{"id":7014,"date":"2025-09-09T19:58:38","date_gmt":"2025-09-09T17:58:38","guid":{"rendered":"https:\/\/www.hostingtg.com\/blog\/?p=7014"},"modified":"2025-09-09T19:58:48","modified_gmt":"2025-09-09T17:58:48","slug":"wireguard-auto-instalacion","status":"publish","type":"post","link":"https:\/\/www.hostingtg.com\/blog\/wireguard-auto-instalacion\/","title":{"rendered":"WireGuard: gu\u00eda pr\u00e1ctica y r\u00e1pida para montar tu VPN con auto-instalaci\u00f3n"},"content":{"rendered":"\n<h2 class=\"wp-block-heading\">Qu\u00e9 es WireGuard y por qu\u00e9 elegirlo (velocidad, seguridad y simplicidad)<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">WireGuard es un protocolo VPN moderno que prioriza tres cosas: <strong>rapidez<\/strong>, <strong>seguridad<\/strong> y <strong>sencillez<\/strong>. Naci\u00f3 con una premisa clara: que levantar un t\u00fanel seguro no sea un dolor de cabeza. En lugar de mil par\u00e1metros y una pila de cifrados heredados, se apoya en un conjunto reducido de algoritmos actuales y en una configuraci\u00f3n corta y legible. Esa base se traduce en latencias bajas, consumo m\u00ednimo de CPU y reconexiones casi instant\u00e1neas en redes m\u00f3viles o con cambios de IP.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">En mi d\u00eda a d\u00eda, <strong>WireGuard no me ha fallado<\/strong>: lo describir\u00eda como <em>\u201cun sistema que nunca defrauda, f\u00e1cil de usar y con protocolos seguros\u201d<\/em>. La experiencia es estable incluso con escenarios exigentes (dispositivos m\u00f3viles, Wi-Fi p\u00fablico, conmutaciones de red). Adem\u00e1s, la configuraci\u00f3n por <strong>pares (peers)<\/strong> y <strong>claves p\u00fablicas\/privadas<\/strong> simplifica el control de acceso: cada dispositivo tiene su identidad criptogr\u00e1fica y sus rutas de tr\u00e1fico (<em>AllowedIPs<\/em>).<\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><img fetchpriority=\"high\" decoding=\"async\" width=\"900\" height=\"402\" src=\"https:\/\/www.hostingtg.com\/blog\/wp-content\/uploads\/2025\/09\/servidores-vps-easypanel.webp\" alt=\"servidores vps easypanel\" class=\"wp-image-6996\" title=\"\"><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">Ahora bien, no todo el mundo quiere entrar de golpe en ficheros <em>.conf<\/em> y reglas de firewall. <strong>Para usuarios m\u00e1s n\u00f3veles la instalaci\u00f3n manual puede ser intimidante<\/strong>, y aqu\u00ed es donde un panel web o un despliegue guiado marcan la diferencia. En mi caso, he usado <a href=\"https:\/\/www.hostingtg.com\/servidores-vps\/\" target=\"_blank\" data-type=\"link\" data-id=\"https:\/\/www.hostingtg.com\/servidores-vps\/\" rel=\"noreferrer noopener\">servidores con <strong>EasyPanel<\/strong><\/a> que ofrecen un <strong>template 1-click de \u201cWireGuard Easy\u201d<\/strong>. Es literalmente pulsar un bot\u00f3n y tener una <strong>VPN \u201cvitaminada\u201d<\/strong> con un peque\u00f1o panel web para <strong>crear, activar\/desactivar y eliminar<\/strong> conexiones. Ese atajo reduce fricci\u00f3n y te permite empezar a trabajar con la VPN sin peleas.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Otro punto a favor es que <strong>WireGuard en m\u00f3vil<\/strong> (Android o iOS) funciona de maravilla: abres la app, importas un QR y listo. <strong>La sensaci\u00f3n es \u201ccomo si tus dispositivos estuvieran en la misma red local\u201d<\/strong>, lo que simplifica much\u00edsimo el acceso a NAS, c\u00e1maras, servidores internos o escritorios remotos.<\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><a href=\"https:\/\/www.hostingtg.com\/blog\/wp-content\/uploads\/2025\/09\/wg-easy-access.webp\"><img decoding=\"async\" width=\"597\" height=\"514\" src=\"https:\/\/www.hostingtg.com\/blog\/wp-content\/uploads\/2025\/09\/wg-easy-access.webp\" alt=\"wg easy access\" class=\"wp-image-7018\" title=\"\"><\/a><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\">Requisitos previos: IP p\u00fablica, puerto 51820\/UDP, DNS y CG-NAT (qu\u00e9 hacer si lo tienes)<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Antes de ponerte manos a la obra, valida el contexto de red:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>IP p\u00fablica alcanzable<\/strong>: si montas el servidor en casa o en una oficina, confirma que tu operador <strong>no<\/strong> te mete detr\u00e1s de <strong>CG-NAT<\/strong>. Si est\u00e1s en CG-NAT, el puerto no ser\u00e1 accesible desde Internet. Soluciones: pedir IP p\u00fablica, contratar un <strong>VPS<\/strong> y hacer t\u00fanel inverso o usar un <strong>relay<\/strong>.<\/li>\n\n\n\n<li><strong>Puerto<\/strong>: por defecto, WireGuard escucha en <strong>UDP 51820<\/strong>. Puedes cambiarlo, pero recuerda abrir\/reenviar ese puerto en el router\/firewall hacia el servidor.<\/li>\n\n\n\n<li><strong>Sistema operativo<\/strong>: Ubuntu\/Debian funcionan muy bien; tambi\u00e9n Windows\/macOS. En Linux, el rendimiento suele ser superior gracias a la integraci\u00f3n con el kernel.<\/li>\n\n\n\n<li><strong>DNS<\/strong>: define qu\u00e9 <a href=\"https:\/\/www.hostingtg.com\/blog\/gestionar-dns-vps-easypanel-cloudflare\/\" target=\"_blank\" data-type=\"link\" data-id=\"https:\/\/www.hostingtg.com\/blog\/gestionar-dns-vps-easypanel-cloudflare\/\" rel=\"noreferrer noopener\">servidor DNS usar\u00e1n los clientes<\/a> (interno, p\u00fablico, Pi-hole, etc.). Si quieres resolver nombres de tu LAN remota, planifica ese DNS.<\/li>\n\n\n\n<li><strong>Plan de direccionamiento<\/strong>: elige una <strong>subred VPN<\/strong> clara (p. ej., 10.8.0.0\/24). Cada peer tendr\u00e1 una IP \u00fanica en esa subred.<\/li>\n\n\n\n<li><strong>Seguridad b\u00e1sica<\/strong>: el servidor debe estar actualizado, con firewall activado (UFW\/nftables\/iptables) y acceso SSH seguro.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Consejos pr\u00e1cticos que me han ahorrado horas:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Si tienes <strong>doble NAT<\/strong> (router del ISP + tu router), abre el puerto en ambos o pon el primero en <strong>modo bridge<\/strong>.<\/li>\n\n\n\n<li>Documenta en una hoja tus par\u00e1metros: IP p\u00fablica, puerto UDP, subred VPN, DNS y las claves, para no \u201cperderte\u201d al a\u00f1adir nuevos peers.<\/li>\n\n\n\n<li>Si tu operador es \u201ccreativo\u201d con el tr\u00e1fico UDP, prueba a cambiar el puerto a uno alto aleatorio (por ejemplo 51888) y habilita <strong>PersistentKeepalive<\/strong> en los clientes m\u00f3viles.<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">Instalaci\u00f3n WireGuard con EasyPanel (instalaci\u00f3n 1-click)<\/h2>\n\n\n\n<figure class=\"wp-block-image size-full\"><a href=\"https:\/\/www.hostingtg.com\/blog\/wp-content\/uploads\/2025\/09\/wireguard-easypanel.webp\"><img decoding=\"async\" width=\"900\" height=\"439\" src=\"https:\/\/www.hostingtg.com\/blog\/wp-content\/uploads\/2025\/09\/wireguard-easypanel.webp\" alt=\"wireguard easypanel\" class=\"wp-image-7016\" title=\"\"><\/a><\/figure>\n\n\n\n<h3 class=\"wp-block-heading\">Qu\u00e9 necesitas antes de empezar<\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Servidor con EasyPanel preinstalado.<\/strong> En <strong>Hosting TG<\/strong> disponemos de servidores con <strong>EasyPanel<\/strong> que permiten la <strong>auto-instalaci\u00f3n<\/strong> v\u00eda <em>template<\/em> de <strong>WireGuard Easy<\/strong> en <strong>1 clic<\/strong>. Te entregamos URL del panel y credenciales iniciales.<\/li>\n\n\n\n<li><strong>IP p\u00fablica (o dominio).<\/strong> Puedes usar directamente la <strong>IP p\u00fablica<\/strong> del servidor o un <strong>dominio\/subdominio<\/strong> apuntando a esa IP.<\/li>\n\n\n\n<li><strong>Puertos y firewall.<\/strong> Abre\/permite:\n<ul class=\"wp-block-list\">\n<li><strong>UDP 51820<\/strong> (por defecto) para el t\u00fanel WireGuard.<\/li>\n\n\n\n<li><strong>Puerto web del panel de WireGuard Easy<\/strong> (EasyPanel te mostrar\u00e1 cu\u00e1l expone el <em>template<\/em>; suele ser HTTP\/HTTPS).<\/li>\n<\/ul>\n<\/li>\n\n\n\n<li><strong>Acceso al correo de bienvenida<\/strong> del servidor para localizar URL del panel, usuario y contrase\u00f1a inicial.<\/li>\n<\/ul>\n\n\n\n<figure class=\"wp-block-image size-full\"><a href=\"https:\/\/www.hostingtg.com\/blog\/wp-content\/uploads\/2025\/09\/wg-easy.webp\"><img loading=\"lazy\" decoding=\"async\" width=\"900\" height=\"471\" src=\"https:\/\/www.hostingtg.com\/blog\/wp-content\/uploads\/2025\/09\/wg-easy.webp\" alt=\"wg easy\" class=\"wp-image-7017\" title=\"\"><\/a><\/figure>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p class=\"wp-block-paragraph\">Nuestra experiencia: con el <em>template<\/em> 1-click el despliegue es r\u00e1pido y <strong>estable<\/strong>, y el <strong>panel web<\/strong> te permite <strong>crear, activar, desactivar o eliminar<\/strong> conexiones sin tocar ficheros ni consola.<\/p>\n<\/blockquote>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h3 class=\"wp-block-heading\">Acceso a EasyPanel<\/h3>\n\n\n\n<ol class=\"wp-block-list\">\n<li>Entra en la <strong>URL del panel<\/strong> incluida en el correo de alta (por ejemplo: <code>https:\/\/tu-panel.dominio<\/code>).<\/li>\n\n\n\n<li>Inicia sesi\u00f3n con tus <strong>credenciales<\/strong>.<\/li>\n\n\n\n<li>Ver\u00e1s el <strong>dashboard<\/strong> con tus servidores o <em>nodes<\/em> disponibles.<\/li>\n<\/ol>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h3 class=\"wp-block-heading\">Crear la app desde el <em>template<\/em> \u201cWireGuard Easy\u201d<\/h3>\n\n\n\n<ol class=\"wp-block-list\">\n<li>Pulsa <strong>Crear nueva aplicaci\u00f3n<\/strong> (o \u201cNew App\u201d).<\/li>\n\n\n\n<li>Elige <strong>Marketplace \/ Templates<\/strong> y busca <strong>WireGuard Easy<\/strong>.<\/li>\n\n\n\n<li>Selecci\u00f3nalo y confirma el <strong>servidor<\/strong> (node) donde desplegar.<\/li>\n\n\n\n<li>EasyPanel cargar\u00e1 un formulario con <strong>par\u00e1metros<\/strong> del <em>template<\/em>. Compl\u00e9talos:<\/li>\n<\/ol>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Par\u00e1metros habituales (pueden variar ligeramente seg\u00fan template):<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Nombre de la app<\/strong>: p. ej., <code><a href=\"https:\/\/github.com\/wg-easy\/wg-easy\" target=\"_blank\" data-type=\"link\" data-id=\"https:\/\/github.com\/wg-easy\/wg-easy\" rel=\"noreferrer noopener\">wireguard-easy<\/a><\/code>.<\/li>\n\n\n\n<li><strong>Dominio\/host (WG_HOST)<\/strong>: tu <strong>dominio<\/strong> (<code>vpn.midominio.com<\/code>) o <strong>IP p\u00fablica<\/strong> del servidor.<\/li>\n\n\n\n<li><strong>Contrase\u00f1a del panel<\/strong>: <em>password<\/em> para acceder a la interfaz de WireGuard Easy.<\/li>\n\n\n\n<li><strong>Puerto UDP (WG_PORT)<\/strong>: por defecto <strong>51820<\/strong> (puedes cambiarlo si lo deseas).<\/li>\n\n\n\n<li><strong>Subred VPN (WG_DEFAULT_ADDRESS \/ Address)<\/strong>: p. ej., <code>10.8.0.0\/24<\/code>.<\/li>\n\n\n\n<li><strong>DNS por defecto (WG_DEFAULT_DNS)<\/strong>: p. ej., <code>1.1.1.1<\/code> o el DNS de tu red interna.<\/li>\n\n\n\n<li><strong>Keepalive (WG_PERSISTENT_KEEPALIVE)<\/strong>: p. ej., <code>25<\/code> para mejorar estabilidad tras NAT.<\/li>\n\n\n\n<li><strong>MTU (opcional)<\/strong>: d\u00e9jalo por defecto salvo que sepas que tu red necesita ajuste.<\/li>\n<\/ul>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p class=\"wp-block-paragraph\">Consejo: si vas a usar <strong>dominio<\/strong>, crea antes el <strong>registro DNS A\/AAAA<\/strong> apuntando a la IP del servidor. Si usas <strong>IP<\/strong>, ind\u00edcala tal cual en <code>WG_HOST<\/code>.<\/p>\n<\/blockquote>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h3 class=\"wp-block-heading\">Ajustes de red y seguridad en el template<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">En la secci\u00f3n de <strong>Recursos\/Red<\/strong> del <em>template<\/em>:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Capacidades del contenedor<\/strong>: habilita <strong><code>NET_ADMIN<\/code><\/strong> (necesaria para gestionar interfaces de red dentro del contenedor).<\/li>\n\n\n\n<li><strong>Dispositivos<\/strong>: monta <strong><code>\/dev\/net\/tun<\/code><\/strong> (el <em>device<\/em> de tunelizaci\u00f3n que usa WireGuard).<\/li>\n\n\n\n<li><strong>Reenv\u00edo IP (host)<\/strong>: aseg\u00farate de que el host permite <em>forwarding<\/em>. Si el template lo expone como <em>sysctl<\/em>, act\u00edvalo; si no, puedes habilitarlo en el sistema:\n<ul class=\"wp-block-list\">\n<li>IPv4: <code>net.ipv4.ip_forward = 1<\/code><\/li>\n\n\n\n<li>(Opcional) IPv6: <code>net.ipv6.conf.all.forwarding = 1<\/code><\/li>\n<\/ul>\n<\/li>\n\n\n\n<li><strong>Vol\u00famenes\/persistencia<\/strong>: mapea un volumen para <strong><code>\/etc\/wireguard<\/code><\/strong>. As\u00ed, aunque actualices o redeployes, <strong>no pierdes<\/strong> claves y configuraciones.<\/li>\n<\/ul>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p class=\"wp-block-paragraph\">En <strong>Hosting TG<\/strong> entregamos el <strong>firewall del servidor<\/strong> listo para permitir el <strong>UDP 51820<\/strong> (o el que definas) y el <strong>acceso web al panel<\/strong>. Si lo prefieres cerrado por defecto, lo abrimos bajo solicitud.<\/p>\n<\/blockquote>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h3 class=\"wp-block-heading\">Despliegue<\/h3>\n\n\n\n<ol class=\"wp-block-list\">\n<li>Revisa el <strong>resumen<\/strong> de par\u00e1metros.<\/li>\n\n\n\n<li>Pulsa <strong>Deploy \/ Desplegar<\/strong>. EasyPanel lanzar\u00e1 el contenedor y aplicar\u00e1 las variables.<\/li>\n\n\n\n<li>Abre la <strong>consola de logs<\/strong> para comprobar:\n<ul class=\"wp-block-list\">\n<li>Carga sin errores.<\/li>\n\n\n\n<li>Mensaje indicando que el <strong>servicio WireGuard<\/strong> est\u00e1 arriba.<\/li>\n\n\n\n<li>URL del <strong>panel web<\/strong> de WireGuard Easy (EasyPanel la muestra y\/o la puedes abrir con un bot\u00f3n \u201cOpen\u201d).<\/li>\n<\/ul>\n<\/li>\n<\/ol>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p class=\"wp-block-paragraph\">Si algo falla en el primer arranque, suele deberse a permisos de red (<em>capabilities<\/em>), falta de <code>tun<\/code> o un puerto ya ocupado. Corrige y re-despliega.<\/p>\n<\/blockquote>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h3 class=\"wp-block-heading\">Primer acceso al panel de WireGuard Easy<\/h3>\n\n\n\n<ol class=\"wp-block-list\">\n<li>Abre la <strong>URL del panel<\/strong> (la que te da EasyPanel tras el despliegue o la que configuraste con tu dominio).<\/li>\n\n\n\n<li>Inicia sesi\u00f3n con la <strong>contrase\u00f1a<\/strong> que definiste en el <em>template<\/em>.<\/li>\n\n\n\n<li>Ver\u00e1s el <strong>dashboard<\/strong> con:\n<ul class=\"wp-block-list\">\n<li>Estado del servidor.<\/li>\n\n\n\n<li>Estad\u00edsticas de tr\u00e1fico (si el template las expone).<\/li>\n\n\n\n<li>Secci\u00f3n de <strong>Peers\/Clientes<\/strong> (a\u00f1adir, editar, desactivar, eliminar).<\/li>\n\n\n\n<li>Ajustes generales (subred, DNS, puerto, etc., dependiendo de lo que permita el <em>template<\/em>).<\/li>\n<\/ul>\n<\/li>\n<\/ol>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h3 class=\"wp-block-heading\">Crear tu primer <em>peer<\/em> (cliente) en 30 segundos<\/h3>\n\n\n\n<ol class=\"wp-block-list\">\n<li>Haz clic en <strong>Add Peer \/ A\u00f1adir cliente<\/strong>.<\/li>\n\n\n\n<li>Asigna un <strong>nombre<\/strong> (p. ej., <code>movil-juan<\/code> o <code>portatil-lena<\/code>).<\/li>\n\n\n\n<li>El panel <strong>genera claves<\/strong> y asigna la <strong>IP<\/strong> (por ejemplo <code>10.8.0.2<\/code>).<\/li>\n\n\n\n<li>Pulsa <strong>Guardar<\/strong>: ya tienes el <em>peer<\/em> listo y visible en la lista.<\/li>\n\n\n\n<li><strong>Descarga<\/strong> el archivo <code>.conf<\/code> o muestra el <strong>c\u00f3digo QR<\/strong>.<\/li>\n<\/ol>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Instalar el cliente:<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>M\u00f3vil (Android\/iOS)<\/strong>: abre la app oficial <strong>WireGuard<\/strong>, pulsa <strong>\u201c+\u201d \u2192 Escanear QR<\/strong>, n\u00f3mbralo y <strong>activar<\/strong>.<\/li>\n\n\n\n<li><strong>Escritorio (Windows\/macOS\/Linux)<\/strong>: importa el <code>.conf<\/code> \u2192 <strong>Activar<\/strong>.<\/li>\n<\/ul>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p class=\"wp-block-paragraph\">En la pr\u00e1ctica, el flujo QR + <em>toggle<\/em> de activaci\u00f3n es lo que hace que WireGuard \u201cse sienta\u201d <strong>como si tus dispositivos estuviesen en la misma red local<\/strong>. Y si un empleado deja de necesitar acceso, <strong>desactivas o borras<\/strong> su <em>peer<\/em> desde el panel en un clic.<\/p>\n<\/blockquote>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h3 class=\"wp-block-heading\">Pruebas de verificaci\u00f3n (paso imprescindible)<\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Ping<\/strong> a la IP del servidor VPN (p. ej., <code>10.8.0.1<\/code>).<\/li>\n\n\n\n<li><strong>Ping<\/strong> o acceso por <strong>IP<\/strong> a un recurso interno (NAS, servidor, etc.).<\/li>\n\n\n\n<li>Si por <strong>IP<\/strong> funciona pero por <strong>nombre<\/strong> no, revisa el <strong>DNS<\/strong> configurado para los clientes.<\/li>\n\n\n\n<li>Comprueba <strong>rutas<\/strong>: si quieres que TODO el tr\u00e1fico salga por la VPN, configura <code>AllowedIPs = 0.0.0.0\/0, ::\/0<\/code> en el <em>peer<\/em>. Si solo quieres la <strong>LAN remota<\/strong>, usa tu subred (p. ej., <code>10.8.0.0\/24<\/code> + las redes internas necesarias).<\/li>\n\n\n\n<li>En el panel, verifica <strong>tr\u00e1fico TX\/RX<\/strong> del <em>peer<\/em> reci\u00e9n creado.<\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h3 class=\"wp-block-heading\">Operaci\u00f3n diaria y buenas pr\u00e1cticas<\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Alta\/baja\/pausa<\/strong> de <em>peers<\/em> desde el panel en segundos (ideal para accesos temporales).<\/li>\n\n\n\n<li><strong>Rotaci\u00f3n de claves<\/strong> peri\u00f3dica para <em>peers<\/em> sensibles.<\/li>\n\n\n\n<li><strong>Backups<\/strong> del volumen de <code>\/etc\/wireguard<\/code> (claves y perfiles).<\/li>\n\n\n\n<li><strong>Cambiar puerto UDP<\/strong> si tu ISP hace <em>shaping<\/em> del 51820 (elige uno alto aleatorio).<\/li>\n\n\n\n<li><strong>Keepalive<\/strong> en m\u00f3viles (25 s) para mejorar estabilidad tras NAT.<\/li>\n\n\n\n<li><strong>Actualizaciones<\/strong>: EasyPanel te permite <strong>redeploy<\/strong> del <em>template<\/em> para aplicar nuevas im\u00e1genes; al tener volumen persistente, no pierdes la configuraci\u00f3n.<\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h3 class=\"wp-block-heading\">\u00bfIP p\u00fablica, CG-NAT o doble NAT?<\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Si tu conexi\u00f3n <strong>no expone<\/strong> puertos (CG-NAT), plant\u00e9ate usar un <strong>VPS<\/strong> como servidor WireGuard Easy y conectar ah\u00ed tus clientes\/sedes.<\/li>\n\n\n\n<li>Con <strong>doble NAT<\/strong>, abre el <strong>UDP<\/strong> en ambos routers o pon el primero en <strong>modo bridge<\/strong>.<\/li>\n\n\n\n<li>Usar <strong>dominio<\/strong> suele simplificar el cliente m\u00f3vil si cambia la IP.<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">A\u00f1adir clientes con <strong>panel web<\/strong> (WireGuard Easy \/ Wireguard-UI)<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Si buscas rapidez y menos fricci\u00f3n, un <strong>panel web<\/strong> es tu amigo. En mi caso he usado <strong>servidores con EasyPanel<\/strong> que permiten <strong>instalar \u201cWireGuard Easy\u201d con un template 1-click<\/strong>. Literalmente, pulsas, esperas y tienes:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Interfaz web protegida por credenciales.<\/li>\n\n\n\n<li>Alta\/baja de <strong>peers<\/strong> con un formulario.<\/li>\n\n\n\n<li><strong>C\u00f3digos QR<\/strong> para m\u00f3viles y descarga de archivos <code>.conf<\/code>.<\/li>\n\n\n\n<li>Botones para <strong>activar\/desactivar<\/strong> conexiones sin tocar el servidor por consola.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Flujo t\u00edpico:<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li>Instalas el template (1-click).<\/li>\n\n\n\n<li>Entras al panel, defines la subred (p. ej. 10.8.0.0\/24) y el puerto UDP.<\/li>\n\n\n\n<li>Creas un peer: el panel <strong>genera claves<\/strong>, asigna la IP (10.8.0.x) y te muestra el <strong>QR<\/strong>.<\/li>\n\n\n\n<li>Escaneas el QR desde el m\u00f3vil o descargas el <code>.conf<\/code> para escritorio.<\/li>\n\n\n\n<li>Si algo no navega, revisas <strong>AllowedIPs<\/strong> (para decidir full tunnel vs split-tunnel) y el <strong>DNS<\/strong>.<\/li>\n<\/ol>\n\n\n\n<p class=\"wp-block-paragraph\">Cuando tengo que dar acceso temporal a alguien, <strong>el panel me permite revocar o desactivar un peer al instante<\/strong>, sin editar ficheros. Para equipos peque\u00f1os o pymes es un salvavidas.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">WireGuard en el m\u00f3vil (Android\/iOS) y en escritorio (Windows\/macOS\/Linux)<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">La experiencia m\u00f3vil es donde WireGuard brilla. Abres la app oficial, <strong>escaneas el QR<\/strong> del panel o importas el archivo <code>.conf<\/code> y listo. Yo lo llevo <strong>siempre en el m\u00f3vil<\/strong> porque as\u00ed puedo acceder a mis recursos como si estuviera en la oficina: NAS, impresoras, servidores o incluso dom\u00f3tica. En viajes, la reconexi\u00f3n tras bloquear\/desbloquear la pantalla es muy r\u00e1pida y casi ni lo notas.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Buenas pr\u00e1cticas m\u00f3viles:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Activa <strong>On-Demand<\/strong> (o similar) si tu plataforma lo permite para levantar el t\u00fanel en redes no confiables.<\/li>\n\n\n\n<li>Usa <strong>PersistentKeepalive = 25<\/strong> para mantener el NAT vivo.<\/li>\n\n\n\n<li>Si quieres ahorrar datos, configura <strong>split-tunnel<\/strong> y enruta solo la subred remota (<code>AllowedIPs = 10.8.0.0\/24<\/code>) en lugar de todo Internet.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">En escritorio, los clientes oficiales para Windows\/macOS\/Linux son igual de sencillos: importas <code>.conf<\/code>, verificas el <strong>servidor DNS<\/strong> y pruebas con <code>ping<\/code> a una IP remota de tu LAN. Si \u201cresuelve\u201d pero no navegas por nombre, revisa el DNS del perfil.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Buenas pr\u00e1cticas de seguridad y rendimiento<\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Rotaci\u00f3n de claves<\/strong> peri\u00f3dica en peers cr\u00edticos.<\/li>\n\n\n\n<li><strong>Puertos aleatorios<\/strong> en UDP para reducir patrones (no te cases con 51820 si no hace falta).<\/li>\n\n\n\n<li><strong>Firewall<\/strong>: restringe el puerto UDP a IPs de confianza cuando sea posible.<\/li>\n\n\n\n<li><strong>Split-tunnel con cabeza<\/strong>: si solo quieres acceso a tu red, limita <code>AllowedIPs<\/code> a tu subred; si quieres salida a Internet \u201cdesde la oficina\u201d, usa <code>0.0.0.0\/0<\/code>.<\/li>\n\n\n\n<li><strong>DNS interno<\/strong>: si tu objetivo es acceder por nombre a m\u00e1quinas remotas, define un DNS accesible por la VPN (o usa un DNS filtrado tipo Pi-hole).<\/li>\n\n\n\n<li><strong>Logs y m\u00e9tricas<\/strong>: <code>wg show<\/code> te da bytes TX\/RX y estado de handshakes. \u00dasalo para detectar peers \u201cmuditos\u201d.<\/li>\n\n\n\n<li><strong>Persistencia<\/strong>: habilita <code>wg-quick@wg0<\/code> al arranque y monitorea el servicio (systemd).<\/li>\n\n\n\n<li><strong>Backups<\/strong> seguros**:** guarda claves y <code>wg0.conf<\/code> cifrados; la p\u00e9rdida de la private key de servidor implica reprovisionar.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Desde mi experiencia, <strong>WireGuard es r\u00e1pido y sin ca\u00eddas<\/strong> cuando mantienes estas pr\u00e1cticas y evitas configuraciones \u201cmisteriosas\u201d. La simplicidad ayuda: menos piezas, menos fallos.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Soluci\u00f3n de problemas comunes (handshake, rutas, DNS, doble NAT)<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>No hay handshake<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Revisa que el <strong>puerto UDP<\/strong> est\u00e9 abierto y mapeado al host correcto.<\/li>\n\n\n\n<li>Comprueba <strong>claves<\/strong>: un typo en <code>PublicKey<\/code>\/<code>PrivateKey<\/code> rompe todo.<\/li>\n\n\n\n<li>Aseg\u00farate de que <strong>Endpoint<\/strong> apunta a tu IP\/host p\u00fablico correcto y que el ISP no bloquea UDP.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Hay handshake, pero no hay tr\u00e1fico<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Revisa <strong>AllowedIPs<\/strong>: en el servidor, cada peer debe tener su <code>\/32<\/code>. En el cliente, define qu\u00e9 redes enrutar\u00e1s.<\/li>\n\n\n\n<li>Verifica <strong>NAT\/forwarding<\/strong> en el servidor (\u00bfaplicaste MASQUERADE y <code>ip_forward<\/code>?).<\/li>\n\n\n\n<li>Comprueba el <strong>firewall<\/strong> de la m\u00e1quina destino dentro de la red remota.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Navega por IP pero no por nombre<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>DNS mal configurado en el perfil. Define <code>DNS =<\/code> y aseg\u00farate de que ese DNS responde a trav\u00e9s del t\u00fanel.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>CG-NAT \/ Doble NAT<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Si no puedes exponer el puerto, usa un <strong>VPS<\/strong> como servidor (o relay) y conecta tus sedes y clientes a \u00e9l.<\/li>\n\n\n\n<li>En doble NAT, abre\/reenruta el puerto en ambos routers o derriba el primero a <strong>bridge<\/strong>.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Cortes aleatorios en m\u00f3vil<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Sube <strong>PersistentKeepalive<\/strong> (20\u201330 s).<\/li>\n\n\n\n<li>Cambia a otro <strong>puerto UDP<\/strong> si sospechas de shaping del ISP.<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">Casos de uso reales (empresa y hogar)<\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Acceso remoto seguro<\/strong> a intranets, ERPs, c\u00e1maras, NAS.<\/li>\n\n\n\n<li><strong>Teletrabajo<\/strong> sin dolor: la conexi\u00f3n se siente fluida por la baja latencia.<\/li>\n\n\n\n<li><strong>Interconexi\u00f3n de sedes<\/strong> (site-to-site) con routers o peque\u00f1os equipos Linux.<\/li>\n\n\n\n<li><strong>Home-lab y dom\u00f3tica<\/strong>: controla todo \u201ccomo si estuvieras en casa\u201d, tambi\u00e9n desde el m\u00f3vil.<\/li>\n\n\n\n<li><strong>Accesos temporales<\/strong>: con panel (tipo WireGuard Easy), das alta\/baja a contratistas con un clic.<\/li>\n\n\n\n<li><strong>Salidas a Internet desde la oficina<\/strong> (full tunnel) para unificar pol\u00edticas de filtrado.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">En mi caso, se ha convertido en <strong>esencial para cubrir la seguridad de cualquier empresa o usuario<\/strong> que requiera acceso estable y sencillo sin sacrificar rendimiento.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">FAQs de implementaci\u00f3n<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>\u00bfWireGuard es m\u00e1s r\u00e1pido que otras VPN?<\/strong><br>En la pr\u00e1ctica, suele ofrecer <strong>latencia menor<\/strong> y throughput alto gracias a su dise\u00f1o minimalista y al uso eficiente de UDP.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>\u00bfPuedo usarlo desde el m\u00f3vil?<\/strong><br>S\u00ed, y muy bien. Importas el QR y tienes acceso a tu red <strong>como si fuera local<\/strong>.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>\u00bfQu\u00e9 pasa si mi ISP me pone en CG-NAT?<\/strong><br>No podr\u00e1s abrir puertos hacia tu servidor dom\u00e9stico. Soluciones: <strong>IP p\u00fablica<\/strong>, <strong>VPS<\/strong> o rel\u00e9 intermedio.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>\u00bfNecesito un DNS especial?<\/strong><br>No es obligatorio, pero si deseas resolver nombres internos, configura un <strong>DNS accesible por la VPN<\/strong>.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>\u00bfPanel o manual?<\/strong><br>Para aprender, manual. Para operar con equipo y no t\u00e9cnicos, <strong>panel (WireGuard Easy)<\/strong>: alta\/baja de peers, QR, y <strong>gesti\u00f3n en 1-click<\/strong>. En mi experiencia, reduce errores y acelera despliegues.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Opini\u00f3n Personal<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">WireGuard, para m\u00ed, es la VPN que mejor equilibra <strong>velocidad, seguridad y simplicidad<\/strong>. Siempre que la he desplegado, el resultado ha sido <strong>estable y sin ca\u00eddas<\/strong>, con una configuraci\u00f3n tan limpia que es dif\u00edcil volver a soluciones m\u00e1s pesadas. \u00bfEl \u201cpero\u201d? La <strong>instalaci\u00f3n manual<\/strong> puede atragantarse a perfiles n\u00f3veles: claves, <code>wg0.conf<\/code>, NAT y rutas no son conceptos amigables para todo el mundo.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Ah\u00ed es donde brilla el enfoque <strong>1-clic<\/strong>. Con <strong>EasyPanel<\/strong> y el <em>template<\/em> <strong>WireGuard Easy<\/strong>, literalmente pasas de cero a una VPN usable en minutos: <strong>panel web<\/strong>, creaci\u00f3n de <strong>peers<\/strong>, <strong>QR<\/strong> para m\u00f3viles, y botones para <strong>activar\/desactivar<\/strong> accesos sin tocar consola. Si adem\u00e1s contratas en <strong>Hosting TG<\/strong>, ya hay <strong>servidores con EasyPanel<\/strong> que traen esta <strong>auto-instalaci\u00f3n<\/strong> lista de f\u00e1brica: menos fricci\u00f3n, menos errores y m\u00e1s foco en lo que importa\u2014trabajar.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">En el d\u00eda a d\u00eda, usar la app m\u00f3vil y entrar \u201ccomo si estuvieras en la LAN\u201d es un antes y un despu\u00e9s: NAS, c\u00e1maras, servidor de archivos o escritorio remoto, todo fluye con <strong>latencia baja<\/strong>. Para <strong>pymes<\/strong> y <strong>home labs<\/strong>, la combinaci\u00f3n <strong>WireGuard + EasyPanel<\/strong> es, honestamente, una <strong>ganancia de tiempo y fiabilidad<\/strong>.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>En resumen:<\/strong> si te gusta controlar cada tornillo, el camino manual te encantar\u00e1; si priorizas rapidez operativa y quieres delegar la complejidad, la instalaci\u00f3n <strong>1-clic<\/strong> con EasyPanel (y el panel de WireGuard Easy) es la jugada inteligente.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<p class=\"wp-block-paragraph\">\u00bfT\u00fa qu\u00e9 opinas? <strong>Cu\u00e9ntame en comentarios<\/strong>:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>\u00bfManual o 1-clic con EasyPanel?<\/li>\n\n\n\n<li>\u00bfFull tunnel o split-tunnel en tus clientes?<\/li>\n\n\n\n<li>\u00bfHas peleado con CG-NAT y c\u00f3mo lo resolviste?<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Tu experiencia puede ayudar a otros\u2014\u00a1te leo! &#x1f64c;<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Qu\u00e9 es WireGuard y por qu\u00e9 elegirlo (velocidad, seguridad y simplicidad) WireGuard es un protocolo VPN moderno que prioriza tres cosas: rapidez, seguridad y sencillez. Naci\u00f3 con una premisa clara: que levantar un t\u00fanel seguro no sea un dolor de cabeza. En lugar de mil par\u00e1metros y una pila de cifrados heredados, se apoya en [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":7015,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_aifi_custom_prompt":"","site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","ast-disable-related-posts":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"set","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[1],"tags":[],"class_list":["post-7014","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias"],"_links":{"self":[{"href":"https:\/\/www.hostingtg.com\/blog\/wp-json\/wp\/v2\/posts\/7014","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.hostingtg.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.hostingtg.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.hostingtg.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.hostingtg.com\/blog\/wp-json\/wp\/v2\/comments?post=7014"}],"version-history":[{"count":3,"href":"https:\/\/www.hostingtg.com\/blog\/wp-json\/wp\/v2\/posts\/7014\/revisions"}],"predecessor-version":[{"id":7021,"href":"https:\/\/www.hostingtg.com\/blog\/wp-json\/wp\/v2\/posts\/7014\/revisions\/7021"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.hostingtg.com\/blog\/wp-json\/wp\/v2\/media\/7015"}],"wp:attachment":[{"href":"https:\/\/www.hostingtg.com\/blog\/wp-json\/wp\/v2\/media?parent=7014"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.hostingtg.com\/blog\/wp-json\/wp\/v2\/categories?post=7014"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.hostingtg.com\/blog\/wp-json\/wp\/v2\/tags?post=7014"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}