Si un VPN habitual convierte todo el tráfico doméstico en «túnel y punto», Podkop actúa con más precisión. Sólo pasa por el túnel los dominios y subredes necesarios, y no interfiere con el resto del tráfico. Como resultado, los bancos no se quejan, los servicios de streaming no aplican sorpresas regionales y el ping en los juegos se mantiene normal. Y lo más agradable: todo esto funciona en el propio router, por lo que teléfonos y televisores no necesitan configurar ni instalar nada.
Podkop fue ideado como una capa transparente entre tus dispositivos e Internet. Añades listas de dominios, eliges adónde dirigirlos, y él se encarga del DNS, decide qué va por dónde y mantiene varias «ramas» independientes. Suena a magia, pero en la práctica es una combinación bien pensada de herramientas de red modernas. Ese enfoque es justo lo que necesitan quienes están cansados del dilema eterno de activar VPN en todas partes o en ninguna.
En esta reseña analizaremos cómo está diseñado Podkop, qué puede hacer, con qué túneles es compatible, cómo instalarlo en OpenWrt y para qué escenarios realmente resuelve problemas. De paso mostraré pequeños matices para evitar errores comunes.
Qué es Podkop y a quién le sirve
Podkop es una herramienta de código abierto para OpenWrt que se instala en el router y asume la responsabilidad de la enrutación puntual. La idea es simple: gestionas recursos destino, no los dispositivos. Los dominios y subredes necesarios van al túnel o proxy seleccionado, y el resto del tráfico sigue en directo. Así se obtiene una capa cómoda entre la red doméstica e Internet sin tener que crear perfiles en cada aparato.
A quién beneficia. Usuarios domésticos que quieren que bancos, servicios gubernamentales y recursos locales se abran sin pasar por el túnel, mientras que redes sociales, mensajería, ciertos servicios de streaming y herramientas de desarrollo usen proxy o VPN. Jugadores, para enrutar solo servicios problemáticos sin subir el ping de todo el tráfico. Familias donde televisores, consolas y portátiles deben «simplemente funcionar» sin configurar VPN por dispositivo.
A diferencia del clásico «activar todo el tráfico por VPN», Podkop gestiona las direcciones con flexibilidad. Puedes ajustar listas, excepciones y diferentes rutas para distintas tareas. Por ejemplo, enviar YouTube a un túnel, herramientas de trabajo a otro y dejar el resto tranquilo. Esto ahorra tiempo, nervios y dinero en suscripciones adicionales.
Es importante entender: Podkop no es un proveedor de VPN ni una «botón mágico». Organiza un esquema de enrutamiento sobre tu túnel o proxy. De dónde obtener el túnel es otro asunto: sirve WireGuard, AmneziaWG, OpenVPN, OpenConnect, VLESS y Shadowsocks en modo proxy. Si ya tienes un túnel, Podkop lo integrará de forma ordenada.
Cómo funciona internamente y qué modos están disponibles
Debajo del capó, Podkop usa el motor moderno sing-box y la tecnología FakeIP. El primero realiza enrutamiento inteligente por reglas; el segundo ayuda a mapear dominios e IP de forma transparente para dirigir correctamente los flujos. Desde fuera todo parece sencillo: gestionas modos y listas desde LuCI o un archivo de configuración, y ves cómo el tráfico se clasifica en las «cajas» correspondientes sin complicaciones.
Hay tres modos. Proxy, VPN y Block. En Proxy se soportan VLESS y Shadowsocks; se puede pegar un enlace de conexión, usar un outbound ya definido en la configuración o conectar varias fuentes con conmutación automática por latencia. En VPN se selecciona una interfaz ya levantada: sirven WireGuard, AmneziaWG, OpenVPN, OpenConnect y cualquier túnel compatible. Block sirve para bloquear explícitamente dominios o subredes desde sing-box, útil para «limpiar» tráfico no deseado.
Las listas son de dos tipos. Las «community» listas preparadas y las personalizadas. Las preparadas cubren escenarios populares, desde geobloqueos hasta grandes plataformas; se pueden activar subpaquetes necesarios y excluir los polémicos. Las propias se añaden en formato de dominios, subdominios o subredes; se admiten archivos locales, suscripciones remotas y también archivos compactos rule-set. Es práctico para trabajo en equipo o edición fuera del router.
Para que esto no acabe siendo «un túnel para todo», Podkop dispone de secciones. Una sección es un conjunto separado de reglas y asignaciones. En la práctica puede ser: una sección manda geobloqueos a un proxy europeo, otra lleva YouTube a un servidor WireGuard local, y una tercera envía herramientas generativas a un Shadowsocks distinto. El número de secciones no está limitado; lo importante es no enredarse con prioridades y suscripciones.
El DNS juega un papel decisivo. Podkop se encarga del resolvimiento, soporta DoH, DoT y UDP habitual, y para modos VPN permite Split DNS. Esto significa que las consultas a dominios de tus listas pueden resolverse por el DNS elegido dentro del túnel, mientras que el resto se atiende con el resolutor habitual. Ese enfoque reduce comportamientos extraños, baja la probabilidad de fallos y ofrece un resultado predecible.
Instalación en OpenWrt y configuración básica
Los requisitos del sistema son razonables. Se necesita una instalación estándar de OpenWrt de la rama actual, espacio libre para dependencias y el paquete, y que la hora y el DNS del router funcionen correctamente. Podkop se instala bien mediante un script automático o manualmente desde los lanzamientos. La opción automática es más cómoda; las actualizaciones llegan del mismo modo y, si hace falta, se puede revertir a una versión compatible para firmwares más antiguos.
El procedimiento es directo. Actualiza las listas de paquetes en OpenWrt, ejecuta el script de instalación en la consola del router y espera a que se instalen sing-box y la interfaz web. Entonces aparece en LuCI el apartado Services con el módulo Podkop. Solo queda crear el túnel o proxy y asociar las listas con la salida correspondiente. Toda la configuración se hace en unos pocos campos; es mucho más sencillo que montar reglas manuales en nftables.
Si usas AmneziaWG, sus paquetes se instalan aparte. Hay un script automático y, tras la instalación, en LuCI aparecerá el protocolo correspondiente. Es importante desactivar la ruta «todo el tráfico por el túnel» dentro de la configuración de AmneziaWG para que Podkop pueda gestionar las direcciones. Después, AWG se conecta en Podkop como una interfaz más y participa en los esquemas junto a WG, OpenVPN y otros.
Algunos matices que suelen olvidarse. No instales en el mismo router paquetes DNS conflictivos, por ejemplo https-dns-proxy, ya que sobrescribe la configuración y perturba tproxy. Los scripts externos tipo «getdomains» también es mejor eliminarlos: Podkop genera la configuración de sing-box y gestiona sus propias listas. Antes de actualizar OpenWrt detén correctamente el servicio Podkop y guarda la configuración; así evitarás sorpresas con el DNS tras el arranque.
Lista de verificación rápida para la instalación y el primer arranque
- Actualiza OpenWrt a la rama actual, comprueba espacio libre y la hora del sistema
- Instala Podkop mediante el script automático o con los paquetes del release
- Levanta tu túnel o añade el proxy, verifica que la interfaz sube y transmite tráfico
- En Podkop activa las listas community necesarias y añade tus listas de dominios y subredes si procede
- Asocia secciones con las salidas correspondientes, activa Split DNS para modos VPN, verifica el resolvimiento y las rutas
Práctica. Escenarios, ventajas y precauciones
Modo doméstico. El caso más común: dejar los servicios críticos y bancos en acceso directo y encaminar el resto por listas. Para ello se activan las listas «preparadas», se añaden dominios propios y un par de excepciones; luego se asignan salidas en las secciones. En televisores y consolas suele bastar con redirigir unas cuantas plataformas de streaming, sin olvidar sus CDN y subredes. Cuando todo está listo, la familia deja de preguntar por qué «no abre hoy» o «el vídeo va lento».
Juegos. Aquí el coste de pasar por túnel se nota más. La idea es que los juegos vayan directos y los servicios auxiliares y de comunicación puedan ir por proxy. Para Discord y la voz conviene añadir no solo dominios sino también subredes, así se evitan problemas silenciosos con llamadas y salas. En definitiva el ping queda bajo control y las plataformas necesarias no topan con bloqueos regionales.
Trabajo y estudio. Muchas empresas usan VPN corporativa; en el router doméstico eso suele chocar con un túnel «universal» para todo. Podkop permite separar el tráfico: dominios y subredes de trabajo van al túnel corporativo, servicios personales y ocio siguen rutas distintas. El router se convierte en un gestor discreto que no molesta ni altera a nadie.
Posibles fallos. Las causas más comunes: firmware OpenWrt desactualizado, fecha y hora rotas en el router, paquetes DNS en conflicto, intentar que un script externo y Podkop gestionen el tráfico a la vez. A veces los DNS cifrados generan ruido; ayuda pasar a Split DNS para los túneles y UDP para el resto. Otro consejo: al actualizar, revisa la configuración y la caché de LuCI, ya que algunos cambios menores de interfaz requieren confirmar ajustes manualmente.
Resumen de ventajas y limitaciones
- Enrutamiento puntual a nivel del router, sin tocar los dispositivos
- Varias secciones independientes, útil para separar direcciones
- Listas preparadas y soporte de suscripciones propias, fácil de ampliar
- Split DNS, funcionamiento tranquilo del resolvimiento sin magia
- Dependencia del buen estado de OpenWrt y disciplina con los paquetes; es importante no instalar todo a la vez
Resumen rápido de los modos
| Modo | Propósito | Qué configuramos |
|---|---|---|
| Proxy | Enrutamiento mediante VLESS o Shadowsocks | Enlace de conexión, conjunto de enlaces con prueba automática, o un outbound propio |
| VPN | Enrutamiento a una interfaz levantada | WireGuard, AmneziaWG, OpenVPN, OpenConnect, resolutor de dominios |
| Block | Bloqueo explícito de dominios o subredes no deseadas | Listas de dominios y CIDR, prioridades de secciones |
