PacketLoss.tech
EN Contactar
troubleshoot unifi

Cómo configurar Policy Based VPN en UCG Ultra + Proton VPN

· · 8 min de lectura
Cómo configurar Policy Based VPN en UCG Ultra + Proton VPN

Cómo configurar Policy Based VPN en UCG Ultra + Proton VPN

Esto te ha pasado: abres ChatGPT o claude.ai desde Venezuela y ves la pantalla de error. “Unable to load site”. El sitio está bloqueado a nivel de ISP. La Unifi Policy based VPN usando Proton VPN es exactamente la solución para este caso — enrutas solo los dominios bloqueados por el túnel, y el resto del tráfico sigue saliendo normal.

Este tutorial cubre la configuración completa en un UCG Ultra con UniFi OS 4.1.13. Si tienes un UDM Pro o UDM SE con UniFi OS 3.x, los pasos son casi idénticos pero la ubicación de algunos menús puede variar — verifica en tu entorno.

Contexto: Este setup usa WireGuard como protocolo. Proton VPN soporta WireGuard en todos los planes pagos. El plan gratuito no incluye configuración de router.

Paso 1: Genera la configuración WireGuard en Proton VPN

Entra a account.protonvpn.com/downloads y navega a la sección WireGuard configuration.

Fíjate en los parámetros que vas a configurar:

  1. Device/certificate name: pon un nombre descriptivo. Yo uso Tunnel-To-Unifi para saber exactamente de dónde viene este peer.
  2. Platform: selecciona Router. Esto es crítico — la configuración para Router no incluye opciones de kill-switch que rompen el setup en UniFi.
  3. NetShield: selecciona el nivel que prefieras. Yo uso “Block malware, ads and trackers”.
  4. Moderate NAT: Off.
  5. NAT-PMP: Off.
  6. VPN Accelerator: On.
  7. Server: Proton sugiere el servidor según carga. En mi caso usé US-FL#303.

Haz clic en Create y descarga el archivo .conf.

Pantalla de WireGuard configuration en Proton VPN con plataforma Router seleccionada

El archivo descargado se llama algo como Tunnel-To-Unifi-US-FL-303.conf. Ábrelo en un editor de texto y revisa el bloque [Interface]. Vas a ver algo así:

[Interface]
# Key for Tunnel-To-Unifi
# Bouncing = 4
# NetShield = 2
# Moderate NAT = off
# NAT-PMP (Port Forwarding) = off
# VPN Accelerator = on
PrivateKey = yDA2upiQTUbZdWAMTtRqWmnHMWuPtsjxy8STpEcQrG0=
Address = 10.2.0.2/32, 2a07:b944::2:2/128
DNS = 10.2.0.1, 2a07:b944::2:1

[Peer]
# US-FL#303
PublicKey = d2QJ4qxbpm7HSiEbssGku1X+UNnZBcEWcApgS0xgI34=
AllowedIPs = 0.0.0.0/0, ::/0
Ojo con esto: La línea Address = 10.2.0.2/32 usa notación CIDR. UniFi OS la acepta perfectamente — el error que ves al importar el archivo en la UI es un falso positivo de validación. El túnel funciona igual. Más detalle en la sección de errores comunes.

Paso 2: Importa la configuración en el VPN Client de UniFi

En el panel de UniFi OS, ve a Settings > VPN > VPN Client > Create New.

Configura los campos así:

  • Type: WireGuard
  • Name: Tunnel-To-Proton (o el nombre que prefieras)
  • Setup: File
  • Sube el archivo .conf que descargaste de Proton

Pantalla de New VPN Client en UniFi OS con el archivo .conf de Proton VPN importado

Vas a ver una advertencia amarilla que dice:

Configuration file contains an invalid or is missing the below WireGuard option.
IPv4 address on Address line in [Interface] section is not valid.
Correct format is Address = 192.168.3.2/32

Ignórala por ahora. La sección de errores comunes explica exactamente qué es esto y por qué no importa.

  • Device Wizard: Off
  • Content Wizard: Domain
  • En el campo de dominio, agrega los dominios bloqueados uno por uno:
    • chatgpt.com
    • claude.ai
    • redbulltv.com
    • lapatilla.com
    • Agrega cualquier otro dominio que necesites

Haz clic en Create.

Verifica: El túnel debe aparecer en la lista de VPN Client con estado Connected. Si aparece Connecting por más de 30 segundos, revisa la sección de errores comunes.

Paso 3: Verifica el estado del túnel y el enrutamiento

Una vez creado, regresa a Settings > VPN > VPN Client.

El túnel debe mostrar:

  • Status: Connected
  • Tunnel IP: la IP asignada por Proton (en mi caso 10.2.0.2/32)
  • Server Address: la IP del servidor Proton (en mi caso 192.0.2.226)
  • Port: 51820 (puerto estándar de WireGuard)
  • Uptime: subiendo

La prueba definitiva es simple: abre chatgpt.com desde un dispositivo en tu red. Antes del túnel veías el error Unable to load site. Con el túnel activo, carga normal.

image

Paso 4: Ajusta los dominios según tus necesidades

En cualquier momento puedes editar los dominios enrutados por el túnel. Ve a Settings > VPN > VPN Client, haz clic en Manage junto al túnel, y edita la lista de dominios.

Algunos dominios útiles para agregar si estás en Venezuela:

  • openai.com (necesario además de chatgpt.com para que la autenticación funcione)
  • anthropic.com (complementa claude.ai)
  • x.com y twitter.com (cuando hay bloqueos intermitentes)
  • instagram.com, threads.net

Ojo con esto: agrega el dominio raíz y cualquier subdominio relevante. Algunos servicios usan CDNs en subdominios distintos.

Comparación: ChatGPT bloqueado sin VPN vs ChatGPT cargando con el túnel activo

Errores comunes

“IPv4 address on Address line in [Interface] section is not valid”

Síntoma: Advertencia amarilla al importar el .conf de Proton. La UI dice que el formato correcto es 192.168.3.2/32 pero el archivo de Proton trae 10.2.0.2/32, 2a07:b944::2:2/128.

Diagnóstico: El validador de UniFi OS no acepta múltiples direcciones en la línea Address (IPv4 + IPv6 en la misma línea). Es un bug de validación visual, no un error funcional.

Fix: Ignora la advertencia y crea el túnel igual. El túnel WireGuard se establece correctamente. Si quieres eliminar la advertencia, edita el .conf antes de subirlo y quita la parte IPv6: deja solo Address = 10.2.0.2/32.

El túnel muestra “Connecting” y nunca pasa a “Connected”

Síntoma: Después de crear el VPN Client, el status se queda en Connecting indefinidamente.

Diagnóstico: El puerto UDP 51820 puede estar bloqueado por tu ISP (pasa en algunos proveedores venezolanos) o hay un problema con la clave pública/privada del peer.

Fix: Primero verifica que el archivo .conf no fue modificado accidentalmente al editarlo. Las claves WireGuard son sensibles a espacios y saltos de línea. Si el archivo está intacto, prueba generar una nueva configuración en Proton eligiendo un servidor diferente. Algunos servidores Proton también soportan el puerto 443 UDP — verifica en la documentación de Proton si tu servidor lo ofrece.

Los dominios agregados no se enrutan por el túnel

Síntoma: chatgpt.com sigue bloqueado aunque el túnel está Connected y el dominio está en la lista.

Diagnóstico: El enrutamiento basado en dominios de UniFi funciona resolviendo el DNS del dominio y agregando la IP resultante a una ruta. Si tu dispositivo usa un DNS externo que no pasa por el gateway de UniFi, el enrutamiento no funciona.

Fix: Asegúrate de que los dispositivos de tu red usan el gateway de UniFi como servidor DNS primario. En Settings > Networks, verifica que el DHCP de tu red local apunta el DNS al gateway (normalmente 192.168.1.1 o la IP de tu UCG Ultra).

El túnel se desconecta periódicamente

Síntoma: El túnel funciona bien por horas y luego aparece como Disconnected. Se reconecta solo eventualmente.

Diagnóstico: El keepalive de WireGuard puede no ser suficiente con algunas configuraciones de NAT estricto en el ISP.

Fix: El archivo .conf de Proton no incluye PersistentKeepalive por defecto para configuraciones de router. Edita el .conf antes de subirlo y agrega PersistentKeepalive = 25 al bloque [Peer]. Si ya tienes el túnel creado, elimínalo y créalo de nuevo con el archivo modificado.

ChatGPT carga pero la autenticación falla

Síntoma: La página de ChatGPT carga, pero al intentar hacer login muestra error o se queda en loop.

Diagnóstico: ChatGPT usa múltiples dominios para autenticación. Solo enrutar chatgpt.com no es suficiente.

Fix: Agrega openai.com, auth0.com, y cdn.auth0.com a la lista de dominios del Content Wizard.

FAQ

¿Necesito una cuenta paga de Proton VPN para esto?

Sí. La generación de configuraciones WireGuard para router solo está disponible en los planes pagos de Proton VPN (Proton VPN Plus o superior). El plan gratuito no incluye esta funcionalidad.

¿Qué dispositivos UniFi soportan VPN Client con WireGuard?

El VPN Client está disponible en dispositivos con UniFi OS que actúen como gateway: UCG Ultra, UDM Pro, UDM SE, UDM Pro Max, y UDR. No está disponible en switches ni access points. Verifica que tu firmware esté en UniFi OS 3.2.7 o superior para tener la funcionalidad completa de Content Wizard.

¿El resto del tráfico de mi red sale sin VPN?

Sí. Eso es exactamente la ventaja del Policy Based VPN. Solo los dominios que agregas al Content Wizard se enrutan por el túnel de Proton. Todo lo demás — Netflix, YouTube, tráfico local — sale directo por tu conexión de internet normal. Literalmente es como una autopista con un carril especial: solo los carros marcados toman ese carril.

¿Puedo usar esta misma configuración con otros proveedores VPN?

Sí, siempre que el proveedor genere archivos .conf de WireGuard estándar. Mullvad, IVPN, y AzireVPN, por ejemplo, generan configuraciones compatibles. El proceso es idéntico: descargas el .conf, lo importas en UniFi VPN Client, y configuras los dominios.

¿Cuántos dominios puedo agregar al Content Wizard?

No encontré un límite documentado por Ubiquiti. En mi setup tengo más de 20 dominios sin problemas. Lo que sí debes considerar: cada dominio que agregas se resuelve periódicamente y sus IPs se agregan a la tabla de rutas del gateway. Con muchos dominios de CDN grandes (como cloudflare.com), puedes terminar con cientos de rutas. Verifica en tu entorno si tienes preocupaciones de rendimiento con listas muy grandes.

¿El túnel sobrevive un reinicio del UCG Ultra?

Sí. La configuración del VPN Client se persiste en el almacenamiento de UniFi OS. Después de un reinicio, el túnel se reconecta automáticamente al restaurarse la conectividad WAN.

Conclusión

Eso es todo. Tienes un túnel WireGuard a Proton VPN activo en tu gateway UniFi, enrutando solo los dominios bloqueados. ChatGPT, Claude, RedBull TV, La Patilla — todo pasa por el túnel. El resto del tráfico ni lo toca. Lo bueno de esta arquitectura es que es completamente transparente para los dispositivos de tu red: no instalas nada en cada equipo, no cambias configuraciones de proxy, y funciona para todos los dispositivos conectados al gateway.

Si quieres llevar esto más lejos, hay dos extensiones naturales de este setup: combinar múltiples túneles VPN con failover en UniFi OS, y configurar Policy Based Routes manuales por IP en lugar de dominio (ambas guías, próximamente).

Lista de dominios configurados en el Content Wizard del VPN Client

Compartir Twitter LinkedIn

¿Necesitas ayuda con esto en producción?

Trabajo con FortiGate, Cisco y Microsoft de extremo a extremo: migraciones multi-vendor, troubleshooting que necesita un segundo par de ojos, y proyectos que crecen más de lo que parecían.

Hablemos de tu escenario →

Seguir leyendo

  1. Cómo bloquear la autenticación heredada en Microsoft Entra ID (Guía 2026)

    Bloquea la autenticación heredada en Microsoft Entra ID con Conditional Access: reporte previo, cuenta de emergencia, modo report-only y activación. Guía 2026.

    · 15 min de lectura microsoft iam

  2. Cómo verificar un túnel IPsec en FortiGate por CLI (FortiOS 7.4.4)

    Guía práctica para diagnosticar túneles IPsec en FortiGate por CLI con FortiOS 7.4.4. Comandos diagnose vpn ike, sniffer, y errores comunes con Cisco ASA.

    · 9 min de lectura fortigate troubleshoot