En entornos OPNsense (basado en HardenedBSD, con gestor de paquetes pkg y administración vía interfaz web), las soluciones VPN más adecuadas son aquellas que encajan con su arquitectura de plugins y su orientación a administradores de red. Se debe tener en cuenta:
- Integración como plugin: OPNsense dispone de
os-openvpn,os-wireguardy el soporte IPsec (strongSwan) integrado. Elegir un proveedor que ofrezca configuraciones “zero-touch” (archivos .ovpn o .conf para WireGuard) facilita su despliegue. - Usuario tipo: administradores de firewall de sucursal o home office, sin entorno gráfico local (solo web UI). Suelen manejar snapshots de configuración, gestión de gateways dinámicas y reglas de firewall enfocadas a rutas VPN.
- Peculiaridades técnicas:
- HardenedBSD como base, configuraciones muy estrictas de seguridad.
- Web GUI para todo: certificados, importación de archivos, definición de clientes y gateways.
- Soporte nativo de failover y balanceo de carga a través de varios gateways VPN.
Por estas razones, las VPN que mejor encajan son aquellas con perfiles bien documentados en OpenVPN o WireGuard y con plantillas específicas para OPNsense.
Comparativa de proveedores VPN para OPNsense
| Proveedor | Protocolos | Compatibilidad OPNsense | Características destacadas | Enlace |
|---|---|---|---|---|
| NordVPN | OpenVPN, WireGuard | Plantillas .ovpn WireGuard config descargable | Red de servidores global, Doble VPN, CyberSec | Sitio oficial de NordVPN |
| Proton VPN | OpenVPN, WireGuard | Archivos .ovpn y .conf, guías para FreeBSD | Privacidad suiza, Secure Core, Kill Switch | Sitio oficial de Proton VPN |
| Mullvad | WireGuard, OpenVPN | Configuración WireGuard llave en mano | Anonimato con número de cuenta, sin logs | Sitio oficial de Mullvad |
| ExpressVPN | OpenVPN, Lightway | Archivo .ovpn, documentación para BSD | Acelerado, red amplia de servidores | Sitio oficial de ExpressVPN |
| Private Internet Access | OpenVPN, WireGuard | Config archivos provistos | Bloqueo de anuncios, port forwarding | Sitio oficial de PIA |
Instalación y configuración en OPNsense
1. Mullvad (WireGuard)
1. Instalar el plugin WireGuard:
pkg update pkg install os-wireguard
2. Generar cuenta y descargar perfil:
# Sustituye XXXXXX por tu código de cuenta Mullvad fetch https://api.mullvad.net/www/relays/wireguard-config/X/config.zip -o /tmp/mullvad.zip unzip /tmp/mullvad.zip -d /tmp/mullvad-wg
3. Importar en la GUI OPNsense:
- Accede a VPN gt WireGuard gt Configuration y haz clic en “ Import”.
- Sube el archivo .conf correspondiente (del directorio /tmp/mullvad-wg).
- Aplica cambios y activa la instancia en Endpoints y Local.
4. Configurar gateway y reglas de firewall:
- En VPN gt WireGuard gt General añade como gateway.
- En Firewall gt Rules gt LAN crea regla para red LAN, gateway = WireGuard.
2. Proton VPN (OpenVPN)
1. Instalar plugin OpenVPN (ya incluido): no requiere pkg adicional.
2. Descargar perfil OpenVPN:
# Selecciona UDP en puerto 1194 o TCP en 443 fetch https://protonvpn.com/download/Config/ProtonVPN_UDP1194.ovpn -o /tmp/protonvpn.ovpn
3. Importar en GUI:
- Ir a VPN gt OpenVPN gt Clients y pulsar “ Add”.
- En “Import an existing OpenVPN configuration” elige el fichero protonvpn.ovpn.
- Rellena credenciales (usuario/contraseña) y guarda.
4. Definir gateway y reglas:
- VPN gt OpenVPN gt [Client] gt Advanced: marca “Create a gateway”.
- Firewall gt Rules gt LAN: regla que use ese gateway.
3. NordVPN (OpenVPN WireGuard)
1. Para WireGuard, instalar plugin como en Mullvad (os-wireguard).
2. Generar credenciales y descargar config WireGuard:
# Obtén tu config desde https://nordaccount.com/wireguard fetch https://downloads.nordcdn.com/configs/wireguard/servers/wg0.conf -o /tmp/nord-wg.conf
3. Importar la configuración en VPN gt WireGuard como en el paso de Mullvad.
4. Para OpenVPN, importa el .ovpn descargado desde el panel:
- VPN gt OpenVPN gt Clients → “ Add” → importa .ovpn.
- Añade gateway y regla LAN tal como se ha visto.
Deja una respuesta