Usar la VPN Mullvad con MultiHop

Hace tiempo escribí sobre como instalar el programa de esta VPN, que para mi es la más fiable de todas las que he probado, en este artículo:

https://write.privacytools.io/jal/crear-una-cuenta-vpn-con-mullvad-en-linux

Aunque el artículo estaba enfocado a su instalación en GNU/Linux, en el caso de Windows (soporta desde Windows 7 en adelante) os será muy sencillo y no hace falta mucha explicación.

Aunque desde aquí debo decirte y recomendarte seriamente no usar Windows si buscas privacidad: instala GNU/Linux, al menos para tu uso exclusivo con Internet. Hoy en día es muy sencillo y te dará menos dolores de cabeza que Windows, te recomiendo para empezar Linux Mint.

Mullvad ha hecho últimamente todo más sencillo y ha añadido en el mismo programa ciertas características que anteriormente eran más complicadas de usar y era necesario echar mano de programas externos, como el uso de Shadowsocks para hacer de puente entre servidores y añadir el protocolo Wireguard en el mismo programa (esto último solo para GNU/Linux).

Aquí vamos a tratar el tema de Shadowsocks y por qué debes usarlo siempre con tu VPN. En un principio para evitar que tu ISP sepa el servidor de salida hacia Internet. Tu ISP siempre sabrá que te conectaste a un servidor de una VPN y que estás conectado mucho tiempo a él (en este caso sería el primero, el servidor puente o Shadowsocks).

Pero si usas Shadowsocks activado por defecto en el programa, primero la conexión va como siempre a tu ISP, luego el programa de Mullvad se conectará a este servidor puente de Shadowsocks y, desde él, hacia el servidor VPN que será visible para todo internet y con el que podrás navegar o usar cualquier servicio en la red.

La utilidad es obvia: si alguien rastrea lo que haces en internet hasta tu ISP y no usas Shadowsocks, alguna empresa puede pedir información de quien se conectó al servidor de esta VPN y cuanto tiempo, y si tu ISP da esta información (cosa que últimamente parece pasar mucho) pues sabrán fácilmente quien eres. Pero si todo lo que haces en internet lo haces desde el salto al segundo servidor (del que tu ISP no tiene conocimiento que te conectaste) entonces tu ISP y el que pidió esa información nunca sabrán que fuiste tu. Ellos saben que te conectaste al primer servidor y a partir de ahí todo fue encriptado hacia donde te conectaras, por lo tanto no saben de tu conexión al segundo servidor. Y Mullvad no guarda registros ni da información a nadie sin una orden judicial. E incluso si recibiera una orden judicial dirá que no guardó registros y la información que tiene es 0.

En su web detallan la configuración de los servidores Openvpn:

verb 0 log-append /dev/null

Para ello, sigue los pasos del artículo o enlace que te puse anteriormente más arriba si usas GNU/Linux, y en la misma web de Mullvad tienes información de como crearte una cuenta con un simple número pagando 5€ mensuales para luego descargar e instalar el programa en Windows (algún enlace está en inglés pero te será sencillo):

https://mullvad.net/es/account/

https://mullvad.net/es/guides/install-mullvad-app-windows/

Puedes usar tu cuenta en 5 dispositivos diferentes.

Ahora hablaremos de lo nuevo que Mullvad ha incluido en el programa.

Si en el menú del programa, elegimos la opción de Configuración Avanzadas, veremos que existe una opción llamada Modo puente o Bridge mode. Por defecto viene configurada en Automático, pero si queremos usar siempre este modo puente (que usa Shadowsocks) necesitamos cambiarle la opción a Activado. También es necesario que corteis toda comunicación si se cayera el servidor de la VPN momentáneamente, lo que suele llamarse un kill switch, por lo que debeis dejar esta opción activada: Bloquear cuando esté desconectado.

Os dejo un pantallazo de la app para que veais más clara la opción puente o con Shadowsocks y el resultado que te mostrará en pantalla:

Modo puente

Modo puente2

Como veis, entra primero a un servidor (Shadowsocks) y luego desde éste conecta a un servidor en Luxemburgo. A partir de ahí, cualquier web o servicio que useis recibirá la IP del servidor de Luxemburgo, nunca la IP del servidor Shadowsocks. Y vuestro ISP únicamente sabrá de la IP de Shadowsocks, por lo que no pueden investigar lo que hicisteis con la IP de Luxemburgo.

Aunque ya de por sí el programa trae la opción de cortar toda comunicación con internet en el caso de que se caiga la conexión con el servidor de la VPN (kill switch), no está de más que os asegureis aún más añadiendo la opción de Socks5 en vuestros programas. Es muy importante hacerlo en vuestro navegador (usa siempre Firefox para esto) y en vuestro programa qbittorrent (el que te recomiendo y del que hablaremos).

En Firefox es muy sencillo: en las Preferencias vas a la primera pestaña o General, y abajo del todo tendrás la Configuración de red. Pinchas en Configuración, señalas Configuración manual del proxy y ponemos el servidor socks5 de la VPN y su puerto (10.8.0.1 y 1080) donde dice Host SOCKS y señalamos también SOCKS v5. Y más abajo en esa ventana, señala también la opción DNS proxy usando SOCKS v5 (NO actives la pestaña que dice Activar DNS sobre HTTPS) y terminas con Aceptar.

Asimismo debes eliminar de tu navegador (Firefox) WebRTC. Para ello, pon en tu navegador about:config, dale a Aceptar para hacer cambios, y escribe en la ventana de arriba lo siguiente: media.peerconnection.enabled (sin espacios o no lo encontrará), y cambia su valor a False. Listo, ya quitaste la opción WebRTC de tu navegador. Esto hará que no se filtre tu IP real cuando usas tu navegador con javascript en ciertos sitios.

Para el programa qbittorrent ya hice un artículo explicando como usarlo y la opción que puedes añadir si usas una VPN. Echadle un vistazo en este enlace:

https://write.privacytools.io/jal/vpn-y-evitar-fugas-descargando-torrents

Pero en el caso que nos ocupa (cambiar también las otras opciones que puse en ese artículo, son importantes para tu privacidad), debeis buscar en las opciones del programa el Activar modo anónimo (normalmente dentro de la opción BitTorrent) y señalarlo, y asimismo configurar la IP y puerto socks5 (con el mismo de antes: 10.8.0.1 y 1080) dentro del apartado Conexión – Servidor proxy. Asimismo, en la pestaña Avanzado del programa, debes buscar tu adaptador de red y ponerlo en la opción Interfaz de red (es necesario reiniciar), que si usas Windows normalmente será el Adaptador TAP... que corresponda, y en el caso de GNU/Linux normalmente será tun0. Si no sabes cual es en Windows, mira en el Panel de Control y el apartado de Redes, ahí te saldrá el nombre del Adaptador TAP, que coincidirá con alguno de los que te ofrece qbittorrent.

De esta manera, al usar Mullvad su servidor Socks5 ÚNICAMENTE DENTRO DE LA VPN, si se cae la conexión del servidor VPN pues no enviará ni Firefox ni qbittorrent ninguna información, porque el servidor Socks5 tampoco funcionará. Y aparte, ya el mismo programa de Mullvad bloqueará internet, pero como en todo programa siempre puede haber algún bug, es mucho mejor hacerlo con doble seguridad.

Si aún usas Windows XP, no deberías arriesgarte a usar una VPN cuando todo el sistema está ya obsoleto y sin actualizaciones. Pero si aún así quieres hacerlo hay una solución algo más manual y hay que hacerlo sin el programa de Mullvad, únicamente con el programa original de Openvpn llamado Openvpn-gui. Si necesitas hacerlo así y aceptas el riesgo contacta conmigo y te diré como hacerlo, aunque no tendrás toda la seguridad anterior, únicamente la que te ofrece usar Socks5 en los programas, pero no podrás usar la opción Shadowsocks o servidor puente.

Espero que os sirva esta información y si teneis alguna pregunta ya sabeis donde contactarme.