WireGuard OpenWrt
Publicado enInternet y Redes

Cómo configurar WireGuard en OpenWrt: Guía Definitiva 2026

No hay comentarios

¿Alguna vez has sentido que tu privacidad en la red es un mito mientras usas redes públicas o simplemente quieres acceder a tu hogar de forma segura? En pleno 2026, la seguridad perimetral ya no es un lujo para empresas, sino una necesidad básica para cualquier usuario con un ecosistema de Smart Home o dispositivos Android y iOS que proteger.

El problema de las VPN tradicionales como OpenVPN es su pesada carga computacional, que suele estrangular el rendimiento de procesadores ARM o MIPS en routers comerciales. Aquí es donde WireGuard cambia las reglas del juego: un protocolo moderno, extremadamente ligero y con una superficie de ataque mínima gracias a sus apenas 4,000 líneas de código.

En esta guía profesional, te enseñaré cómo transformar tu router con OpenWrt 23.05 (o superior) en un servidor VPN de alto rendimiento. He probado esta configuración en hardware de GL.iNet, Ubiquiti y routers Xiaomi flasheados, logrando latencias inferiores a 10ms y velocidades que aprovechan casi el 100% de la fibra simétrica.

📋 En esta guía verás:

Requisitos de Hardware y Software

Para que WireGuard funcione de forma fluida en 2026, no basta con cualquier router viejo del cajón.

Necesitas un dispositivo que soporte OpenWrt de forma estable. Mi recomendación personal es buscar routers con procesadores MediaTek Filogic o Qualcomm IPQ, ya que gestionan el cifrado ChaCha20 por hardware de manera excepcional.

  • Router compatible con OpenWrt (Versión 22.03 o 23.05 preferiblemente).
  • Al menos 16MB de memoria Flash (32MB recomendado para evitar sustos).
  • Acceso vía SSH o interfaz gráfica LuCI.
  • Una IP pública estática o un servicio de DDNS (como DuckDNS).
ProcesadorRendimiento WireGuardConsumo CPU
MT7621 (Dual Core)~100-150 MbpsAlto
IPQ807x (Quad Core)~600-900 MbpsBajo
Filogic 830/880+1 GbpsMínimo

Instalación de Paquetes en OpenWrt

Antes de empezar con la configuración lógica, debemos preparar el sistema operativo.

Accede a tu router mediante LuCI (interfaz web) o por terminal. Yo prefiero el terminal por su rapidez y feedback inmediato.

  1. Actualiza la lista de paquetes: ejecuta opkg update.
  2. Instala los módulos necesarios: opkg install luci-app-wireguard wireguard-tools.
  3. Si quieres una interfaz visual para generar códigos QR (vital para móviles), instala: opkg install qrencode.
  4. Reinicia el router o el servicio de red para que la nueva interfaz sea reconocida por el kernel.
💡 Consejo Pro: Si usas un router con poca memoria Flash, evita instalar paquetes de traducción. Quédate con la versión en inglés para ahorrar espacio crítico.

Generación de Claves y Configuración de Interfaz

WireGuard no usa el clásico esquema de usuario/contraseña, sino un intercambio de claves públicas y privadas.

Esto lo hace virtualmente inmune a ataques de fuerza bruta tradicionales.

Creación de la Interfaz VPN

Dirígete a Network > Interfaces y haz clic en Add New Interface.

  • Name: Ponle algo claro como wg0.
  • Protocol: Selecciona WireGuard VPN.
  • Private Key: Haz clic en el botón «Generate New Key». Copia la clave pública resultante; la necesitarás para tus clientes.
  • Listen Port: El estándar es 51820, pero puedes cambiarlo para evitar escaneos de puertos comunes.
  • IP Addresses: Asigna una subred distinta a la de tu LAN local. Ejemplo: 10.0.0.1/24.
⚠️ Importante: Nunca compartas tu Private Key. Si alguien la obtiene, podrá descifrar todo el tráfico que pase por el túnel.

Configuración del Firewall y Reglas de Tráfico

Este es el punto donde la mayoría de los tutoriales fallan. Si no abres los puertos correctamente, el túnel simplemente no se establecerá.

Necesitas crear una zona en el Firewall que permita la comunicación entre la VPN y tu red local (LAN).

  1. Ve a Network > Firewall.
  2. Crea una nueva zona llamada vpn y asigna la interfaz wg0.
  3. Configura el reenvío (Forwarding) de vpn hacia lan.
  4. En la pestaña Traffic Rules, abre el puerto UDP 51820 (o el que hayas elegido) para el tráfico entrante desde la zona WAN.

Habilitando el acceso a Internet (Masquerading)

Si quieres que tus dispositivos naveguen por Internet usando la conexión de tu casa cuando estás fuera, asegúrate de marcar la casilla Masquerading en la configuración de la zona del firewall de la VPN. Esto ocultará las IPs de los clientes VPN tras la IP pública de tu router.

Gestión de Clientes y Peer-to-Peer

Ahora que el servidor está listo, debemos añadir «Peers» (clientes).

Cada dispositivo que se conecte (tu smartphone Android, tu portátil con Windows 11 o tu Mac) necesita su propio par de claves.

  • En la configuración de la interfaz wg0, ve a la pestaña Peers.
  • Añade un nuevo Peer y dale un nombre descriptivo (ej: «Samsung_S24»).
  • Pega la Public Key generada en el dispositivo cliente.
  • En Allowed IPs, asigna una IP fija dentro del rango de la VPN, por ejemplo: 10.0.0.2/32.
  • Marca la opción Route Allowed IPs para que el router sepa dónde enviar los paquetes.

Ventajas y Desventajas

✅ Ventajas

  • Velocidad de conexión casi instantánea (handshake en ms).
  • Bajo consumo de batería en dispositivos móviles.
  • Cifrado de última generación (ChaCha20-Poly1305).
  • Facilidad de auditoría por su código reducido.

❌ Desventajas

  • No soporta protocolos antiguos (solo UDP).
  • La configuración de firewall puede ser compleja para novatos.
  • Si la IP pública cambia y no hay DDNS, se pierde la conexión.

Preguntas Frecuentes

¿Es WireGuard más seguro que OpenVPN?

Sí, en términos de superficie de ataque. Al tener menos código, hay menos lugar para bugs. Además, utiliza primitivas criptográficas más modernas y seguras por defecto.

¿Puedo usar WireGuard para jugar online?

Absolutamente. Debido a su baja latencia, es la mejor opción para gaming si necesitas saltar restricciones geográficas o protegerte de ataques DDoS sin añadir lag perceptible.

¿Qué pasa si mi router no tiene IP pública (CG-NAT)?

En ese caso, necesitarás un servidor intermedio (VPS) o utilizar soluciones como Tailscale, que se basan en WireGuard pero facilitan el salto de NAT.

Conclusión

  • WireGuard es el estándar de oro en VPNs por su eficiencia y velocidad.
  • OpenWrt ofrece el control total necesario para exprimir el hardware del router.
  • La clave del éxito reside en una correcta configuración del Firewall y el uso de DDNS.
  • Recuerda mantener siempre actualizado el firmware de tu router para parchear posibles vulnerabilidades.

¿Has logrado configurar tu túnel o te has quedado atascado en las reglas del firewall? Cuéntanos tu experiencia en los comentarios y optimicemos juntos tu red.

Comentarios

Aún no hay comentarios. ¿Por qué no comienzas el debate?

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *