Introducción

En una Securepoint Security Suite, orientada a administradores de red en Madrid que buscan fiabilidad y rendimiento, el gestor de paquetes es apt (basado en Debian estable). Suele desplegarse como appliance virtual o física, con acceso principal por CLI y consola web (UTM GUI), aunque en escenarios de laboratorio se puede instalar un entorno ligero como XFCE o LXDE para gestión local. Sus peculiaridades técnicas incluyen repositorios firmados, kernel con parches de seguridad y configuraciones de iptables avanzadas. Por tanto, las VPN más aptas deben estar disponibles en repositorios Debian o facilitar un repositorio propio, integrarse bien con la red interna y no requerir entornos gráficos complejos.

VPN más aptas y por qué

• WireGuard: Kernel native, ligero, alto rendimiento y bajo consumo CPU. Paquete disponible en repositorios oficiales.
• OpenVPN: Versátil, muy extendido y compatible con casi cualquier servidor. Integración por openvpn en apt.
• ProtonVPN CLI: Cliente oficial con repositorio propio, interfaz de texto, cifrado moderno y buen soporte para Debian.
• Mullvad CLI: Cliente oficial con apt-key y repositorio, ideal para auditorías y anonimato.
• Tailscale: Basado en WireGuard, ofrece gestión automática de claves y red mesh, aporta mayor flexibilidad interna.

Tabla comparativa de VPN

Instalación y configuración detallada

WireGuard

WireGuard es ideal por su integración en kernel y ligereza. En Securepoint SSU, basta con utilizar los repositorios Debian:

# Actualizar índices y paquetes
apt update  apt upgrade -y

# Instalar WireGuard y herramientas
apt install -y wireguard iproute2

# Generar claves
wg genkey  tee /etc/wireguard/privatekey  wg pubkey > /etc/wireguard/publickey

# Crear configuración básica (/etc/wireguard/wg0.conf)
cat > /etc/wireguard/wg0.conf <
Endpoint = vpn.midominio.local:51820
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 25
EOF

# Ajustes de red (IP forwarding)
sysctl -w net.ipv4.ip_forward=1

# Iniciar y habilitar servicio
systemctl enable wg-quick@wg0 --now

# Ver estado
wg show

OpenVPN

OpenVPN es la opción más probada y compatible. Se instala de serie:

# Instalar OpenVPN y easy-rsa (si gestiona certificados propios)
apt update
apt install -y openvpn easy-rsa

# Copiar el .ovpn al directorio cliente
cp cliente.midominio.ovpn /etc/openvpn/client/

# Iniciar con systemd
systemctl enable openvpn-client@cliente.midominio --now

# Comprobar logs
journalctl -u openvpn-client@cliente.midominio -f

Si el servidor requiere credenciales:

# Crear archivo auth.txt con usuario y contraseña
echo -e miusuarionmiclave > /etc/openvpn/client/auth.txt
chmod 600 /etc/openvpn/client/auth.txt

# En el .ovpn añadir:
# auth-user-pass auth.txt

ProtonVPN CLI

ProtonVPN ofrece un instalador sencillo que crea un repo en Securepoint SSU:

# Descarga e instala el script oficial
curl -fsSL https://repo.protonvpn.com/debian/public_key.asc  apt-key add -
echo deb https://repo.protonvpn.com/debian stable main > /etc/apt/sources.list.d/protonvpn.list
apt update

# Instalar cliente
apt install -y protonvpn-cli

# Autenticación
protonvpn-cli login correo@dominio.com

# Conectar al mejor servidor
protonvpn-cli c --fastest

# Estado de la conexión
protonvpn-cli s

Para ajustar rutas y DNS, ProtonVPN CLI lo realiza automáticamente, integrándose sin conflictos con las reglas de iptables de la UTM.

Conclusión

En Securepoint Security Suite, WireGuard y OpenVPN cubren casi cualquier escenario: desde rendimiento óptimo hasta compatibilidad máxima. ProtonVPN CLI es una tercera alternativa sólida si buscas un servicio comercial con repositorio propio y soporte dedicado. Todas estas soluciones se integran nativamente en apt y funcionan sin necesidad de entorno gráfico, adaptándose al perfil de administrador de red avanzado que gestiona la UTM.