¿Funciona WireGuard en China sin ofuscación?

No. El GFW identifica el handshake de WireGuard distintamente y descarta el tráfico en segundos. La ofuscación TLS/WS es obligatoria para China continental e Irán.

V2Ray vs Cloak, ¿cuál elegir?

V2Ray + WS + TLS (Trojan-Go) para China = pasa casi siempre, mantenido activamente. Cloak más simple de configurar, OK para Irán/Turquía pero detectado más rápido en China.

¿Es legal usar estas herramientas?

En la UE/EE.UU./España: sí. En China/Irán/Rusia: ilegal localmente, con sanciones variables. Esta guía es educativa — tú eres el único responsable del uso.

Enrutado VPN custom en Contabo: bypass DPI Irán / China 2026

Divulgación de afiliados — Este artículo contiene enlaces de afiliación (Contabo, NordVPN). Si contratas un VPS o una suscripción a través de nuestros enlaces, recibimos una comisión sin coste adicional para ti. No influye en el contenido: documentamos lo que realmente probamos en producción, incluso cuando un producto afiliado no encaja con tu caso.

Has seguido nuestra guía WireGuard self-host en Contabo, todo funciona desde Madrid o Barcelona, y luego te vas dos semanas a Shanghái o Teherán. Sorpresa: el túnel se conecta 3 segundos, después silencio. Sin timeout limpio, sólo paquetes perdidos. Bienvenido al mundo de la Deep Packet Inspection (DPI), donde los firewalls nacionales identifican WireGuard al byte.

Esta guía explica por qué WireGuard sin obfuscación se cae con el GFW (Gran Cortafuegos de China) o SmartFilter (Irán), y da 3 setups probados sobre VPS Contabo para atravesar: V2Ray + WebSocket + TLS, Cloak como frontend y Shadowsocks 2022. Ninguno es mágico — cada uno tiene un coste en latencia, ancho de banda y complejidad — pero uno de los tres casi siempre funciona según el país.

Cómo funciona la Deep Packet Inspection

Un firewall clásico filtra por IP origen/destino y puerto. El DPI va más allá: inspecciona el contenido del paquete, identifica el protocolo independientemente del puerto y aplica reglas. Los tres censores notorios en 2026:

GFW (China continental) — El más sofisticado. Combina signature matching (patrones de handshake), análisis de entropía (un paquete cifrado tiene una entropía específica), active probing (el firewall abre una conexión saliente hacia tu servidor para probar su comportamiento) y machine learning sobre el timing entre paquetes. Referencia académica: Hoang et al., "How Great is the Great Firewall?" (USENIX Security 2021) y los datos en vivo de GFW Report.
SmartFilter (Irán, TCI) — Menos sofisticado que el GFW pero agresivo. Bloquea por firmas conocidas (OpenVPN, WireGuard, IKEv2) y limita los flujos TLS sospechosos hacia IPs no autorizadas. Durante las protestas (sept 2022, nov 2024) pasa a un modo "internet casi cerrado" con whitelist de IPs domésticas.
TSPU (Rusia, Roskomnadzor) — Desplegado desde 2021, en aumento. Bloquea progresivamente Tor, OpenVPN, WireGuard. Más laxo con flujos TLS hacia Cloudflare, pero eso cambia cada mes.

El handshake inicial de WireGuard es distintamente identificable: 148 bytes, estructura fija (mensaje tipo 1), sin padding. Un DPI moderno lo detecta en <50 ms. Por eso WireGuard sin ofuscar funciona en todas partes… excepto donde realmente lo necesitas.

El objetivo de los tres setups siguientes: hacer que el tráfico VPN sea indistinguible de un tráfico HTTPS legítimo hacia un dominio aparentemente residencial. Si el firewall no puede diferenciar tu flujo de una sesión Cloudflare CDN, no puede bloquearlo sin daños colaterales.

Setup 1 — V2Ray + WebSocket + TLS (Trojan-Go) en Contabo

Es nuestro default pick para China. El tráfico parece un visitante navegando un sitio WordPress por HTTPS. El GFW puede detectar WebSocket con análisis temporal de largo plazo, pero la combinación TLS 1.3 + SNI real + reverse proxy (Caddy) lo hace muy difícil de filtrar sin daños colaterales.

Requisitos previos:

Un VPS Contabo VPS S (4,99 €/mes) — datacenter Singapur o Tokio para latencias aceptables hacia China (~50-80 ms vs 250 ms desde Europa). Si aún no tienes VPS, consulta la oferta Contabo VPS S 24 meses.
Un dominio real que controles (ej. cdn.tudominio.com) apuntando a la IP del VPS. Sin dominio = sin TLS = sin bypass.
Cloudflare como proxy DNS (orange cloud), opcional pero recomendado para enmascarar la IP origen.

Instalación (Ubuntu 24.04 LTS, como root):

# 1. Caddy como reverse proxy + cert Let's Encrypt automático
apt update && apt install -y debian-keyring debian-archive-keyring apt-transport-https
curl -1sLf 'https://dl.cloudsmith.io/public/caddy/stable/gpg.key' | gpg --dearmor -o /usr/share/keyrings/caddy-stable-archive-keyring.gpg
curl -1sLf 'https://dl.cloudsmith.io/public/caddy/stable/debian.deb.txt' | tee /etc/apt/sources.list.d/caddy-stable.list
apt update && apt install -y caddy

# 2. V2Ray
bash <(curl -L https://raw.githubusercontent.com/v2fly/fhs-install-v2ray/master/install-release.sh)

Configuración /usr/local/etc/v2ray/config.json:

{
  "inbounds": [{
    "port": 10000,
    "listen": "127.0.0.1",
    "protocol": "vmess",
    "settings": {
      "clients": [{ "id": "UUID-GENERADO-CON-uuidgen", "alterId": 0 }]
    },
    "streamSettings": {
      "network": "ws",
      "wsSettings": { "path": "/cdn-static/v3/assets" }
    }
  }],
  "outbounds": [{ "protocol": "freedom" }]
}

Configuración Caddy /etc/caddy/Caddyfile:

cdn.tudominio.com {
  root * /var/www/html
  file_server
  handle /cdn-static/v3/assets {
    reverse_proxy 127.0.0.1:10000
  }
}

Coloca una página HTML estática real en /var/www/html/index.html (un blog de cocina, un portfolio falso — da igual, debe parecer legítimo cuando el GFW haga probing a tu dominio). Activa:

systemctl enable --now caddy v2ray

En el cliente (V2RayN en Windows, V2Box en iOS, v2rayNG en Android), configura un servidor VMess WS+TLS apuntando a cdn.tudominio.com:443, path /cdn-static/v3/assets, mismo UUID. Prueba: abre el cliente en China, el tráfico debe fluir sin caídas.

Overhead medido desde Pekín vía Contabo Singapur: latencia +15 ms vs WireGuard puro (imposible en China de todos modos), throughput ~85 Mbps (vs 195 sostenidos del WireGuard puro en Europa). Aceptable para navegar, mediocre para streaming HD.

Setup 2 — Cloak (frontend para WireGuard / OpenVPN)

Cloak es un wrapper TLS más simple que V2Ray, que se pone delante de un túnel existente (WireGuard, OpenVPN, Shadowsocks). Para quien ya tiene un setup WireGuard funcionando y sólo quiere añadir una capa de ofuscación: es el camino más rápido.

Ventajas:

Configuración en 15 minutos, sin gestión compleja de dominio/TLS (cert ACME automático integrado).
Funciona bien en Irán y Turquía donde el DPI es menos agresivo que el GFW.
Huella CPU baja: ~5% de un vCPU para 100 Mbps de tráfico.

Desventajas:

El GFW puede detectar Cloak con análisis conductual (patrones temporales específicos). Hemos visto conexiones aguantar 3-7 días y luego ser bloqueadas en China continental.
Menos mantenido activamente que V2Ray (último commit mayor en 2023). No está muerto, pero evolución lenta.

Instalación servidor:

wget https://github.com/cbeuw/Cloak/releases/download/v2.7.0/ck-server-linux-amd64-v2.7.0
chmod +x ck-server-linux-amd64-v2.7.0 && mv $_ /usr/local/bin/ck-server
ck-server -k  # genera keypair

Crea /etc/cloak/ckserver.json:

{
  "ProxyBook": {
    "wireguard": ["udp", "127.0.0.1:51820"]
  },
  "BindAddr": [":443"],
  "BypassUID": ["UID-GENERADO"],
  "RedirAddr": "www.bing.com",
  "PrivateKey": "TU-CLAVE-PRIVADA"
}

RedirAddr es crucial: si el firewall hace probing a tu servidor sin un handshake Cloak válido, es redirigido a www.bing.com (camuflaje). Elige un dominio popular no bloqueado en el país objetivo (evita Google en China).

Arranca:

systemctl enable --now ck-server

En el cliente, la app ck-client (binario disponible Linux/macOS/Win/Android) toma la misma config más la PublicKey correspondiente. El túnel WireGuard se establece luego encima de Cloak — desde la app WireGuard, tu endpoint apunta a 127.0.0.1:puerto-cloak-local en vez de a la IP del VPS.

Setup 3 — Shadowsocks 2022 (chacha20-ietf-poly1305)

Shadowsocks es el ancestro de las herramientas anti-censura (creado por "clowwindy" en China en 2012). La versión 2022 (spec oficial) corrige varias debilidades criptográficas de la v1 y sigue siendo recomendada por usuarios chinos por su ratio simplicidad/rendimiento.

Caso de uso ideal:

Irán, Turquía, EAU — pasa casi siempre.
China continental como backup cuando V2Ray tiene un mal día.
Quieres un setup ligero (binario de 5 MB, config de 10 líneas).

Límites honestos:

Sin plugin TLS (v2ray-plugin), Shadowsocks 2022 sigue siendo detectable por el GFW mediante análisis estadístico de entropía. Lo recomendamos con v2ray-plugin activo.
Si buscas un setup "set and forget" que sobreviva a las actualizaciones del GFW: elige V2Ray.

Instalación:

apt install -y shadowsocks-libev v2ray-plugin

Configuración /etc/shadowsocks-libev/config.json:

{
  "server": "0.0.0.0",
  "server_port": 8443,
  "password": "PASSWORD-FUERTE-32-CHARS",
  "method": "chacha20-ietf-poly1305",
  "plugin": "v2ray-plugin",
  "plugin_opts": "server;tls;host=cdn.tudominio.com;path=/api/v2"
}

systemctl enable --now shadowsocks-libev

En el cliente: Outline (Google Jigsaw) o Shadowrocket (iOS) soportan SS 2022 + v2ray-plugin de forma nativa. Importa la URI ss://... generada y ya estás conectado.

Qué setup para qué país

Tabla basada en pruebas reales (Q4 2025 / Q1 2026) desde cuentas locales y VPS de salto. Las valoraciones cambian rápido — cruza siempre con GFW Report antes de viajar.

País	V2Ray WS+TLS	Cloak	Shadowsocks 2022	Notas
China continental	Excelente	Medio	Medio	V2Ray = por defecto. SS sólo con v2ray-plugin.
Irán	Excelente	Excelente	Bueno	Todos pasan fuera de periodos de blackout.
Rusia	Bueno	Medio	Medio	TSPU bloquea progresivamente, varía los puertos.
Turquía	Excelente	Excelente	Excelente	DPI poco agresivo salvo en elecciones.
EAU	Excelente	Excelente	Bueno	VoIP bloqueada, el túnel pasa.
Arabia Saudí	Bueno	Bueno	Bueno	Menos sofisticado pero con muchos bloqueos temáticos.

Para viajes profesionales a China, siempre planeamos un backup: V2Ray principal + Shadowsocks 2022 secundario en dos VPS distintos (idealmente en datacenters distintos). Si uno cae, el otro aguanta.

Overhead de rendimiento

Mediciones iperf3 + curl, VPS Contabo Singapur, cliente móvil 5G en Pekín (marzo 2026, ~10 sesiones por método):

Método	Latencia añadida	Throughput máx	CPU servidor @ 50 Mbps
WireGuard puro (referencia Europa)	+8 ms	195 Mbps	4%
V2Ray WS + TLS	+18 ms	85 Mbps	22%
Cloak + WireGuard	+12 ms	110 Mbps	14%
Shadowsocks 2022 + v2ray-plugin	+14 ms	95 Mbps	12%

Conclusión pragmática: todos los métodos cuestan entre el 40 y el 55% del throughput máximo vs WireGuard puro. Es normal — cada capa TLS + WS añade overhead, y la doble encapsulación (Cloak) duplica las cabeceras. Para navegación y videollamadas 720p, todos sirven. Para 4K, hará falta un VPS más potente (VPS M o Cloud VPS 10).

Cuándo es más simple un VPN comercial ofuscado

Honestidad editorial: si vas a China dos semanas y no te apetece debuggear Caddy a medianoche desde un hotel, un VPN comercial con servidores ofuscados es más rentable en tiempo. Nuestra referencia en esa categoría: NordVPN con sus obfuscated servers.

A favor:

Apps móviles nativas, kill switch automático, soporte chat 24/7.
Ofuscación activable en 2 clics (ajustes avanzados → obfuscated servers).
Funciona en el 80% de los casos en China. Cuando se rompe, actualizan sus servidores en días.

En contra:

Compartes IP con otros usuarios (malo para Stripe/Cloudflare fuera de China).
Precio que se duplica al renovar (ver nuestro análisis de coste a 5 años).
En Irán durante un blackout, hasta NordVPN cae — sólo un setup self-host con rotación de IPs aguanta.

La combinación NordVPN para viajes puntuales + Contabo self-host para la vida diaria es el mejor compromiso para la mayoría de nómadas digitales que se mueven por Asia o Oriente Medio.

Para profundizar

Fuentes académicas y técnicas:

Hoang, Niaki, Dalek, Cable, Gill, Polychronakis, "How Great is the Great Firewall? Measuring China's DNS Censorship", USENIX Security 2021
Especificación Shadowsocks 2022 (SIP022)
Documentación oficial V2Fly
GFW Report — datos de bloqueo en vivo
Repositorio Cloak en GitHub

Artículo publicado el 2026-06-02, basado en pruebas en condiciones reales en el Q1 2026. Las técnicas anti-DPI evolucionan constantemente: lo que funciona hoy puede caer en 6 meses. Si detectas un cambio de comportamiento del GFW o SmartFilter, escríbenos a contact@vpnsmith.com — actualizamos.

Aviso legal: self-hostear un VPN es legal en la UE, EE.UU. y Canadá. En China, Irán, Rusia y EAU el uso de túneles no autorizados es ilegal localmente (sanciones variables, de la multa a la cárcel). VPNSmith publica este contenido con fines educativos; tú eres el único responsable de tu uso.

★ Datacenter Nuremberg GDPR · ✓ IPv4 dédiée incluse · 200+ Mbps garantis

Probar Contabo30 jours satisfait ou remboursé→

Enrutado VPN custom en Contabo: bypass DPI Irán / China 2026

Cómo funciona la Deep Packet Inspection

Setup 1 — V2Ray + WebSocket + TLS (Trojan-Go) en Contabo

Setup 2 — Cloak (frontend para WireGuard / OpenVPN)

Setup 3 — Shadowsocks 2022 (chacha20-ietf-poly1305)

Qué setup para qué país

Overhead de rendimiento

Cuándo es más simple un VPN comercial ofuscado

Para profundizar

Para profundizar

WireGuard vs OpenVPN en VPS: benchmarks reales iperf3 2026

Plantillas de configuración WireGuard 2026 (listas para usar)

Monitorizar tu VPN VPS con Prometheus + Grafana (2026)