Trabajando a diario con Qubes OS en Madrid descubres que, más allá de elegir una VPN “genérica”, conviene optar por proveedores que encajen con la arquitectura por compartimentos de esta distro. Aquí tienes un repaso de las opciones más aptas y cómo integrarlas de forma segura en tu entorno Qubes.

¿Por qué hay VPNs más indicadas para Qubes OS?

Qubes OS no es un Linux tradicional: su seguridad se basa en aislar tareas en diferentes qubes (máquinas virtuales ligeras). Esa separación demanda:

• Uso de plantillas (templates) Fedora o Debian donde instalaremos el software con dnf o apt.
• Un NetVM (por defecto sys-net) y un FirewallVM (sys-firewall), que no deben alterarse en dom0.
• Clientes VPN con interfaz CLI o librerías ligeras (evitamos interfaces Qt/Gtk pesadas).
• Soporte nativo de OpenVPN y, idealmente, WireGuard para aprovechar su rendimiento y simplicidad.
• Usuarios avanzados: no nos basta un “clic” en una app, buscamos integración a nivel VM, scripts y arranque automático.

VPN más aptas para Qubes OS

• Mullvad: repos oficiales para Fedora y Debian, CLI nativo y WireGuard bien documentado.
• ProtonVPN: cliente CLI en Python, fácil de instalar vía pip3 y con soporte WireGuard y OpenVPN.
• IVPN: ofrece configuración por OpenVPN y WireGuard, con guías específicas para entornos headless en Linux.
• Private Internet Access (PIA): cliente oficial para Linux con soporte de línea de comandos, WireGuard y OpenVPN, además de archivos de configuración descargables.

Comparativa de VPN para Qubes OS

Instalación y configuración de Mullvad en Qubes OS

Vamos a crear una TemplateVM dedicada que luego actuará como NetVM (recomendable renombrar sys-net o crear una nueva, por ejemplo vpn-mullvad):

# Clona la plantilla Fedora que uses (por ejemplo fedora-38)
qvm-clone fedora-38 vpn-mullvad
# Arranca la nueva VM y accede
qvm-start vpn-mullvad
qvm-run vpn-mullvad gnome-terminal  # o qvm-run con comando directo

Dentro de vpn-mullvad instalamos el repositorio y el cliente:

# Añade repo oficial
sudo dnf install -y dnf-plugins-core
sudo dnf config-manager --add-repo=https://repo.mullvad.net/fedora-stable-rpm
# Instala el cliente
sudo dnf install -y mullvad-vpn

Inicia sesión y conecta:

mullvad account login TU_CODIGO_MULLVAD
mullvad connect wireguard
# Comprueba estado
mullvad status

Para que todo tu tráfico Qubes pase por esta VM, modifica sys-firewall:

# Asigna vpn-mullvad como NetVM de sys-firewall
qvm-prefs sys-firewall netvm vpn-mullvad
# Reinicia sys-firewall
qvm-shutdown --wait sys-firewall  qvm-start sys-firewall

Ahora cada AppVM que use sys-firewall saldrá por la VPN de Mullvad.

Instalación y configuración de ProtonVPN en Qubes OS

Este proveedor usa un cliente Python CLI crearemos un TemplateVM Debian:

# Clona Debian 11
qvm-clone debian-11 vpn-proton
qvm-start vpn-proton

Instalamos pip3 y el CLI de ProtonVPN:

# Dentro de vpn-proton
sudo apt update
sudo apt install -y python3-pip
sudo pip3 install protonvpn-cli

Inicializa y conecta:

protonvpn-cli login TU_USUARIO_PROTON
protonvpn-cli c --wireguard
# o protonvpn-cli c --fastest

Vincula la VM como NetVM de sys-firewall:

qvm-prefs sys-firewall netvm vpn-proton
qvm-shutdown --wait sys-firewall  qvm-start sys-firewall

Instalación y configuración de IVPN en Qubes OS

IVPN funciona por archivos .conf de WireGuard o OpenVPN. En una plantilla Fedora:

qvm-clone fedora-38 vpn-ivpn
qvm-start vpn-ivpn
sudo dnf install -y wireguard-tools openvpn

Descarga tus credenciales desde la web de IVPN (Account → Config generator), sube ivpn.conf a la VM y ejecuta:

# Para WireGuard
sudo wg-quick up ivpn.conf
# Para OpenVPN
sudo openvpn --config ivpn.ovpn

Y de nuevo la misma rutina de asignar como NetVM del firewall:

qvm-prefs sys-firewall netvm vpn-ivpn
qvm-shutdown --wait sys-firewall  qvm-start sys-firewall

Con esta configuración, tu Qubes OS aprovechará la potencia de la compartimentación y, al mismo tiempo, el cifrado de la VPN elegida. ¡A navegar con máxima privacidad!