WireGuard

Aunque Tailscale proporciona una experiencia amigable para la mayoría, WireGuard es una solución de VPN integrada robusta en Unraid que destaca en escenarios de redes avanzados específicos. Es particularmente útil cuando se necesita un control detallado sobre la ruta de la VPN o se requieren conexiones de servidor a servidor o LAN a LAN sin depender de servicios de terceros. A continuación, se describen los escenarios clave donde WireGuard sobresale.

Cuándo elegir WireGuard

Escenario	¿Por qué elegir WireGuard?
Configuración avanzada	Permite configuraciones personalizadas de VPN Tunnel e integración con la infraestructura de red existente
Túneles de servidor a servidor	Permite crear enlaces cifrados persistentes entre servidores Unraid
Integración de LAN a LAN	Conecta redes enteras sin involucrar servicios intermediarios
Tareas intensivas de ancho de banda	Ofrece un protocolo de sobrecarga mínimo para un rendimiento máximo

información

Para la mayoría de los usuarios, Tailscale puede lograr todo lo que WireGuard puede hacer, generalmente con mayor facilidad. Típicamente no requiere redireccionamiento de puertos ni configuración manual. Sin embargo, si necesita configuraciones de VPN avanzadas, personalizadas o tiene requisitos de compatibilidad específicos, elegir WireGuard puede ser una mejor opción para algunos.

Tipos de conexión y casos de uso

Conocer los tipos de conexión en WireGuard puede ayudarlo a decidir si es adecuado para usted:

Tipo de conexión	Caso de uso del mundo real
Acceso remoto al servidor	Accede a Unraid WebGUI, contenedores Docker, VMs y recursos compartidos de red de forma remota.
Acceso remoto a la LAN	Acceda a todos los dispositivos en su LAN de forma remota como si estuviera en la red local.
Acceso de servidor a servidor	Conecte de forma segura dos servidores Unraid para compartir datos o realizar copias de seguridad.
Acceso de LAN a LAN	Conecte de manera fluida dos LANs enteras para una comunicación fluida entre redes.
Acceso de servidor hub & spoke	Permitir que múltiples clientes %%VPN|túnel-vpn%% se conecten entre sí a través del servidor.
Acceso de LAN hub & spoke	Habilitar la comunicación entre múltiples LANs a través de un servidor central.
Acceso VPN tunelizado	Dirige contenedores Docker específicos y VMs a través de un proveedor de VPN comercial WireGuard.
Acceso túnel remoto	Encamine de manera segura todo su tráfico de internet a través de su servidor Unraid cuando esté en redes no confiables.

Configuración de WireGuard en Unraid

Prerequisites

• DNS dinámico: Configure DDNS para un acceso confiable si su IP pública cambia. Las opciones populares incluyen Cloudflare (requiere propiedad de un dominio), No-IP, o DuckDNS (gratuito pero puede experimentar interrupciones ocasionales).
• Configuración del router:
  • Habilite UPnP en Configuración → Acceso de Gestión para el reenvío automático de puertos.
  • Si UPnP no está disponible, reenvíe manualmente el puerto UDP 51820 a la IP de su servidor Unraid.
• Software del cliente: Instale WireGuard en sus dispositivos (Windows, macOS, iOS, Android).

Paso 1: Generar claves

1. Vaya a Configuración → Administrador de VPN.

2. Nombre su túnel (por ejemplo, "VPN Hogar").
3. Haga clic en Generar par de claves para crear claves públicas/privadas.

advertencia

Guarde la clave privada de forma segura ya que proporciona acceso completo a la red.

Paso 2: Configure su punto final

• Para usuarios de DDNS: Reemplace la IP en Punto final local con su URL de DDNS (por ejemplo, mihogar.duckdns.org).
• Mantenga el puerto predeterminado (51820) a menos que entre en conflicto con servicios existentes.

Paso 3: Configure el reenvío de puertos

• Usuarios de UPnP: Unraid reenviará automáticamente los puertos si está habilitado en Configuración → Acceso de Gestión.

• Configuración manual: Si UPnP no está disponible:
  1. Ingrese a su router.
  2. Reenvíe el puerto UDP 51820 a la IP LAN de su servidor Unraid.
  3. Utilice el mismo puerto para configuraciones externas e internas.

Paso 4: Active su túnel

1. Alternar Activo para habilitar WireGuard.
2. Habilite Inicio automático para ejecutar WireGuard al inicio.

Security mejores prácticas

• Acceso solo seguro: El acceso VPN es similar al acceso físico a la red, así que solo autorice dispositivos de confianza.
• Gestión de claves: Nunca comparta claves privadas; trátelas como contraseñas.
• Segmentación de la red: Para configuraciones complejas (contener Docker personalizados/VMs), aisle el tráfico VPN usando VLANs o subredes separadas.
• Auditorías regulares: Revise dispositivos conectados y permisos de acceso trimestralmente.

Definiendo un par (cliente)

Un par es un dispositivo cliente - como un teléfono, una laptop u otro servidor - que se conecta a su WireGuard VPN de Unraid. Definir un par significa crear una identidad única y asegurar llaves para ese dispositivo.

1. Seleccione Agregar par.

2. Nombre el par (por ejemplo, MiAndroid).
3. Elija el tipo de conexión inicial para un acceso completo a la red, generalmente Acceso remoto a LAN.
4. Haga clic en Generar par de llaves para crear llaves públicas y privadas. Mantenga la llave privada segura.
5. Opcionalmente, genere una clave precompartida para mayor seguridad.
6. Haga clic en Aplicar.

nota

Mientras los pares pueden generar sus propias claves, dejar que Unraid las genere simplifica la configuración al proporcionar archivos de configuración completos.

precaución

Añadir un nuevo par puede desactivar temporalmente el túnel de WireGuard, lo cual podría interrumpir su conexión. Asegúrese de tener acceso local a su servidor antes de realizar cambios.

Configuración de un par (cliente)

Dispositivo móvil

1. Seleccione el icono para ver la configuración del par.

2. En la aplicación móvil WireGuard, elija Crear desde código QR y escanee el código QR.
3. Nombre la conexión y conéctese. El VPN tunnel debería iniciarse rápidamente.
4. Mantenga el código QR privado: cualquiera que lo tenga puede acceder a su VPN.

Otros dispositivos

1. Seleccione el icono para ver la configuración del par.

2. Descargue el archivo de configuración.
3. Transfiera de forma segura al dispositivo cliente (por ejemplo, mediante correo electrónico o almacenamiento en la nube de confianza).
4. Descomprima e importe la configuración en el cliente WireGuard.
5. Proteja este archivo para evitar el acceso no autorizado a la VPN.

Configuración de su DNS

1. Acceda a dispositivos utilizando direcciones IP o nombres de dominio completamente calificados (por ejemplo, tuHashPersonal.unraid.net).

nota

Short de nombres como "torre" o entradas DNS gestionadas por el router pueden no funcionar sobre el VPN.

2. Para habilitar la resolución de nombres cortos:
   • Vaya a Configuración → Administrador de VPN en Unraid.
   • Cambie de Básico a Avanzado modo.
   • Ingrese la dirección IP de su servidor DNS preferido en el campo Servidor DNS del par.
   • Guarde los cambios y actualice el archivo de configuración del cliente.
3. Servidores DNS recomendados:
   • La dirección IP de su router LAN.
   • Servidores DNS públicos como 8.8.8.8.

Esta configuración es especialmente importante para el modo Acceso remoto tunelizado, donde el servidor DNS original del cliente puede no estar disponible.

nota

Las direcciones mDNS (por ejemplo, torre.local) solo funcionan en la red local y no por VPN WireGuard.

Redes complejas

Para la mayoría de los usuarios, la configuración predeterminada Usar NAT funciona inmediatamente y permite el acceso a Unraid y la mayoría de los dispositivos de LAN. Sin embargo, si utiliza contenedores Docker con IPs personalizadas o VMs con requisitos estrictos de red:

1. En su configuración WireGuard túnel, configure Usar NAT a No.
2. En su router, agregue una ruta estática para la red de túnel WireGuard (por ejemplo, 10.253.0.0/24) apuntando a la IP de su servidor Unraid.
3. En Configuración → Configuración de Docker, configure Acceso al host para redes personalizadas a Habilitado.

Configuraciones a evitar

Configuración de NAT	Acceso del Host a redes personalizadas	Servidor y Dockers (Puente/Host)	VMs y otros sistemas de LAN	Dockers con IP personalizada	Notas
Sí	Deshabilitado (Ruta estática opcional)	Accesible	Accesible	No accesible	Configuración de red simple; recomendado para la mayoría de los usuarios
Sí	Habilitado (Ruta estática opcional)	Accesible	No accesible	No accesible	Evitar esta configuración
No	Deshabilitado (Sin ruta estática)	Accesible	No accesible	No accesible	Evite; requiere ruta estática para funcionar correctamente
No	Deshabilitado (Con ruta estática)	Accesible	Accesible	No accesible	Casi correcto; habilitar acceso al host para redes personalizadas
No	Habilitado (Con ruta estática)	Accesible	Accesible	Accesible	Configuración recomendada para redes complejas

Resolución de problemas de WireGuard

WireGuard está diseñado para ser discreto - si algo no funciona, no proporcionará mensajes de error. Para solucionar problemas de manera efectiva, debería revisar sistemáticamente cada aspecto de su configuración.

Lista de verificación de conexión

• ✅ El túnel está activo tanto en Unraid como en dispositivos cliente. ("Activo" significa que el túnel ha iniciado pero no está necesariamente conectado.)
• ✅ La URL de DDNS apunta a su IP pública actual y está configurada en Punto final local.
• ✅ El puerto UDP correcto se reenvía de su router a Unraid, coincidiendo con el puerto Punto final local.
• ✅ Los clientes tienen los archivos de configuración más recientes después de cualquier cambio del lado del servidor.
• ✅ Los cambios se guardan antes de ver o distribuir las configuraciones de los pares (códigos QR/archivos).

Ideas adicionales de resolución de problemas

Consejos para la configuración inicial - Haga clic para expandir/colapsar

Si está configurando WireGuard por primera vez, estos consejos pueden ayudarlo a evitar errores comunes:

• Configure su primer cliente utilizando un dispositivo móvil con datos celulares (no Wi-Fi) para descartar problemas de red local.
• Utiliza el método de código QR para la transferencia de configuración más fácil.

Problemas de conexión y conectividad - Haga clic para expandir/colapsar

Si no está viendo un handshake o no puede conectar, pruebe estas verificaciones específicas:

• Si no ve un handshake, intente generar tráfico (por ejemplo, hacer ping al servidor) para activar la conexión.
• Desactiva las funciones de ahorro de energía, ahorro de datos o ahorro de batería en clientes móviles, ya que pueden interferir con el funcionamiento de la VPN.
• Asegúrate de que las redes del cliente y del servidor usen subredes diferentes (por ejemplo, evita que ambas usen 192.168.1.0/24).
• Si utiliza Cloudflare para DDNS, configure el estado Proxy a Solo DNS (no Proxiado). Dé tiempo para que los cambios de DNS se propaguen.
• Si puede conectarse desde algunas ubicaciones pero no desde otras, es posible que la red remota esté bloqueando el tráfico UDP. Actualmente, WireGuard no admite TCP como respaldo.

Conflictos avanzados de red - Haga clic para expandir/colapsar

Si tu configuración de red es más compleja o sospechas de un conflicto de IP, revisa estos pasos avanzados de solución de problemas:

• En modo Avanzado, confirme que su Grupo de red túnel local no se superpone con ninguna red existente en cualquiera de los lados. Si hay un conflicto, cambie a un subred privada diferente (por ejemplo, 10.10.10.0/24).
• Para contenedores Docker con IPs personalizadas o VMs con requisitos estrictos, consulta la sección de Redes complejas.

Recuperación de emergencia - Haga clic para expandir/colapsar

Si pierde acceso al WebGUI de Unraid y necesita desactivar el inicio automático de WireGuard

• Elimina /boot/config/wireguard/autostart de tu unidad flash y reinicia.

* "WireGuard" y el logotipo de "WireGuard" son marcas registradas de Jason A. Donenfeld.