VPN passthrough: qué es, cómo funciona y cuándo usarlo

Si te has peleado alguna vez con la configuración de tu router para poder conectarte a la empresa desde casa, es muy probable que te hayas topado con el término VPN passthrough y no tengas del todo claro qué significa. Es una de esas opciones escondidas en el panel del router que casi nadie explica bien, pero que marca la diferencia entre que tu VPN funcione o que no conecte ni a la de tres.

En este artículo vamos a desgranar con calma qué es exactamente VPN passthrough, por qué existe, qué relación tiene con NAT y qué implicaciones de seguridad y rendimiento tiene activarlo o desactivarlo. Verás también en qué se diferencia de un router VPN, qué tipos de protocolos soporta (IPsec, PPTP, L2TP) y cómo suele configurarse en los routers domésticos y de pequeña oficina.

Qué es una VPN y por qué algunos protocolos dan guerra con los routers

Antes de entrar en materia, conviene recordar brevemente qué es una red privada virtual (VPN) en un entorno de empresa. Una VPN crea un túnel cifrado entre tu dispositivo e una red remota (normalmente la red corporativa), permitiéndote acceder a recursos internos como si estuvieras físicamente en la oficina, pero a través de Internet.

En muchas organizaciones se siguen utilizando protocolos de VPN “clásicos” como IPsec y PPTP para proteger datos sensibles, por ejemplo historiales médicos, información financiera o documentación interna. IPsec (Internet Protocol Security) es un conjunto de protocolos que añade autenticación y cifrado a nivel de red, mientras que PPTP (Point-to-Point Tunneling Protocol) define un método sencillo para crear túneles punto a punto.

El problema viene cuando estos protocolos se encuentran con routers que utilizan NAT o NAPT para compartir una única IP pública entre varios dispositivos. La traducción de direcciones de red necesita leer y modificar ciertos campos de las cabeceras de los paquetes IP, pero el cifrado de algunos protocolos VPN “antiguos” impide que el router pueda hacerlo con normalidad.

Como resultado, si no se hace nada especial, el tráfico VPN puede quedar bloqueado o no establecer bien el túnel. Es aquí donde entra en juego la famosa función VPN passthrough.

Qué es exactamente VPN passthrough

Cuando ves la opción “VPN passthrough” en tu router, se refiere a una función específica que permite que el tráfico de ciertos protocolos VPN atraviese el router sin ser bloqueado por NAT o por el cortafuegos. Es decir, el router “deja pasar” (passthrough) ese tráfico especial para que los clientes VPN que hay detrás puedan crear conexiones salientes hacia una red remota.

En la práctica, esto significa que un dispositivo de tu red local (ordenador, portátil, móvil, etc.) puede establecer un túnel VPN hacia Internet a través del router, aunque el propio router no sea un endpoint VPN ni ejecute ningún cliente VPN. El router simplemente reconoce y gestiona el tráfico IPsec, PPTP o L2TP de forma que la traducción de direcciones no lo rompa.

Es importante subrayar que VPN passthrough no convierte al router en un servidor o cliente VPN. No crea el túnel ni autentica usuarios; solo permite que el tráfico generado por otros dispositivos pase a través de él sin problemas. Muchos fabricantes lo explican claramente: “VPN passthrough no significa que el router pueda crear un endpoint de VPN”.

Hoy en día casi todos los routers domésticos y de pequeña oficina ya vienen con VPN passthrough activado por defecto para IPsec, PPTP y L2TP, precisamente para evitar quebraderos de cabeza a los usuarios que se conectan a la red corporativa desde casa.

Diferencia entre VPN passthrough y router VPN

Una confusión muy habitual es pensar que un router con VPN passthrough es lo mismo que un router VPN “de verdad” que integra cliente o servidor VPN. En realidad son conceptos muy distintos y conviene tenerlos separados.

Por un lado, VPN passthrough es solo una característica de paso: el router reconoce ciertos tipos de tráfico de túnel (como IPsec, PPTP o L2TP) y los deja cruzar la NAT adecuadamente para que el cliente VPN, instalado en el PC o el móvil, pueda conectarse a un servidor remoto.

Por otro lado, un router VPN es un dispositivo que sí incorpora funcionalidad VPN nativa. Puede ejecutar un cliente VPN hacia un proveedor o un servidor VPN para que muchos dispositivos detrás de él se conecten automáticamente al túnel, sin necesidad de configurar la VPN en cada equipo.

En un router VPN, todo el tráfico de la red local puede ir encapsulado y cifrado a través de un único túnel, manteniendo anónimos o protegidos a todos los dispositivos conectados. Además, su firmware suele ofrecer opciones avanzadas de gestión, prioridades de tráfico o diferentes tipos de túneles.

Resumiendo la idea clave: VPN passthrough solo “abre el camino” a las VPN de los dispositivos; el router VPN crea y gestiona directamente esos túneles. Son capas distintas de funcionalidad, aunque algunas veces un mismo router puede ofrecer ambas cosas.

Cómo interviene NAT y por qué hace falta el passthrough

Para entender bien por qué existe VPN passthrough, hay que mirar a NAT (Network Address Translation) y NAPT o PAT (Port Address Translation). En los routers SOHO (Small Office/Home Office) es la forma habitual de que varios dispositivos compartan una sola conexión a Internet con una IP pública.

Con NAT, el router va traduciendo las direcciones IP privadas de la red interna en la IP pública, mapeando cada conexión a un puerto concreto. En el caso de NAPT o PAT, esa traducción se hace también apoyándose en números de puerto, de modo que múltiples dispositivos pueden usar la misma IP pública pero con puertos diferentes.

El conflicto aparece cuando protocolos VPN antiguos cifran no solo los datos, sino también parte de la información que NAT necesita “ver” para poder hacer la traducción correctamente. Si el router no tiene mecanismos específicos, no puede modificar esos campos sin romper el cifrado, y el resultado es que el túnel VPN falla o no se establece.

VPN passthrough añade precisamente la lógica necesaria para que el router maneje correctamente estos paquetes de VPN a pesar del NAT. En algunos casos se apoya en técnicas como NAT-T (NAT Traversal), que encapsulan los paquetes IPsec en UDP para que puedan atravesar dispositivos NAT sin que se estropee el túnel.

Si un router no tuviera esta capacidad, las conexiones VPN basadas en IPsec o PPTP desde la red interna podrían quedar bloqueadas por defecto, aunque no haya un cortafuegos muy restrictivo configurado. De ahí que los fabricantes suelan ofrecer NAT passthrough o VPN passthrough como opción independiente en sus interfaces.

IPsec passthrough: qué es y qué implica

Dentro del paraguas de VPN passthrough, una de las funciones más importantes es IPsec passthrough, usada por empresas que requieren un alto nivel de seguridad. IPsec proporciona cifrado, integridad y autenticación a nivel de red, permitiendo conexiones seguras extremo a extremo entre gateways o entre un cliente y un servidor.

El inconveniente es que IPsec no encaja bien de forma nativa con NAT. Para solucionarlo se usa NAT-T (Network Address Translation-Traversal), que encapsula los paquetes IPsec dentro de UDP, de forma que el router puede tratarlos como tráfico UDP “normal” y aplicar traducción de direcciones sin romper la seguridad.

Cuando activas IPsec passthrough en el router, estás permitiendo que esos túneles IPsec atraviesen la NAT y el cortafuegos para llegar al servidor remoto. Muchos routers domésticos y profesionales ya incluyen IPsec passthrough y, en ocasiones, también L2TP passthrough activados por defecto.

La principal ventaja de IPsec passthrough es clara: posibilita que equipos situados detrás de un router con NAT establezcan conexiones IPsec seguras sin necesidad de cambiar toda la infraestructura o usar direcciones IP públicas dedicadas para cada cliente.

Como desventaja, hay que tener en cuenta que todos los paquetes que cruzan el túnel requieren cifrado y descifrado, lo que aumenta la carga sobre la CPU de los equipos implicados y puede añadir algo de latencia. Además, cualquier vulnerabilidad en la capa IP de la red remota podría, en teoría, “viajar” a través de ese túnel y afectar a la red corporativa.

PPTP passthrough: un clásico cada vez más en desuso

Otra pieza del puzle es PPTP passthrough, que permite que las conexiones PPTP crucen routers con NAT. PPTP fue durante años uno de los protocolos de VPN más utilizados para interconectar redes privadas virtuales a través de Internet gracias a su sencillez y a que venía soportado de serie en muchos sistemas operativos.

El router, usando NAT, puede bloquear este tipo de tráfico al no reconocerlo adecuadamente, de modo que PPTP passthrough se encarga de habilitar el paso de estas conexiones para que los clientes detrás del router puedan levantar túneles hacia servidores remotos.

Entre las ventajas, PPTP passthrough suele ofrecer velocidades de VPN bastante altas y una configuración muy sencilla, y mantiene una compatibilidad amplia con sistemas como Windows, macOS o Linux. Esto explica que siga apareciendo en muchos routers, aunque cada vez se recomiende menos su uso.

El problema gordo de PPTP es que sus mecanismos de seguridad y cifrado se han quedado totalmente obsoletos. Usa cifrado de 128 bits que hoy en día puede romperse mediante ataques de fuerza bruta o explotación de vulnerabilidades conocidas, por lo que se considera un protocolo inseguro para proteger información sensible.

Por ese motivo, aunque la opción PPTP passthrough esté disponible en el router, no es buena idea basar la seguridad de una organización en PPTP, y es preferible migrar a protocolos más robustos como IPsec con IKEv2 o soluciones modernas como WireGuard y enfoques de confianza cero.

L2TP passthrough: una alternativa más robusta

El tercer gran protagonista es L2TP passthrough, relacionado con el protocolo Layer 2 Tunneling Protocol (L2TP). L2TP se usa a menudo combinado con IPsec para añadir cifrado, ya que por sí mismo no proporciona confidencialidad.

Al igual que con PPTP, L2TP passthrough permite que dispositivos detrás del router establezcan túneles L2TP hacia servidores externos, añadiendo una nueva “capa de túnel” sobre la red IP existente. Este tipo de conexión suele utilizarse en escenarios empresariales y en algunos servicios de VPN comercial.

Entre sus puntos fuertes, L2TP passthrough ofrece mayor seguridad que PPTP, suele trabajar con cifrado de hasta 256 bits (cuando se combina con IPsec), es bastante estable y mantiene una buena compatibilidad con los principales sistemas operativos.

Sin embargo, también tiene sus contras: las conexiones L2TP a través de NAT tienden a ser unidireccionales, lo que puede limitar el enrutamiento de cierto tipo de tráfico, y la necesidad de encapsular y cifrar añade overhead, con lo que la velocidad efectiva puede ser algo menor.

En muchos routers, la configuración de L2TP passthrough implica asegurarse de que los puertos adecuados están abiertos o definidos en la tabla de reenvío de puertos, normalmente bajo secciones como “port forwarding” o “virtual server”, además de activar la casilla específica de L2TP passthrough si existe.

NAT passthrough y otras opciones relacionadas en routers

Algunos fabricantes, como ASUS, agrupan todas estas funciones bajo un menú llamado NAT Passthrough dentro de la sección WAN del router. Desde ahí es posible activar o desactivar individualmente PPTP passthrough, L2TP passthrough e IPsec passthrough, entre otras opciones.

En ese mismo apartado suelen aparecer otros tipos de “passthrough” o ayudas de protocolo, como RTSP passthrough para streaming en tiempo real, H.323 y SIP passthrough para voz y vídeo sobre IP, o incluso PPPoE Relay para permitir que los dispositivos de la LAN establezcan sus propias sesiones PPPoE a través del router.

Estas opciones no son estrictamente VPN, pero siguen la misma filosofía: permitir que protocolos específicos atraviesen la NAT sin romper su funcionamiento. En todos los casos, tras modificar la configuración, es necesario guardar y aplicar los cambios para que entren en vigor.

En el caso de dispositivos TP-Link, la aproximación es similar: la mayoría de routers de la marca traen VPN passthrough activado por defecto para PPTP, L2TP e IPsec (ESP), y la opción suele localizarse en la interfaz web de gestión, a menudo en el apartado de seguridad o configuración avanzada.

Conviene revisar siempre el manual o la documentación oficial del fabricante, ya que cada modelo organiza sus menús de forma ligeramente distinta y puede cambiar el nombre exacto de la opción (VPN passthrough, NAT passthrough, virtual server, etc.).

Cómo se configura VPN passthrough en un router típico

Aunque la mayoría de routers actuales ya tienen VPN passthrough habilitado de fábrica, en algunos casos puede ser necesario tocar la configuración. El procedimiento general suele seguir unos pasos parecidos, independientemente de la marca.

Lo primero es conectar un ordenador al router (por cable o WiFi) y acceder a la interfaz web, escribiendo la IP LAN del router o una URL específica como, por ejemplo, http://www.asusrouter.com en el navegador. Después se introduce el usuario y contraseña de administración.

Una vez dentro, hay que buscar la sección de configuración WAN, seguridad o NAT passthrough. En routers ASUS, por ejemplo, la ruta típica es WAN > NAT Passthrough, donde se muestran varias casillas: PPTP Passthrough, L2TP Passthrough, IPsec Passthrough, etcétera.

En cada caso se puede activar o desactivar las opciones según el protocolo VPN que vaya a usarse. Tras marcar lo necesario, se pulsa en “Aplicar” o “Guardar” para que los cambios queden registrados y el router reinicie, si lo requiere, los servicios internos.

En otros fabricantes, como TP-Link, la opción puede aparecer bajo un nombre algo distinto, pero la lógica es la misma: habilitar el paso de tráfico VPN generado por otros dispositivos hacia el exterior. Algunos routers permiten, además, definir puertos concretos o elegir qué dispositivo tendrá prioridad al usar la VPN.

Ventajas, desventajas y cuándo tiene sentido usar VPN passthrough

La gran ventaja de tener VPN passthrough disponible es que permite seguir utilizando infraestructuras VPN heredadas (IPsec, PPTP, L2TP) sin tener que sustituir todos los routers o rediseñar la topología de red. Para muchas pymes y organizaciones grandes, ese cambio podría resultar muy costoso.

En entornos donde se necesita acceso remoto a la red corporativa, VPN passthrough ayuda a que los empleados puedan conectarse desde casa sin problemas, incluso si cuentan con routers domésticos sencillos. Además, evita tener que asignar IPs públicas adicionales a cada cliente VPN.

Como contrapartida, mantener estos protocolos implica aceptar sus limitaciones de seguridad y rendimiento, especialmente en el caso de PPTP. También hay que considerar que las conexiones cifradas añaden carga a la CPU y posibles incrementos de latencia, lo que puede notarse en redes muy saturadas o con hardware poco potente.

Por otra parte, algunos tipos de passthrough (como ciertos modos de IPsec o L2TP) pueden tener restricciones de enrutamiento o ser esencialmente unidireccionales, dificultando el acceso a recursos alojados en servidores remotos específicos o complicando configuraciones avanzadas.

Hoy por hoy, muchos expertos recomiendan migrar progresivamente desde las VPN tradicionales hacia modelos de seguridad modernos, como soluciones de Zero Trust Network Access (ZTNA) que eliminan la confianza implícita en la red y segmentan el acceso por usuario y aplicación. Aun así, mientras esa transición se produce, VPN passthrough sigue siendo una pieza clave en muchas redes reales.

Todo lo relacionado con VPN passthrough gira en torno a un mismo objetivo: conseguir que los viejos protocolos de VPN sigan funcionando a través de routers modernos con NAT sin obligar a renovar de golpe toda la infraestructura. Saber qué hace cada tipo de passthrough (IPsec, PPTP, L2TP), cómo se configura en tu router y qué limitaciones arrastra te ayudará a tomar mejores decisiones sobre tu red, valorar si compensa seguir apoyándote en estas tecnologías o si ha llegado el momento de dar el salto hacia soluciones más actuales como las VPN modernas o los modelos de confianza cero.