Guía completa de WireGuard: instalación, claves e configuración avanzada

Se estás buscando un VPN que sexa rápido, seguro e doado de despregar, WireGuard É o mellor que podes usar hoxe en día. Cun deseño minimalista e criptografía moderna, é ideal para usuarios domésticos, profesionais e entornos corporativos, tanto en ordenadores como en dispositivos móbiles e routers.

Nesta guía práctica atoparás de todo, dende o básico ata o máis básico Configuración avanzadaInstalación en Linux (Ubuntu/Debian/CentOS), claves, ficheiros de servidor e cliente, reenvío de IP, NAT/cortafogos, aplicacións en Windows/macOS/Android/iOS, dividir o túnel, rendemento, resolución de problemas e compatibilidade con plataformas como OPNsense, pfSense, QNAP, Mikrotik ou Teltonika.

Que é WireGuard e por que elixilo?

WireGuard é un protocolo e software VPN de código aberto deseñado para crear Túneles cifrados L3 sobre UDPDestaca en comparación con OpenVPN ou IPsec pola súa simplicidade, rendemento e menor latencia, baseándose en algoritmos modernos como Curva25519, ChaCha20-Poly1305, BLAKE2, SipHash24 e HKDF.

A súa base de código é moi pequena (arredor de miles de liñas), o que facilita as auditorías, reduce a superficie de ataque e mellora o mantemento. Tamén está integrado no kernel de Linux, o que permite altas taxas de transferencia e resposta áxil mesmo en hardware modesto.

 

É multiplataforma: existen aplicacións oficiais para Windows, macOS, Linux, Android e iOSe compatibilidade con sistemas orientados a enrutadores/cortafogos como OPNsense. Tamén está dispoñible para entornos como FreeBSD, OpenBSD e plataformas NAS e de virtualización.

Como funciona por dentro

 

WireGuard establece un túnel cifrado entre pares (pares) identificados por claves. Cada dispositivo xera un par de claves (privada/pública) e comparte só as súas chave pública co outro extremo; desde alí, todo o tráfico está cifrado e autenticado.

Directiva IP permitidas Define tanto o enrutamento de saída (que tráfico debe pasar polo túnel) como a lista de fontes válidas que o par remoto aceptará despois de descifrar correctamente un paquete. Esta estratexia coñécese como Enrutamento de Cryptokey e simplifica enormemente a política de tráfico.

WireGuard é excelente co Itinerancia- Se o enderezo IP do teu cliente cambia (por exemplo, se pasas de Wi-Fi a 4G/5G), a sesión restablécese de forma transparente e moi rápida. Tamén admite interruptor de apagado para bloquear o tráfico que sae do túnel se a VPN cae.

Instalación en Linux: Ubuntu/Debian/CentOS

En Ubuntu, WireGuard está dispoñible nos repositorios oficiais. Actualiza os paquetes e despois instala o software para obter o módulo e as ferramentas. wg e wg-rápido.

apt update && apt upgrade -y
apt install wireguard -y
modprobe wireguard

En Debian estable podes confiar en repositorios de ramas inestables se o necesitas, seguindo o método recomendado e con coidado na produción:

sudo sh -c 'echo deb https://deb.debian.org/debian/ unstable main > /etc/apt/sources.list.d/unstable.list'
sudo sh -c 'printf "Package: *\nPin: release a=unstable\nPin-Priority: 90\n" > /etc/apt/preferences.d/limit-unstable'
sudo apt update
sudo apt install wireguard

En CentOS 8.3 o fluxo é semellante: activas os repositorios EPEL/ElRepo se é necesario e despois instalas o paquete. WireGuard e os módulos correspondentes.

Xeración de claves

Cada compañeiro debe ter o seu propio par de chaves privadas/públicasAplicar umask para restrinxir os permisos e xerar claves para o servidor e os clientes.

umask 077
wg genkey | tee privatekey | wg pubkey > publickey

Repetir en cada dispositivo. Nunca compartir o chave privada e garda ambos de forma segura. Se o prefires, crea ficheiros con nomes diferentes, por exemplo servidor de claves privadas y clave de servidor público.

Configuración do servidor

Crea o ficheiro principal en /etc/wireguard/wg0.confAsigna unha subrede VPN (que non se use na túa LAN real), o porto UDP e engade un bloque. [Iguais] por cliente autorizado.

[Interface]
Address = 10.0.0.1/24
ListenPort = 51820
PrivateKey = <clave_privada_servidor>

# Cliente 1
[Peer]
PublicKey = <clave_publica_cliente1>
AllowedIPs = 10.0.0.2/32

Tamén podes usar outra subrede, por exemplo 192.168.2.0/24e medrar con varios pares. Para despregamentos rápidos, é común usar wg-rápido cos ficheiros wgN.conf.

Configuración do cliente

No cliente crea un ficheiro, por exemplo wg0-client.conf, coa súa clave privada, enderezo do túnel, DNS opcional e o punto de acceso do servidor co seu punto final e porto públicos.

[Interface]
PrivateKey = <clave_privada_cliente>
Address = 10.0.0.2/24
DNS = 8.8.8.8

[Peer]
PublicKey = <clave_publica_servidor>
Endpoint = <ip_publica_servidor>:51820
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 25

Se poñes IP permitidas = 0.0.0.0/0 Todo o tráfico pasará pola VPN; se só queres acceder a redes de servidores específicas, limítao ás subredes necesarias e reducirás latencia e o consumo.

Reenvío de IP e NAT no servidor

Activa o reenvío para que os clientes poidan acceder a Internet a través do servidor. Aplica os cambios sobre a marcha con sysctl.

echo 'net.ipv4.ip_forward=1' >> /etc/sysctl.conf
echo 'net.ipv6.conf.all.forwarding=1' >> /etc/sysctl.conf
sysctl -p

Configura NAT con iptables para a subrede VPN, definindo a interface WAN (por exemplo, eth0):

iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o eth0 -j MASQUERADE

Facelo persistente cos paquetes axeitados e gardar as regras para aplicalas ao reiniciar o sistema.

apt install -y iptables-persistent netfilter-persistent
netfilter-persistent save

Arranque e verificación

Abre a interface e activa o servizo para que se inicie co sistema. Este paso crea a interface virtual e engade rutas necesario.

systemctl start wg-quick@wg0
systemctl enable wg-quick@wg0
wg

con wg Verás os pares, as claves, as transferencias e as horas do último handshake. Se a túa política de firewall é restritiva, permite a entrada a través da interface. wg0 e o porto UDP do servizo:

iptables -I INPUT 1 -i wg0 -j ACCEPT

Aplicacións oficiais: Windows, macOS, Android e iOS

No escritorio podes importar un ficheiro .confEn dispositivos móbiles, a aplicación permíteche crear a interface a partir dun QR code que contén a configuración; é moi cómodo para clientes non técnicos.

Se o teu obxectivo é expoñer servizos autoaloxados como Plex/Radarr/Sonarr A través da túa VPN, simplemente asigna IPs na subrede de WireGuard e axusta AllowedIPs para que o cliente poida acceder a esa rede; non necesitas abrir portos adicionais cara ao exterior se todo o acceso é a través de túnel.

Vantaxes e inconvenientes

WireGuard é moi rápido e sinxelo, pero é importante ter en conta as súas limitacións e especificidades dependendo do caso de uso. Aquí tes unha visión xeral equilibrada dos máis relevante.

Vantaxe	Desvantaxes
Configuración clara e breve, ideal para a automatización	Non incorpora a ofuscación do tráfico nativo
Alto rendemento e baixa latencia mesmo en móbil	Nalgúns entornos herdados hai menos opcións avanzadas
Criptografía moderna e código pequeno que o facilita auditar	Privacidade: a asociación de IP/clave pública pode ser confidencial dependendo das políticas
Roaming sen interrupcións e interruptor de apagado dispoñibles nos clientes	A compatibilidade con terceiros non sempre é homoxénea

 

Túnel dividido: dirixir só o necesario

A tunelización dividida permíteche enviar só o tráfico que necesitas a través da VPN. Con IP permitidas Vostede decide se quere facer un redireccionamento completo ou selectivo a unha ou máis subredes.

# Redirección completa de Internet
[Peer]
AllowedIPs = 0.0.0.0/0

# Solo acceder a recursos de la LAN 192.168.1.0/24 por la VPN
[Peer]
AllowedIPs = 192.168.1.0/24

Existen variantes como a tunelización por división inversa, filtrada por URL ou por aplicación (a través de extensións/clientes específicos), aínda que a base nativa en WireGuard é o control por IP e prefixos.

Compatibilidade e ecosistema

WireGuard naceu para o kernel de Linux, pero hoxe é... plataforma cruzadaOPNsense intégrao de forma nativa; pfSense foi descontinuado temporalmente para auditorías e, posteriormente, ofreceuse como un paquete opcional dependendo da versión.

En NAS como QNAP, podes montalo mediante QVPN ou máquinas virtuais, aproveitando as NIC de 10 GbE para altas velocidadesAs placas de enrutador MikroTik incorporaron compatibilidade con WireGuard desde RouterOS 7.x; nas súas primeiras versións, estaba en fase beta e non se recomendaba para a produción, pero permite túneles P2P entre dispositivos e mesmo clientes finais.

Fabricantes como Teltonika teñen un paquete para engadir WireGuard aos seus routers; se precisas equipos, podes mercalos en tenda.davantel.com e siga as instrucións do fabricante para a instalación paquetes extra.

Rendemento e latencia

Grazas ao seu deseño minimalista e á escolla de algoritmos eficientes, WireGuard alcanza velocidades moi altas e baixas latencias, xeralmente superior a L2TP/IPsec e OpenVPN. En probas locais con hardware potente, a taxa real adoita ser o dobre que a das alternativas, o que a fai ideal para transmisión, xogos ou VoIP.

Implementación corporativa e teletraballo

Na empresa, WireGuard é axeitado para crear túneles entre oficinas, acceso remoto de empregados e conexións seguras entre CPD e nube (por exemplo, para copias de seguridade). A súa sintaxe concisa facilita o control de versións e a automatización.

Intégrase con directorios como LDAP/AD empregando solucións intermedias e pode coexistir con plataformas IDS/IPS ou NAC. Unha opción popular é PacketFence (de código aberto), que permite verificar o estado dos equipos antes de conceder acceso e controlar o BYOD.

Windows/macOS: Notas e consellos

A aplicación oficial de Windows normalmente funciona sen problemas, pero nalgunhas versións de Windows 10 houbo problemas ao usala IP permitidas = 0.0.0.0/0 debido a conflitos de rutas. Como alternativa temporal, algúns usuarios optan por clientes baseados en WireGuard como TunSafe ou limitando AllowedIPs a subredes específicas.

Guía de inicio rápido de Debian con claves de exemplo

Xerar claves para o servidor e o cliente en /etc/wireguard/ e crea a interface wg0. Asegúrate de que os enderezos IP da VPN non coincidan con ningún outro enderezo IP da túa rede local ou dos teus clientes.

cd /etc/wireguard/
wg genkey | tee claveprivadaservidor | wg pubkey > clavepublicaservidor
wg genkey | tee claveprivadacliente1 | wg pubkey > clavepublicacliente1

Servidor wg0.conf coa subrede 192.168.2.0/24 e o porto 51820. Activa PostUp/PostDown se queres automatizar NAT con iptables ao activar/desactivar a interface.

[Interface]
Address = 192.168.2.1/24
PrivateKey = <clave_privada_servidor>
ListenPort = 51820
#PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
#PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

[Peer]
PublicKey = <clave_publica_cliente1>
AllowedIPs = 0.0.0.0/0

Cliente co enderezo 192.168.2.2, apuntando ao punto final público do servidor e con manter vivo opcional se existe unha NAT intermedia.

[Interface]
PrivateKey = <clave_privada_cliente1>
Address = 192.168.2.2/32

[Peer]
PublicKey = <clave_publica_servidor>
AllowedIPs = 0.0.0.0/0
Endpoint = <ip_publica_servidor>:51820
#PersistentKeepalive = 25

Abra a interface e observe como aparecen a MTU, as marcas da ruta e marca de fw e regras de política de enrutamento. Revisa a saída e o estado de wg-quick con espectáculo wg.

Mikrotik: túnel entre RouterOS 7.x

MikroTik admite WireGuard desde RouterOS 7.x. Crea unha interface WireGuard en cada enrutador, aplícaa e xerarase automaticamente. chavesAsignar IPs a Ether2 como WAN e a wireguard1 como interface de túnel.

Configura os pares cruzando a clave pública do servidor no lado do cliente e viceversa, define Enderezos permitidos/IPs permitidos (por exemplo 0.0.0.0/0 se queres permitir calquera orixe/destino a través do túnel) e define o punto final remoto co seu porto. Un ping ao enderezo IP do túnel remoto confirmará o aperto de man.

Se conectas teléfonos móbiles ou ordenadores ao túnel de Mikrotik, axusta as redes permitidas para que non se abran máis do necesario; WireGuard decide o fluxo de paquetes en función do teu Enrutamento de Cryptokey, polo que é importante facer coincidir as orixes e os destinos.

Criptografía empregada

WireGuard emprega un conxunto moderno de: Ruído como marco de traballo, Curve25519 para ECDH, ChaCha20 para cifrado simétrico autenticado con Poly1305, BLAKE2 para hashing, SipHash24 para táboas hash e HKDF para a derivación de chavesSe un algoritmo está obsoleto, pódese versionar o protocolo para migrar sen problemas.

Vantaxes e desvantaxes no móbil

Usalo en teléfonos intelixentes permíteche navegar con seguridade Wi-Fi pública, oculta o tráfico do teu ISP e conéctate á túa rede doméstica para acceder ao NAS, á domótica ou aos xogos. En iOS/Android, cambiar de rede non fai que pase o túnel, o que mellora a experiencia.

Como inconvenientes, arrastras certa perda de velocidade e maior latencia en comparación coa saída directa e dependes de que o servidor estea sempre dispoñibleNon obstante, en comparación con IPsec/OpenVPN, a penalización adoita ser menor.

WireGuard combina simplicidade, velocidade e seguridade real cunha curva de aprendizaxe suave: instálao, xera claves, define AllowedIPs e xa estás listo. Engade reenvío de IP, NAT ben implementado, aplicacións oficiais con códigos QR e compatibilidade con ecosistemas como OPNsense, Mikrotik ou Teltonika. unha VPN moderna para case calquera escenario, desde protexer redes públicas ata conectar a sede e acceder aos servizos da túa casa sen dores de cabeza.