Base de Conocimientos - Ayuda y Soporte

Knowledge Base /Configuraciones manuales de VPN/Cómo configurar Wireguard VPN en OpenWRT: Una guía paso a paso

Cómo configurar Wireguard VPN en OpenWRT: Una guía paso a paso

Last updated: 31 de enero de 2025
  • Actualización enero 2025: Adaptado a la nueva interfaz del centro de clientes
  • Actualización abril 2023: Ahora es posible acortar un poco el proceso de configuración y descargar un archivo de configuración desde el Centro de Clientes de Shellfire.


Wireguard VPN se está volviendo cada vez más popular entre los usuarios de VPN. Wireguard permite velocidades de descarga de VPN que antes eran inauditas. Esto es especialmente cierto para dispositivos que no tienen mucha potencia de procesamiento, como tu router de casa. Mientras que los routers VPN solían quedarse atascados con velocidades de un solo dígito en Mbps, ¡los routers potentes ahora pueden incluso alcanzar valores de tres dígitos! Wireguard no hace compromisos cuando se trata de seguridad y utiliza un cifrado fuerte y de última generación.


Advertencia: La instalación de OpenWRT y Wireguard puede no ser adecuada para principiantes. Es posible que tengas que ingresar algunos comandos a través de la línea de comandos de Linux. Lee estas instrucciones cuidadosamente primero y luego decide si estás preparado para ello. Para todos los usuarios que deseen disfrutar de una conexión Wireguard VPN sin configuración manual, recomendamos la Shellfire Box. Aquí, todo está preconfigurado y puedes incluso cambiar el servidor VPN en cualquier momento con solo unos pocos clics.


Puntos Clave

  • Aprende cómo instalar WireGuard en tu router OpenWRT, configurar el software necesario y generar claves criptográficas para una conexión VPN segura.
  • Explora opciones de configuración avanzada para optimizar la velocidad de la VPN, gestionar múltiples pares, ajustar configuraciones de MTU y fortalecer la seguridad a través de reglas de firewall.
  • Resuelve problemas comunes de conexión y considera usar una solución VPN preconfigurada como la Shellfire Box para una experiencia sin complicaciones.


¿Qué necesitas para instalar Wireguard en tu router?


Primero que nada, necesitas un router de casa que funcione con el sistema operativo gratuito OpenWRT con la interfaz LuCI instalada. OpenWRT se puede instalar en muchos routers, pero podrías anular tu garantía al instalarlo. Advertencia: ¡Un error durante la instalación del firmware de OpenWRT puede "bloquear" permanentemente tu router! Por lo tanto, puede valer la pena buscar un router que ya venga con OpenWRT preinstalado. Es importante tener una versión relativamente reciente de OpenWRT instalada que ya soporte Wireguard. Estamos usando una Shellfire Box en esta guía por simplicidad, aunque por supuesto no necesitamos realmente una instalación manual de Wireguard aquí.


También necesitas un servidor VPN que proporcione acceso a Wireguard. Tu proveedor de VPN te proporcionará las credenciales necesarias. Usaremos Shellfire VPN aquí.


Finalmente, necesitas un PC con un navegador de internet y la posibilidad de establecer una conexión SSH (opcional desde abril de 2023). Mac OS y Linux ofrecen esta posibilidad a través del terminal integrado, en Microsoft Windows usamos PuTTY para la conexión SSH.


Instalando Wireguard en el router


Primero instalamos los paquetes de software de Wireguard en el router OpenWRT. Para hacer esto, inicia sesión en la interfaz web de LuCi. Normalmente se encuentra en http://192.168.1.1/, pero algunos routers usan una dirección diferente. Dependiendo de la versión de OpenWRT instalada, las ventanas mostradas pueden verse ligeramente diferentes, pero el procedimiento es el mismo para todas las versiones. Primero navega a System -> Software.


Screenshot-from-2023-04-21-15-35-11.png


Ahora haz clic en "Update lists". OpenWRT buscará ahora los paquetes de software más recientes disponibles.


Screenshot-from-2023-04-21-16-13-10.png


Una vez que este proceso haya terminado, busca el término "wireguard" e instala los paquetes "kmod-wireguard", "luci-proto-wireguard" o "luci-app-wireguard" y "wireguard-tools".


Screenshot-from-2023-04-21-15-39-05.png


Una vez que la instalación esté completa, el siguiente paso es crear las claves.


Generación de Claves de Wireguard VPN


Actualización abril 2023: En el centro de clientes en shellfire.net ahora puedes encontrar una descarga de archivo de configuración. Este archivo ya contiene todas las claves, por lo que no tienes que generar tus propias claves. Sin embargo, generar tus propias claves tiene ciertas ventajas en cuanto a la seguridad del cifrado.


Wireguard utiliza el llamado cifrado de clave pública. Tanto el servidor VPN como el cliente generan su propio par de claves. Una de estas claves es pública (clave pública), mientras que la otra permanece secreta (clave privada). Para que el cifrado funcione, ambos socios necesitan conocer sus propias claves privadas así como la clave pública de la otra parte. El primer paso es crear el par de claves. Para hacer esto, iniciamos sesión en el router a través de SSH, como se mencionó anteriormente, ya sea a través del Terminal (mac OS / Linux) o a través de PuTTY (Windows). Para iniciar sesión a través de SSH, necesitamos la dirección IP del router y la contraseña del router. El nombre de usuario es "root". En algunas circunstancias, es posible que necesites habilitar el acceso SSH en la interfaz web del router primero. Así que típicamente te conectarías a través de SSH a 192.168.1.1.


Una vez que hayas iniciado sesión con éxito, primero creamos la carpeta /etc/wireguard y luego cambiamos a esa carpeta.


mkdir /etc/wireguard
cd /etc/wireguard


Ahora generamos el par de claves.


wg genkey | tee privkey | wg pubkey > pubkey


Finalmente, mostramos ambas claves.


cat privkey
cat pubkey


IMPORTANTE: ¡La clave privada nunca debe caer en manos equivocadas! Tan pronto como un atacante conozca tu clave privada, podrá descifrar cualquier dato cifrado con ella.


Con nuestras claves ahora podemos configurar la conexión Wireguard.


Configurar el Cliente Wireguard VPN


Ahora volvemos a la interfaz web de LuCI y navegamos a Red -> Interfaces. Haz clic en "Add new interface".


Screenshot-from-2023-04-21-15-44-49.png


A continuación, selecciona un nombre para tu conexión como se muestra en la captura de pantalla (usamos "wg0" aquí) y especifica "Wireguard VPN" como el protocolo.


Screenshot-from-2023-04-21-15-47-04.png


Ahora necesitamos editar la configuración de la nueva interfaz. Ingresa los parámetros de conexión que obtenemos de nuestro proveedor de VPN. En el caso de Shellfire VPN, encontrarás estos después de iniciar sesión en el centro de clientes en shellfire.net y luego seleccionar tu VPN desde la barra gris de Acceso Rápido en la parte superior de la pantalla. Primero necesitamos la dirección IP interna de la VPN, la dirección del servidor y la clave pública del servidor VPN. Transfiere estos datos a la interfaz web de OpenWRT como se muestra en la captura de pantalla.


Screenshot From 2025-01-07 14-31-16.png

A continuación, transfiere la clave privada que generaste a través de la conexión SSH (o la clave privada de tu archivo de configuración de VPN descargado) en el campo "Private Key" (marcado como 1. en la captura de pantalla).


El siguiente paso se puede omitir si se utilizó el archivo de configuración:


Haz clic en el símbolo "Editar" en el Centro de Clientes (marcado con 2.) e ingresa tu clave pública generada a través de SSH allí.


Screenshot From 2025-01-24 11-09-54.png


Ingresa 25 como Persistente Keep-Alive.


Advertencia: Queremos señalar una vez más que nunca debes dar tu clave privada.


Si todos los valores son correctos, haz clic en "Save & Apply". La interfaz de Wireguard ahora está casi completamente configurada.


Creando una zona de firewall


Tu router ahora necesita una configuración de firewall. De esta manera, sabe cómo manejar los datos que fluyen a través de la interfaz de Wireguard. Haz clic en la interfaz LuCI de OpenWRT en Network -> Firewall y luego en "Add". Puedes encontrar la configuración necesaria en la siguiente captura de pantalla. Cuando hayas terminado, haz clic en "Save an Apply" aquí también.


Screenshot-from-2023-04-21-15-58-39.png


Configuración de DNS


Tu router ahora necesita uno o más servidores DNS para que consultas como shellfire.de puedan ser traducidas a la dirección IP correspondiente. Puedes hacer esta configuración en Network -> DHCP and DNS. Ingresamos las direcciones IP 8.8.8.8 (Google DNS) y 208.67.222.222 (OpenDNS) bajo reenvío de DNS. Otros servicios DNS también son posibles, puedes encontrar una visión general aquí. Nuevamente, haz clic en "Save & Apply"


Screenshot-from-2023-04-21-16-01-16.png


Estableciendo la conexión Wireguard


Todo debería estar configurado ahora. Para que Wireguard funcione, generalmente es necesario reiniciar el router. Para hacer esto, puedes reiniciar el router en Sistema -> Reboot. Alternativamente, puedes desconectar tu router de la fuente de alimentación durante unos segundos y luego volver a conectarlo.


Screenshot-from-2023-04-21-16-02-29.png


Después del reinicio, puedes hacer clic en "Conectar" en Red -> Interfaces junto a tu interfaz wg0. ¡La conexión VPN ahora está establecida!


Verificando la conexión Wireguard VPN


Una vez que hayas establecido la conexión VPN, todos los datos deberían fluir automáticamente a través de la VPN. Puedes verificar tu estado de protección en https://www.shellfire.es/estado/. Si usas otro proveedor de VPN, puedes usar sitios web como https://www.whatismyip.com/ .


Screenshot-from-2023-04-21-16-08-36.png


Solución de Problemas Comunes al Configurar WireGuard en OpenWRT


Si bien configurar WireGuard en OpenWRT es generalmente sencillo, algunos usuarios pueden encontrar problemas que impiden el funcionamiento adecuado de su VPN. Aquí tienes soluciones a los problemas más comunes que puedes enfrentar:


Error de Conexión: WireGuard No se Conecta


Si WireGuard no se está conectando, verifica lo siguiente:


  • Configuración del Firewall: Asegúrate de que los puertos necesarios estén abiertos. WireGuard utiliza el puerto UDP 51820 por defecto, por lo que es esencial permitir el tráfico en ese puerto.
  • Direcciones IP Incorrectas: Verifica que las direcciones IP asignadas en ambos extremos coincidan con la configuración del par. Las IPs mal configuradas son una de las principales causas de errores de conexión.
  • Claves Públicas/Privadas No Coincidentes: Revisa las claves criptográficas. Si las claves públicas y privadas de los pares no coinciden, WireGuard no podrá establecer una conexión segura.

Problemas de Rendimiento: Conexión Lenta


Algunos usuarios experimentan velocidades más lentas de lo esperado con WireGuard. Para resolver esto:


  • Ubicación del Servidor VPN: Intenta cambiar a un servidor VPN más cercano a tu ubicación física para reducir la latencia.
  • Ancho de Banda Limitado: Los routers OpenWRT más antiguos pueden tener limitaciones de ancho de banda. Considera actualizar tu hardware si es necesario.

Caídas de Conexión


Las desconexiones frecuentes pueden indicar un problema con la configuración de keep-alive de WireGuard:


  • Keep-Alive: Configura el parámetro PersistentKeepalive en tus pares para asegurarte de que la conexión se mantenga activa, incluso cuando no haya tráfico constante.


Abordar estos problemas comunes asegura que tu conexión VPN permanezca estable y segura, protegiendo tu privacidad mientras navegas tanto en redes públicas como privadas.


Configuración Avanzada: Optimización del Rendimiento de WireGuard en OpenWRT


Para usuarios avanzados, optimizar el rendimiento de WireGuard en OpenWRT puede marcar una diferencia significativa tanto en velocidad como en seguridad. Aquí tienes algunas configuraciones avanzadas para ayudarte a maximizar el potencial de tu VPN:


Reduciendo la Latencia con MTU (Unidad Máxima de Transmisión)


Ajustar el MTU puede ayudar a reducir la latencia y mejorar la estabilidad de la conexión. La configuración predeterminada suele ser suficiente, pero en algunos casos, ajustarla manualmente puede ofrecer beneficios:


  • Cómo Ajustar el MTU: En la interfaz de WireGuard en OpenWRT, intenta reducir el MTU si notas retrasos en el rendimiento de la red, ajustando típicamente a valores entre 1280 y 1420.


Estas configuraciones avanzadas permiten que WireGuard opere a su máximo rendimiento en tu router OpenWRT, optimizando tanto la velocidad como la seguridad.


Conclusión


Configurar WireGuard en OpenWRT puede parecer complejo, pero con las herramientas y configuraciones adecuadas, puedes desbloquear un rendimiento VPN seguro y de alta velocidad incluso en routers de baja potencia. Siguiendo estos pasos y mejores prácticas, aseguras que tu privacidad y seguridad en línea estén protegidas en todos tus dispositivos.


Si estás buscando una solución más sencilla o no quieres pasar por el proceso de configuración manual, la Shellfire Box es la elección perfecta. Preconfigurada y fácil de usar, ofrece seguridad de primera clase y te permite cambiar de servidores VPN con solo unos pocos clics.