- Arquitectura simple i xifrat modern: claus per peer i AllowedIPs per encaminament.
- Instal·lació ràpida a Linux i apps oficials per a escriptori i mòbil.
- Rendiment superior a IPsec/OpenVPN, amb roaming i baixa latència.
Si busques una VPN que sigui ràpida, segura i senzilla de desplegar, WireGuard és del millor que pots fer servir avui. Amb un disseny minimalista i criptografia moderna, és ideal per a usuaris domèstics, professionals i entorns corporatius, tant en equips com en mòbils i routers.
En aquesta guia pràctica trobaràs des dels fonaments fins a la configuració avançada: instal·lació a Linux (Ubuntu/Debian/CentOS), claus, fitxer del servidor i del client, reenviament IP, NAT/Firewall, aplicacions a Windows/macOS/Android/iOS, túnels dividits, rendiment, solució de problemes, i compatibilitat amb plataformes com OPNsense, pfSense, QNAP, Mikrotik o Teltonika.
Què és WireGuard i per què escollir-lo?
WireGuard és un protocol i programari de VPN de codi obert pensat per crear túnels xifrats L3 sobre UDP. Destaca davant OpenVPN o IPsec per la seva simplicitat, rendiment i menor latència, recolzant-se en algorismes moderns com Curve25519, ChaCha20-Poly1305, BLAKE2, SipHash24 i HKDF.
La seva base de codi és molt reduïda (al voltant d'unes milers de línies), cosa que facilita auditories, redueix superfície d'atac i millora el manteniment. A més, està integrat al kernel de Linux, cosa que permet altes taxes de transferència i resposta àgil fins i tot en maquinari modest.
És multiplataforma: hi ha apps oficials per a Windows, macOS, Linux, Android i iOS, i suport en sistemes orientats a router/firewall com OPNsense. També està disponible en entorns com ara FreeBSD, OpenBSD o plataformes NAS i virtualització.
Com funciona per dins
WireGuard estableix un túnel xifrat entre parells (parells) identificats per claus. Cada dispositiu genera un parell de claus (privada/pública) i comparteix únicament el vostre clau pública amb l'altre extrem; a partir d?aquí, tot el trànsit circula xifrat i autenticat.
la directiva IPs permesos defineix tant l'encaminament sortint (quin trànsit ha d'anar pel túnel) com la llista d'orígens vàlids que acceptarà el peer remot després de desxifrar correctament un paquet. Aquest enfocament es coneix com Enrutament de criptografia i simplifica molt la política de trànsit.
WireGuard és excel·lent amb el Roaming: si canvieu la IP del vostre client (per exemple, salts de Wi-Fi a 4G/5G), la sessió es restableix de forma transparent i molt ràpida. També és compatible amb kill‑switch per bloquejar el trànsit fora del túnel si la VPN cau.
Instal·lació a Linux: Ubuntu/Debian/CentOS
A Ubuntu, WireGuard és als repos oficials. Actualitza paquets i després instal·la el programari per disposar del mòdul i les eines wg i wg-quick.
apt update && apt upgrade -y
apt install wireguard -y
modprobe wireguardA Debian estable pots recolzar-te en repos de branca inestable si ho necessites, seguint el mètode recomanat i amb cura en producció:
sudo sh -c 'echo deb https://deb.debian.org/debian/ unstable main > /etc/apt/sources.list.d/unstable.list'
sudo sh -c 'printf "Package: *\nPin: release a=unstable\nPin-Priority: 90\n" > /etc/apt/preferences.d/limit-unstable'
sudo apt update
sudo apt install wireguardA CentOS 8.3 el flux és similar: actives repos EPEL/ElRepo si cal i després instal·les el paquet de WireGuard i mòduls corresponents.
Generació de claus
Cada peer ha de tenir la seva parell clau privada/pública. Aplica umask per restringir permisos i genera les claus per al servidor i els clients.
umask 077
wg genkey | tee privatekey | wg pubkey > publickeyRepeteix a cada dispositiu. Mai comparteixis la clau privada i guarda totes dues de forma segura. Si ho preferiu, creeu fitxers amb noms diferenciats, per exemple clauprivadaservidor y claupublicaservidor.
Configuració de servidor
Crea el fitxer principal a /etc/wireguard/wg0.conf. Assigna una subxarxa de la VPN (no usada a la teva LAN real), el port UDP i afegeix un bloc [Company] per client autoritzat.
[Interface]
Address = 10.0.0.1/24
ListenPort = 51820
PrivateKey = <clave_privada_servidor>
# Cliente 1
[Peer]
PublicKey = <clave_publica_cliente1>
AllowedIPs = 10.0.0.2/32També podeu utilitzar una altra subxarxa, per exemple 192.168.2.0/24, i créixer amb múltiples peers. Per a desplegaments ràpids és habitual emprar wg-quick amb fitxers wgN.conf.
Configuració de el client
Al client crea un fitxer, per exemple wg0-client.conf, amb la vostra clau privada, adreça de túnel, DNS opcional i el peer del servidor amb el seu endpoint públic i port.
[Interface]
PrivateKey = <clave_privada_cliente>
Address = 10.0.0.2/24
DNS = 8.8.8.8
[Peer]
PublicKey = <clave_publica_servidor>
Endpoint = <ip_publica_servidor>:51820
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 25Si poses AllowedIPs = 0.0.0.0/0 tot el trànsit sortirà per la VPN; si només vols arribar a xarxes concretes del servidor, limita a les subxarxes necessàries i reduiràs latència i consum.
Reenviament d'IP i NAT al servidor
Activa el reenviament perquè els clients tinguin sortida a Internet a través del servidor. Aplica els canvis al vol amb sysctl.
echo 'net.ipv4.ip_forward=1' >> /etc/sysctl.conf
echo 'net.ipv6.conf.all.forwarding=1' >> /etc/sysctl.conf
sysctl -pConfigura NAT amb iptables per a la subxarxa de la VPN, ajustant la interfície WAN (per exemple, eth0):
iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o eth0 -j MASQUERADEFes-ho persistent amb els paquets adequats i guarda regles perquè s'apliquin en reiniciar el sistema.
apt install -y iptables-persistent netfilter-persistent
netfilter-persistent saveArrencada i verificació
Aixequeu la interfície i habiliteu el servei perquè arrenqui amb el sistema. Aquest pas crea la interfície virtual i afegeix rutes necessàries.
systemctl start wg-quick@wg0
systemctl enable wg-quick@wg0
wgAmb wg veureu els peers, claus, transferències i temps d'últim handshake. Si la vostra política de tallafocs és restrictiva, permet entrar per la interfície wg0 i el port UDP del servei:
iptables -I INPUT 1 -i wg0 -j ACCEPT
Apps oficials: Windows, macOS, Android i iOS
A l'escriptori pots importar un fitxer .conf. A mòbils, l'app permet crear la interfície a partir d'un codi QR que contingui la configuració; resulta comodíssim per a clients no tècnics.
Si el teu objectiu és exposar serveis autoallotjats com Plex/Radarr/Sonarr a través del teu VPN, només cal assignar IPs a la subxarxa de WireGuard i ajustar AllowedIPs perquè el client arribi a aquesta xarxa; no necessites obrir ports addicionals a l'exterior si tot l'accés és pel túnel.
Avantatges i desavantatges
WireGuard és molt ràpid i simple, però convé considerar-ne els límits i les particularitats segons el cas d'ús. Aquí tens una visió equilibrada amb el més rellevant.
| Avantatges | Desavantatges |
|---|---|
| Configuració clara i curta, ideal per automatitzar | No incorpora ofuscació nativa de trànsit |
| Alt rendiment i baixa latència fins i tot en mòbils | En alguns entorns legacy hi ha menys opcions avançades |
| Criptografia moderna i codi petit que facilita auditoria | Privadesa: associació d'IP/clau pública pot ser sensible segons polítiques |
| Roaming fluid i kill-switch disponibles en clients | Compatibilitat de tercers no sempre homogènia |
Split tunneling: dirigir només el necessari
El túnel dividit us permet enviar per la VPN únicament el trànsit que us interessa. Amb IPs permesos decideixes si fas redirecció total o selectiva cap a una o diverses subxarxes.
# Redirección completa de Internet
[Peer]
AllowedIPs = 0.0.0.0/0# Solo acceder a recursos de la LAN 192.168.1.0/24 por la VPN
[Peer]
AllowedIPs = 192.168.1.0/24Hi ha variants com el túnel dividit invers, filtrat per URL o per aplicació (a través d'extensions/clients específics), encara que la base nativa a WireGuard és el control per IP i prefixos.
Compatibilitat i ecosistema
WireGuard va néixer per al nucli Linux, però avui és multiplataforma. OPNsense ho integra de forma nativa; a pfSense hi va haver períodes de retirada temporal per auditories i posteriorment s'ha ofert com a paquet opcional segons versió.
A NAS com QNAP pots muntar-lo via QVPN o màquines virtuals, aprofitant NICs a 10GbE per altes velocitats. Routerboards Mikrotik incorporen suport WireGuard des de RouterOS 7.x; en les primeres iteracions va ser beta i no recomanable per a producció, però permet túnels P2P entre equips i fins i tot clients finals.
Fabricants com Teltonika disposen de paquet per afegir WireGuard als seus routers; si necessites equipament, pots adquirir-los a shop.davantel.com i seguir les guies del fabricant per instal·lar paquets extra.
Rendiment i latència
Gràcies al seu disseny minimalista i l'elecció d'algoritmes eficients, WireGuard aconsegueix velocitats molt altes i latències baixes, en general superiors a L2TP/IPsec i OpenVPN. En proves locals amb maquinari potent, la taxa real duplica amb freqüència a les alternatives, cosa que el fa ideal per streaming, jocs o VoIP.
Implementació corporativa i teletreball
A l'empresa, WireGuard encaixa per crear túnels entre seus, accés remot d'empleats i connexions segures entre CPD i núvol (per exemple, per a còpies de seguretat). La sintaxi concisa facilita el versionat i l'automatització.
S'integra amb directoris com a LDAP/AD mitjançant solucions intermèdies i pot conviure amb IDS/IPS o plataformes NAC. Una opció coneguda és PacketFence (codi obert), que permet verificar l'estat dels equips abans de concedir-hi accés i controlar BYOD.
Windows/macOS: notes i trucs
L'app oficial de Windows sol funcionar sense pegues, però en algunes versions de Windows 10 s'han vist incidències en fer servir AllowedIPs = 0.0.0.0/0 per conflictes de rutes. Com a alternativa temporal, alguns usuaris opten per clients basats en WireGuard com TunSafe o limitar AllowedIPs a subxarxes concretes.
Guia ràpida Debian amb claus d'exemple
Genera claus per a servidor i client a /etc/wireguard/ i crea la interfície wg0. Assegureu-vos que les IPs de la VPN no coincideixen amb altres de la vostra xarxa local o dels vostres clients.
cd /etc/wireguard/
wg genkey | tee claveprivadaservidor | wg pubkey > clavepublicaservidor
wg genkey | tee claveprivadacliente1 | wg pubkey > clavepublicacliente1Servidor wg0.conf amb subxarxa 192.168.2.0/24 i port 51820. Activa PostUp/PostDown si vols automatitzar NAT amb iptables en aixecar/tombar la interfície.
[Interface]
Address = 192.168.2.1/24
PrivateKey = <clave_privada_servidor>
ListenPort = 51820
#PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
#PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
[Peer]
PublicKey = <clave_publica_cliente1>
AllowedIPs = 0.0.0.0/0Client amb adreça 192.168.2.2, apuntant a l'endpoint públic del servidor i amb KeepAlive opcional si hi ha NAT intermedi.
[Interface]
PrivateKey = <clave_privada_cliente1>
Address = 192.168.2.2/32
[Peer]
PublicKey = <clave_publica_servidor>
AllowedIPs = 0.0.0.0/0
Endpoint = <ip_publica_servidor>:51820
#PersistentKeepalive = 25Aixeca la interfície i observa com es creen la MTU, rutes amb marca de fwmark i regles de política d'encaminament. Revisa la sortida de wg-quick i l'estat amb wg show.
Mikrotik: túnel entre RouterOS 7.x
Mikrotik ofereix suport de WireGuard des de RouterOS 7.x. Crea una interfície WireGuard a cada router, aplica i es generaran automàticament claus. Assigna IPs a Ether2 com a WAN ia wireguard1 com a interfície de túnel.
Configura els peers creuant la clau pública del servidor al costat client i viceversa, defineix Allowed Address/AllowedIPs (per exemple 0.0.0.0/0 si vols permetre qualsevol origen/destinació pel túnel) i estableix l'endpoint remot amb el port. Un ping a la IP del túnel remot confirmarà el encaixada de mans.
Si connectes mòbils o ordinadors al túnel de Mikrotik, ajusta amb precisió les xarxes permeses per no obrir més del compte; WireGuard decideix el flux de paquets segons el vostre Enrutament de criptografia, així que és important quadrar orígens i destinacions.
Criptografia utilitzada
WireGuard empra un conjunt modern: Noise com framework, Curve25519 per a ECDH, ChaCha20 per a xifrat simètric autenticat amb Poly1305, BLAKE2 per a hashing, SipHash24 per a taules hash i HKDF per a derivació de claus. Si es deprecia un algorisme, el protocol es pot versionar per migrar de manera transparent.
Pros i contres al mòbil
Usar-lo en smartphones permet navegar segur a Wi‑Fi públiques, amagar trànsit a l'ISP i connectar-te a la teva xarxa domèstica per accedir a NAS, domòtica o jocs. A iOS/Android el canvi de xarxa no tomba el túnel, cosa que millora l'experiència.
Com a contres, arrossegues una mica de pèrdua de velocitat i més latència respecte a sortida directa, i depenes que el servidor estigui sempre disponible. Tot i així, davant d'IPsec/OpenVPN la penalització sol ser menor.
WireGuard combina simplicitat, velocitat i seguretat real amb una corba d'aprenentatge amable: instal·les, generes claus, defineixes AllowedIPs i estàs llest. Si sumes reenviament IP, NAT ben aplicat, apps oficials amb QR, i compatibilitat amb ecosistemes com OPNsense, Mikrotik o Teltonika, tens una VPN moderna per a gairebé qualsevol escenari, des d'assegurar xarxes públiques fins a connectar seus i accedir als teus serveis casolans sense mals de cap.
Redactor especialitzat en temes de tecnologia i internet amb més de deu anys d'experiència a diferents mitjans digitals. He treballat com a editor i creador de continguts per a empreses de comerç electrònic, comunicació, màrqueting en línia i publicitat. També he escrit a webs d'economia, finances i altres sectors. La meva feina és també la meva passió. Ara, a través dels meus articles a Tecnobits, intento explorar totes les novetats i noves oportunitats que el món de la tecnologia ens ofereix dia a dia per millorar les nostres vides.