Configura la VPN WireGuard en routers y WiFi Mesh de ASUS

Configura la VPN WireGuard en routers y WiFi Mesh de ASUS

Sergio De Luz

El fabricante ASUS está empezando a desplegar la última versión de su firmware ASUSWRT 2022 en los principales modelos, uno de los modelos compatibles es el ASUS ZenWiFi XT9, uno de los últimos sistemas WiFi Mesh del fabricante. No obstante, también lo tenemos disponible en diferentes modelos de routers del fabricante. Una de las novedades más importantes de esta nueva versión es la incorporación de la popular VPN WireGuard, tanto actuando como servidor como también cliente VPN con Fusión VPN. Hoy en RedesZone os vamos a enseñar cómo configurar el servidor VPN con WireGuard para conectarnos de forma segura con ordenadores y dispositivos móviles.

Configurar conexión a Internet y DDNS

Lo primero que debemos hacer es configurar correctamente la conexión a Internet. Dependiendo de nuestro operador, tendremos que poner una configuración u otra, con o sin VLANs en la WAN de Internet. Una vez que hayas configurado correctamente la conexión a Internet, debemos comprobar en el menú principal que la WAN IP es una dirección IP pública, si fuera una dirección de CG-NAT no podremos conectarnos a nuestro servidor VPN desde el exterior. Es algo que debemos tener muy en cuenta.

Una vez que hayamos verificado que la conexión a Internet está bien configurada y que obtenemos dirección IP pública, debemos irnos al menú de «WAN – DDNS» donde vamos a poder configurar el DNS dinámico, algo fundamental para usar un dominio y conectarnos al servidor siempre que queramos, sin necesidad de que sepamos cuál es la dirección IP pública de nuestro router.

En nuestro caso, hemos elegido «Servidor: WWW.ASUS.COM» porque el propio fabricante nos proporciona un DNS dinámico totalmente gratuito, simplemente tenemos que poner el nombre de host que nosotros queramos, y el dominio terminará con asuscomm.com, tal y como podéis ver a continuación.

En el caso de que queramos acceder de forma remota al router, podemos hacerlo y generar un certificado gratuito con Let’s Encrypt, ideal para que el navegador web no nos indique que es una web no segura por no tener un certificado SSL/TLS válido. Esto es totalmente opcional, lo más importante es que tengas el DNS dinámico, no importa con qué proveedor lo tengamos.

Ahora que ya tenemos la conexión a Internet y también el DNS dinámico configurado, vamos a irnos a la sección de servidor VPN donde vais a poder ver lo fácil que es la configuración de este servidor VPN en nuestro router o sistema WiFi Mesh de ASUS.

Configurar el servidor VPN WireGuard

Para configurar el servidor VPN con WireGuard, tenemos que irnos a la sección de «Configuración avanzada / VPN«. Una vez que estemos aquí, pinchamos en la sección de «WireGuard VPN» y podemos ver tanto la configuración general como también la configuración avanzada con las diferentes opciones de configuración disponibles:

Para poder realizar los diferentes cambios en el servidor, debemos activar el servicio de VPN y posteriormente aplicamos los cambios que nosotros queramos. El router ASUS nos permite realizar las siguientes configuraciones:

  • General:
    • Permitir o no el acceso a la intranet, es decir, a la red local doméstica.
    • Dirección IP del túnel, por defecto está bien y no deberíamos tocarlo, a no ser que queramos modificar la subred predeterminada.
    • Puerto UDP de escucha, es el puerto por defecto y podemos poner el que nosotros queramos.
  • Configuración avanzada:
    • Permitir el uso de los DNS del router.
    • Habilitar NAT para redes IPv6
    • Activar o no la clave precompartida, esta clave deberá estar en todos los clientes.
    • KeepAlive: el valor que hay es el predeterminado y correcto.

Una vez que hayamos configurado todos los parámetros de general, pinchamos en «Aplicar toda la configuración«, y lo mismo cuando configuremos los diferentes parámetros de la sección de «Configuración avanzada», procedemos a pinchar en el botón de «Aplicar toda la configuración».

Por último, tenemos que pinchar en «Renew key: Renovar» para generar la clave pública y privada del servidor, la cual se genera solamente si nosotros pinchamos en el botón, de lo contrario no se generará.

Ahora que ya hemos configurado correctamente el servidor VPN, tenemos que crear los diferentes clientes VPN que se van a conectar al servidor. En este mismo menú en la sección de «General» es donde tenemos que crearlos, y posteriormente pasarle la configuración a los ordenadores, smartphones y otros dispositivos compatibles con WireGuard.

Configuración de los clientes

Configurar los clientes es una tarea bastante sencilla porque ASUS nos proporcionará todo lo necesario, al pinchar en «General > Cliente VPN» en el icono de «+» vamos a poder añadir un nuevo cliente. Lo primero que nos pedirá es el nombre de usuario que queramos dar de alta, a continuación, el router nos generará la dirección IP del cliente, qué direcciones IP están permitidas en el servidor y también qué direcciones están permitidas en el cliente.

Es muy importante que el cliente VPN tenga las direcciones 0.0.0.0/1 para redirigir todo el tráfico de red a través de la VPN, de lo contrario, tendremos un «split-tunnel», es decir, podemos tener acceso a la red local pero no redirigir el tráfico de red. En principio, no deberíamos tocar esta configuración que nos propone.

Una vez que pinchamos en «Apply and Enable» podemos acceder a un código QR para escanear con nuestro smartphone Android y iOS, si utilizas iOS tendrás que poner la dirección IP de los DNS de forma manual, pero en Android es todo automático. En el caso de que vayas a configurarlo en un PC, tendrás que pinchar en la pestaña de «Exportar» y veremos el código que debe tener el fichero de configuración, también podemos pinchar en el botón de «Exportar» para descargarlo en nuestro PC.

Una vez que hayamos creado el cliente, podemos verlo en el listado de cliente, vamos a poder crear un máximo de 10 clientes VPN con WireGuard, es una limitación que debes tener muy en cuenta.

Ahora que ya tenemos el cliente creado, podemos instalar el cliente VPN (software) para nuestro ordenador o móvil, en la web oficial del proyecto podéis encontrar todos los instaladores disponibles, simplemente descargamos el correcto para nuestro sistema operativo, lo instalamos y listo.

Nosotros hemos probado el cliente VPN para Windows, es el mismo para Windows 10 que para Windows 11, por lo que no hay diferencias. Abrimos el programa y tenemos que pinchar en «Import tunnel from file«, buscamos el fichero de configuración que hemos exportado del router (y guardado en nuestro PC), y automáticamente cargará toda la configuración que tiene el fichero de configuración.

Si pinchamos en el botón de «Activar«, esperamos unos segundos y ya habremos establecido el túnel VPN entre el cliente y el servidor, nos informará de cuánto tráfico hemos intercambiado y también podemos ver el registro completo de todo lo que ha realizado el cliente para que funcione correctamente.

Tal y como podéis ver, cuando el túnel se ha establecido correctamente, en el router podemos ver que este cliente está conectado actualmente al servidor.

También vamos a poder ver en la tabla de enrutamiento que tenemos una nueva interfaz wgs1 levantada, algo totalmente normal para poder enrutar correctamente los paquetes a través de las diferentes redes.

Si creamos un nuevo cliente «Peer» para nuestro dispositivo móvil, el proceso es exactamente el mismo. Pinchamos en «Añadir cliente VPN», le damos un nombre de usuario y pinchamos en «Aplicar» porque el resto de la configuración se genera automáticamente sin que tengamos que hacer nada más.

En la aplicación para smartphones, abrimos WireGuard y procedemos a escanear el código QR que nos muestra el router de ASUS, después le damos un nombre y ya podemos activar la VPN siempre que nosotros queramos. Simplemente debemos activarla en nuestro smartphone, pulsar en aceptar si nos pide permisos de conexión VPN, y ya estaremos navegando por Internet a través del router de ASUS con la red privada virtual.

Por supuesto, en este caso también vamos a poder ver cuántos datos se han transmitido en el túnel establecido, lo mismo que ocurría en el cliente para equipos Windows.

Si nos vamos al router de ASUS, podemos ver que los dos clientes están conectados correctamente y sin problemas.

Tal y como habéis visto, configurar el servidor VPN con WireGuard en los routers de ASUS es realmente sencillo. Vamos a tener la máxima seguridad posible sin necesidad de complicadas configuraciones, un aspecto importante es que vamos a tener un gran ancho de banda en comparación con IPsec o OpenVPN, porque este protocolo nuevo es mucho más eficiente. Además, tendremos «roaming» entre redes, por lo que si cambias de WiFi a datos móviles, no vas a tener que volver a conectarte al servidor, sino que él mismo lo intentará automáticamente sin que tengamos que hacer absolutamente nada más.

¡Sé el primero en comentar!