Configurar una VPN directament a l'encaminador és una de les formes més còmodes de protegir tota la teva xarxa de casa o de l'oficina. En comptes d'anar dispositiu per dispositiu, només cal muntar un servidor OpenVPN al router perquè qualsevol equip que es connecti al Wi‑Fi surti ja xifrat i amb la teva IP real amaga.
OpenVPN és dels protocols VPN més usats del món, és de codi obert i està disponible a gairebé qualsevol sistema. Bé ajustat, et permet combinar alt nivell de seguretat, bon rendiment i compatibilitat amb routers de marques com ASUS, TP‑Link o Omada, a més de servidors Linux i Windows.
Què és una VPN i per què muntar-la al router?
Una VPN (Xarxa Privada Virtual) crea un túnel xifrat entre el teu dispositiu i Internet, de manera que el vostre proveïdor, xarxes Wi‑Fi públiques o possibles atacants no puguin veure ni manipular el vostre trànsit. A efectes pràctics, la teva IP pública canvia per la del servidor VPN i les teves dades viatgen protegides.
Si en lloc d'instal·lar la VPN a cada dispositiu la configures al router, tot el trànsit que passi per aquest router quedarà automàticament protegit: ordinadors, mòbils, consoles, Smart TV, càmeres IP, domòtica… sense tocar res a cada aparell (o tocant només el mínim quan s'usa el router com a client).
Avantatges i desavantatges d'usar VPN al router
Avantatges generals d'una VPN
Quan actives una VPN, el primer que notes és que la teva IP pública canvia. Això implica que pots ocultar o “disfressar” la teva adreça IP real i navegar amb més privadesa, encara que un servei t'ha bloquejat per IP o vols evitar rastrejos excessius.
Un altre gran avantatge és que la connexió va xifrada d'extrem a extrem entre el dispositiu i el servidor VPN. Encara que et connectis a una Wi‑Fi oberta en un bar o un aeroport, un atacant no podrà espiar fàcilment les teves credencials, dades bancàries o fitxers que puges o descarregues.
A més, en canviar el teu IP aparent de país, pots accedir a continguts restringits geogràficament: catàlegs de streaming, webs bloquejats per regió, pàgines d'apostes o serveis vetats a la teva ubicació. Per a treball remot també és útil per entrar a recursos corporatius des de qualsevol lloc.
També millora el teu anonimat relatiu: es redueix el rastre directe que deixes lligat a la teva IP domèstica. Encara que segueixin existint cookies i historials, complica força el seguiment sistemàtic per IP.
Finalment, les VPN comercials i el mateix OpenVPN són força senzills d'usar per a l'usuari mitjà: moltes vegades és obrir app, ficar usuari i contrasenya, prémer connectar i llest. I si el tens al router, ni tan sols cal recordar-se d'activar-la a cada dispositiu.
Inconvenients i punts a vigilar
El que gairebé sempre notaràs és una certa pèrdua de rendiment. El xifratge i el salt extra fins al servidor fan que, segons el maquinari i el servidor triat, baixeu la velocitat i pugeu una mica la latència. A routers fluixos o serveis gratuïts, la diferència pot ser molt gran.
Un altre aspecte és que utilitzar VPN no substitueix l'antivirus ni un bon comportament. Si descarregues executables infectats o entres en webs maliciosos, la VPN no et salvarà. De fet, hi ha programes suposadament “VPN gratis” que porten malware, per la qual cosa és important fer servir proveïdors i programari fiables.
A més, en el cas concret d'OpenVPN, encara que la instal·lació a PC o mòbil és senzilla, una configuració avançada (certificats, scripts, rutes…) es pot fer costa amunt per a qui no hi estigui acostumat. Muntar-la al router afegeix una altra capa: necessites un router compatible o recórrer a firmwares específics.
Per què OpenVPN és una bona elecció?
OpenVPN és una solució VPN de codi obert molt estesa, capaç de funcionar a mode túnel de capa 3 (TUN) o en mode pont de capa 2 (TAP). És compatible amb pràcticament tots els sistemes descriptori (Windows, Linux, macOS), servidors, i també amb Android i iOS mitjançant apps.
En basar-se en SSL/TLS, permet autenticació mitjançant certificats digitals, usuaris/contrasenyes o ambdues coses. És més flexible i, en molts casos, més fàcil de manejar que IPsec, oferint una enorme quantitat de paràmetres per ajustar rendiment i seguretat.
Pel que fa a rendiment, OpenVPN és capaç d'oferir velocitats molt bones amb latència baixa i connexions estables, sempre que el servidor tingui recursos suficients i la configuració de xifratge estigui ben triada. Sol funcionar sobre UDP per evitar retransmissions i treure més velocitat, amb opcions de compressió i optimització addicionals.
Maneres TUN i TAP a OpenVPN
Amb la manera TUN, OpenVPN emula una interfície punt a punt que maneja trànsit IP. Encapsula paquets IP a UDP o TCP, ideal per crear una subxarxa virtual diferent de la xarxa local física; per exemple 10.8.0.0/24 on s'ubiquen tots els clients VPN.
en mode TAP, se simula una interfície Ethernet completa, per la qual cosa s'encapsulen trames Ethernet senceres, no només IP. Això permet que els equips remots semblin estar a la mateixa subxarxa que els locals (útil per a alguns escenaris de ponteig i serveis que depenen del broadcast), encara que es complica si la xarxa de l'origen i del destí comparteixen el mateix rang.
Criptografia recomanada per a una VPN OpenVPN segura
Una configuració moderna i robusta d'OpenVPN sol apostar per certificats basats en corbes el·líptiques (EC) per a la CA, el servidor i els clients, per exemple usant la corba secp521r1 i un hash fort com SHA‑512 a la signatura.
Al canal de control TLS, el recomanable és utilitzar TLS 1.2 com a mínim, i si és possible TLS 1.3. S'utilitzen suites amb ECDHE per a Perfect Forward Secrecy, com TLS‑ECDHE‑RSA‑WITH‑AES‑256‑GCM‑SHA384 o les noves suites TLS_AES_256_GCM_SHA384 i TLS_CHACHA20_POLY1305_SHA256 a TLS 1.3. Pots revisar el que suporta la teva instal·lació amb les ordres d'OpenVPN per llistar ciphers i corbes.
Per al canal de dades, avui dia l'ideal és AES‑256‑GCM o CHACHA20‑POLY1305. Si la vostra CPU té suport AES‑NI sol ser més ràpid AES‑GCM; en dispositius sense acceleració, CHACHA20‑POLY1305 acostuma a rendir millor. OpenVPN inclou eines per veure els xifrats disponibles (openvpn –show-ciphers).
A més, és aconsellable afegir una capa HMAC amb tls-crypt, que xifra i autentica la fase inicial de TLS. Això mitiga atacs de denegació de servei, flood de ports UDP o SYN a TCP, i evita que un client sense la clau correcta pugui ni tan sols iniciar el “handshake”. En versions antigues es feia servir tls-auth; tls-crypt és l'evolució que també xifra aquesta clau precompartida.
Requisits previs per utilitzar OpenVPN al teu router
Abans de llançar-te a activar OpenVPN al teu router, convé revisar alguns punts. Primer, assegura't que el teu router suporta servidor OpenVPN; molts models de gamma mitjana/alta d'ASUS, TP‑Link, Omada i altres ho porten, però no tots.
Segon, necessites que la teva connexió a Internet tingui IP pública accessible des de fora. Si estàs darrere de CG‑NAT (cosa habitual en certs operadors de fibra o radioenllaç), no podràs redirigir ports cap al teu router i OpenVPN no funcionarà des de l’exterior, llevat que el proveïdor et doni una IP pública estàtica o surtis del CG‑NAT.
També és important configurar un DNS dinàmic (DDNS) o tenir IP estàtica a la WAN. Així, els clients podran connectar-se amb un nom (el meu-vpn.dyndns.org) sense preocupar-se si la IP canvia. I per seguretat, es recomana tenir l'hora del sistema sincronitzada amb Internet, cosa que els encaminadors moderns fan via NTP.
Configuració de servidor OpenVPN a encaminadors TP‑Link
Cas 1: Només un router a la xarxa domèstica
En un escenari senzill amb un únic router TP‑Link, el procés típic és iniciar sessió a la interfície web de l'equip, anar a la secció avançada de Servidor VPN > OpenVPN i activar el servidor. Si és la primera vegada, el router us demanarà generar certificats per poder continuar.
Després hauràs de triar protocol (UDP o TCP), establir el port del servei dins del rang 1024-65535, i definir la subxarxa/màscara de la VPN (per exemple 10.8.0.0/24) des d'on s'assignaran IPs virtuals als clients.
El router també et deixarà escollir el tipus d'accés del client: només a la xarxa domèstica, o xarxa domèstica i Internet (perquè el trànsit surti a Internet a través de casa teva, útil si vols utilitzar la IP de casa teva quan ets fora). Un cop ajustat, es desa la configuració, es genera el certificat si no existia i s'exporta un fitxer de configuració que després faran servir els clients OpenVPN.
Cas 2: Dos o més encaminadors al mapa de xarxa
Si tens un mòdem router del teu operador i darrere un segon router TP‑Link en mode neutre, la cosa es complica lleugerament. Igual que abans, configures OpenVPN al router interior (Router2): protocol, port, subxarxa VPN, tipus d'accés, generació i exportació del fitxer de configuració.
Després cal obrir el port al mòdem/router principal (Router1) cap a la IP del Router2, usant la funció de servidor virtual o port forwarding. És important que el port intern coincideixi amb el port de servei VPN configurat, i que memoritzeu el port extern que utilitzeu.
Després, al fitxer .ovpn exportat pel Router2, hauràs d'editar dues dades clau: canviar l'adreça remota per l'IP WAN del Router1 (la IP pública que t'ofereix l'operador) i substituir el port pel port extern que has redirigit. Guardes el fitxer i ja el podràs utilitzar en els clients externs.
Configurar servidor OpenVPN a routers ASUS
En els routers ASUS amb AsusWRT, el procés també és força guiat. Després d'entrar a la interfície web (http://www.asusrouter.com o la IP LAN de l'encaminador), accedeixes a VPN > Servidor VPN i tries OpenVPN. Segons el microprogramari, la interfície pot variar lleugerament, però la lògica és similar.
Podràs establir el port del servidor (es recomana un entre 1024 i 65535), longitud de la clau RSA, i si els clients faran servir la VPN només per a la LAN o també per sortir a Internet. Per defecte, les credencials dels clients OpenVPN solen ser les del propi router, encara que pots afegir comptes específics per a més seguretat.
Un cop aplicats els paràmetres, actives el servidor OpenVPN i exportes el fitxer de configuració .ovpn, que ja porta encastats certificats i paràmetres bàsics. Cada vegada que canvieu la configuració rellevant del servidor, convé tornar a exportar el fitxer perquè els clients quedin sincronitzats.
Servidor OpenVPN amb Omada (TP‑Link)
En entorns gestionats amb Omada Controller, podeu crear una política de VPN tipus Servidor VPN – OpenVPN amb propòsit Client‑a‑Lloc. Li assignes un nom, l'habilites, tries mode túnel (dividit o complet), protocol (TCP/UDP), port, mètode d'autenticació local i el rang d'IPs que s'assignaran als clients.
També podeu definir DNS primari i secundari que utilitzarà el client (per exemple 8.8.8.8 i 8.8.4.4 o els de la teva xarxa interna). Després de desar la política, es creen usuaris de VPN associats a aquest servidor (amb nom de compte, contrasenya i tipus OpenVPN).
Després s'exporta el fitxer .ovpn d'aquesta política i s'importa al client OpenVPN d'escriptori o mòbil. Si alguna cosa falla, a vegades convé fer servir el client “Community” d'OpenVPN en lloc d'OpenVPN Connect, i ajustar paràmetres com a data-ciphers (per exemple afegint AES‑128‑CBC) o canviar la IP remota a la IP pública real del lloc.
Muntar un servidor OpenVPN avançat a GNU/Linux
Si en lloc de dependre de la interfície del router vols un control complet, pots aixecar el teu propi servidor OpenVPN a un Linux (per exemple Debian) i després crear una ruta estàtica al router apuntant a aquest servidor perquè la xarxa local vegi els clients VPN.
Instal·lació bàsica d'OpenVPN a Debian
A Debian o altres dispositius derivats, la instal·lació passa per actualitzar el sistema i instal·lar el paquet openvpn des dels dipòsits. Amb una simple ordre apt descarregues el binari d'OpenVPN i les seues dependències, quedant llest per començar a generar certificats i fitxers de configuració.
Generació de certificats amb Easy‑RSA 3
Per manejar la PKI (Infraestructura de Clau Pública) de manera còmoda, se sol emprar Easy‑RSA 3, que automatitza la creació de CA, certificats de servidor i clients. Es descarrega normalment des de GitHub, es descomprimeix i es treballa sobre el directori principal.
El cor de la configuració és a l'arxiu anar, on defineixes si utilitzaràs RSA o corbes el·líptiques (EASYRSA_ALGO), la corba (EASYRSA_CURVE), el hash (EASYRSA_DIGEST), temps d'expiració i si vols un Distinguished Name complet o només CN. Ajustar aquí EC amb secp521r1 i SHA‑512 et deixa una base criptogràfica molt robusta.
Un cop configurat vars, s'inicialitza la PKI amb l'ordre corresponent (init-pki), es crea la CA (amb contrasenya o sense per a la clau privada) i es van generant les peticions de certificat (gen-req) del servidor i de cada client, signant-les després (sign-req) com a server o client segons escaigui.
Després convé organitzar els fitxers en carpetes separades: una per al servidor i una altra per a cada client, amb el .crt, el .key, la ca.crt i la clau ta.key que utilitzareu per a tls-crypt. Això facilita després crear els fitxers .conf/.ovpn sense tornar-se boig.
Clau tls-crypt i paràmetres Diffie‑Hellman
Amb les versions modernes d'OpenVPN, quan utilitzes ECDHE no necessites crear un fitxer específic de paràmetres Diffie‑Hellman, per tant pots marcar dh none a la configuració del servidor. El que sí que és fonamental és generar una clau simètrica que utilitzaràs amb tls-crypt (per exemple ta.key), que hauràs de copiar idèntica en servidor i clients.
Exemple de configuració segura del servidor OpenVPN
Un fitxer típic de servidor a Linux inclourà directives com port 11949, proto udp i dev tun, indicant el port, el protocol i el tipus dinterfície virtual. Després es fa referència als certificats i les claus: ca, cert, key, dh (o dh none) i tls-crypt ta.key.
A la part de seguretat, es defineixen paràmetres com cipher AES‑256‑GCM, tls-ciphersuites i tls-cipher amb suites TLS 1.2/1.3 segures, ecdh-curve secp521r1 i tls-version-min 1.2. També es pot desactivar la renegociació (reneg-sec 0) i, si es fa servir un mode no AEAD, indiqueu auth SHA512.
La secció de xarxa marcarà la topologia (subnet) i la subxarxa virtual, per exemple server 10.8.0.0 255.255.255.0, a més d'un fitxer ipp.txt per mantenir IPs fixes a clients concrets. Perquè els clients vegin la xarxa local, es fa un push de la ruta (route 192.168.X.0 255.255.255.0), es pot forçar l'encaminament de tot el trànsit per la VPN (redirect-gateway) i donar DNS concrets via dhcp-option.
També es poden permetre comunicacions entre clients (client-to-client), utilitzar keepalive per detectar caigudes i limitar el nombre màxim de connexions simultànies. Finalment, per seguretat s'executa OpenVPN amb usuari/grup sense privilegis, s'habilita la persistència de clau i interfície i es defineixen rutes de log amb un nivell de verbositat moderat.
Configuració de clients OpenVPN (PC, Linux, Windows)
Els clients necessiten un fitxer .ovpn o .conf amb directives com client, dev tun, proto udp i remote apuntant al domini o IP pública del servidor i al port que utilitzis. Se sol activar resolv-retry infinite, nobind i persist-key/tun per millorar l'estabilitat.
Pel que fa a credencials, el client referenciarà la ca, el seu propi cert i key, i el ta.key per a tls-crypt. Han de coincidir cipher, auth i paràmetres TLS amb els del servidor; si el client suporta TLS 1.3, s'afegeixen les tls-ciphersuites pertinents, i si només TLS 1.2, s'utilitzen tls-cipher equivalents. S'ajusta el nivell de logs amb verb 3 o superior quan hi ha problemes.
Fer que la xarxa local accedeixi als clients VPN
Si muntes el servidor OpenVPN en un equip dins del teu LAN (una Raspberry Pi, un servidor Debian, etc.), i no directament al router, hauràs de crear una ruta estàtica al router perquè la xarxa 10.8.0.0/24 (o la que facis servir) sigui assolible.
La idea és senzilla: al router indiques que la subxarxa 10.8.0.0/24 té com a porta d'enllaç la IP LAN del servidor OpenVPN (per exemple 192.168.1.100). Així, quan un dispositiu de la xarxa local vulgui contestar un client VPN, enviarà el trànsit al servidor, que ja s'encarregarà de fer l'encaminat dins del túnel.
Configurar clients OpenVPN a Android i altres mòbils
A Android pots utilitzar tant l'app oficial d'OpenVPN com els clients més avançats compatibles amb les noves funcions (TLS 1.3, data-ciphers moderns, etc.). El primer és copiar a la memòria del telèfon la carpeta amb ca.crt, el certificat i clau del client, ta.key i el fitxer .ovpn.
Després, des de l'app, importa el perfil (arxiu .ovpn), es revisa que els paràmetres carregats coincideixen amb el que tens al servidor i es guarda. A partir d'aquí, només cal prémer sobre el perfil per establir la connexió; si tot està bé, veureu que el telèfon obté una IP de la subxarxa virtual i pot accedir als recursos remots.
Problemes habituals en connectar i com detectar-los
En muntar OpenVPN per primera vegada és força típic trobar-se amb errors als logs. Si el client indica que no podeu resoldre el domini del servidor (Host desconegut), revisa el nom en remot i l'estat del servei DNS dinàmic; com a prova ràpida, connecta usant directament la IP pública per descartar problemes de resolució.
Missatges com Could not determine IPv4/IPv6 protocol apunten que no es resol cap adreça vàlida; novament, es revisa el host i els registres DNS. Altres avisos del tipus SIGUSR1[soft,init_instance] received solen indicar reintents després d'un error previ, per exemple una contrasenya incorrecta del certificat o problemes de tallafocs en ruta.
Si el client es queda eternament en estats tipus WAIT sense avançar, normalment el port no està obert/reenviat correctament al router, o el servidor OpenVPN no està arrencat. És clau revisar el port forwarding i verificar al servidor que almenys apareix el missatge Initialization Sequence Completed.
Altres problemes comuns
A Windows apareixen de vegades avisos com que les opcions user i group no estan implementades; no són errors crítics, simplement directives pròpies de Linux que pots eliminar del .ovpn si et molesten. Un altre avís comú és ignorar dh en mode client, perquè Diffie‑Hellman només pertany a la configuració del servidor.
Errors com tls-crypt unwrap error o TLS Error: local/remote TLS keys are out of sync solen indicar que el fitxer ta.key no coincideix entre el servidor i el client, o que s'ha copiat malament. Revisar i tornar a copiar aquesta clau sol resoldre'l.
Si veieu advertències relatives al MTU (link-mtu inconsistent) oa compressió (comp-lzo), probablement servidor i clients no coincideixen en la configuració de compressió o mida màxima de paquet. Avui dia, per seguretat, el millor és desactivar totalment la compressió a banda i banda sempre que sigui possible.
Un genèric TLS handshake failed indica, en essència, que no s'ha trobat una combinació comuna de xifrats o hi ha cap paràmetre TLS incompatible. Revisar cipher, data-ciphers, tls-cipher(suites) i versió mínima TLS al servidor i client sol treure el problema a la llum.
Què fa bona a una VPN i alternatives a OpenVPN?
A l'hora d'escollir una VPN (o un servei que utilitzi OpenVPN per sota), convé fixar-se en diversos factors. Un bon servei deu oferir xifrat fort d'IP i protocols, protegir galetes i historials de navegació i, si pot ser, incloure autenticació de dos factors per accedir al compte.
Funcionalitats com Kill Switch, bloqueig de fuites de DNS, polítiques estrictes de no registres i servidors optimitzats per a streaming o P2P són plusos interessants. A nivell operatiu, que l'app sigui fàcil d'usar i el suport respongui ràpid tampoc no és un detall menor.
A més d'OpenVPN, hi ha altres tecnologies i serveis: WireGuard (molt ràpid i modern), IPsec (clàssic en entorns corporatius), o solucions tipus NordVPN, ProtonVPN, ExpressVPN, CyberGhost, Surfshark, etc. que empaqueten tot amb les seves pròpies apps. També hi ha alternatives lliures com Tinc, que ofereix tunneling xifrat i gran flexibilitat, ideal per a xarxes complexes o integrar VPN a routers i NAS amb pocs recursos.
Ben desplegada, una VPN basada en OpenVPN al teu router o servidor domèstic pot donar-te un accés remot segur a la teva xarxa, xifrat robust, bona velocitat i la comoditat de protegir de cop tots els dispositius, sempre que paris atenció a la configuració de certificats, xifrats, rutes i ports, i comprovis que la teva connexió disposa d'IP pública sense CG‑NAT que et talli el camí.