LINUXMIND.DEV

Como elegir, usar y configurar una VPN en pfSense (Mi opinión)

Las VPN más aptas para pfSense y por qué

Trabajando con pfSense en mi despacho de Madrid, lo primero que conviene tener claro es que esta distribución basada en FreeBSD no es un Linux al uso: emplea el gestor de paquetes pkg, la configuración se realiza mayoritariamente desde su potente interfaz web (WebGUI) y no incluye entornos de escritorio como tal (todo se maneja vía consola o GUI). Los usuarios de pfSense suelen ser administradores de red, empresas pequeñas y medianas, y aficionados avanzados de la seguridad que requieren estabilidad, rendimiento y compatibilidad con protocolos estándar (OpenVPN, IPsec y, más recientemente, WireGuard).

Por estas razones, una VPN “ideal” para pfSense debe cumplir:

  • Soporte oficial o guías de configuración claras para OpenVPN, IPsec y/o WireGuard.
  • Archivos de configuración o scripts compatibles con FreeBSD.
  • Buena documentación y comunidad activa.
  • Bajo impacto en el rendimiento de CPU/RAM.

Tras probar varias opciones, destaco especialmente estas tres:

  • Mullvad VPN: Excelente soporte WireGuard y OpenVPN, configuración sencilla y archivos preparados para FreeBSD.
  • ProtonVPN: Ofrece configuración IPsec y WireGuard, con buena privacidad y guías específicas para pfSense.
  • NordVPN: Permite WireGuard (NordLynx) e OpenVPN con scripts compatibles, amplia red de servidores y buen rendimiento.

Comparativa de características

Proveedor Protocolos Compatibilidad pfSense Enlace
Mullvad VPN WireGuard, OpenVPN Archivos de configuración para FreeBSD paquete WireGuard oficial Web oficial de Mullvad
ProtonVPN WireGuard, IPsec, OpenVPN Guía detallada para pfSense soporte IPsec integrado en WebGUI Web oficial de ProtonVPN
NordVPN WireGuard (NordLynx), OpenVPN Scripts para FreeBSD configuración OpenVPN fácil desde WebGUI Web oficial de NordVPN

Instalación y configuración en pfSense

1. Mullvad VPN (WireGuard)

pfSense dispone de un paquete oficial de WireGuard. Para integrarlo con Mullvad:

  1. Accede a System gt Package Manager gt Available Packages y busca wireguard. Instálalo.
  2. Descarga tu archivo de configuración desde tu cuenta Mullvad en la sección de WireGuard.
  3. En pfSense ve a VPN gt WireGuard gt Endpoints y crea uno nuevo:
# Ejemplo de endpoint minimal
[Interface]
PrivateKey = TU_CLAVE_PRIVADA
Address = 10.64.0.2/32

[Peer]
PublicKey = CLAVE_PUBLICA_MULLVAD
AllowedIPs = 0.0.0.0/0
Endpoint = wg-eu.mullvad.net:51820
PersistentKeepalive = 25
  1. Guarda y luego en Peers añade el servidor Mullvad como Peer, asignando la interfaz LAN o WAN según prefieras.
  2. Finalmente, crea las reglas de firewall: Firewall gt Rules en la interfaz deseada para permitir tráfico saliente por el túnel WireGuard.

2. ProtonVPN (IPsec)

pfSense integra IPsec de forma nativa, por lo que ProtonVPN se puede configurar sin instalar paquetes extra.

  1. Accede a tu cuenta ProtonVPN y genera credenciales PSK (pre-shared key) para IPsec.
  2. En pfSense, ve a VPN gt IPsec gt Tunnels y añade uno nuevo:
Phase 1:
  Key Exchange version: IKEv2
  Remote Gateway: 185.159.158.141    # ejemplo de servidor ProtonVPN
  Authentication Method: Pre-Shared Key
  Pre-Shared Key: TU_PSK_DE_PROTON

Phase 2:
  Mode: Tunnel IPv4
  Local Network: LAN subnet
  Remote Network: 0.0.0.0/0
  Protocol: ESP
  Encryption Algorithm: AES-GCM-256
  Hash Algorithm: SHA256
  PFS Key Group: none
  1. En Phase 2 completa con datos de ProtonVPN, guarda y aplica los cambios.
  2. Configura las Rules de Firewall para dirigir el tráfico deseado por el túnel IPsec.

3. NordVPN (OpenVPN)

La configuración mediante OpenVPN es muy familiar en pfSense:

  1. Descarga desde tu cuenta NordVPN el archivo .ovpn para el servidor que elijas.
  2. En pfSense ve a VPN gt OpenVPN gt Clients y “ Add”:
Client Configuration:
  Server host or address: us1234.nordvpn.com
  Port: 1194
  Protocol: UDP
  Device mode: tun
  Peer Certificate Authority: NL_CA     # importar antes desde System > Cert Manager
  Client Certificate: none
  Encryption Algorithm: AES-256-CBC
  Auth Digest Algorithm: SHA256
  Username: TU_USUARIO_NORD
  Password: TU_CONTRASEÑA_NORD
  TLS Key Usage Mode: TLS Key
  TLS Shared Key: (inserta el ta.key descargado)
  1. Guarda y verifica que el estado del cliente sea “up”.
  2. En Firewall gt NAT gt Outbound pasa a modo “Hybrid” y añade una regla para que el tráfico de tu LAN se redireccione por la VPN.

Conclusión

pfSense es un entorno especializado que exige elegir servicios VPN con soporte explícito en FreeBSD o guías detalladas. Mullvad, ProtonVPN y NordVPN cumplen sobradamente estos requisitos y ofrecen protocolos modernos, buen rendimiento y documentación útil para administradores de red. Con las instrucciones anteriores tendrás un punto de partida sólido para proteger tu red con la VPN que mejor se adapte a tus necesidades.

Download TXT




Powered by LinuxMind

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *