Fexyn
Fexyn
All posts

Configuración de VPN en router

Fexyn Team··8 min read

Poner VPN en tu router en lugar de en dispositivos individuales significa que cada dispositivo en tu red hogareña recibe cobertura VPN automáticamente. Smart TVs, dispositivos IoT, consolas de juego, dispositivos de chicos, dispositivos de invitados. La configuración es más involucrada que instalar una app; la cobertura es comprensiva.

Esta guía cubre los caminos prácticos y los trade-offs.

Por qué VPN a nivel de router

Los casos donde tiene sentido:

Dispositivos sin soporte de cliente VPN. Smart TVs (la mayoría), dispositivos de streaming más viejos, consolas de juego (ninguna soporta apps VPN nativamente), hubs de hogar inteligente, IoT en general. La VPN a nivel de router cubre todo esto.

Privacidad de todo el hogar como política. Todos tus dispositivos hogareños reciben encriptación VPN sin configuración por dispositivo o disciplina por dispositivo. Configurá una vez; siempre funciona.

Uso familiar. Los dispositivos que los miembros de la familia usan sin entender de apps VPN igual reciben cobertura.

Privacidad para visitantes. Los invitados en tu Wi-Fi hogareño heredan el túnel VPN.

Los casos donde no tiene sentido:

Selección de salida-región por dispositivo. La VPN del router tiene una salida a la vez para todos los dispositivos. Si querés Netflix EE. UU. en el Fire TV pero iPlayer UK en la laptop, se necesitan apps VPN por dispositivo.

Dispositivos críticos en rendimiento. La CPU del router limita el throughput. Un router económico haciendo VPN puede producir 30-100 Mbps; las conexiones hogareñas clase gigabit ven pérdida significativa de throughput.

Algunas configuraciones de hogar inteligente. Los dispositivos que necesitan descubrimiento en la misma LAN (Chromecast, receptores AirPlay, algunos IoT) se pueden romper bajo ruteo VPN.

Dispositivos móviles que dejan el hogar. La VPN por dispositivo va con ellos; la VPN del router no.

Para usuarios queriendo todo-el-hogar + por-dispositivo, la respuesta es "VPN del router para todo-el-hogar + override por dispositivo cuando se necesite" en lugar de elegir un enfoque.

Opciones de router

El paisaje de routers, en 2026:

Firmware ASUS Merlin. Routers ASUS (serie RT-AX) flasheados con firmware Merlin soportan WireGuard nativamente. Configuración vía UI web; rendimiento razonable en routers de gama media. La comunidad Merlin es activa; la documentación es buena.

Firmware ASUS stock. Algunos routers ASUS recientes soportan OpenVPN y WireGuard en firmware stock. Menos flexible que Merlin pero más simple de configurar. Verificá el soporte de protocolo de tu modelo específico.

Routers GL.iNet. Diseñados específicamente para uso VPN. Pre-flasheados con OpenWrt + GUI de GL.iNet. Soporta múltiples túneles WireGuard; cambiar países de salida vía UI. Modelos desde $40 (Mango) hasta $300+ (empresarial). Buena elección para usuarios que quieren configuración de bajo esfuerzo.

OpenWrt. Firmware de router de código abierto; soporta muchos routers. Máxima flexibilidad; curva de aprendizaje más empinada. WireGuard vía opkg. Documentación extensiva pero asume familiaridad con Linux.

DD-WRT. Firmware custom más viejo; soporta muchos routers. El soporte WireGuard existe pero menos maduro que el de OpenWrt.

pfSense / OPNsense. Plataformas de router basadas en PC. Stack de networking completo; CPU sustancial disponible; throughput VPN multi-gigabit posible. Requiere hardware dedicado.

Firmware de router stock (TP-Link, Netgear, etc.), normalmente limitado. Algunos modelos específicos soportan OpenVPN; pocos soportan WireGuard. El firmware stock es el peor camino para VPN; considerá firmware custom en modelos soportados.

Para la mayoría de los usuarios, el camino de menor resistencia: ASUS Merlin o una caja GL.iNet. Ambos funcionan, ambos están documentados, ambos rinden razonablemente.

WireGuard vs OpenVPN en routers

WireGuard: menor overhead; mejor throughput en la misma CPU de router. Los routers modernos (post-2020 consumidor de gama alta) soportan WireGuard bien. Los routers más viejos pueden no tener soporte WireGuard; OpenVPN es el fallback.

OpenVPN: mayor overhead de CPU; menor throughput en el mismo hardware. Disponible en más plataformas de router porque ha estado por más tiempo.

Ejemplos de throughput en un ASUS RT-AX86U típico:

  • Conexión directa: ~900 Mbps
  • WireGuard vía router: ~450-600 Mbps
  • OpenVPN vía router: ~150-300 Mbps

Routers de gama más alta (RT-AX88U, RT-AX89X) entregan mejor; routers económicos (RT-AC68U) sufren con OpenVPN arriba de ~100 Mbps.

Patrón de configuración con Fexyn

Para ASUS Merlin (WireGuard):

  1. Registrate en fexyn.com/pricing
  2. Generá config WireGuard en el dashboard de Fexyn (proveemos archivos de configuración WireGuard para routers; el formato .conf estándar funciona en Merlin)
  3. UI web de ASUS Merlin → VPN → WireGuard Server/Client → Add Client
  4. Pegá la configuración; guardá; activá
  5. Reglas de firewall para enrutar la red hogareña a través de VPN (manejado mayormente por el ruteo de políticas de Merlin)

Para OpenWrt (WireGuard):

  1. Instalá los paquetes wireguard-tools y luci-proto-wireguard
  2. Configurá la interfaz WireGuard en /etc/config/network con nuestras claves y endpoints provistos
  3. Configurá firewall en /etc/config/firewall para marcar la interfaz VPN como zona saliente
  4. Recargá la red; WireGuard arriba

Para GL.iNet:

  1. GUI GL.iNet → VPN Client → WireGuard Client
  2. Subí config Fexyn o pegá manualmente
  3. Activá

Los archivos de configuración específicos varían por router; los proveemos a través del dashboard de Fexyn para usuarios que solicitan configs de router.

Ruteo selectivo

Para usuarios que quieren algunos dispositivos enrutados por VPN y otros directos, el router puede hacer ruteo de políticas por dispositivo:

ASUS Merlin "VPN Director": seleccionar clientes específicos (por MAC, IP o nombre) para enrutar a través de VPN; el resto va directo. Útil para "Fire TV a través de VPN-EE.UU., otros dispositivos directos".

OpenWrt: ruteo de políticas más flexible vía marca de firewall + ip rule. Curva de aprendizaje más empinada.

GL.iNet: ruteo selectivo basado en GUI en la mayoría de los modelos.

Este patrón te deja mantener uso sensible a latencia (gaming, videollamadas) en conexión directa y enrutar uso sensible a privacidad (smart TV, IoT, navegación) a través de VPN.

Lo que la VPN de router no resuelve

Vale ser explícito:

  • Selección de salida-región por dispositivo al mismo tiempo. Todos los dispositivos enrutados por VPN comparten la salida. La selección por dispositivo requiere clientes por dispositivo.
  • Overhead. Todo el tráfico hogareño ahora va a través de la VPN del router. La CPU y el ancho de banda están limitados por la capacidad del router.
  • Dispositivos móviles fuera de la red. El teléfono deja el Wi-Fi hogareño; el teléfono ya no está cubierto. Necesita cliente VPN por dispositivo para uso fuera de red.
  • Fugas DNS si está mal configurado. El router necesita forzar DNS a través de VPN; los routers por defecto pueden fugar DNS al ISP. Detalle de configuración; verificá.

Lo que Fexyn soporta para routers

Hoy (mayo 2026):

  • Archivos de configuración WireGuard para routers (provistos a través del dashboard a pedido)
  • Configuración OpenVPN para routers (similar)
  • Documentación para ASUS Merlin, OpenWrt, GL.iNet

Lo que todavía no enviamos:

  • Una app de router Fexyn nativa (en desarrollo; todavía no lanzada)
  • Configuración de un clic para routers de firmware stock (las configuraciones que proveemos requieren importación manual)

Para usuarios con comodidad técnica, la configuración manual es directa. Para usuarios que quieren configuración totalmente conducida por GUI, los routers GL.iNet con nuestros archivos de configuración WireGuard provistos son el camino más fácil.

Preguntas frecuentes

¿Mi router funcionará para VPN?

Routers ASUS modernos (post-2020) y routers GL.iNet, sí. Stock TP-Link, Netgear, Linksys, normalmente no para WireGuard, a veces sí para OpenVPN. Verificá tu modelo específico.

¿Conseguiré buenas velocidades?

Depende de la CPU del router. Routers ASUS de gama media (clase RT-AX86U) entregan 400-600 Mbps en WireGuard. Routers económicos (clase RT-AC68U) entregan 100-200 Mbps. Routers de gama más alta (RT-AX89X, PC pfSense) pueden sostener gigabit.

¿Puedo correr VPN en un router Y en mis dispositivos?

Técnicamente sí (doble túnel). Prácticamente no útil — la misma encriptación aplicada dos veces suma overhead sin beneficio de privacidad. Elegí una capa.

¿Y el kill switch en VPN de router?

Kill switch a nivel de router: cuando la VPN cae, el router bloquea todo el tráfico WAN. La mayoría de los routers VPN-capaces lo soportan. Configurá en firmware; verificá que funciona desconectando intencionalmente la VPN y chequeando que no fugue tráfico.

¿Puedo usar Fexyn en mi router hoy?

Sí vía importación manual de config WireGuard u OpenVPN. App de router nativa todavía no enviada.

Probá Fexyn gratis 7 días. Solicitá archivos de configuración de router a través del dashboard. VPN para Fire TV Stick y VPN para smart TV / IoT cubren los casos de uso específicos por dispositivo que motivan el despliegue a nivel de router.

Última revisión 2026-05-09.

Configuración de VPN en router | Fexyn VPN