¿Cómo configuro el redireccionamiento de puertos?

Entra en la página de administración de tu router (normalmente 192.168.1.1 o 192.168.0.1), busca la sección Redireccionamiento de puertos (a veces «Servidor virtual» o «NAT»), y añade una regla: el puerto externo, el protocolo (TCP y/o UDP — WireGuard usa UDP), y la IP y el puerto internos del dispositivo destino. Dale primero a ese dispositivo una IP local fija/reservada, para que la regla no se rompa cuando su dirección cambie. Guarda, y luego comprueba desde una red externa (datos móviles) que el puerto es accesible.

¿Es seguro el redireccionamiento de puertos?

Es seguro si solo rediriges lo necesario y aseguras el servicio detrás. Cada puerto redirigido es una puerta abierta a un servicio concreto, así que el riesgo es exponer algo débil — una app sin parchear, una contraseña por defecto, un panel de administración. Redirige el mínimo, mantén ese servicio actualizado y autenticado, y prefiere un VPN bien configurado (como WireGuard) como único punto de entrada redirigido en vez de exponer varios servicios directamente. Nunca redirijas un puerto a un servicio que no hayas endurecido.

¿Por qué no funciona mi redireccionamiento de puertos?

Causas comunes: la IP local del dispositivo cambió (usa una IP fija/reservada); el protocolo equivocado (WireGuard necesita UDP, no TCP); un cortafuegos en el propio dispositivo bloqueando el puerto; probar desde tu propia red (muchos routers no hacen loopback — prueba con datos móviles); o, lo más frecuente, tu proveedor usa CGNAT, así que no tienes una IP pública real y el redireccionamiento entrante es imposible. Comprueba si tu IP pública coincide con la que muestra tu router; si no, estás tras CGNAT.

¿Qué alternativa hay al redireccionamiento de puertos si tengo CGNAT?

Si tu proveedor te pone tras CGNAT, ninguna regla de redireccionamiento del router puede funcionar porque no tienes una IP pública real. Opciones: pedir a tu proveedor una IP pública/fija (a veces disponible, a menudo de pago); usar una red overlay como Tailscale o NetBird que conecta dispositivos sin puertos entrantes; o ejecutar tu servicio en un VPS barato con IP pública permanente y conectar tu casa a él. La vía VPS es la más fiable para un VPN del que dependes.

El redireccionamiento de puertos explicado: llegar a un servidor tras tu router (2026)

Q: ¿Qué es el redireccionamiento de puertos?

El redireccionamiento de puertos es un ajuste del router que envía el tráfico de internet entrante que llega a un puerto concreto a un dispositivo y puerto elegidos dentro de tu red doméstica. Por defecto tu router bloquea las conexiones entrantes no solicitadas (mediante NAT), así que nada del exterior puede llegar a un servicio que corre en casa. Una regla de redireccionamiento crea una puerta deliberada: el tráfico al puerto 51820, por ejemplo, se enruta a la IP local de tu servidor WireGuard. Así se hace accesible desde internet un VPN auto-alojado, un servidor de juegos o un NAS.

Montas un servidor WireGuard, un servidor de juegos o un NAS en casa — y desde fuera, nada conecta. La pieza que falta es casi siempre el redireccionamiento de puertos: el ajuste del router que abre una puerta deliberada a un servicio de tu red. Esta guía explica qué es el redireccionamiento de puertos, cómo configurarlo, los riesgos de seguridad a respetar, y el muro del CGNAT que lo detiene — con la alternativa cuando ocurre.

Qué es el redireccionamiento de puertos

Por defecto, tu router usa NAT para compartir una sola IP pública entre todos tus dispositivos, y bloquea las conexiones entrantes no solicitadas — así que nada en internet puede llegar a un servicio que corre en casa. Bueno para la seguridad, pero tu servidor auto-alojado queda inaccesible.

El redireccionamiento de puertos crea una excepción controlada: una regla que dice «el tráfico que llega al puerto externo X va a la IP local y el puerto de este dispositivo». Envía el puerto UDP de WireGuard al 192.168.1.50 de tu servidor, y de repente tu túnel es accesible desde cualquier lugar.

Un portátil abierto mostrando código sobre un escritorio

Cómo configurarlo

Dale al dispositivo una IP local fija (resérvala en el DHCP del router) para que la regla no se rompa luego.
Abre la página de administración del router (normalmente 192.168.1.1), busca Redireccionamiento de puertos (alias «Servidor virtual» o «NAT»).
Añade una regla: puerto externo, protocolo (WireGuard = UDP), e IP y puerto internos del dispositivo.
Guarda y prueba desde fuera — con datos móviles, no tu propio Wi-Fi (muchos routers no hacen loopback).

Para el servidor WireGuard en sí, mira auto-alojar un VPN en Contabo con WireGuard, y combina el redireccionamiento de puertos con el DNS dinámico para que una IP doméstica cambiante no rompa el acceso.

El lado de la seguridad

Cada puerto redirigido es una puerta abierta a un servicio — así que el riesgo es exponer algo débil:

Redirige el mínimo — idealmente un único punto de entrada bien asegurado.
Mantén ese servicio actualizado y autenticado (sin contraseñas por defecto, sin paneles de administración expuestos).
Prefiere un VPN bien configurado (WireGuard) como único puerto redirigido, y luego llega a todo lo demás a través del túnel, en vez de redirigir varios servicios directamente.

Nunca redirijas un puerto a un servicio que no hayas endurecido.

Un editor de código — un puerto redirigido enruta el tráfico exterior a un servicio concreto, como un servidor WireGuard en tu LAN.

El muro del CGNAT — y la solución

La razón más frecuente por la que el redireccionamiento «no funciona» no es una regla mal configurada — es el CGNAT. Muchos proveedores (sobre todo móvil y algunas fibras) te ponen tras Carrier-Grade NAT, donde compartes una IP pública con otros clientes y no tienes ninguna IP pública propia real. Ninguna regla del router puede redirigir un puerto que no controlas.

Comprueba: si la IP WAN que informa tu router no coincide con la que muestra un sitio «cuál es mi IP», estás tras CGNAT. Las soluciones: pedir una IP pública a tu proveedor, usar una red overlay (Tailscale/NetBird) sin puerto entrante, o ejecutar tu servicio en un VPS barato con IP pública permanente. Un VPS Contabo a 4,99 €/mes te da una IP pública real y un punto de entrada WireGuard limpio, sin quebraderos de redireccionamiento ni CGNAT — compara hosts en nuestra guía de la mejor VPN auto-alojada.

En resumen

El redireccionamiento de puertos abre una puerta deliberada a través del NAT de tu router para que internet llegue a un servicio en casa — esencial para un servidor WireGuard auto-alojado, y mejor combinado con una IP local fija y DNS dinámico. Redirige solo lo que has asegurado, prefiere un único punto de entrada VPN, y si el CGNAT te bloquea, un VPS barato con IP pública permanente es la solución limpia.

Guía editorial basada en cómo funcionan el NAT, el redireccionamiento de puertos y el CGNAT en redes domésticas. Los resultados dependen de tu proveedor y router. Los enlaces comerciales llevan el atributo rel="sponsored nofollow"; puede aplicarse una comisión de afiliación sin coste extra para ti.

★ Datacenter Núremberg GDPR · ✓ IPv4 dedicada incluida · 200+ Mbps garantizados

Aloja tu VPN en tu propio VPS → ContaboAcceso root completo · IPv4 pública · elige tu región→

El redireccionamiento de puertos explicado: llegar a un servidor tras tu router (2026)

Qué es el redireccionamiento de puertos

Cómo configurarlo

El lado de la seguridad

El muro del CGNAT — y la solución

En resumen

Para profundizar

¿Qué puerto usa WireGuard? Puerto por defecto, cambiarlo y abrirlo (2026)

WireGuard en iPhone y iPad: configuración iOS completa (2026)

WireGuard en Android: guía de configuración completa (2026)