el firmware DD-WRT en los routers D-Link, automáticamente dispondremos de cualquier tipo de VPN a nuestra disposición, incluyendo IPsec y OpenVPN con todas las opciones avanzadas de configuración, aunque eso sí, es probable que en la interfaz gráfica de usuario no tengamos todas las opciones, y tengamos que editar ficheros de texto internos en el propio firmware, por lo que solamente es apto para usuarios avanzados.

Edimax

El fabricante Edimax también suele incorpora un servidor OpenVPN en sus routers de gama alta, pero hay que tener mucho cuidado porque no todos los modelos de router lo incorporan. Independientemente de que sean de gama alta, es posible que no tengan esta funcionalidad. Por ejemplo, los modelos Edimax EW-6478AC V2 y Edimax BR-6208AC V2 sí incorporan servidor OpenVPN.

El servidor OpenVPN de estos routers Edimax es seguro, con cada reseteo del router la CA interna se genera nuevamente con distintos valores, además de permitirnos crear diferentes usuarios/claves para la autenticación de los diferentes clientes. Un aspecto negativo es que no incorporan demasiadas opciones de configuración avanzadas, tal y como sí tienen los routers de ASUS que hemos visto anteriormente.

NETGEAR

NETGEAR en todos sus routers de gama media y superior incorporan un servidor OpenVPN. La parte negativa del servidor OpenVPN incorporado es que no nos permite cambiar la CA integrada en el firmware, solamente cambia entre versiones de firmware, y no se regenera cuando reseteamos el router (tal y como ocurre en los Edimax). Esto hace que no sea recomendable hacer uso de este servidor OpenVPN, porque un usuario malintencionado tan solo tendría que saber tu IP pública y puerto, y automáticamente se conectará a tu red local doméstica debido a que no hace uso de ningún tipo de autenticación con usuario/clave, algo que los Edimax sí hacen.

En nuestros análisis de routers de NETGEAR ya explicamos en detalle cómo funciona el servidor OpenVPN del fabricante, y por qué no es recomendable utilizarlo. Algunos modelos de NETGEAR son compatibles con firmware de terceros como Tomato o DD-WRT, en el caso de que tu router sea compatible, entonces sí podrás utilizar el servidor VPN con garantías de que funcionará correctamente.

Synology

El sistema operativo incorporado en los routers del fabricante Synology es realmente completo, y a nivel de servicios VPN también lo es. Podemos instalar de manera gratuita el programa VPN Plus Server, ya que por defecto no está instalado en el firmware de fábrica, pero a través de su tienda de aplicaciones podremos instalarlo de manera muy fácil y rápida.

Synology VPN Plus nos permitirá configurar varios servidores VPN, ideal para la creación de redes privadas virtuales, y conectados desde Internet a nuestra red local con garantías de seguridad. Este software incorpora varios tipos de VPN:

  • Synology VPN SSL: esta VPN es propia del fabricante y es bajo suscripción
  • SSTP
  • OpenVPN
  • L2TP/IPsec
  • PPTP

Tal y como veis, a nivel de VPN este sistema operativo para routers es realmente completo, y es que han cogido su experiencia en VPN de sus NAS para incorporar aquí todas las funcionalidades. Las mejores VPN que podrás utilizar son SSTP, OpenVPN y L2TP/IPsec. En cuanto a SSTP, tenemos las configuraciones necesarias para la puesta en marcha y que funcione perfectamente, pero el OpenVPN no nos permite crear nuestra propia PKI a través de la interfaz gráfica, algo que ASUS sí lo permite, además, tampoco podremos configurar el canal de control con TLS 1.2 con opciones de seguridad adicionales como tls-auth o tls-crypt. Por último, el protocolo L2TP/IPsec tendremos las mismas configuraciones disponibles en el ASUS, algo que a nuestro juicio es algo escaso.

Por último, la VPN Site-To-Site utiliza el protocolo IPsec, pero es bajo suscripción, tendremos que comprar una suscripción adicional para hacer uso de esta característica, no es gratuita.

TP-Link

TP-Link es otro de los fabricantes que incorporan un servidor VPN, aunque no todos sus routers incorporan esta funcionalidad. No depende solo de la gama del router (normalmente los de gama alta sí lo incorporan), sino también de la versión de hardware y firmware. Lo mejor que puedes hacer para saber si el router de TP-Link soporta un servidor VPN es mirar en detalle sus especificaciones técnicas, leer nuestros análisis de routers TP-Link, y por supuesto, mirar el simulador oficial de TP-Link donde podrás ver en detalle si realmente lo incorpora o no. En caso de incorporar servidor VPN, TP-Link soporta tanto el protocolo PPTP (que no es seguro, y no es recomendable utilizarlo nunca), como también OpenVPN.

El servidor OpenVPN es muy básico, solamente podremos configurar si queremos que utilice UDP o TCP, cambiar el puerto, cambiar la subred TUN donde situará a los clientes VPN que se conecten, y si queremos hacer redirección del tráfico de Internet por la conexión de nuestro hogar o solamente acceso a los recursos compartidos. Un aspecto destacable es que nos permitirá generar un certificado de CA, pero no podremos crearlo nosotros mismos e incorporarlo, debe ser el propio firmware quien se encargue de ello.

En comparación con el servidor OpenVPN de los routers ASUS, es muchísimo peor, ya que no nos permitirá configurar las opciones avanzadas que el firmware de ASUS sí nos va a permitir, y más si instalamos el firmware Asuswrt Merlin donde tendremos a nuestra disposición las nuevas funciones de la última versión de este gran software de VPN. En comparación con los ASUS, en los TP-Link no podemos configurar los siguientes aspectos:

  • Configurar si queremos o no responder a los DNS del propio router
  • Cifrado y algoritmo de hash del canal de datos
  • Compresión
  • Solamente autenticar mediante usuario/clave, o utilizar claves criptográficas.
  • Posibilidad de autenticarnos mediante clave estática, o utilizar una Infraestructura de Clave Pública completa, con su Autoridad de Certificación, certificado del servidor, e incluso configurar la funcionalidad tls-auth.
  • Posibilidad de generar automáticamente RSA de 1024 bits o 2048 bits, aunque podremos crear nuestra PKI con 4096 bits e incluso 8192 bits para tener la mayor seguridad.
  • Configuración personalizada: en caso de no tener una configuración muy específica en el firmware vía web, podremos indicar en línea de comandos la orden que queremos que se ejecute en el servidor, como si fuera el archivo .conf o .ovpn del servidor, por lo que tendremos a nuestra disposición todas y cada una de las opciones del software.

Si utilizamos el firmware Asuswrt Merlin, tendremos algunas opciones adicionales en la interfaz gráfica de usuario, lo más destacable es la posibilidad de administrar opciones específicas del cliente, donde permitimos o denegamos a un cliente basándonos en el CN de su certificado VPN.

Tal y como podéis ver, los TP-Link aunque sean los nuevos TP-Link Archer AX6000 o C5400X de gama alta, carecen de una gran cantidad de opciones de configuración que cualquier router ASUS de 100 euros sí incorpora, y es que el firmware Asuswrt es uno de los mejores firmwares de routers que existe actualmente, con el permiso de FRITZ!OS el cual tiene también opciones avanzadas y una gran integración con el ecosistema de equipos del fabricante alemán.

Tomato, DD-WRT y OpenWRT

Estos tres firmwares de terceros para routers disponen de cualquier tipo de VPN, ya que si por defecto no tenemos una VPN en concreto, podremos instalarla de manera manual a través de los repositorios, y posteriormente configurar manualmente dicho servidor VPN. Esto solamente es recomendable para usuarios avanzados, ya que es necesario conocimientos de Linux y VPN para poder conseguirlo.

Tal y como podéis ver, hoy en día la incorporación de servicios de VPN en nuestros routers para acceder a la red local doméstica está a la orden del día, aunque deberemos tener en cuenta qué marcas y modelos soportan estos servicios. ASUS, AVM FRITZ!Box, NETGEAR y Synology incorporan esta funcionalidad en todos sus modelos de gama media y superior, pero el resto de fabricantes dependeremos del modelo en cuestión. También es muy importante que el firmware nos permite una gran configurabilidad, en el caso de OpenVPN el mejor fabricante es ASUS ya que nos permite configurarlo en detalle, en el caso de IPsec, tanto ASUS, AVM FRITZ!Box y Synology han hecho un gran trabajo facilitando la configuración, aunque sería deseable disponer de más opciones avanzadas de configuración.

Aunque en este artículo no hemos cubierto todos los fabricantes de routers que existen, sí hemos incorporado los más relevantes en España. Otros fabricantes como Mikrotik y Ubiquiti también incorporan OpenVPN con todas las opciones de configuración, pero en RedesZone todavía no hemos tenido la oportunidad de ver en detalle las opciones de configuración y su funcionamiento.