Cómo configurar Proton VPN en pfSense usando OpenVPN
- Lectura
- 10 min
- Categoría
- Enrutadores
En esta guía, te mostramos cómo configurar Proton VPN en pfSense 23.09 y pfSense 2.7.x usando el protocolo VPN OpenVPN. Esto permite que tu enrutador proteja cualquier dispositivo conectado a él con una conexión Proton VPN.
Si estás usando pfSense 2.7.x, te recomendamos usar el protocolo WireGuard® en su lugar.
Ten en cuenta también que no se recomiendan múltiples conexiones usando OpenVPN. Para este caso de uso, volvemos a recomendar WireGuard.
- Aprende acerca de OpenVPN vs. WireGuard
- Aprende cómo configurar Proton VPN en pfSense usando WireGuard
Antes de empezar, necesitarás:
- Una instalación limpia de pfSense 23.09 o pfSense 2.7.x
- Un ordenador conectado a tu red LAN para que puedas acceder al frontend de pfSense
- Tu nombre de usuario y contraseña de OpenVPN. Estos son diferentes de tu nombre de usuario y contraseña habituales de Proton VPN. Para encontrarlos, inicia sesión en account.protonvpn.com y ve a Cuenta → Nombre de usuario de OpenVPN.

1. Crea un archivo de configuración de OpenVPN
Inicia sesión en Proton VPN con el nombre de usuario y la contraseña de tu cuenta de Proton en account.protonvpn.com, ve a Descargas → Archivos de configuración de OpenVPN y descarga un archivo de configuración de OpenVPN. Asegúrate de marcar Seleccionar plataforma: Enrutador.
Aprende cómo descargar un archivo de configuración de OpenVPN de Proton VPN
Para configurar pfSense, necesitarás el certificado TLS(ventana nueva) de este archivo de configuración. Para encontrarlo, abre el archivo de configuración de OpenVPN descargado en un editor de texto y busca el texto que comienza con —–BEGIN CERTIFICATE—- y termina con –—-END CERTIFICATE—–.

También necesitarás la dirección IP y el número de puerto del servidor VPN. Estos se pueden encontrar en la primera línea remote que aparece en el certificado. El primer número es la dirección IP y el segundo número es el número de puerto. En el siguiente ejemplo, la dirección IP es 185.159.157.6 y el número de puerto es 51820

Y por último, necesitarás la clave estática de OpenVPN. Comienza con —–BEGIN OpenVPN Static key V1—- y termina con —–END OpenVPN Static key V1—–.

2. Añadir el certificado TLS a pfSense
Introduce 192.168.1.1 en la barra de URL de tu navegador para abrir la interfaz web de pfSense. Inicia sesión y ve a System → Certificates → Add → Import certificate.

Configura los siguientes ajustes:
Crear / Editar CA. Ve a Authorities → Add y cambia los siguientes ajustes:
- Nombre descriptivo: puede ser cualquier nombre que consideres útil para describir el certificado TLS de Proton
- Método: Importar una autoridad de certificación existente
Autoridad de certificación existente
- Copia el certificado TLS de tu archivo de configuración de OpenVPN y pégalo aquí

Haz clic en Guardar cuando hayas terminado.
3. Configurar el cliente OpenVPN
Ahora añadirás un cliente OpenVPN para cifrar tus datos y enviarlos a través de un túnel al servidor VPN.
Ve a VPN → OpenVPN → Clients, haz clic en Add y configura los siguientes ajustes:
Información general:
- Descripción: elige un nombre para mostrar para esta configuración
- Desactivado: desmarcado
Configuración del modo
- Modo servidor: Peer to Peer (SSL/TLS)
- Modo de dispositivo: tun – Modo túnel de Capa 3
Configuración del punto de conexión
- Protocolo: ya sea UDP en IPv4 únicamente o TCP en IPv4 únicamente (tú eliges, pero debe coincidir con el archivo de configuración que descargaste). Más información sobre UDP frente a TCP.
- Interfaz: WAN
- Puerto local: –
- Host o dirección del servidor: consulta el Paso 1 para encontrarlo.
- Puerto del servidor: consulta también el Paso 1 para encontrarlo.
- Host o dirección del proxy: –
- Puerto del proxy: –
- Autenticación del proxy: ninguna

Ajustes de autenticación de usuario
- Nombre de usuario: tu nombre de usuario de OpenVPN de Proton VPN
- Contraseña: tu contraseña de OpenVPN de Proton VPN
- Reintento de autenticación: dejar desmarcado
Recuerda: estos son diferentes de tu nombre de usuario y contraseña habituales de Proton VPN. Para activar funciones adicionales, añade los siguientes sufijos a tu nombre de usuario de OpenVPN.
- NetShield Ad-blocker: +f1
- NetShield Ad-blocker avanzado (disponible solo si tienes un plan de pago; también bloquea malware y rastreadores): +f2
Por ejemplo, para activar NetShield Ad-blocker, introduce nombredeusuario+f1.

Ajustes criptográficos
- Usar una clave TLS: marcado
- Generar automáticamente una clave TLS: desmarcado
- Clave TLS: pega la clave estática de OpenVPN del archivo de configuración de OpenVPN (consulta el Paso 1)
- Modo de uso de clave TLS: cifrado y autenticación TLS
- Dirección de keydir de TLS: usar dirección por defecto
- Autoridad de certificación de pares: Proton AG (o el nombre descriptivo que utilizaste en el paso 2)
- Lista de revocación de certificados de pares: dejar sin cambios
- Certificado de cliente: ninguno (se requiere nombre de usuario y/o contraseña)
- Negociación de cifrado de datos: marcado
- Algoritmos de cifrado de datos: AES-256-GCM, CHACHA20-POLY1305
- Algoritmo de cifrado de datos de respaldo: AES-256-GCM
- Algoritmo de resumen de autenticación: SHA256 (256 bits)
- Criptografía por hardware: que sea compatible o no depende de tu dispositivo. Si es compatible, primero debes activarlo yendo a Sistema → Avanzado → Varios. En caso de duda, selecciona Sin aceleración de criptografía por hardware.
- Validación del uso de la clave del certificado del servidor: marcado

Ajustes del túnel
- Red de túnel IPv4: –
- Red de túnel IPv6:-
- Red(es) remota(s) IPv4: –
- Red(es) remota(s) IPv6: –
- Limitar ancho de banda de salida: – (a menos que prefieras otra cosa)
- Permitir compresión: rechazar cualquier compresión que no sea stub (más seguro)
- Topología: subred — una dirección IP por cliente en una subred común
- Tipo de servicio: dejar desmarcado
- No extraer rutas: marcar
- No añadir/eliminar rutas: dejar desmarcado
- Obtener DNS: marcar

Ajustes de ping
- Deja todo en sus valores por defecto.

Configuración avanzada
- Opciones personalizadas: añade lo siguiente:
tun-mtu 1500;
mssfix 0;
reneg-sec 0;
remote-cert-tls server;
Nota: estos ajustes de configuración reemplazan a los que se muestran en la siguiente captura de pantalla.
Para mejorar la fiabilidad de la conexión, abre el archivo de configuración de OpenVPN que descargaste con un editor de texto y localiza las líneas que comienzan por remote. A partir de la segunda línea que contenga remote hacia abajo, copia cada línea que comience por remote en el campo de opciones personalizadas en pfSense, seguida de un punto y coma.

- E/S rápida de UDP: marcado
- Notificación de salida: desactivado
- Búfer de envío/recepción: por defecto
- Creación de puerta de enlace: solo IPv4
- Nivel de detalle: 3 (recomendado)

Haz clic en Guardar y ve a Estado → OpenVPN. Deberías ver el nuevo cliente VPN con su Estado mostrando activo.

4. Configura la interfaz de OpenVPN
El cliente VPN ya está en funcionamiento, pero no se está enrutando tráfico a través de él. Para enrutar todo tu tráfico de red a través del túnel seguro de Proton VPN, tendrás que configurar las interfaces y las reglas del cortafuegos.
Ve a Interfaces → Asignación de interfaces → Puertos de red disponibles y selecciona el cliente VPN que acabas de añadir en el menú desplegable → Añadir.
Esto creará una interfaz llamada OPTx (donde la «x» dependerá de cuántas interfaces físicas tenga tu enrutador). Haz clic en la que acabas de crear para configurarla.

Ve a la pestaña Interfaces, haz clic en OPTx e introduce los siguientes ajustes de configuración·
Configuración general:
- Enable (Activar): marcado
- Descripción: elige un nombre descriptivo para la interfaz
Redes reservadas:
- Bloquear redes bogon: marcar
Deja el resto de los campos sin cambios.
Haz clic en Guardar y en Aplicar cambios.

5. Configura las reglas del cortafuegos
Utilizamos reglas de cortafuegos para enrutar todo el tráfico a través de la interfaz de Proton VPN que acabamos de configurar. Ve a Cortafuegos → NAT → Saliente y selecciona Generación manual de reglas de NAT saliente. A continuación, haz clic en Guardar y en Aplicar cambios.

En Asignaciones, verás seis reglas en la lista. En la columna Origen, 4 de estas reglas muestran las direcciones 127.0.0.0/8 y ::1/128. Ignóralas y haz clic en Editar (el icono del lápiz en la columna Acciones) en las otras dos reglas.

Para ambas reglas, cambia la Interfaz a la interfaz de Proton VPN que creaste en el paso 4. Haz clic en Guardar y en Aplicar cambios.

Nota: esto también crea automáticamente una puerta de enlace con el mismo nombre que la interfaz.

Los ajustes de Mappings ahora deberían verse así:

Ve a Cortafuegos → Reglas → LAN. Haz clic en el icono ✓ junto a Default allow LAN IPv6 to any rule para desactivarlo.

Ve a Default allow LAN to any rule → Editar (icono de lápiz).

Haz clic en Mostrar avanzado → Puerta de enlace y selecciona la puerta de enlace que creamos en el paso 5. Haz clic en Guardar y Aplicar cambios.

Ahora ve a Estado → OpenVPN y haz clic en el icono de Servicio → Reiniciar para reiniciar el cliente OpenVPN con los nuevos ajustes.

Configura los ajustes de DNS
Todo el tráfico de internet que pasa a través del cortafuegos de pfSense se enrutará ahora a través de un servidor de Proton VPN. Sin embargo, las solicitudes de DNS no. Para solucionarlo, debes cambiar los ajustes de DNS en pfSense.
Ve a Sistema → Configuración general → Servidores DNS → Servidores DNS e ingresa los siguientes ajustes:
- Servidores DNS → Dirección: 10.2.0.1
- Servidores DNS → Puerta de enlace: selecciona la interfaz VPN que creaste en el paso 4
- Anular servidor DNS: marcar
- Comportamiento de resolución DNS: Usar servidores DNS remotos, ignorar DNS local

Ahora ve a Servicios → Resolutor DNS → Interfaces de red de salida e introduce los siguientes ajustes:
- Interfaces de red de salida: selecciona la interfaz VPN que creaste en el paso 4
- Reenvío de consultas DNS: marcar
Si has activado nuestra función NetShield Ad-Blocker añadiendo los sufijos +f1 o +f2 a tu nombre de usuario de OpenVPN (ver paso 3), debes desactivar el soporte DNSSEC.

Haz clic en Guardar y Aplicar cambios.
Tu configuración ya está completa. Todo el tráfico de tu red debería enrutarse ahora de forma segura a través del servidor de Proton VPN que hayas elegido. Puedes probarlo visitando nuestro escáner de IP seguro y gratuito desde cualquier dispositivo de tu red.
Ajustes opcionales
Puedes excluir algunos ordenadores de tu red del uso de la interfaz VPN. Por ejemplo, es posible que prefieras que tu videoconsola acceda a internet sin estar conectada a una VPN. Para hacerlo:
1. Ve a Cortafuegos → Reglas → LAN → Añadir.

2. Configura los ajustes de la siguiente manera:
- Acción: Pass
- Desactivado: desmarcado
- Interfaz: LAN
- Familia de direcciones: IPv4
- Protocolo: Cualquiera
- Origen: Single Host or Alias y añade la IP del dispositivo que quieras excluir
- Destino: Cualquiera
- Registro: Sin cambios
- Descripción: Añade una descripción

3. Haz clic en Mostrar avanzado y cambia Puerta de enlace a WAN.

4. Haz clic en Guardar y Aplicar cambios.

5. Ve a Cortafuegos → NAT → Saliente y cambia el Modo a Automático, luego haz clic en Guardar y Aplicar cambio. Después, vuelve a cambiar el Modo a Manual, y haz clic en Guardar y Aplicar cambio.

Esto crea dos nuevas reglas que permiten al dispositivo seleccionado acceder a la red WAN local.

El dispositivo ahora está excluido de la interfaz VPN y accederá a internet utilizando la dirección IP asignada por tu ISP. Sin embargo, utilizará el servidor DNS de Proton VPN.