VPN passthrough: qué es, cómo funciona y para qué sirve

Seguidores Online » Redes Sociales » VPN passthrough: qué es, cómo funciona y para qué sirve

Si tienes una red en casa o en la oficina y has oído hablar de VPN passthrough, IP passthrough, NAT y protocolos como IPsec, PPTP o L2TP, es muy fácil que todo te suene a chino. Sin embargo, detrás de estos nombres rimbombantes solo hay mecanismos que permiten que tus equipos se conecten de forma segura a otras redes a través de Internet, sobre todo cuando hay un router de por medio que hace de “portero”.

En este artículo vamos a desgranar con calma qué es exactamente VPN passthrough, por qué existe, cómo funciona con NAT y qué papel juegan tecnologías como IPsec, PPTP y L2TP, tanto en routers domésticos (los típicos SOHO o de operadora) como en routers profesionales. Además, veremos diferencias con un router VPN “de verdad”, qué implicaciones tiene a nivel de rendimiento y seguridad, y cómo se suele activar o desactivar en marcas como TP-Link, Cisco o ASUS, junto con una explicación sencilla de IP passthrough para casos de fibra con router de operadora.

Qué es una VPN y por qué choca con los routers domésticos

Una red privada virtual (VPN) es un túnel seguro que conecta tu dispositivo con otra red remota a través de Internet. Puede ser la red de tu empresa, la de un cliente o un proveedor, o incluso tu propia red de casa si tienes un servidor VPN configurado.

En el ámbito corporativo, una VPN se usa para que los empleados accedan a la red interna desde fuera de la oficina, compartiendo datos confidenciales (como historiales médicos o información financiera) sobre una conexión cifrada y protegida frente a miradas ajenas.

Para crear esos túneles se apoyan en distintos protocolos, entre ellos IPsec, PPTP y L2TP, que establecen la autenticación entre los extremos, negocian claves criptográficas y se encargan de cifrar y descifrar los paquetes que viajan por Internet.

IPsec (Internet Protocol Security) es un conjunto de protocolos que trabaja a nivel de red: cifra y protege cada paquete IP en una comunicación, y se usa tanto de forma directa como combinado con L2TP (L2TP/IPsec). PPTP, por su parte, es un protocolo más antiguo y mucho menos seguro, aunque todavía aparece en algunos entornos heredados porque es fácil de configurar y ofrece buena velocidad.

Aquí entra el primer conflicto: la mayoría de routers modernos usan NAT o NAPT para que varios dispositivos compartan una sola conexión a Internet, y eso no se lleva nada bien con la forma en que ciertos protocolos VPN encapsulan y cifran los datos.

Qué es NAT/NAPT y por qué impide algunas VPN

Detrás de la mayoría de routers para hogar y pequeña oficina hay un mecanismo clave: NAT (Network Address Translation) o NAPT. Gracias a él, todos los dispositivos de tu red local pueden navegar usando la misma IP pública que te asigna tu proveedor de Internet.

En la práctica, NAT traduce direcciones IP y puertos internos (privados) a una sola IP externa, y viceversa. Esto implica reescribir parte de las cabeceras de los paquetes para que las respuestas que vienen de Internet sepan a qué equipo de tu red deben regresar.

El problema aparece cuando algunos protocolos VPN, como IPsec (particularmente ESP) o PPTP, cifran o encapsulan justo la información de cabecera que NAT necesita leer y modificar para hacer su trabajo. Si el router no está preparado, NAT no puede interpretar correctamente esos paquetes VPN cifrados y la conexión simplemente se bloquea o falla.

En otras palabras, sin ayuda adicional, un router doméstico típico con NAT puede impedir que tus clientes VPN establezcan conexiones salientes usando IPsec o PPTP, aunque el servidor remoto esté correctamente configurado.

Qué es VPN passthrough y para qué sirve realmente

Para solucionar este choque entre NAT y ciertos protocolos, los fabricantes incorporan una función llamada VPN passthrough (paso a través de VPN). Esta característica permite que el tráfico VPN, iniciado por un cliente detrás del router, pueda “atravesar” el dispositivo y llegar hasta la red remota sin ser destruido por el NAT.

De forma sencilla, un router con VPN passthrough es capaz de reconocer el tráfico de protocolos VPN heredados como IPsec, PPTP y L2TP y tratarlo de forma especial para que el túnel se establezca correctamente, aunque haya NAT de por medio.

Conviene tener claro que VPN passthrough no convierte al router en un servidor o cliente VPN. No crea el túnel ni termina la conexión; se limita a dejar pasar (con ciertas adaptaciones) el tráfico VPN que generan otros equipos, como el cliente VPN que tienes en tu portátil o tu móvil.

En muchos modelos SOHO y routers de operadora, la función de VPN passthrough viene activada por defecto, precisamente para evitar dolores de cabeza cuando alguien se conecta a la VPN de la empresa desde casa. Y casi siempre puede activarse o desactivarse desde la interfaz web de gestión del router.

Diferencia entre VPN passthrough y router VPN

A menudo se confunden dos conceptos que no tienen nada que ver, aunque suenen parecido: VPN passthrough y router VPN. La diferencia es importante.

Un router con VPN passthrough simplemente permite que el tráfico VPN atraviese el router desde la red local hacia Internet. El túnel se crea entre el cliente (por ejemplo, tu portátil) y el servidor remoto (por ejemplo, la empresa), pero el router solo actúa como “puente” inteligente que entiende ese tráfico especial.

En cambio, un router VPN es un dispositivo que integra un cliente o servidor VPN en su propio firmware. Puede crear y terminar túneles directamente, gestionar credenciales, certificados, políticas de acceso, etc. En este caso, la VPN se establece entre el router y la red remota, y todos los dispositivos detrás del router pueden beneficiarse de esa conexión sin tener que instalar clientes VPN individuales.

Por tanto, VPN passthrough no añade funciones de servidor ni de cliente VPN. No te va a permitir, por sí solo, montar una VPN corporativa en tu casa o en la oficina. Solo se asegura de que, si utilizas protocolos antiguos como IPsec “a pelo” o PPTP/L2TP, el router no bloquee ese tráfico.

Tipos de VPN passthrough más habituales: IPsec, PPTP y L2TP

En la mayoría de routers actuales que incluyen esta función encontrarás varias opciones de passthrough específicas para cada protocolo VPN heredado. Los más comunes son IPsec, PPTP y L2TP, y en muchos casos vienen todos activados por defecto.

En modelos de Cisco RV (como RV016, RV042, RV042G o RV082), o en routers de TP-Link y ASUS, suelen aparecer entradas claras del tipo “IPSec Passthrough, PPTP Passthrough y L2TP Passthrough”, que puedes habilitar o deshabilitar de manera independiente en el menú de configuración.

Estos modos de paso a través son útiles cuando tus clientes VPN usan tecnologías tradicionales: IPsec para cifrar a nivel de red, PPTP como túnel simple de PPP, o L2TP en combinación con IPsec para transporte de capa 2. El router se encarga de permitir que esos túneles crucen el NAT sin romper el encapsulado.

Además, algunos fabricantes incluyen otros tipos de passthrough o ALG (Application Layer Gateway) para protocolos de voz, vídeo o streaming, como SIP, H.323 o RTSP, ya que también suelen verse afectados por el NAT y requieren cierta inteligencia adicional en el router.

IPsec passthrough: cómo funciona y sus pros y contras

IPsec, muy usado en entornos empresariales, proporciona cifrado, autenticación y protección de integridad para cada paquete IP. Cuando se usa a través de Internet con routers que hacen NAT, aparecen los problemas mencionados: NAT necesita modificar información que IPsec protege, así que, si el router no entiende este tipo de tráfico, la conexión se va al traste.

Con IPsec passthrough activado, el router detecta los túneles IPsec (especialmente el tráfico ESP) y los maneja de forma especial para que puedan atravesar el NAT. En el caso de L2TP/IPsec, el router también facilita que las sesiones L2TP que viajan encapsuladas sobre IPsec lleguen al destino sin que se rompa el túnel.

Muchos routers SOHO modernos incluyen ya IPsec Passthrough y L2TP Passthrough habilitados de fábrica, de modo que los usuarios no tienen que tocar nada para que funcione la VPN típica de empresa basada en IPsec.

Entre las ventajas de usar IPsec passthrough destaca que permite mantener conexiones IPsec estables y seguras a través de routers que hacen NAT, sin necesidad de cambiar toda la infraestructura de red. Es especialmente útil en organizaciones que todavía dependen de soluciones VPN más antiguas o que no pueden migrar de golpe a protocolos más modernos.

Sin embargo, también hay desventajas importantes. Todo el tráfico que cruza el túnel IPsec tiene que ser cifrado y descifrado, lo que supone una carga considerable para la CPU de los dispositivos implicados (sobre todo si el router o los equipos cliente son modestos), y eso puede aumentar la latencia o reducir el rendimiento global.

Además, al permitir IPsec passthrough, se abre la puerta a que posibles vulnerabilidades presentes en la red remota viajen a través del túnel hasta tu red interna, ya que el tráfico se considera confiable por estar cifrado punto a punto. Y si el passthrough está desactivado en routers antiguos o mal configurados, el resultado será que el tráfico IPsec se bloquee si hay reglas de firewall o NAT restrictivas.

PPTP passthrough: velocidad alta, seguridad baja

El protocolo PPTP (Point-to-Point Tunneling Protocol) se diseñó para encapsular conexiones PPP a través de redes IP como Internet, permitiendo la creación de túneles simples y relativamente rápidos. Se utilizó durante años para VPNs de acceso remoto, en gran parte por su facilidad de uso.

Casi todos los routers que hacen NAT tienen problemas similares con PPTP, ya que necesitan entender el tráfico de control GRE asociado a PPTP para poder redirigirlo correctamente. Si el router no lo soporta, la sesión PPTP simplemente no se establece.

Con PPTP passthrough activo, el router es capaz de dejar pasar y manejar esa combinación de tráfico PPP sobre IP y GRE, de forma que los clientes VPN detrás del router puedan crear conexiones PPTP salientes con éxito y mantenerlas estables.

Las principales ventajas del PPTP passthrough son la compatibilidad con infraestructuras antiguas y, sobre todo, la velocidad; por eso conviene optimizar tu conexión para streaming. PPTP suele ofrecer tasas de transferencia muy rápidas con poca sobrecarga de cifrado, por lo que durante mucho tiempo fue una opción popular para conexiones remotas con poco hardware.

El gran problema es que PPTP es considerado hoy en día un protocolo inseguro. Sus mecanismos de cifrado y autenticación son débiles, y existen ataques conocidos que permiten romper o comprometer las conexiones. Esto significa que, aunque el passthrough funcione de maravilla y la conexión sea rápida, la seguridad real puede ser muy pobre.

Por eso, el uso de PPTP se desaconseja en entornos donde haya datos sensibles. Mantener PPTP passthrough activado implica que, si accidentalmente algún dispositivo establece un túnel PPTP a través del router, estarás exponiendo la red a un protocolo prácticamente obsoleto en materia de protección.

L2TP passthrough y soporte en routers profesionales

El protocolo L2TP (Layer 2 Tunneling Protocol) se emplea para crear túneles a nivel de capa 2, muy a menudo combinado con IPsec para añadir cifrado, ya que L2TP por sí mismo no cifra ni ofrece confidencialidad.

En routers como los Cisco RV016, RV042, RV042G y RV082, así como en equipos de otros fabricantes, encontrarás la opción de L2TP Passthrough, pensada para que los túneles basados en L2TP puedan atravesar el router sin conflictos con NAT.

En estos modelos, la activación de L2TP passthrough no suele requerir abrir puertos manualmente ni hacer reglas de reenvío específicas, ya que el router reconoce el tráfico y lo gestiona de forma automática. Eso sí, antes de jugar con estas opciones se presupone que la VPN ya está correctamente configurada en el host local y en el extremo remoto.

Es habitual que en estos routers profesionales venga todo el conjunto de IPSec Passthrough, PPTP Passthrough y L2TP Passthrough activado por defecto, para no interferir con las conexiones VPN de usuarios remotos. El administrador puede, no obstante, desactivar cualquiera de ellos si no se va a usar o por motivos de seguridad.

Cómo se habilita o deshabilita el VPN passthrough en routers comunes

En la mayoría de marcas domésticas, como TP-Link, los routers ya vienen preparados para tratar ese tráfico. De hecho, todos los routers TP-Link modernos soportan VPN passthrough para PPTP, L2TP e IPsec (ESP), sin necesidad de configuraciones complicadas.

Normalmente, el passthrough está activado desde fábrica y se puede activar o desactivar desde la interfaz web de administración del router. En un modelo típico, como el TP-Link Archer C7, solo hay que acceder al menú de configuración avanzada, localizar el apartado de VPN o seguridad, y verás las casillas de VPN Passthrough, PPTP, L2TP e IPsec.

Es importante remarcar que en la documentación de TP-Link se insiste en que VPN passthrough no significa que el router pueda actuar como extremo de la VPN. No crea el túnel ni sirve de servidor; solo permite que el tráfico originado por otros dispositivos pase sin ser bloqueado.

En el caso de routers Cisco RV (RV016, RV042, RV042G, RV082), el proceso es similar: se accede a la utilidad de configuración web, se va al menú “VPN > VPN Passthrough” y aparecen las opciones para IPsec, PPTP y L2TP. De serie suelen estar activadas y se pueden deshabilitar marcando la opción Disable en cada una.

En la gama de routers ASUS Wireless, la función similar puede aparecer bajo el nombre de NAT Passthrough. Dentro del menú WAN se encuentra un subapartado NAT Passthrough donde aparecen opciones para PPTP Passthrough, L2TP Passthrough, IPSec Passthrough y otras relacionadas (RTSP, H.323, SIP, PPPoE Relay, etc.). Tras ajustar lo necesario, se pulsa Aplicar para guardar los cambios.

En todos los casos, los fabricantes recalcan que no es imprescindible abrir puertos manualmente para que el passthrough funcione; el router ya está preparado para tratar ese tráfico. La apertura de puertos solo se vuelve necesaria si queremos montar servidores VPN detrás del router, algo que ya es distinto de simplemente permitir conexiones salientes.

IP passthrough: cuando el router de la operadora se hace “transparente”

Además del VPN passthrough, hay otro concepto que suele aparecer cuando se usan routers de operadora con un segundo router propio: IP passthrough (o modo puente parcial). No es exactamente lo mismo, pero se confunde mucho.

Imagina que tu proveedor de fibra (por ejemplo, AT&T con un router como el BGW210-700) te obliga a usar su equipo, pero tú quieres colocar después un sistema mesh tipo Orbi. El resultado típico es una doble NAT (la de la operadora y la del Orbi), lo que complica mucho el uso de VPNs, juegos online, redirecciones de puertos, etc.

Con IP passthrough, el router de la operadora “cede” la IP pública al router que tú conectas detrás, de modo que este segundo equipo se comporta prácticamente como si estuviera directamente enchufado a Internet. El router del ISP sigue ahí, pero en lo que respecta al tráfico, se convierte casi en un puente transparente.

Para el usuario final, esto significa que su router mesh o avanzado gestionará la NAT, el firewall y las funciones de red principales, evitando dobles traducciones y simplificando la vida a la hora de montar VPNs o servicios expuestos.

En cuanto a la velocidad, siempre que el router de la operadora no haga un recorte artificial del ancho de banda, el uso de IP passthrough no debería hacer que tu conexión vaya más lenta. El rendimiento vendrá determinado sobre todo por el segundo router (el Orbi en este ejemplo) y la calidad de la señal WiFi o de la red interna.

Limitaciones, riesgos de seguridad y futuro de las VPN tradicionales

La gran utilidad del VPN passthrough es que permite mantener en marcha infraestructuras VPN heredadas (IPsec clásico y PPTP sobre todo) sin tener que cambiar todos los routers de golpe. Sin embargo, esto también significa seguir apoyándose en tecnologías que, en algunos casos, ya están bastante superadas.

Por un lado, el uso intensivo de IPsec, sobre todo si se pasan muchos datos cifrados, carga la CPU de los equipos que cifran y descifran, lo que puede afectar al rendimiento de la red y al tiempo de respuesta, especialmente en dispositivos de gama baja.

Por otro, protocolos como PPTP ofrecen niveles de seguridad muy cuestionables. Si se mantiene PPTP passthrough operativo y por descuido se establece un túnel PPTP, es como cerrar la puerta de casa pero dejar las ventanas abiertas: el riesgo de que alguien explote vulnerabilidades conocidas es alto.

Además, al permitir que un túnel VPN atraviese tu router, estás asumiendo que el tráfico dentro del túnel es confiable. Si existe alguna amenaza en el extremo remoto (un equipo comprometido en la oficina, por ejemplo), esa amenaza podría acceder a recursos de tu red a través del túnel, aprovechando precisamente el “blindaje” cifrado que evita inspecciones profundas.

En paralelo, muchas organizaciones están dando el salto hacia soluciones más modernas basadas en modelos de acceso de confianza cero (Zero Trust), donde no se confía automáticamente en un usuario solo por estar dentro de un túnel VPN. Estas tecnologías suelen usar protocolos más recientes (como WireGuard o equivalentes) o incluso mecanismos distintos a la VPN tradicional, y tienden a simplificar el acceso seguro a recursos sin necesidad de jugar tanto con NAT y passthrough.

Esto no significa que VPN passthrough desaparezca de la noche a la mañana, pero sí que, a medio plazo, las VPN clásicas con IPsec o PPTP irán perdiendo protagonismo frente a soluciones SaaS de acceso seguro, microsegmentación y agentes inteligentes en los dispositivos.

En cualquier caso, mientras existan sistemas heredados y entornos donde la migración no sea inmediata, tener bien entendido qué es VPN passthrough, cómo se configura en tu router y qué implicaciones tiene sigue siendo clave para evitar cortes de conexión, problemas de rendimiento y sorpresas desagradables en materia de seguridad.

Quien tenga claras estas piezas —la función de NAT, la diferencia entre router VPN y passthrough, los protocolos IPsec, PPTP y L2TP y el papel de IP passthrough cuando hay router de operadora— tendrá mucho ganado a la hora de montar redes domésticas y empresariales que aprovechen las VPN sin volverse locos con la configuración ni renunciar a un nivel razonable de protección.