Instalación y despliegue de WireGuard

1. Actualización del sistema

Antes de instalar cualquier componente, es necesario actualizar los repositorios y paquetes del sistema:

apt update
apt dist-upgrade -y

Descripción:

• apt update: Actualiza la lista de paquetes disponibles.
• apt dist-upgrade -y: Instala actualizaciones, gestionando dependencias automáticamente.

2. Instalación de dependencias

apt install wireguard iptables

Descripción:

• wireguard: Software VPN.
• iptables: Necesario para reglas de red y NAT.

3. Preparación del entorno

cd /etc/wireguard
mkdir keys
umask 077

Descripción:

• Se accede al directorio de configuración.
• Se crea un directorio para almacenar claves.
• umask 077: Restringe permisos (solo el propietario puede leer/escribir).

4. Habilitar el reenvío de IP

echo "net.ipv4.ip_forward = 1" > /etc/sysctl.d/99-wireguard.conf
sysctl -p /etc/sysctl.d/99-wireguard.conf

Descripción:

• Activa el forwarding IP necesario para enrutar tráfico entre redes.
• Se aplica la configuración sin reiniciar.

5. Generación de claves criptográficas

En /etcwireguard/keys/ generamos todas las claves.

Servidor

wg genkey | tee server_private.key | wg pubkey > server_public.key
cat server_private.key
cat server_public.key

Cliente

wg genkey | tee client_private.key | wg pubkey > client_public.key
cat client_private.key
cat client_public.key

Descripción:

• Se generan pares de claves (privada/pública) para servidor y cliente.
• Las claves privadas deben mantenerse seguras.

6. Configuración del servidor WireGuard

Editar el archivo:

vim /etc/wireguard/wg0.conf

Contenido:

[Interface]
PrivateKey = <TU_CLAVE_PRIVADA_SERVIDOR>
Address = 10.0.0.1/24
ListenPort = 51820
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE;
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE;


[Peer]
PublicKey = <CLAVE_PUBLICA_DEL_CLIENTE>
AllowedIPs = 10.0.0.2/32

Descripción:

[Interface]

• PrivateKey: Clave privada del servidor.
• Address: IP del túnel VPN.
• ListenPort: Puerto de escucha.

Reglas PostUp / PostDown

• Permiten el tráfico entre la VPN y la red interna (192.168.1.0/24).
• Aplican NAT (masquerading).

[Peer]

• Define el cliente autorizado.
• AllowedIPs: IP asignada al cliente dentro de la VPN.

7. Activación del servicio

systemctl enable wg-quick@wg0
systemctl start wg-quick@wg0

Descripción:

• enable: Arranque automático al iniciar el sistema.
• start: Inicia el túnel VPN.

8. Verificación del estado

Puedes comprobar que el túnel está activo con:

wg

o

systemctl status wg-quick@wg0

9. Consideraciones adicionales

• Asegúrate de abrir el puerto 51820/UDP en el firewall.
• Protege adecuadamente las claves privadas (chmod 600 si es necesario).
• Si usas ufw o firewalld, añade reglas equivalentes a iptables.

10. Flujo resumido

1. Actualizar sistema
2. Instalar WireGuard
3. Generar claves
4. Configurar forwarding
5. Crear wg0.conf
6. Levantar servicio

Juan José Fernández Durán

Arquitecto IT & Consultor IT

See author's posts