Glosario VPN autoalojado: 34 términos explicados (WireGuard, Headscale, DERP, NAT traversal…)

Al adentrarse en la VPN autoalojada, rápidamente se encuentran términos que las guías usan sin definir: AllowedIPs, DERP, NAT traversal, MTU, PersistentKeepalive, ofuscación DPI… Este glosario reúne las 34 definiciones esenciales, organizadas por tema, redactadas para entenderse en 30 segundos y directamente citables.

Complementa las guías técnicas del sitio: para configuraciones concretas, consulta la comparativa WireGuard vs OpenVPN, la comparativa Tailscale vs Headscale y la guía de kill switch Linux.

Índice

• Protocolos y VPN Core
• Red Mesh y Plano de Control
• NAT, Relés y Conectividad
• Cifrado y Criptografía
• Enrutamiento y Configuración
• Ofuscación y Evasión DPI
• Fugas y Seguridad Operacional
• Funcionalidades Clave

Protocolos y VPN Core

WireGuard

WireGuard es un protocolo VPN moderno implementado en el núcleo Linux (kernel-space). Con menos de 4.000 líneas de código fuente (frente a 400.000 para OpenVPN), minimiza la superficie de ataque y ofrece un rendimiento cercano al ancho de banda bruto del enlace. Usa ChaCha20-Poly1305 para cifrado, Curve25519 para intercambio de claves y BLAKE2s para autenticación de mensajes. Estándar recomendado para autoalojamiento en 2026.

OpenVPN

OpenVPN es el protocolo VPN de referencia de código abierto desde 2001. A diferencia de WireGuard, se ejecuta en espacio de usuario (userspace), lo que lo hace más portable pero más lento. Soporta TCP y UDP, configura fácilmente el puerto 443 en TCP para eludir firewalls DPI, y acepta diversas suites criptográficas (AES-256-GCM por defecto). Sigue siendo relevante para entornos que bloquean UDP o requieren auditoría de cumplimiento.

IPsec / IKEv2

IPsec es un conjunto de protocolos de cifrado de red que opera al nivel IP (capa 3). IKEv2 es el protocolo de intercambio de claves usado con IPsec — nativo en iOS y macOS, muy estable durante cambios de red (Wi-Fi ↔ 4G/5G). Menos eficiente que WireGuard en rendimiento bruto, pero integrado de forma nativa en los sistemas operativos móviles de Apple sin dependencias de aplicaciones. Comúnmente usado en configuraciones de VPN empresarial en routers.

Túnel VPN (túnel completo vs túnel dividido)

Un túnel VPN es un canal cifrado entre dos puntos. En modo túnel completo (AllowedIPs 0.0.0.0/0), todo el tráfico IP transita por la VPN — incluido el tráfico de Internet. En modo túnel dividido (AllowedIPs restringido), solo una parte del tráfico pasa por el túnel, el resto saliendo directamente. El túnel dividido reduce la carga en el servidor VPN y mejora la latencia de las conexiones locales.

Red Mesh y Plano de Control

Red Mesh (Red Mallada)

Una red mesh es una topología de red donde cada nodo puede comunicarse directamente con todos los demás, sin un nodo central obligatorio. En el contexto VPN, esto significa que cada dispositivo conectado a la malla puede alcanzar a los demás directamente — a diferencia de una topología hub-and-spoke donde todo pasa por un servidor central. Tailscale y Headscale crean automáticamente una malla WireGuard entre todos los dispositivos registrados.

Tailscale

Tailscale es una VPN mesh basada en WireGuard, gestionada como SaaS. Automatiza el intercambio de claves, el NAT traversal, las ACLs y el DNS a través de su plano de control alojado en Estados Unidos. Gratuito para hasta 100 dispositivos en uso personal. El plano de datos (tráfico entre dispositivos) está cifrado de extremo a extremo con WireGuard — Tailscale Inc. no puede ver el contenido. El plano de control (que orquesta las conexiones) permanece bajo su control.

Headscale

Headscale es una implementación de código abierto del plano de control de Tailscale, autoalojable en cualquier VPS Linux. Es compatible con los clientes oficiales de Tailscale en todos los sistemas operativos. Ofrece la misma UX (MagicDNS, ACLs, exit nodes) pero sin dependencia de los servidores de Tailscale Inc. El plano de control corre en tu propio VPS — consulta la guía Headscale para el despliegue completo.

Plano de Control vs Plano de Datos

El plano de control es el cerebro de la VPN: orquesta el registro de dispositivos, el intercambio de claves públicas, las ACLs y la distribución de configuraciones. En Tailscale, es el servicio SaaS de Tailscale Inc.; en Headscale, es tu propio VPS. El plano de datos es el flujo real de datos cifrados entre dispositivos — usa WireGuard directamente, independientemente del plano de control. Aunque el plano de control sea comprometido, el tráfico del plano de datos permanece cifrado.

MagicDNS

MagicDNS es la funcionalidad DNS automática de Tailscale y Headscale que asigna un nombre de dominio estable a cada dispositivo en la malla (maquina.tailnet.ts.net). Sin MagicDNS, habría que recordar la dirección IP estática de cada dispositivo (ej. 100.64.0.x). MagicDNS elimina la necesidad de mantener un archivo /etc/hosts o un servidor DNS interno y simplifica los scripts de automatización.

Exit Node (Nodo de Salida)

Un exit node es un dispositivo de la malla Tailscale (o Headscale) configurado para enrutar todo el tráfico de Internet de los demás dispositivos — como una VPN tradicional. Cuando activas el exit node en un dispositivo, todo tu tráfico saliente transita por él antes de llegar a Internet. Útil para dar una IP fija a una máquina remota o cifrar el tráfico desde una Wi-Fi pública, usando un VPS como exit node.

NAT, Relés y Conectividad

NAT (Network Address Translation)

El NAT es el mecanismo por el cual un router traduce direcciones IP privadas (192.168.x.x, 10.x.x.x) a una dirección pública para el tráfico saliente, e invierte el proceso para el entrante. Casi todas las conexiones residenciales y móviles están detrás de un NAT, lo que hace imposibles las conexiones entrantes directas sin configuración manual (port forwarding). Este es el problema central que el NAT traversal busca resolver.

NAT Traversal (Hole Punching)

El NAT traversal es el conjunto de técnicas que permiten a dos máquinas detrás de NATs separados alcanzarse directamente por UDP, sin port forwarding. La técnica principal (hole punching) consiste en que ambos pares envíen simultáneamente paquetes UDP uno al otro — ambos NATs abren entonces una entrada en su tabla de conexiones, permitiendo el tráfico bidireccional. Tailscale usa STUN/ICE para orquestar este proceso.

DERP (Designated Encrypted Relay for Packets)

DERP es la red de relés TCP de Tailscale que se activa cuando el NAT traversal directo falla (NAT simétrico, puerto UDP bloqueado). El tráfico transita por un servidor DERP pero permanece cifrado de extremo a extremo con WireGuard — el servidor solo ve paquetes cifrados. DERP es más lento que una conexión directa pero garantiza la conectividad en todos los contextos de red. Headscale puede usar los servidores DERP de Tailscale o desplegar los suyos.

Port Forwarding (Reenvío de Puerto)

El port forwarding consiste en configurar un router o firewall para reenviar las conexiones entrantes en un puerto específico a una máquina interna. Para una VPN WireGuard autoalojada en un VPS, esto generalmente es innecesario (el VPS tiene una IP pública directa). Sin embargo, para un servidor WireGuard en casa (detrás de un NAT del ISP), el port forwarding UDP en el puerto WireGuard (51820 por defecto) es necesario.

Endpoint

En WireGuard, un endpoint es la dirección IP pública y el puerto UDP de un par: 203.0.113.42:51820. WireGuard memoriza el último endpoint conocido de cada par y actualiza automáticamente esta información si la IP cambia (red móvil, IP dinámica). El endpoint no es fijo en el lado del cliente (puede ser 0.0.0.0:0 si el cliente no tiene IP fija), pero el servidor debe tener un endpoint estable o un nombre de dominio.

Handshake

El handshake de WireGuard es el intercambio criptográfico inicial que establece una sesión cifrada entre dos pares. Usa Curve25519 (intercambio de claves Diffie-Hellman) y tarda menos de un milisegundo. WireGuard renueva automáticamente el handshake cada 3 minutos para garantizar el perfect forward secrecy — cada sesión tiene su propia clave efímera. Si no se intercambia tráfico durante 3 minutos, se desencadena un nuevo handshake antes del siguiente paquete.

PersistentKeepalive

PersistentKeepalive es un parámetro de WireGuard que envía un paquete UDP vacío a intervalos regulares (en segundos) para mantener abierta la entrada NAT entre el cliente y el servidor. Valor recomendado: 25 segundos (inferior al timeout NAT estándar de 30 segundos). Sin keepalive, un cliente detrás de un NAT pierde su sesión tras unos minutos de inactividad y debe reiniciar un handshake. Esencial para clientes móviles.

Cifrado y Criptografía

Curve25519

Curve25519 es la curva elíptica usada por WireGuard para el intercambio de claves Diffie-Hellman (ECDH). Ofrece un nivel de seguridad equivalente a RSA-3072 con claves de solo 32 bytes, lo que acelera el handshake y reduce el consumo de memoria. Diseñada para resistir ataques de temporización. Cada par WireGuard genera un par de claves Curve25519: clave privada (32 bytes, secreta) y clave pública (32 bytes, compartida con los pares).

ChaCha20-Poly1305

ChaCha20-Poly1305 es la suite AEAD (Cifrado Autenticado con Datos Asociados) usada por WireGuard para cifrar y autenticar paquetes. ChaCha20 es el cifrado de flujo; Poly1305 es el MAC que garantiza la integridad. Esta suite es particularmente rápida en procesadores sin aceleración AES-NI (ARM de Raspberry Pi, MIPS de routers) y resiste estructuralmente los ataques de temporización.

BLAKE2s

BLAKE2s es la función hash criptográfica usada por WireGuard para la autenticación de mensajes y derivación de claves de sesión. Variante de BLAKE2 optimizada para procesadores de 32 bits e integrados. Más rápida que SHA-256 en estas arquitecturas manteniendo propiedades de seguridad equivalentes. Usada en el protocolo de handshake de WireGuard para mezclar claves efímeras y datos de sesión.

Perfect Forward Secrecy (PFS)

El perfect forward secrecy garantiza que comprometer una clave de sesión no permita descifrar sesiones pasadas o futuras. WireGuard lo implementa de forma nativa: en cada handshake (cada 3 minutos), se generan nuevas claves efímeras Curve25519 y se destruyen tras su uso. Aunque un atacante grabe tráfico cifrado y luego comprometa la clave privada estática de un par, no puede recuperar las sesiones anteriores.

Clave Pública / Privada de WireGuard

WireGuard usa criptografía asimétrica para la autenticación. La clave privada (32 bytes, formato base64) nunca sale del dispositivo y firma los handshakes. La clave pública se deriva de la clave privada y se comparte con los pares — es el identificador de un par en WireGuard. Cada par en una config WireGuard se identifica por su clave pública en la sección [Peer]. El comando wg genkey | tee private.key | wg pubkey > public.key genera un par de claves.

Enrutamiento y Configuración

AllowedIPs

AllowedIPs es el parámetro de configuración más importante de WireGuard en el lado del par. Define simultáneamente las rutas enviadas al túnel (cualquier paquete destinado a estos rangos pasa por este par) y la lista blanca de IPs de origen aceptadas desde este par. 0.0.0.0/0, ::/0 = túnel completo (todo el tráfico). 10.0.0.0/24 = solo esa subred. Los AllowedIPs de un par en el servidor definen qué IP interna se asigna a ese cliente.

MTU (Maximum Transmission Unit)

El MTU es el tamaño máximo de un paquete de red en bytes. Para WireGuard sobre Ethernet (MTU 1500), el MTU del túnel debe reducirse en 60 bytes por el overhead WireGuard/UDP/IP: recomendación estándar de 1420 bytes. Un MTU mal configurado causa fragmentación silenciosa o conexiones que "cuelgan" en ciertos sitios (especialmente TLS). Configurar en la sección [Interface] de la config WireGuard. Probar con ping -M do -s 1400 8.8.8.8.

Fuga de DNS (DNS Leak)

Una fuga de DNS ocurre cuando las consultas DNS (resolución de nombres de dominio) salen fuera del túnel VPN y pasan por el resolver del ISP o del sistema operativo. Resultado: tu ISP ve qué dominios visitas a pesar de la VPN activa. En WireGuard, configurar DNS = 1.1.1.1 en la sección [Interface] fuerza todas las consultas DNS dentro del túnel. Guía completa de prevención: prevención de fugas DNS WireGuard.

PostUp / PostDown

PostUp y PostDown son hooks de configuración de WireGuard que ejecutan comandos de shell al iniciar y detener la interfaz. Se usan para configurar reglas iptables (NAT masquerade, kill switch), activar el reenvío IP (sysctl net.ipv4.ip_forward=1) o lanzar scripts de monitoreo. El comando PostUp se ejecuta tras wg-quick up; PostDown tras wg-quick down. Indispensable para el masquerading y el kill switch con systemd.

wg-quick

wg-quick es la herramienta de configuración de alto nivel incluida con WireGuard que simplifica la gestión de interfaces. Lee archivos .conf de /etc/wireguard/, crea la interfaz de red, configura rutas, DNS y ejecuta los hooks PostUp/PostDown. Comandos principales: wg-quick up wg0, wg-quick down wg0. Crea automáticamente rutas para AllowedIPs y gestiona el enrutamiento por defecto en modo de túnel completo. Diferente de wg (el comando de bajo nivel).

Ofuscación y Evasión DPI

DPI (Deep Packet Inspection)

El DPI es una técnica de análisis de red que examina el contenido de los paquetes (no solo las cabeceras) para identificar protocolos, filtrar tráfico o detectar VPNs. Los firewalls corporativos, los gobiernos (Gran Firewall chino) y algunos ISPs usan DPI para bloquear WireGuard u OpenVPN. WireGuard es detectable por DPI porque tiene una firma UDP distintiva. La ofuscación busca disfrazar este tráfico como HTTPS normal.

Ofuscación

La ofuscación VPN disfraza el tráfico cifrado para que parezca tráfico HTTPS ordinario, dificultando su detección por DPI. Técnicas comunes: wstunnel (tunelizar WireGuard en WebSocket en el puerto 443), Cloak (plugin obfsproxy para OpenVPN), Shadowsocks (proxy SOCKS5 cifrado), V2Ray VMess/VLESS. La ofuscación es necesaria en redes con DPI agresivo (China, Irán, redes corporativas). Guía: anti-DPI bypass 2026.

wstunnel

wstunnel es una herramienta que encapsula tráfico UDP (especialmente WireGuard) en una conexión WebSocket en el puerto 443 (HTTPS). En el lado del cliente, wstunnel escucha en un puerto UDP local y reenvía al servidor wstunnel remoto via WebSocket. En el lado del servidor, wstunnel desencapsula y reenvía al puerto WireGuard local. Resultado: todo parece tráfico HTTPS desde el exterior.

Shadowsocks

Shadowsocks es un protocolo proxy SOCKS5 cifrado diseñado originalmente para eludir el Gran Firewall chino. Cifra el tráfico con AES-256-GCM o ChaCha20-Poly1305 y lo disfraza como tráfico HTTPS. Diferente de una VPN: Shadowsocks es un proxy de aplicación, no un túnel de red completo. Puede combinarse con WireGuard (Shadowsocks como transporte) para una doble capa de ofuscación. Ver Shadowsocks vs VPN.

V2Ray / VMess / VLESS

V2Ray es un framework multi-protocolo de proxy y tunelización. VMess es su protocolo propietario (autenticación, cifrado, camuflaje HTTPS); VLESS es su versión ligera sin cifrado incorporado (delega en TLS). Ambos soportan múltiples transportes (WebSocket, gRPC, HTTP/2) para eludir el DPI. V2Ray es más complejo de configurar que WireGuard o Shadowsocks pero ofrece las mejores capacidades de camuflaje en entornos con DPI avanzado.

Fugas y Seguridad Operacional

Fuga WebRTC (WebRTC Leak)

WebRTC es una API del navegador para comunicación peer-to-peer. Para funcionar, consulta todas las interfaces de red de la máquina — incluyendo la IP real antes del enmascaramiento VPN. Un sitio puede así obtener la IP real via JavaScript a pesar del túnel activo. Solución para autoalojamiento: configurar el cliente WireGuard a nivel de SO (no solo navegador) y activar la protección WebRTC en el navegador (Firefox: media.peerconnection.enabled = false).

Fuga IPv6 (IPv6 Leak)

Si tu VPS o red soporta IPv6 y tu config WireGuard solo tuneliza IPv4, las conexiones IPv6 salen en claro y exponen tu identidad real. Solución: añadir ::/0 a AllowedIPs (túnel IPv6 completo), o deshabilitar IPv6 a nivel de interfaz del SO si tu configuración no lo gestiona. WireGuard soporta IPv6 de forma nativa — basta con incluirlo en la config [Interface] (Address) y [Peer] (AllowedIPs).

Funcionalidades Clave

Kill Switch

El kill switch corta todas las conexiones de red si el túnel VPN cae, impidiendo la exposición de la IP real. En Linux con WireGuard, se implementa mediante reglas iptables/nftables en el hook PostUp: se bloquea todo el tráfico fuera de la interfaz wg0 excepto el tráfico hacia el endpoint WireGuard. Guía completa con systemd e iptables: kill switch VPN Linux.

Split Tunneling (Túnel Dividido)

El split tunneling enruta solo una parte del tráfico por la VPN, el resto saliendo directamente. En WireGuard, se configura via AllowedIPs: listando solo las subredes objetivo (ej. 10.8.0.0/24), el resto del tráfico sale por la interfaz normal. Útil para acceder a recursos de la red VPN (NAS, servicios internos) manteniendo la latencia óptima para el tráfico de Internet.

ACLs (Listas de Control de Acceso)

Las ACLs en Tailscale y Headscale definen qué máquinas pueden comunicarse entre sí en la malla. Configuradas en JSON (formato HuJSON en Tailscale), permiten segmentar el acceso: por ejemplo, permitir que los servidores de producción hablen entre sí pero impedir que las máquinas personales los accedan directamente. Sin ACLs, todos los dispositivos de la malla se ven y pueden comunicarse — conveniente pero no adecuado para uso profesional multi-equipo.

Subnet Router (Enrutador de Subred)

Un subnet router es un dispositivo Tailscale/Headscale configurado para anunciar una subred privada al resto de la malla. Ejemplo: un NAS en 192.168.1.0/24 puede hacerse accesible desde Internet si una máquina de esa red actúa como subnet router y anuncia ese rango. Así, los demás dispositivos de la malla pueden alcanzar todas las máquinas del LAN sin que cada una esté registrada individualmente en Tailscale.

Peer-to-Peer (P2P Directo)

En el contexto de Tailscale/Headscale, P2P se refiere a conexiones directas entre dos dispositivos sin pasar por un servidor intermediario. Tailscale siempre intenta establecer una conexión P2P directa via NAT traversal antes de recurrir a DERP. Una conexión P2P ofrece la latencia mínima (UDP directo entre los dos endpoints). La interfaz tailscale status indica si una conexión es directa (Direct) o retransmitida (Relay).

Lo que Este Glosario No Reemplaza

Estas definiciones proporcionan el vocabulario básico, pero la comprensión real viene de la práctica. Para ir más lejos: la comparativa WireGuard vs OpenVPN detalla las opciones concretas por caso de uso, la guía Tailscale vs Headscale compara los dos enfoques de plano de control, y la guía anti-DPI cubre la ofuscación de la A a la Z.

Publicado el 12 de junio de 2026. Definiciones establecidas a partir de las especificaciones oficiales de WireGuard (Jason A. Donenfeld, whitepapers.wireguard.com), la documentación de Tailscale (tailscale.com/kb), el código fuente de Headscale (github.com/juanfont/headscale) y los RFC IETF relevantes. Actualizado continuamente.