WireGuard: más allá de la configuración básica

 (sloonz.github.io)
3 puntos por GN⁺ 2024-11-25 | 1 comentarios | Compartir por WhatsApp

  • Configuración básica

    • Se comparte la experiencia de intentar reemplazar OpenVPN con WireGuard.
    • Resumen de la configuración básica:
      • Generar un par de claves para el servidor y el cliente, respectivamente.
      • Definir la red VPN y las direcciones IP.
      • Crear y ejecutar los archivos de configuración del servidor y del cliente.
      • Es posible separar la VPN y la conexión a internet usando espacios de nombres de red.

  • NAT

    • Resolver problemas de algunas aplicaciones que no funcionan detrás de NAT.
    • Se puede resolver el problema de NAT usando UPnP.
    • WireGuard no soporta UPnP de forma predeterminada, por lo que se requiere configuración manual.
    • Es posible agregar funcionalidad UPnP instalando y configurando miniupnpd.

  • IPv6

    • Una mejor forma de resolver los problemas de NAT es no usar NAT.
    • Con IPv6, es posible asignar direcciones públicamente enrutable sin NAT.
    • Al asignar direcciones IPv6 al servidor y al cliente, pueden comunicarse incluso sin NAT.
    • Con la configuración de IPv6, es posible acceder desde internet pública sin necesidad de UPnP.

Lecturas relacionadas

1 comentarios

 
GN⁺ 2024-11-25
Comentarios en Hacker News

  • Quiere configurar un servidor personal y ofrecer servicios accesibles desde la web. Logró mapear subdominios a servicios usando Caddy, pero Tailscale Magic DNS no soporta subdominios. Para resolverlo, quiere configurar pihole para crear un servidor DNS privado. Se pregunta si es una limitación de WireGuard

  • Encontró un sitio útil para configurar WireGuard: Procustodibus Wireguard Topologies

  • Si se configura un registro DNS dinámico para mapear un nombre de host a la IP dinámica de la red doméstica, se puede usar una VPN privada. Esto permite acceder remotamente a servicios locales sin exponerlos al internet público

  • Existe la idea errónea de que NAT es indispensable al usar WireGuard. En realidad, si el host de destino reconoce al servidor WireGuard como gateway, el enrutamiento normal de subred funciona bien. Basta con configurar una ruta estática en el router principal

  • Se pregunta si existe un buen libro que trate los principios, la implementación y la configuración de WireGuard. Dice que hay muchos libros sobre IPSEC, pero pocos sobre WireGuard

  • Le parece extraño que en WireGuard no haya una forma sencilla de tunelizar todo el tráfico excepto hacia ciertas IP. Hay que generar programáticamente una lista de todos los CIDR excepto las IP específicas

  • Lamenta que no tenga funcionalidad de RBAC. WireGuard es más rápido que OpenVPN, pero por RBAC tiene que usar OpenVPN para empleados y contratistas

  • Está usando WireGuard con IPv6, pero la funcionalidad de delegación de prefijo IPv6 no funciona. Quiere que los dispositivos puedan elegir y cambiar sus propias direcciones como en una subred Ethernet normal

  • No ha logrado que el port forwarding funcione correctamente en WireGuard sin masquerading. Para mantener la IP de origen, hay que agregar 0.0.0.0/0 a AllowedIPs, pero eso impide que las respuestas de la aplicación regresen al origen

  • Está construyendo infraestructura basada en IPv6. Quiere aprovechar el cifrado moderno y el diseño sin estado de WireGuard, pero sin adoptar el esquema de direcciones de WireGuard y manteniendo el esquema de direcciones IPv6 existente