Buenas Nikita_
Hablar de "mejor Router para servidor VPN" es complicado por varias razones... y también por precio. Pero para entender todo esto un poco mejor hay que ponerse en situación. En cuanto entiendes bien los por mayores y menores, el resto es ver que merece la pena:
Por lo general, los Router llamemos "domésticos", escalan en funcionalidades/prestaciones de forma lineal. Es decir, que a medida que subes de gama, sube las prestaciones WIFI, las capacidades del SoC... y con ello de los potenciales servidores VPN.
Tener un servidor VPN en un Router no es un problema, pero hay que tener muy claro el precio a pagar (en todos los sentidos).
La mayor carga y complicación que posee un Router es enrutar, y sobre todo cuando tiene que hacer NAT, que en esencia cualquier router doméstico es lo que hace. Esto supone un esfuerzo muy grande para el hardware del Router, tanto que por lo general casi todos los SoC de los Router tienen en el propio hardware aceleradores para esto... o dicho de otro modo, componentes hardware que permiten acelerar el rendimiento de forma dramática de estas operaciones. En el mercado no es raro encontrar Router de 2, 3, 4... núcleos y a velocidades de mayores a veces de 1.5GHz!! Pues aun así eso se puede quedar corto sin los aceleradores NAT que incluyen. Esto es importante tenerlo siempre en mente, porque pasa algo parecido con las VPN.
Actualmente tenemos muchos protocolos VPN, pero si vamos a hablar de cosas decentes, y jamás recomendaría otra cosa, tan solo dos opciones: OpenVPN y WireGuard.
OpenVPN ha demostrado ser la mejor navaja suiza, altamente seguro, personalizable, compatible. WireGuard por otro lado es aun muy reciente, pero es una obra de ingeniería, creado de cero para velocidad/rendimiento, seguridad, simplicidad.
OpenVPN ha sido siempre la salvación, pero tenía/tiene un problema. Por lo general usa de cifrado AES-256, y esto es, como NAT, una carga enorme enorme de trabajo para el SoC. La carga es tan alta que en un Router doméstico normal intentar colocar un servidor OpenVPN con AES-256, te condena ha tener tasas de transferencia pequeñas, 20-40Mbps. Por qué? porque realizar AES256 al vuelo es costoso, ya no se trata de la capacidad de hacer NAT, que el Router tiene que seguir haciendo, sino que además ser capaz de realizar esas otras tareas.
La salvación de OpenVPN empezó a llegar con los SoC que poseían aceleración AES en su hardware, al igual que lo hacían con la aceleración NAT. Esto puede significar, por ejemplo, que un SoC sencillo con AES puede multiplicar la cifra de esos 20-40Mbps a 100, 200, 400Mbps. Pero claro, esto requiere no solo que el SoC usado implemente AES, sino que además el fabricante lo tenga habilitado (cuestiones de licencias).
WireGuard por otro lado tiene otro enfoque. Es infinitamente más ligero que OpenVPN y por lo general no usa AES, sino ChaCha20, que computacionalmente requiere mucha menos capacidad manteniendo la seguridad. Esto hace que WireGuard sea especialmente atractivo en dispositivos que no poseen aceleración AES... como Routers domésticos sin capacidades muy elevadas. Para hacernos una idea, un Router doméstico normal, sin AES, podría llegar sin mucho problema a 200-400Mbps, recordemos, sin un hardware específico para ello.
----
Ahora bien, hay que poner todo ello en conjunto. A día de hoy si se quiere versatilidad y algo bien asentado tendrías que irte a OpenVPN y un SoC con AES (generalmente gama alta) si la velocidad del túnel es esencial. Por supuesto, estos gama alta con suerte puedan tener acceso también a WireGuard, que muy probablemente pudiesen darte una tasa aun más alta de velocidad.
Para Rotuer más medianos, en cambio, WireGuard sería siempre la opción ganadora, como digo es una obra de arte, personalmente de las mejores cosas que le ha pasado a Linux desde hace años. Eso sí, el Router tiene que implementarlo.
A ello hay que tener en cuenta otra cuestión importante: NAT. Algunos Routers usan WireGuard ya, pero para hacerlo tienen que deshabilitar la aceleración NAT. Esto hace por ejemplo que un test en la red local pueda arrojar un valor muy alto, pero hacia fuera y sin NAT, el rendimiento puede ser muy pobre. Hay que tener cuidado como el fabricante usa WireGuard. NAT tb es un problema con OpenVPN, aunque por lo general dado que el principal problema de OpenVPN es si el SoC posee o no AES, NAT no suele ser mucho problema, el cuello de botella suele ser AES.
Aun hay más. Estamos teniendo en cuenta solo VPN/NAT. Los Router poseen multitud de otras funcionalidades, muchas de ellas sobre todo el tráfico que pasa por él. Por ejemplo, QoS. Tenemos cada vez líneas más rápidas, con Movistar tenemos 300 ó 1Gbps. Hacer QoS a 300Mbps cuesta, pero hace QoS a 1Gbps... es otro hueso duro de roer. Imagina hacer QoS mientras corres de forma permanente un túnel OpenVPN/WireGuard.
Bueno, creo que dejo más o menos claro cual es el "problema" en todo el asunto. El problema no radica ne la estabilidad de un tunel VPN, que a día de hoy la máxima estabilidad te lo daría WireGuard, sino el hardware capaz que tienes que poner si lo que quieres es una velocidad alta. Repito que llegar a 300Mbps por OpenVPN tienes que irte ya a un SoC con AES obligado. Quizás con WireGuard se pueda con algo más modesto. Hablar de tasas de 1Gbps... empieza a rascarte el bolsillo de verdad y poner un equipo que sea bastante más dedicado.
-----------
Opciones tienes muchas
Asus ha empezado a implementar WireGuard hace ya meses, aunque aun está por ver el rendimiento final que puede esperarse de su gama de entrada y media, incluso alta, para líneas de 1Gbps.
Linksys tiene algunos modelos interesantes, pero bastante caros. Fritbox/TPLink y algunos otros ni los miraba. Hablamos repito de buscar equipos que tengan un SoC por un lado bastante capaz, y por otro lado que el fabricante se quiera preocupar de implementar de forma correcta OpenVPN/WireGuard. En este aspecto quizás Asus lleva la delantera, aunque repito que para WireGuard aun hay que ver un poco más como termina la cosa.
Hablo siempre de marcas y equipos "domésticos". Por supuesto hay equipamientos mucho más capaces a todos los niveles.
El caso es que si quieres un gran rendimiento para un tunel 24/7, te vas a rascar bien el bolsillo :). WireGuard tiene aquí un gran futuro, queda por ver como lo van implementando. Aun tengo pendiente muchas pruebas que hacer en este aspecto para ver el desempeño real en muchos escenarios sobre mis dispositivos, por ahora muy prometedor todo frente a OpenVPN, pero... es pronto aun.
