Las VPN más aptas para Whonix y sus particularidades
Si trabajas con Whonix en Madrid o en cualquier punto de España sabes que esta distribución está diseñada para maximizar la privacidad: su arquitectura de dos máquinas virtuales (Gateway y Workstation) sobre Debian te obliga a instalar la VPN en el Whonix‐Gateway. El gestor de paquetes base es apt (Debian 12 “Bookworm”), los entornos de escritorio habituales en la Workstation suelen ser ligeros como XFCE o KDE Plasma y, en muchos casos, echarás mano de la línea de comandos para no comprometer la superficie de ataque. Además, al ir sobre VirtualBox/Qubes, no conviene añadir capas gráficas propietarias que puedan generar fugas DNS o puertos abiertos innecesarios.
Para elegir la VPN más adecuada hay que valorar varios puntos:
- Compatibilidad Debian: repositorios .deb o instalación vía apt para integrarse con sys-whonix.
- Protocolos seguros: WireGuard y OpenVPN bien implementados, sin dependencias extrañas.
- Interruptor (kill switch): fiable incluso si el servicio cae, idealmente implementado en el firewall de la Gateway.
- Protección DNS: evitar fugas en el Gateway, ya que la Workstation confía ciegamente en él.
- Política de no registros: preferible que sea auditada y con sede en jurisdicciones cuidadosas.
Teniendo en cuenta estas necesidades, las tres candidatas que destacan son:
- Mullvad VPN: abierta, auditada y con clientes Debian.
- ProtonVPN: con repositorio oficial .deb y buen CLI.
- IVPN: muy centrada en la privacidad, con soporte sólido de OpenVPN/WireGuard y configuración sencilla en Debian.
Comparativa de VPN para Whonix
| VPN | Protocolos | Instalación en Debian | Kill Switch | Protección DNS | Enlace oficial |
|---|---|---|---|---|---|
| Mullvad VPN | WireGuard, OpenVPN | Paquete .deb y repositorio apt | Integrable en firewall de Gateway | DNS propios y forzados | Sitio oficial de Mullvad |
| ProtonVPN | WireGuard, OpenVPN, IKEv2 | Repositorio oficial .deb | CLI con kill-switch configurable | Leak protection integrado | Sitio oficial de ProtonVPN |
| IVPN | WireGuard, OpenVPN | Configura con apt archivos .ovpn/.conf descargados | Reglas iptables sencillas | DNS propios con anti-tracker | Sitio oficial de IVPN |
Cómo instalar y configurar las mejores VPN en Whonix-Gateway
Siempre abre tu consola en sys-whonix, el template basado en Debian, antes de reiniciar el Gateway. Todos los ejemplos se usan con privilegios sudo.
Mullvad VPN
Mullvad ofrece un paquete .deb oficial compatible con Debian Bookworm. Instálalo y añade la clave GPG. Luego configura tu cuenta con un número de identificación anónimo.
# 1. Añadir repositorio y clave wget -qO- https://mullvad.net/media/mullvad-code-repo.gpg sudo gpg --dearmor -o /usr/share/keyrings/mullvad-archive-keyring.gpg echo deb [signed-by=/usr/share/keyrings/mullvad-archive-keyring.gpg] https://deb.mullvad.net/ stable main \ sudo tee /etc/apt/sources.list.d/mullvad.list # 2. Actualizar e instalar cliente sudo apt update sudo apt install mullvad-vpn # 3. Iniciar sesión (pon tu código de cuenta) mullvad account login TU_CODIGO_MULLVAD # 4. Conectar por WireGuard mullvad connect wireguard
Para integrar el kill switch en el firewall del Gateway, edita /etc/whonix_firewall.d/30_user.conf y añade:
# Bloquear todo menos tráfico WireGuard iptables -A OUTPUT ! -o wg0 -j DROP
ProtonVPN
ProtonVPN dispone de un repositorio oficial para Debian y una utilidad CLI que permite activar un kill switch automático. Primero, añade la fuente:
# 1. Instalar dependencias sudo apt update sudo apt install -y gnupg2 wget apt-transport-https # 2. Añadir clave y repo wget -q -O protonvpn-archive-keyring.gpg [https://repo.protonvpn.com/debian/public_key.asc](https://repo.protonvpn.com/debian/public_key.asc) sudo install -o root -g root -m 644 protonvpn-archive-keyring.gpg /usr/share/keyrings/ echo deb [signed-by=/usr/share/keyrings/protonvpn-archive-keyring.gpg] [https://repo.protonvpn.com/debian](https://repo.protonvpn.com/debian) stable main sudo tee /etc/apt/sources.list.d/protonvpn.list # 3. Instalar CLI sudo apt update sudo apt install protonvpn-cli
Para iniciar sesión y activar la protección total:
# Login protonvpn-cli login tu_usuario # Conectar seleccionando el mejor servidor con kill-switch protonvpn-cli connect --sc kill
Este modo configurará reglas de iptables para que si cae la VPN, todo el tráfico se detenga.
IVPN
IVPN no tiene un cliente gráfico específico para Whonix, pero sus archivos de configuración OpenVPN y WireGuard funcionan muy bien en el Gateway y permiten un control fino del firewall.
# 1. Instalar OpenVPN (y WireGuard si quieres usarlo) sudo apt update sudo apt install -y openvpn wireguard-tools unzip # 2. Descargar tus configs desde el panel de IVPN # (por ejemplo, ivpn-openvpn-config.zip) y extraerlos: unzip ~/Descargas/ivpn-openvpn-config.zip -d ~/ivpn-config
Para levantar un túnel OpenVPN básico desde la Gateway:
sudo openvpn --config ~/ivpn-config/ivpn-es-madrid.ovpn
Si quieres un kill switch integrado en el Gateway, puedes crear reglas simples de iptables en /etc/whonix_firewall.d/30_user.conf parecidas a:
# Suponiendo interfaz tun0 para IVPN iptables -A OUTPUT ! -o tun0 -m addrtype --dst-type ! LOCAL -j DROP
Y luego recargar el firewall de Whonix:
sudo whonix_firewall_reload
Para WireGuard, usa el generador de configuraciones de IVPN, guarda el archivo en /etc/wireguard/wg0.conf y actívalo con:
sudo chmod 600 /etc/wireguard/wg0.conf sudo systemctl enable wg-quick@wg0 sudo systemctl start wg-quick@wg0
Conclusión
Para entornos Whonix la clave es mantener la simplicidad y la fiabilidad del Gateway: Mullvad y ProtonVPN destacan por sus repositorios .deb y kill switch integrado, mientras que IVPN te ofrece un equilibrio excelente entre privacidad extrema y configuraciones limpias con OpenVPN o WireGuard. Instálalas siempre desde el Gateway, prueba tu configuración con sudo whonixcheck --test security y verifica que no hay fugas DNS ni de IP antes de lanzarte a la Workstation. ¡A proteger tu anonimato!
Deja una respuesta