VPN más aptas para Sophos UTM
En Sophos UTM (antes Astaro Security Gateway) nos encontramos con una plataforma basada en Debian, pensada para administradores de red y seguridad que gestionan appliances físicas o virtuales. No dispone de entorno de escritorio (todo se maneja por Webadmin y SSH), y su gestor de paquetes interno es APT/dpkg, aunque el sistema de archivos está «sellado» para mantener la integridad. Por defecto, sólo se instalan actualizaciones oficiales vía Sophos si queremos incorporar software adicional como VPN de terceros, hay que remontar la partición en modo lectura-escritura, instalar cuidadosamente y volver a cerrar el sistema para no perder soporte.
Las VPN que más encajan en este entorno son:
- OpenVPN: maduro, estable y con soporte de la mayoría de clientes. Se integra bien en Debian y su configuración cabe en la CLI de Sophos.
- SoftEther VPN: ofrece múltiples protocolos (SSL-VPN, L2TP/IPsec, OpenVPN, MS-SSTP) y funciona sobre un único binario. Ideal si necesitamos flexibilidad entre distintos túneles.
- WireGuard: diseñada para velocidad y simplicidad. Requiere compilar el módulo de kernel (Sophos UTM trae un 4.x personalizado), pero a cambio obtenemos bajo consumo de CPU y alta throughput.
Comparativa de soluciones VPN
| VPN | Protocolos | Integración WebAdmin | Clientes soportados |
|---|---|---|---|
| OpenVPN | SSL/TLS (UDP/TCP) | Limitada (gestión manual) | Windows, macOS, Linux, iOS, Android |
| SoftEther VPN | SSL-VPN, L2TP/IPsec, OpenVPN, MS-SSTP | Escasa (instalación y config por SSH) | Windows, Linux, macOS, iOS, Android |
| WireGuard | WireGuard (UDP) | No nativa (módulo a medida) | Linux, Windows, macOS, iOS, Android |
1) Instalación y configuración de OpenVPN
Preparación del sistema
- Entrar por SSH como
root. - Desbloquear modo lectura/escritura:
mount -o remount,rw /
- Actualizar índices y paquetes:
apt-get update apt-get install openvpn easy-rsa
Generar certificados
make-cadir /etc/openvpn/easy-rsa cd /etc/openvpn/easy-rsa ./easyrsa init-pki ./easyrsa build-ca nopass ./easyrsa gen-req server nopass ./easyrsa sign-req server server ./easyrsa gen-dh openvpn --genkey --secret ta.key
Archivo de configuración del servidor
cat > /etc/openvpn/server.confArrancar el servicio y habilitar arranque
systemctl enable openvpn@server systemctl start openvpn@server2) Instalación y configuración de SoftEther VPN
Descarga y compilación
- Descargamos el paquete fuente:
cd /opt wget https://github.com/SoftEtherVPN/SoftEtherVPN_Stable/releases/download/v4.39-9772-beta/softether-vpnserver-v4.39-9772-beta-2020.04.05-linux-x64-64bit.tar.gz tar xzf softether-.tar.gz cd vpnserver makeCuando el compilador pregunte, contestar “1” para aceptar el acuerdo y “1” para compilar.
Instalación como servicio
cp -r vpnserver /usr/local/ chmod 600 /usr/local/vpnserver/ chmod 700 /usr/local/vpnserver/vpnserver chmod 700 /usr/local/vpnserver/vpncmd cat > /etc/init.d/vpnserverConfiguración básica con vpncmd
/usr/local/vpnserver/vpncmd localhost:5555 # Seleccionar 1 = Management of VPN Server # Ejecutar dentro de vpncmd: ServerPasswordSet yourStrongPass HubCreate hub1 /PASSWORD:hubPass123 Hub hub1 UserCreate usuario1 /GROUP:none /REALNAME:VPN User /NOTE:Acceso SSL-VPN /PasswordSet usuario1 /PASSWORD:userPass123 SecureNatEnable ListenerCreate 443 Exit3) Instalación y configuración de WireGuard
Preparar el kernel
Primero hay que compilar el módulo de WireGuard para el kernel personalizado de Sophos UTM. Suponiendo que tengamos instalados los headers:
apt-get update apt-get install wireguard-dkms wireguard-toolsGenerar claves y archivo de configuración
wg genkey tee /etc/wireguard/privatekey wg pubkey > /etc/wireguard/publickey cat > /etc/wireguard/wg0.confArrancar WireGuard
wg-quick up wg0 systemctl enable wg-quick@wg0Con esto tenemos tres alternativas contrastadas según necesidades: OpenVPN para compatibilidad, SoftEther para versatilidad de protocolos y WireGuard si priorizamos rendimiento extremo. En Sophos UTM, cada opción exige rematar la instalación desde SSH, siempre asegurando el sellado posterior del sistema para mantener la integridad y el soporte oficial.
![]()

Deja una respuesta