Glosario
Qué es OpenVPN
Un protocolo VPN maduro y ampliamente soportado que corre sobre TCP/443, útil cuando los protocolos más rápidos están bloqueados.
OpenVPN es un protocolo VPN de 2001. Es el fallback de compatibilidad que corre en casi todos lados: routers, NAS, distribuciones Linux antiguas, redes de hotel que bloquean UDP. Cuando WireGuard y VLESS Reality ambos fallan, OpenVPN sobre TCP/443 usualmente todavía conecta.
Cómo funciona OpenVPN
OpenVPN corre dos canales:
- Canal de control — maneja autenticación e intercambio de claves, envuelto en TLS usando OpenSSL o mbedTLS. El mismo TLS que tu navegador usa para HTTPS.
- Canal de datos — lleva tu tráfico VPN real, cifrado con cualquier cifrado simétrico que se haya negociado en el canal de control.
Un despliegue moderno usa TLS 1.3, certificados ECDSA y AES-256-GCM. Los despliegues más antiguos todavía corren TLS 1.2 y RSA, lo cual está bien criptográficamente pero es más lento.
OpenVPN puede correr sobre UDP (más rápido) o TCP (más compatible). UDP es el predeterminado. TCP es el fallback cuando UDP está bloqueado, lo cual sucede en redes de hotel, redes de hospital, y redes corporativas que filtran UDP saliente agresivamente.
Dónde gana OpenVPN
Alcance. OpenVPN sobre TCP/443 parece una conexión HTTPS a primera vista. Corre en el mismo puerto que el tráfico web. Los firewalls de hotel y los proxies corporativos que bloquean VPNs por puerto no pueden bloquear OpenVPN-sobre-443 sin también bloquear sitios web.
Madurez. OpenVPN ha sido auditado múltiples veces, desplegado en producción por dos décadas, y funciona en esencialmente cada sistema operativo. La edad del protocolo es una fortaleza aquí — cada caso límite raro ha sido encontrado y parchado.
Dónde pierde OpenVPN
Velocidad. OpenVPN es significativamente más lento que WireGuard. El canal de control es más pesado, la ruta de datos involucra más trabajo en userspace, y el fallback TCP agrega bloqueo en cabeza de fila cuando los paquetes se pierden. En una conexión de casa rápida, verás throughput notablemente más bajo que con WireGuard.
Reconocibilidad. A pesar de correr en el puerto 443, los patrones de tráfico de OpenVPN son detectables por DPI. Un censor decidido puede hacer fingerprinting de los handshakes de OpenVPN y bloquearlos. Por eso OpenVPN solo no es suficiente en lugares como Irán o Rusia.
El problema de revocación de certificados — los certs OpenVPN de larga vida son un riesgo de seguridad que es difícil de mitigar sin trabajo significativo de infraestructura.
Despliegues OpenVPN modernos
La gran mejora en años recientes son los certificados de corta vida. En lugar de emitir un cert de cliente de 12 meses que tiene que ser revocado si se compromete, emites un cert de 24 horas desde una PKI de Vault. Si se filtra, la ventana de fuga está acotada.
Fexyn hace esto. Fexyn Secure usa OpenVPN con certificados de 24 horas emitidos por Vault PKI. La configuración también fuerza el DNS por el túnel y usa AES-256-GCM con TLS 1.3.
Lee más sobre OpenVPN en Fexyn o compáralo con las alternativas en la comparación de protocolos.
Prueba Fexyn gratis por 7 días — Secure se usa automáticamente como fallback cuando los protocolos más rápidos están bloqueados.
Términos relacionados
Prueba Fexyn gratis por 7 días
App para Windows disponible ahora en Beta. WireGuard, VLESS Reality y OpenVPN, sin registros de historial de navegación, consultas DNS ni contenido del tráfico.
Ver precios