Cómo configurar Proton VPN en pfSense con OpenVPN
- Lectura
- 10 minutos
- Categoría
- Enrutadores
En esta guía, le mostramos cómo configurar Proton VPN en pfSense 23.09 y pfSense 2.7.x con el protocolo VPN OpenVPN. Esto permite a su enrutador proteger cualquier dispositivo conectado a este con una conexión de Proton VPN.
Obtenga más información sobre OpenVPN
Si utiliza pfSense 2.7.x, le recomendamos usar el protocolo WireGuard® en su lugar.
Tenga en cuenta también que no se recomiendan las conexiones múltiples con OpenVPN. Para este caso de uso, le recomendamos nuevamente usar WireGuard.
- Aprenda sobre OpenVPN frente a WireGuard
- Aprenda cómo configurar Proton VPN en pfSense con WireGuard
Antes de comenzar, necesitará:
- Una instalación nueva de pfSense 23.09 o pfSense 2.7.x
- Una computadora conectada a su red LAN para que pueda acceder a la interfaz de pfSense
- Su nombre de usuario y contraseña de OpenVPN. Estos son diferentes de su nombre de usuario y contraseña habituales de Proton VPN. Para encontrarlos, inicie sesión en account.protonvpn.com y vaya a Cuenta → Nombre de usuario de OpenVPN.

1. Cree un archivo de configuración de OpenVPN
Inicie sesión en Proton VPN con el nombre de usuario y la contraseña de su cuenta de Proton en account.protonvpn.com, vaya a Descargas → Archivos de configuración de OpenVPN y descargue un archivo de configuración de OpenVPN. Asegúrese de Seleccionar la plataforma: Enrutador.
Aprenda cómo descargar un archivo de configuración de OpenVPN de Proton VPN
Para configurar pfSense, necesitará el certificado TLS(nueva ventana) de este archivo de configuración. Para encontrarlo, abra el archivo de configuración de OpenVPN descargado en un editor de texto y busque el texto que comienza con —–BEGIN CERTIFICATE—- y termina con –—-END CERTIFICATE—–.

También necesitará la dirección IP y el número de puerto del servidor VPN. Estos se pueden encontrar en la primera línea remote que aparece en el certificado. El primer número es la dirección IP y el segundo número es el número de puerto. En el siguiente ejemplo, la dirección IP es 185.159.157.6 y el número de puerto es 51820.

Y, por último, necesitará la clave estática de OpenVPN. Esta comienza con —–BEGIN OpenVPN Static key V1—- y termina con —–END OpenVPN Static key V1—–.

2. Añadir el certificado TLS a pfSense
Ingrese 192.168.1.1 en la barra de URL de su navegador para abrir la interfaz web de pfSense. Inicie sesión y vaya a System → Certificates → Add → Import certificate.

Configure los siguientes ajustes:
Crear / Editar CA. Vaya a Authorities → Add y cambie los siguientes ajustes:
- Nombre descriptivo: este puede ser cualquier nombre que le resulte útil para describir el certificado TLS de Proton
- Método: Importar una autoridad de certificación existente
Autoridad de certificación existente
- Copie el certificado TLS de su archivo de configuración de OpenVPN y péguelo aquí

Haga clic en Guardar cuando haya terminado.
3. Configurar el cliente de OpenVPN
Ahora agregará un cliente de OpenVPN para cifrar sus datos y canalizarlos al servidor VPN.
Vaya a VPN → OpenVPN → Clientes, haga clic en Añadir y configure los siguientes ajustes:
Información general:
- Descripción: elija un nombre para mostrar para esta configuración
- Desactivado: desmarcado
Configuración de modo
- Modo de servidor: punto a punto (SSL/TLS)
- Modo de dispositivo: tun – Modo de túnel de capa 3
Configuración del punto final
- Protocolo: ya sea UDP solo en IPv4 o TCP solo en IPv4 (su elección, pero debe coincidir con el archivo de configuración que descargó). Más información sobre UDP frente a TCP.
- Interfaz: WAN
- Puerto local: –
- Host o dirección del servidor: consulte el Paso 1 para encontrar esto.
- Puerto del servidor: consulte también el Paso 1 para encontrar esto.
- Host o dirección de proxy: –
- Puerto de proxy: –
- Autenticación de proxy: ninguna

Ajustes de autenticación de usuario
- Nombre de usuario: su nombre de usuario de OpenVPN de Proton VPN
- Contraseña: su contraseña de OpenVPN de Proton VPN
- Reintentar autenticación: deje desmarcado
Recuerde: Estos son diferentes de su nombre de usuario y contraseña habituales de Proton VPN. Para activar funciones adicionales, añada los siguientes sufijos a su nombre de usuario de OpenVPN.
- Bloqueador de anuncios NetShield: +f1
- NetShield Ad-blocker avanzado (disponible solo si tiene un plan de pago; también bloquea malware y rastreadores): +f2
Por ejemplo, para activar NetShield Ad-blocker, ingrese nombre de usuario+f1.

Ajustes criptográficos
- Usar una clave TLS: marcado
- Generar automáticamente una clave TLS: desmarcado
- Clave TLS: pegue la clave estática de OpenVPN del archivo de configuración de OpenVPN (consulte el Paso 1)
- Modo de uso de clave TLS: cifrado y autenticación TLS
- Dirección de keydir TLS: usar dirección por defecto
- Autoridad de certificación del par: Proton AG (o el nombre descriptivo que utilizó en el Paso 2)
- Lista de revocación de certificados del par: dejar sin cambios
- Certificado de cliente: ninguno (se requiere nombre de usuario y/o contraseña)
- Negociación de cifrado de datos: marcado
- Algoritmos de cifrado de datos: AES-256-GCM, CHACHA20-POLY1305
- Algoritmo de cifrado de datos de respaldo: AES-256-GCM
- Algoritmo digest de autenticación: SHA256 (256 bits)
- Criptografía por hardware: que esta sea compatible depende de su dispositivo. Si es compatible, primero debe activarse yendo a Sistema → Avanzado → Varios. Si tiene dudas, seleccione sin aceleración de criptografía por hardware.
- Validación de uso de clave de certificado de servidor: marcado

Ajustes del túnel
- Red de túnel IPv4: –
- Red de túnel IPv6:-
- Red(es) remota(s) IPv4: –
- Red(es) remota(s) IPv6: –
- Limitar ancho de banda de salida: – (a menos que prefiera lo contrario)
- Permitir compresión: rechazar cualquier compresión que no sea stub (más seguro)
- Topología: subred — una dirección IP por cliente en una subred común
- Tipo de servicio: dejar desmarcado
- No extraer rutas: marcar
- No añadir/eliminar rutas: dejar desmarcado
- Obtener DNS: marcar

Ajustes de ping
- Deje todo en sus valores por defecto.

Configuración avanzada
- Opciones personalizadas: agregue lo siguiente:
tun-mtu 1500;
mssfix 0;
reneg-sec 0;
remote-cert-tls server;
Nota: estos ajustes de configuración reemplazan a los que se muestran en la siguiente captura de pantalla.
Para mejorar la confiabilidad de la conexión, abra el archivo de configuración de OpenVPN que descargó con un editor de texto y busque las líneas que comienzan con remote. A partir de la segunda línea que comienza con remote hacia abajo, copie cada línea que comience con remote en el campo de opciones personalizadas de pfSense, seguido de un punto y coma.

- E/S rápida de UDP: marcado
- Notificación de salida: desactivado
- Búfer de envío/recepción: por defecto
- Creación de puerta de enlace: solo IPv4
- Nivel de detalle: 3 (recomendado)

Haga clic en Guardar y vaya a Estado → OpenVPN. Debería ver el nuevo cliente VPN con su Estado mostrando activo.

4. Configure la interfaz de OpenVPN
El cliente VPN ahora está en funcionamiento, pero no se está enrutando tráfico a través de él. Para enrutar todo su tráfico de red a través del túnel seguro de Proton VPN, necesitará configurar las interfaces y las reglas del cortafuegos.
Vaya a Interfaces → Asignación de interfaces → Puertos de red disponibles y seleccione el cliente VPN que acaba de agregar del menú desplegable → Añadir.
Esto creará una interfaz llamada OPTx (donde la x depende de cuántas interfaces físicas tenga su enrutador). Haga clic en la que acaba de crear para configurarla.

Vaya a la pestaña Interfaces, haga clic en OPTx e ingrese los siguientes ajustes de configuración·
Configuración general:
- Activar: marcado
- Descripción: elija un nombre descriptivo para la interfaz
Redes reservadas:
- Bloquear redes bogon: marcar
Deje el resto de los campos sin cambios.
Haga clic en Guardar y Aplicar cambios.

5. Configure las reglas del cortafuegos
Utilizamos reglas de cortafuegos para enrutar todo el tráfico a través de la interfaz Proton VPN que acabamos de configurar. Vaya a Cortafuegos → NAT → Saliente y seleccione Generación manual de reglas de NAT saliente. Luego, haga clic en Guardar y Aplicar cambios.

En Mapeos, verá seis reglas en la lista. En la columna Origen, 4 de estas reglas muestran las direcciones 127.0.0.0/8 y ::1/128. Ignore estas y edite (haga clic en el icono del lápiz en la columna Acciones) las otras dos reglas.

Para ambas reglas, cambie la Interfaz a la interfaz Proton VPN que creó en el Paso 4. Haga clic en Guardar y Aplicar cambios.

Nota: esto también crea automáticamente una puerta de enlace con el mismo nombre que la interfaz.

Los ajustes de asignaciones ahora deberían verse así:

Vaya a Cortafuegos → Reglas → LAN. Haga clic en el icono ✓ junto a Default allow LAN IPv6 to any rule para desactivarla.

Vaya a Default allow LAN to any rule → Editar (icono de lápiz).

Haga clic en Mostrar avanzado → Puerta de enlace y seleccione la puerta de enlace que creamos en el paso 5. Haga clic en Guardar y Aplicar cambios.

Ahora vaya a Estado → OpenVPN y haga clic en el icono Servicio → Reiniciar para reiniciar el cliente OpenVPN con los nuevos ajustes.

Configure los ajustes de DNS
Todo el tráfico de internet que pasa a través del cortafuegos de pfSense ahora se enrutará a través de un servidor de Proton VPN. Sin embargo, las solicitudes de DNS no lo harán. Para solucionar esto, debemos cambiar los ajustes de DNS en pfSense.
Vaya a Sistema → Configuración general → Servidores DNS → Servidores DNS e ingrese los siguientes ajustes:
- Servidores DNS → Dirección: 10.2.0.1
- Servidores DNS → Puerta de enlace: seleccione la interfaz de VPN que creó en el Paso 4
- Anular servidor DNS: marcar
- Comportamiento de resolución de DNS: Usar servidores DNS remotos, ignorar el DNS local

Ahora vaya a Servicios → Resolutor DNS → Interfaces de red de salida e ingrese los siguientes ajustes:
- Interfaces de red de salida: seleccione la interfaz de VPN que creó en el Paso 4
- Reenvío de consultas DNS: marcar
Si ha activado nuestra función de bloqueador de anuncios NetShield agregando los sufijos +f1 o +f2 a su nombre de usuario de OpenVPN (consulte el Paso 3), debe desactivar el soporte de DNSSEC.

Haga clic en Guardar y en Aplicar cambios.
Su configuración ya está completa. Todo el tráfico de su red ahora debería enrutarse de forma segura a través del servidor de Proton VPN que eligió. Puede probar esto visitando nuestro escáner de IP seguro y gratuito desde cualquier dispositivo de su red.
Ajustes opcionales
Puede excluir algunas computadoras de su red del uso de la interfaz de VPN. Por ejemplo, es posible que prefiera que su consola de videojuegos acceda a internet sin estar conectada a una VPN. Para hacer esto:
1. Vaya a Cortafuegos → Reglas → LAN → Añadir.

2. Configure los ajustes de la siguiente manera:
- Acción: Pass
- Desactivado: desmarcado
- Interfaz: LAN
- Familia de direcciones: IPv4
- Protocolo: Cualquiera
- Origen: Single Host or Alias y agregue la IP del dispositivo que desea excluir
- Destino: Cualquiera
- Registro: Sin cambios
- Descripción: Agregue una descripción

3. Haga clic en Mostrar avanzado y cambie Puerta de enlace a WAN.

4. Haga clic en Guardar y en Aplicar cambios.

5. Vaya a Cortafuegos → NAT → Salida y cambie el Modo a Automático, luego haga clic en Guardar y en Aplicar cambios. Luego, vuelva a cambiar el Modo a Manual, y haga clic en Guardar y en Aplicar cambios.

Esto crea dos reglas nuevas que permiten al dispositivo seleccionado acceder a la red WAN local.

El dispositivo ahora está excluido de la interfaz de VPN y accederá a internet utilizando la dirección IP asignada por su PSI. Sin embargo, utilizará el servidor DNS de Proton VPN.