Auto-alojar VPN en Contabo: guía WireGuard completa 2026

Estás harto de pagar 12,99 €/mes a NordVPN después del año promocional. Quieres un túnel cifrado que no compartas con nadie, alojado en una jurisdicción GDPR y cuya configuración controles línea por línea. Buenas noticias: se monta en 20 minutos en un VPS Contabo a 4,99 €/mes, y esta guía te da todos los comandos. Sin marketing, sin abstracciones — solo el script que usamos en producción desde hace 14 meses.

Por qué auto-alojar en lugar de un servicio comercial

Un servicio VPN comercial te vende una promesa: sin logs, IP compartida con miles de usuarios, jurisdicción "no-logs friendly" (Panamá, BVI, Suiza). Sobre el papel es sólido. En la práctica:

• IP compartida = reputación compartida. Cuando 4 000 usuarios de NordVPN salen por la misma IP, heredas sus listas negras. Stripe te pedirá un 3DS adicional. Cloudflare te servirá retos sin fin. Alojas tu propio VPN = tu propia IP limpia.
• No-logs inverificable en tiempo real. Una auditoría PwC valida una política en un instante T. Entre auditorías, las órdenes judiciales (subpoenas estadounidenses, órdenes europeas) pueden forzar logging temporal. En tu VPS, decides tú. Purgas cuando quieres.
• Precios que se duplican al renovar. NordVPN 2 años: 71,76 €. Renovación anual: 156 €/año. En 5 años: ~600 €. Un VPS Contabo S en 5 años: ~300 €. Y puedes alojar otros servicios encima.

El tradeoff honesto: no desbloquearás Netflix US con un VPS dedicado (Netflix bloquea los ASN datacenter). Para streaming, documentamos una solución híbrida en la guía de bypass DPI.

Elegir el VPS Contabo adecuado

Contabo tiene tres gamas relevantes para una VPN personal:

Nuestra elección por defecto: VPS S a 4,99 €/mes. Para el 90 % de usos individuales, sobra. El ancho de banda 200 Mbps está garantizado (probado a iperf3, sustained 195 Mbps).

Datacenter recomendado: Nuremberg (DE) para latencias <30 ms desde Europa continental. Si estás en EE.UU./Canadá, elige US Central (St. Louis).

Setup paso a paso

Paso 1 — Provisionar el VPS

En contabo.com, elige VPS S, Ubuntu 24.04 LTS, contraseña root (crearemos un usuario normal después), datacenter Nuremberg. Pago con tarjeta o PayPal. Activación: email en ~5 minutos con la IP pública y la contraseña root.

Paso 2 — Endurecer el servidor

Primera conexión SSH:

ssh root@TU_IP_PUBLICA
# La contraseña está en el email de Contabo

Crea un usuario no root, añade tu clave SSH, desactiva el login root:

adduser ericg
usermod -aG sudo ericg
mkdir -p /home/ericg/.ssh
# Pega tu clave pública (~/.ssh/id_ed25519.pub en local)
nano /home/ericg/.ssh/authorized_keys
chmod 700 /home/ericg/.ssh
chmod 600 /home/ericg/.ssh/authorized_keys
chown -R ericg:ericg /home/ericg/.ssh

# Desactivar login root + password
sed -i 's/^PermitRootLogin .*/PermitRootLogin no/' /etc/ssh/sshd_config
sed -i 's/^#PasswordAuthentication.*/PasswordAuthentication no/' /etc/ssh/sshd_config
systemctl restart ssh

Sal del shell root y reconecta con ssh ericg@TU_IP. Si funciona, seguimos.

Instala firewall y fail2ban:

sudo apt update && sudo apt upgrade -y
sudo apt install -y ufw fail2ban
sudo ufw default deny incoming
sudo ufw default allow outgoing
sudo ufw allow 22/tcp
sudo ufw allow 51820/udp
sudo ufw --force enable
sudo systemctl enable --now fail2ban

Paso 3 — Instalar y configurar WireGuard

sudo apt install -y wireguard qrencode

# Generación de claves del servidor
cd /etc/wireguard
sudo wg genkey | sudo tee server_private.key | sudo wg pubkey | sudo tee server_public.key
sudo chmod 600 server_private.key
SERVER_PRIV=$(sudo cat server_private.key)

Identifica tu interfaz pública (a menudo ens3 o eth0):

ip route | grep default
# default via X.X.X.X dev ens3 ...

Crea /etc/wireguard/wg0.conf:

sudo nano /etc/wireguard/wg0.conf

Contenido (reemplaza ens3 por tu interfaz si es distinta):

[Interface]
PrivateKey = PEGA_SERVER_PRIV_AQUI
Address = 10.66.66.1/24
ListenPort = 51820
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o ens3 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o ens3 -j MASQUERADE

Activa el forwarding IP:

echo "net.ipv4.ip_forward=1" | sudo tee -a /etc/sysctl.conf
sudo sysctl -p

Arranca WireGuard:

sudo systemctl enable --now wg-quick@wg0
sudo wg show
# Debes ver "interface: wg0" y "listening port: 51820"

Paso 4 — Generar un cliente

Para cada dispositivo:

cd /etc/wireguard
sudo wg genkey | sudo tee macbook_private.key | sudo wg pubkey | sudo tee macbook_public.key
CLIENT_PRIV=$(sudo cat macbook_private.key)
CLIENT_PUB=$(sudo cat macbook_public.key)
SERVER_PUB=$(sudo cat server_public.key)

Crea /tmp/macbook.conf (en el servidor, para generar el QR — luego lo borras):

[Interface]
PrivateKey = PEGA_CLIENT_PRIV
Address = 10.66.66.2/24
DNS = 1.1.1.1, 9.9.9.9

[Peer]
PublicKey = PEGA_SERVER_PUB
Endpoint = TU_IP_PUBLICA:51820
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 25

Añade este peer al servidor:

sudo wg set wg0 peer PEGA_CLIENT_PUB allowed-ips 10.66.66.2/32
# Y persistir:
sudo nano /etc/wireguard/wg0.conf
# Añadir abajo:
# [Peer]
# PublicKey = PEGA_CLIENT_PUB
# AllowedIPs = 10.66.66.2/32

Para iOS/Android: genera el QR

qrencode -t ansiutf8 < /tmp/macbook.conf

Escanea con la app oficial WireGuard. Activa. Listo.

Paso 5 — Verificar que no hay fugas

En tu cliente conectado al túnel:

1. Ve a ipleak.net — la IP debe ser la del VPS Contabo, no la tuya.
2. Ve a browserleaks.com/webrtc — sin IP local expuesta.
3. Ve a dnsleaktest.com — DNS resuelto vía 1.1.1.1 (Cloudflare).

Si aparece una fuga WebRTC: activa el kill switch en WireGuard móvil ("On-Demand"), o bloquea WebRTC en Firefox (about:config → media.peerconnection.enabled → false).

Endurecimiento adicional

Algunos hardenings recomendados en producción:

• Auditoría Lynis: sudo apt install lynis && sudo lynis audit system. Puntuación objetivo: 80+/100.
• SSH en puerto custom: modifica /etc/ssh/sshd_config puerto 2222, actualiza UFW.
• Desactivar IPv6 si no se usa: sudo sysctl -w net.ipv6.conf.all.disable_ipv6=1 (persistir en sysctl.conf).
• Logs mínimos: por defecto journald conserva 4 semanas. Reducir a 7 días vía /etc/systemd/journald.conf si el modelo de amenaza es estricto.
• Backups Contabo: activar los snapshots automáticos en el panel Contabo (1 €/mes, no para los logs sino para restaurar rápidamente tras un error).

Coste mensual: Contabo VPS S vs NordVPN anual

El cálculo honesto a 5 años:

Ahorro: 241 € en 5 años, un 45 %. Y como bonus puedes alojar tu Bitwarden, tu Nextcloud, tu Umami, lo que quieras.

Limitaciones honestas del auto-alojamiento

Para ser completos:

• Streaming Netflix US, BBC iPlayer, etc.: casi nunca funciona. Netflix detecta los ASN datacenter (Contabo ASN 51167) y te sirve el catálogo local. Para streaming, mantén un NordVPN 1 año como complemento.
• Bypass DPI Irán/China: WireGuard en el puerto 51820/udp en claro es detectado por DPI sofisticado. Para esos casos, añade V2Ray o Cloak como ofuscación (ver la guía dedicada).
• Sin chat de soporte: Contabo responde por email en 24-48h. Si quieres chat en vivo, mira Hetzner Cloud (~2× el precio, soporte FR/DE/EN por chat).
• Eres el admin: si el VPS se cae, depuras tú. Lo contrario a un servicio gestionado.

Para profundizar

• Contabo vs Hetzner vs OVH: VPS Europa para self-host VPN 2026
• WireGuard vs OpenVPN en VPS: benchmarks reales 2026
• Routing VPN custom en Contabo: bypass DPI Irán/China 2026
• Fuentes oficiales: Whitepaper WireGuard, Documentación VPS Contabo, Guía de hardening Ubuntu 24.04

Artículo publicado el 2026-06-02. Última verificación del script bootstrap en Ubuntu 24.04 LTS el 2026-06-02. Si el procedimiento falla, abre una issue en nuestro GitHub o escribe a contact@vpnsmith.com.