Container Linux: características clave y retos al instalar una VPN
Container Linux (antes CoreOS) es una distribución minimalista orientada a contenedores. Carece de gestor de paquetes tradicional (no hay apt/yum) las actualizaciones se aplican de forma atómica vía Ignition y ostree. El único mecanismo de despliegue de software son los contenedores (Docker, rkt) y los servicios de systemd. Usualmente se despliega en servidores o clusters Kubernetes, sin entorno gráfico. Un administrador de Madrid, acostumbrado a automatizar con Ansible o Terraform, valorará soluciones que:
- Se ejecuten como contenedor o binario estático.
- Integren bien con
systemdy admitan configuración sin interacción. - Aprovechen protocolos modernos (WireGuard) o imágenes Docker oficiales de OpenVPN.
VPN más aptas para Container Linux
Tras probar varios proveedores y arquitecturas, estas tres combinaciones destacan:
- Mullvad WireGuard
Aprovecha el módulo del kernel y unwg-quick@.serviceestándar. Mínima complejidad, muy estable. - ProtonVPN OpenVPN en Docker
Contenedor oficial de cliente OpenVPN, se integra fácil en pipelines CI/CD y clústeres. - Tailscale
Cliente estático con serviciotailscaled, red mesh sobre WireGuard. Ideal para gestionar mallas privadas.
Comparativa de características
| Proveedor | Protocolo | Instalación | Enlace |
|---|---|---|---|
| Mullvad | WireGuard | Binario wg-quick |
Web oficial |
| ProtonVPN | OpenVPN | Contenedor Docker | Guía oficial |
| Tailscale | WireGuard mesh | Binario tailscaled |
Descarga Linux |
| NordVPN | OpenVPN / NordLynx | Contenedor o cliente CLI | Tutorial |
1. Instalación y configuración de Mullvad con WireGuard
Mullvad ofrece claves privadas y configuración WireGuard en un paquete ZIP. En Container Linux se hace así:
- Descarga y extrae tu configuración en el host de forma segura.
- Crea la carpeta de WireGuard y el archivo
wg0.conf.
mkdir -p /etc/wireguard cat > /etc/wireguard/wg0.confLuego:
# Levantar la interfaz inmediatamente wg-quick up wg0 # Habilitar al arranque systemctl enable wg-quick@wg0Como Container Linux no tiene gestor de paquetes,
wg-quickya va incluido en el kernel y herramientas del host. Si usas Ignition, añade unsystemdunit snippet para validar permisos y reinicios.2. Instalación y configuración de ProtonVPN en Docker
ProtonVPN no distribuye un .deb para Container Linux, pero funciona perfectamente lanzándolo en un contenedor OpenVPN. Recomiendo la imagen dperson/openvpn-client:
- Copia tu archivo
.ovpnen/etc/openvpn/protonvpn.ovpn.- Lanza el contenedor con permisos NET_ADMIN y TUN.
docker run -d --cap-add=NET_ADMIN --device /dev/net/tun --name protonvpn -v /etc/openvpn/protonvpn.ovpn:/etc/openvpn/config.ovpn dperson/openvpn-client:latest -f -r my-server-regionSi quieres que tus aplicaciones pasen por el VPN, usa:
docker run -d --network container:protonvpn --name mi-api-backend mi-imagen-backendCon esto,
mi-api-backendcomparte la interfaz del contenedor ProtonVPN y todo el tráfico sale cifrado.3. Instalación y configuración de Tailscale
Tailscale entrega un binario estático. Ideal si quieres redes mesh privadas entre máquinas Container Linux sin configurar túneles manualmente.
# Descargar y extraer wget https://pkgs.tailscale.com/stable/tailscale_1.39.2_linux_amd64.tgz tar xzf tailscale_.tgz cp tailscale/tailscaled /usr/local/bin/ cp tailscale/tailscale /usr/local/bin/ # Iniciar el servicio nohup tailscaled --tun=userspace-networking # Autorizar con tu authkey tailscale up --authkey tskey-XXXXXXXXXXXXXXXX --hostname=servidor-cl1 --accept-routesTras autorizar, verás tu nodo en el panel de Tailscale Admin. El tráfico entre nodos irá por WireGuard sin complicaciones.
Conclusión
En Container Linux hay que adaptarse al modelo “inmutable contenedores”. Mullvad con WireGuard y ProtonVPN en Docker son las rutas más fiables si buscas cifrado de todo el tráfico. Si necesitas red mesh privada y fácil onboarding, Tailscale simplifica mucho la vida. ¡A desplegar sin miedo desde tu sede en Madrid!
Deja una respuesta