Configurar un servidor VPN en UniFi es un proceso bastante sencillo gracias a su interfaz intuitiva. UniFi ofrece soporte para distintos tipos de VPN, incluyendo L2TP, OpenVPN y WireGuard, siendo este último el más recomendado actualmente por su alto nivel de seguridad y rendimiento.
Para implementar un servidor VPN, es fundamental que el Gateway UniFi disponga de una IP pública accesible desde Internet. En caso de estar detrás de un NAT, existen métodos alternativos como el uso de port forwarding, UPnP, o herramientas como ZeroTier para permitir el acceso remoto.
El servidor VPN escucha conexiones entrantes en la interfaz WAN, utilizando la IP pública de dicha interfaz junto con un puerto predeterminado. Si la IP es dinámica, se puede utilizar un servicio DDNS (DNS Dinámico) y configurarlo en la opción «Utilizar direcciones alternativas para los clientes», permitiendo conectarse a un dominio en lugar de una IP que puede cambiar frecuentemente.
La creación de usuarios VPN en UniFi es muy simple: basta con asignar un nombre y aplicar la configuración. En el caso de WireGuard, se genera un archivo de configuración que contiene las claves públicas/privadas, el host, el puerto, y otros parámetros necesarios. Para configurar el cliente, solo es necesario importar este archivo en la aplicación del cliente WireGuard.
También es posible configurar los servidores DNS que los clientes usarán al conectarse. Se puede optar por dejar los DNS automáticos (heredados del Gateway) o establecer manualmente servidores personalizados como Cloudflare (1.1.1.1) o Google (8.8.8.8).
UniFi maneja de forma automática el enrutamiento entre la red VPN y las VLANs internas, lo que permite aplicar políticas de firewall para controlar o restringir el acceso entre redes. Esto proporciona un alto grado de seguridad y segmentación al permitir conexiones específicas según necesidades definidas por el administrador.
