Configurar WireGuard en OpenWrt

Antes que nada, actualiza la lista de paquetes disponibles, con:

opkg update

Luego, instala los paquetes de WireGuard, ejecutando:

opkg install kmod-wireguard luci-app-wireguard luci-i18n-wireguard-es luci-proto-wireguard wireguard-tools

Instala la aplicación para generar códigos QR, ejecutando:

opkg install qrencode

Una vez hecho lo anterior, ya puedes proceder con la configuración.

Mediante LUCI (gráficamente desde la web)

Agrega la interfaz para WireGuard yendo a Interfaces >> Botón «Añadir nueva interfaz»:

• Nombre: vpn
• Protocolo: WireGuard VPN

En la siguiente ventana dale al botón «Generar nuevo par de claves».

En el apartado «Puerto de escucha», pon el puerto por defecto de WireGuard, que es el 51820, o pon cualquier otro puerto disponible que te guste más.

En el apartado «Direcciones IP», pon la IP que va a tener esa interfaz que estás creando, dentro de la subred en la que también se meterán los clientes que se conecten al servidor WireGuard. Por ejemplo 192.168.10.1/24, si quieres que tanto la interfaz como los clientes estén en la subred 192.168.10.0/24

Ve al cortafuegos (menú «Red» >> «Cortafuegos» >> Botón «Añadir») y crea una nueva zona. Llámala vpn.

En el apartado «Redes cubiertas», marca «vpn».

En el apartado «Permitir reenvío a zonas de destino», marca «wan» (y posiblemente también LAN, si te interesa que las conexiones VPN puedan acceder a la zona LAN).

Dale al botón «Guardar».

Asegúrate de que tanto «Entrada», «Salida» y «Reenviar» estén en «Aceptar» y luego dale al botón de «Guardar y aplicar».

Para permitir WireGuard en el cortafuegos, vamos a Menu «Red» >> «Cortafuegos» >> Pestaña «Reglas de tráfico» >> Botón «Añadir» y creamos una regla con los siguientes datos:

• Nombre: Permitir Wireguard.
• Protocolo: UDP.
• Zona de origen: wan.
• Zona de destino: Dispositivo (entrada).
• Puerto de destino: 51820.
• Acción: Aceptar.

Mediante terminal

Crea el par de claves público/privada, ejecutando:

wg genkey | tee wg.key | wg pubkey > wg.pub