Configurar el cliente VPN WireGuard en un router OpenWRT
Instrucciones paso a paso para proteger toda tu red doméstica mediante un túnel VPN.
WireGuard es un protocolo VPN moderno conocido por su alto rendimiento, configuración sencilla y cifrado robusto. Configurar WireGuard directamente en tu router OpenWRT te permite proteger todo el tráfico de tu red doméstica a través de una VPN sin tener que configurar cada dispositivo por separado. En esta guía te explicamos paso a paso cómo conectar tu router a un servidor VPN.
Conexión al router e instalación de los paquetes necesarios
Conéctate a tu router por SSH:
ssh root@192.168.1.1
Note
Sustituye la dirección IP por la dirección de tu router
Actualiza la lista de paquetes e instala WireGuard:
opkg update
opkg install wireguard-tools
Obtención del archivo de configuración
Descarga el archivo de configuración de WireGuard desde tu área de cliente.
El archivo tendrá un nombre similar a fnx-wg-79224.conf y contendrá los siguientes parámetros:
Configuración de la interfaz de red
Abre el archivo de configuración de red:
vi /etc/config/network
Añade las siguientes líneas al final del archivo, sustituyendo los valores entre llaves por los datos de tu archivo de configuración:
config interface 'wg0'
option proto 'wireguard'
option private_key '{PrivateKey}'
list addresses '{Address}'
list dns '{DNS_1}'
list dns '{DNS_2}'
config wireguard_wg0
option public_key '{PublicKey}'
option endpoint_host '{Endpoint_host}'
option endpoint_port '{Endpoint_port}'
list allowed_ips '{AllowedIPs}'
option preshared_key '{PresharedKey}'
option persistent_keepalive '{PersistentKeepalive}'
Guarda los cambios y cierra el archivo.
Note
En vi, pulsa Esc, luego escribe :wq y pulsa Enter.
Configuración de las reglas del cortafuegos
Abre el archivo de configuración del cortafuegos:
vi /etc/config/firewall
Añade las siguientes reglas al final del archivo:
config zone
option name 'wg'
option masq '1'
option output 'ACCEPT'
option forward 'REJECT'
option input 'REJECT'
option mtu_fix '1'
option network 'wg0'
config forwarding
option src 'lan'
option dest 'wg'
Estas reglas crean una zona de seguridad independiente para WireGuard y permiten el reenvío del tráfico desde tu red local (LAN) hacia el túnel VPN.
Guarda y cierra el archivo.
Reinicio de los servicios de red
Aplica los cambios reiniciando la red y el cortafuegos:
/etc/init.d/network restart
/etc/init.d/firewall restart
Espera entre 10 y 15 segundos a que los servicios se reinicien por completo.
Configuración del enrutamiento
Añade reglas de enrutamiento para redirigir todo el tráfico de internet a través de WireGuard:
ip route add 0.0.0.0/1 dev wg0
ip route add 128.0.0.0/1 dev wg0
Estos dos comandos juntos cubren todo el espacio de direcciones IPv4 y redirigen todo el tráfico a través de la interfaz wg0. El uso de dos rutas /1 en lugar de una única ruta /0 preserva la ruta predeterminada original, lo que mejora la estabilidad de la conexión.
Note
Estas reglas no se conservan tras reiniciar el router. Para aplicar las rutas automáticamente después del reinicio, añade estos comandos en /etc/rc.local antes de la línea exit 0.
Verificación de la conexión
Desde cualquier dispositivo conectado a tu router, abre un sitio de comprobación de IP en el navegador:
https://2ip.io
o ejecuta este comando desde el router:
curl who.fornex.host/ip
La dirección IP mostrada debe coincidir con la de tu servidor VPN, no con la IP real asignada por tu proveedor de internet.
¡Configuración completada! Todo el tráfico de los dispositivos conectados a tu router pasará ahora por el túnel VPN WireGuard cifrado.
Ayuda
¿Tienes dudas o necesitas ayuda? Escríbenos a través del sistema de tickets — siempre estamos aquí para ayudarte!