Cómo crear una VPN en tu Home Lab con WireGuard

Una VPN (Virtual Private Network) es una tecnología que crea un túnel cifrado entre dos puntos a través de una red pública como Internet. Cuando montas una VPN en tu casa, esencialmente estás creando un acceso seguro que te permite conectarte a tu red doméstica como si estuvieras físicamente ahí, sin importar dónde te encuentres.

Si tienes un home lab — ya sea un servidor con Home Assistant, un NAS con tus archivos, cámaras de seguridad IP, o equipos de automatización industrial como PLCs y SCADAs para prácticas — una VPN te da acceso remoto seguro a todo ello sin exponer servicios directamente a Internet.

¿Por qué no simplemente abrir puertos para cada servicio? Porque cada puerto abierto es una superficie de ataque potencial. Con una VPN, solo abres un único puerto (UDP 51820 en el caso de WireGuard) y a través de él accedes a toda tu red.

• Acceso a tu NAS: Archivos, fotos y backups desde cualquier lugar.
• Home Assistant / domótica: Controla tu casa de forma segura.
• Laboratorio de PLCs: Accede a entornos de simulación o programación remotamente.
• Cámaras IP: Visualización sin exponer streams RTSP a Internet.
• Escritorio remoto: Conexiones RDP/VNC seguras a tus máquinas.
• Protección WiFi público: Navega de forma segura en cafeterías y aeropuertos.

Existen varias soluciones para montar una VPN en casa. Estas son las principales opciones y por qué elegimos WireGuard:

WireGuard es la opción más moderna, rápida y sencilla para un home lab. OpenVPN sigue siendo válido si necesitas compatibilidad con TCP (para saltarte firewalls restrictivos) o si ya tienes infraestructura basada en certificados X.509. IPSec es excesivo para uso doméstico.

El esquema de nuestra VPN es el siguiente:

El flujo es:

1. El cliente (tu móvil fuera de casa) envía paquetes cifrados al Endpoint (tu IP pública o dominio DDNS, puerto 51820/UDP).
2. Tu router reenvía el tráfico al servidor local gracias al port forwarding.
3. El servidor WireGuard descifra los paquetes y los encamina a la red local.
4. Las respuestas vuelven por el mismo túnel cifrado. Desde el punto de vista de tu cliente, es como estar en casa.

Lo primero es preparar el servidor. Puede ser una Raspberry Pi, un mini PC, o cualquier máquina Linux que tengas funcionando 24/7. Incluso un viejo portátil con Ubuntu Server sirve perfectamente.

En distribuciones basadas en Debian/Ubuntu (incluyendo Raspberry Pi OS), WireGuard está disponible en los repositorios oficiales desde hace varias versiones. En CentOS/RHEL puede requerir habilitar el repositorio EPEL.

WireGuard utiliza criptografía moderna y eficiente basada en Curve25519 para el intercambio de claves, ChaCha20 para cifrado simétrico, Poly1305 para autenticación, y BLAKE2s para hashing. Cada dispositivo necesita un par de claves (privada + pública).

Importante: Guarda las claves en un lugar seguro. Las claves privadas nunca deben compartirse ni transmitirse por canales inseguros. Cada dispositivo solo conoce su propia clave privada y las claves públicas de los otros dispositivos.

Ahora creamos el archivo de configuración del servidor. Este archivo define la interfaz del túnel, las reglas de firewall y los peers (clientes) autorizados.

¿Qué interfaz de red tengo? Ejecuta ip route | grep default. Si ves dev eth0, usa eth0. Si ves dev wlan0 (WiFi), usa wlan0. En Raspberry Pi puede ser eth0 o wlan0.

Este es el paso que conecta tu servidor con el mundo exterior. Necesitas hacer dos cosas:

7.1 — Port Forwarding en el router

Cada router tiene menús distintos, pero el concepto es el mismo: redirigir las conexiones que lleguen al puerto UDP 51820 de tu IP pública hacia la IP local de tu servidor. Los pasos genéricos:

1. Accede al panel de tu router (normalmente 192.168.1.1 o 192.168.0.1).
2. Busca la sección Port Forwarding, NAT, Virtual Servers o similar.
3. Crea una nueva regla: Protocolo UDP, Puerto externo 51820, IP destino la IP local de tu servidor, Puerto interno 51820.
4. Es muy recomendable asignar una IP fija al servidor (reserva DHCP en el router) para que la regla siempre apunte al equipo correcto.

7.2 — DNS dinámico (DDNS)

La mayoría de conexiones domésticas tienen IP pública dinámica (cambia periódicamente). Un servicio DDNS asocia un nombre de dominio fijo a tu IP actual.

WireGuard tiene apps oficiales para todas las plataformas: Android, iOS, Windows, macOS y Linux. La configuración es idéntica en todas — un simple archivo .conf.

¿Split tunnel o full tunnel?

• Split tunnel (AllowedIPs = 10.0.0.0/24, 192.168.1.0/24): Solo el tráfico dirigido a tu red local pasa por la VPN. El resto sale normalmente por Internet. Ideal para acceso remoto — menor consumo de datos y batería.
• Full tunnel (AllowedIPs = 0.0.0.0/0): Todo el tráfico pasa por tu casa. Ideal para WiFi público — cifra absolutamente todo.

Importar en el móvil usando código QR:

Tu VPN ya funciona, pero vamos a reforzar la seguridad:

9.1 — Firewall con UFW

9.2 — Actualizaciones automáticas

9.3 — Buenas prácticas adicionales:

• Limita los peers: Solo añade dispositivos que realmente necesitas.
• Rota las claves: Genera nuevas claves periódicamente (cada 6-12 meses).
• Monitoriza: Revisa sudo wg show regularmente para ver peers activos y tráfico.
• Fail2ban: Aunque WireGuard no responde a paquetes no autenticados (stealth), puedes proteger SSH con fail2ban.
• No uses root: Administra el servidor con un usuario normal y sudo.
• Backup de configuración: Guarda copias de /etc/wireguard/ en un lugar seguro fuera del servidor.

Si algo no funciona, revisa estos puntos habituales:

Problemas comunes y soluciones:

• "Handshake no se completa": Revisa que las claves públicas/privadas estén correctamente cruzadas (pública del servidor en el cliente, pública del cliente en el servidor).
• "Puedo hacer ping al servidor VPN pero no a la red local": IP forwarding no está activo, o las reglas iptables MASQUERADE no se aplicaron.
• "Funciona en WiFi local pero no desde datos móviles": El port forwarding del router no está configurado correctamente o el ISP bloquea el puerto.
• "La conexión se corta tras unos minutos": Asegúrate de tener PersistentKeepalive = 25 en la configuración del cliente.
• "CG-NAT: mi ISP no me da IP pública": Algunos ISP usan CG-NAT (Carrier-Grade NAT). En ese caso, necesitas solicitar IP pública a tu ISP o usar alternativas como Tailscale o Cloudflare Tunnel.

Una vez tengas tu VPN básica funcionando, puedes explorar estas posibilidades:

• Pi-hole como DNS de la VPN: Cambia el DNS del cliente a la IP del Pi-hole (DNS = 10.0.0.1 si Pi-hole está en el mismo servidor). Bloquea publicidad y rastreadores incluso fuera de casa.
• Acceso a PLCs y SCADAs: Si tienes un laboratorio con equipos Siemens (TIA Portal), Rockwell o Schneider, la VPN te permite programar y monitorizar remotamente sin exponer protocolos industriales.
• Site-to-site VPN: Conecta dos redes locales (casa + oficina) creando un túnel permanente entre dos servidores WireGuard.
• Múltiples clientes: Añade peers con IPs incrementales (10.0.0.3, 10.0.0.4...) para toda la familia o equipo de trabajo.
• Automatización: Crea un script que genere automáticamente claves, configuraciones y QR para nuevos clientes.

Montar una VPN con WireGuard en tu home lab es una de las mejores inversiones de tiempo que puedes hacer. En menos de una hora tienes un acceso remoto seguro, rápido y moderno a toda tu red local.

WireGuard destaca por su simplicidad (configuración mínima, sin certificados complejos), su rendimiento (integrado en el kernel de Linux, latencia mínima) y su seguridad (criptografía moderna, superficie de ataque reducida).

Ya sea para acceder a tu NAS, controlar tu domótica, practicar con PLCs en tu laboratorio, o simplemente navegar de forma segura en redes WiFi públicas, WireGuard es la herramienta ideal para tu home lab.