WireGuard Manual Self-Hosted: VPN 100% Control en tu Homelab (Guía Completa 2026)

¿Quieres una VPN self-hosted con control total, sin depender de servicios SaaS como Tailscale? ¿Necesitas privacidad absoluta y sin límites de dispositivos? WireGuard manual es tu solución: un protocolo VPN moderno, rápido y seguro que puedes configurar desde cero en tu homelab, con 100% control sobre claves, routing y configuración.

En esta guía completa te enseño a instalar WireGuard manualmente con Docker-2025/), configurar servidor y clientes (Linux, Windows, móvil), compararlo con Tailscale y Cloudflare Tunnel, y resolver los problemas más comunes. Todo con ejemplos prácticos copy-paste y scripts automatizados.

Después de seguir esta guía, tendrás un servidor VPN funcionando con control total, privacidad absoluta (sin terceros), y sin límites de dispositivos. Perfecto para acceder a tu homelab desde cualquier lugar, conectar múltiples sites, o usar tu homelab como exit node.

📋 TL;DR

¿Qué es WireGuard manual? Configuración directa del protocolo WireGuard sin servicios SaaS, con control total sobre claves, routing y configuración.

¿Por qué elegirlo sobre Tailscale? Control total, privacidad absoluta (sin terceros), sin límites de dispositivos, y configuración personalizada avanzada.

¿Qué necesitas? Docker, servidor con IP pública (o dominio), 30 minutos, y conocimientos básicos de redes.

¿Resultado? VPN self-hosted funcionando con control total + clientes configurados + routing avanzado.

⏱️ Tiempo de lectura: 25 minutos | Nivel: Intermedio-Avanzado

📚 Tabla de Contenidos

1. ¿Qué es WireGuard y por qué usarlo manualmente?
2. WireGuard vs Tailscale vs Cloudflare Tunnel: Comparativa Completa
3. Requisitos y Preparación
4. Instalación: Servidor WireGuard en Docker
5. Configuración del Servidor
6. Configuración de Clientes
7. Routing y Firewall Avanzado
8. Casos de Uso Avanzados
9. Troubleshooting Común
10. Seguridad y Mejores Prácticas
11. Descargar Ejemplos
12. Preguntas Frecuentes
13. Conclusión

> 📅 Última actualización: Enero 2026

> ✅ Verificado con: WireGuard v1.0.20210914 – Enero 2026

> 🔄 Próxima revisión: Abril 2026

¿Qué es WireGuard y por qué usarlo manualmente? {#que-es-wireguard}

WireGuard es un protocolo VPN moderno, rápido y seguro diseñado para ser más simple que OpenVPN e IPSec. Fue creado por Jason A. Donenfeld y se integró en el kernel de Linux 5.6+.

Características principales:

• Criptografía moderna: Utiliza Curve25519, ChaCha20, Poly1305, BLAKE2s
• Código minimalista: ~4000 líneas de código (vs 100K+ de OpenVPN)
• Alto rendimiento: Integrado en el kernel, menor latencia
• Configuración simple: Un solo archivo de configuración por interfaz
• Multiplataforma: Linux, Windows, macOS, Android, iOS, BSD

¿Por qué configurarlo manualmente?

Aunque servicios como Tailscale facilitan mucho la configuración, hay razones para preferir WireGuard manual:

Ventajas de WireGuard manual:

• ✅ Control total: Tú gestionas claves, routing, firewall
• ✅ Privacidad absoluta: Sin terceros (Tailscale tiene servidores de coordinación)
• ✅ Sin límites: Ilimitados dispositivos (Tailscale limita a 100 gratis)
• ✅ Configuración avanzada: Routing personalizado, múltiples interfaces, site-to-site
• ✅ Costo cero: Completamente gratis (Tailscale cobra después de 100 dispositivos)

Desventajas:

• ❌ Configuración compleja: Requiere conocimientos de redes y firewall
• ❌ NAT traversal manual: Necesitas abrir puertos o configurar port forwarding
• ❌ Sin UI: Gestión mediante archivos de configuración (aunque hay WireGuard-UI)

Arquitectura de WireGuard

WireGuard funciona como una interfaz de red virtual (wg0, wg1, etc.) que encapsula el tráfico encriptado. Cada peer (servidor o cliente) tiene:

• Clave privada: Se mantiene secreta, nunca se comparte
• Clave pública: Se comparte con otros peers para establecer conexiones

Flujo de conexión:

1. Cliente envía handshake encriptado al servidor
2. Servidor verifica la clave pública del cliente
3. Se establece túnel encriptado punto a punto
4. Tráfico se enruta a través del túnel

WireGuard vs Tailscale vs Cloudflare Tunnel: Comparativa Completa {#comparativa}

• WireGuard manual: Máximo control, privacidad absoluta, configuración compleja
• Tailscale: Facilidad, mesh automático, dependencia de SaaS
• Cloudflare Tunnel: Exponer servicios web sin VPN, no es VPN real

¿Cuándo usar cada uno?

• WireGuard manual: Quieres control total, privacidad absoluta, o más de 100 dispositivos
• Tailscale: Quieres facilidad, múltiples sites, o gestión centralizada
• Cloudflare Tunnel: Solo quieres exponer servicios web, no necesitas VPN completa

Requisitos y Preparación {#requisitos}

Antes de comenzar, asegúrate de tener:

Hardware:

• Servidor con Linux (Ubuntu 22.04+ recomendado)
• IP pública o dominio (para que clientes se conecten)
• Mínimo 512MB RAM, 1GB disco

Software:

• Docker y Docker Compose instalados
• Acceso root o sudo
• Conocimientos básicos de redes y firewall

Red:

• Puerto 51820/UDP abierto en firewall (o port forwarding configurado)
• Interfaz de red principal identificada (ej: eth0, ens3)

Verificar requisitos:

# Verificar Docker
docker --version
docker-compose --version

# Verificar interfaz de red
ip addr show

# Verificar puerto disponible
sudo netstat -tulpn | grep 51820

Instalación: Servidor WireGuard en Docker {#instalacion-docker}

La forma más sencilla de instalar WireGuard es usando Docker. Usaremos la imagen oficial de LinuxServer.io que incluye todo lo necesario.

Docker Compose

Crea un archivo docker-compose.yml:

version: '3.8'

services:
  wireguard:
    image: linuxserver/wireguard:latest
    container_name: wireguard
    cap_add:
      - NET_ADMIN
      - SYS_MODULE
    environment:
      - PUID=1000
      - PGID=1000
      - TZ=Europe/Madrid
      - SERVERURL=wireguard.tu-dominio.com  # Cambiar por tu dominio o IP
      - SERVERPORT=51820
      - PEERS=5  # Número de clientes a generar
      - PEERDNS=1.1.1.1
      - INTERNAL_SUBNET=10.0.0.0
      - ALLOWEDIPS=0.0.0.0/0
    volumes:
      - ./wireguard-config:/config
      - /lib/modules:/lib/modules:ro
    ports:
      - "51820:51820/udp"
    sysctls:
      - net.ipv4.conf.all.src_valid_mark=1
    restart: unless-stopped

Explicación de variables:

• SERVERURL: Dominio o IP pública del servidor
• SERVERPORT: Puerto UDP (51820 por defecto)
• PEERS: Número de configuraciones de cliente a generar automáticamente
• PEERDNS: DNS a usar en clientes (1.1.1.1 = Cloudflare)
• INTERNAL_SUBNET: Red interna VPN (10.0.0.0/24)
• ALLOWEDIPS: Qué tráfico enrutar (0.0.0.0/0 = todo)

Iniciar Servidor

# Crear carpeta de configuración
mkdir -p wireguard-config

# Iniciar contenedor
docker-compose up -d

# Ver logs
docker-compose logs -f wireguard

# Verificar que está corriendo
docker ps | grep wireguard

Configuraciones generadas:

Las configuraciones de cliente se generan automáticamente en wireguard-config/peer_X/peer_X.conf. Cada archivo contiene la configuración completa para importar en el cliente.

Configuración del Servidor {#configuracion-servidor}

Si prefieres configuración manual (más control), puedes configurar WireGuard directamente en el servidor.

1. Instalar WireGuard

# Ubuntu/Debian
sudo apt update
sudo apt install wireguard wireguard-tools -y

# Verificar instalación
wg --version

2. Generar Claves

# Crear directorio
sudo mkdir -p /etc/wireguard
cd /etc/wireguard

# Generar claves del servidor
umask 077
wg genkey | tee server_private.key | wg pubkey > server_public.key

# Ver claves
cat server_private.key
cat server_public.key

# Proteger clave privada
chmod 600 server_private.key

3. Crear Configuración del Servidor

Crea /etc/wireguard/wg0.conf:

[Interface]
# Clave privada del servidor
PrivateKey = [CLAVE_PRIVADA_SERVIDOR]

# IP del servidor en la red VPN
Address = 10.0.0.1/24

# Puerto UDP donde escucha WireGuard
ListenPort = 51820

# Reglas de firewall (PostUp = después de levantar interfaz)
# Ajustar 'eth0' por tu interfaz de red principal
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

# Reglas de firewall (PostDown = después de bajar interfaz)
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

# Cliente 1: Laptop
[Peer]
PublicKey = [CLAVE_PUBLICA_CLIENTE_1]
AllowedIPs = 10.0.0.2/32

# Cliente 2: Móvil
[Peer]
PublicKey = [CLAVE_PUBLICA_CLIENTE_2]
AllowedIPs = 10.0.0.3/32

Importante:

• Reemplazar [CLAVE_PRIVADA_SERVIDOR] con la clave privada generada
• Reemplazar eth0 por tu interfaz de red principal (verificar con ip addr)
• Añadir peers (clientes) con sus claves públicas

4. Habilitar y Iniciar WireGuard

# Habilitar servicio
sudo systemctl enable wg-quick@wg0

# Iniciar servicio
sudo systemctl start wg-quick@wg0

# Verificar estado
sudo systemctl status wg-quick@wg0

# Ver interfaz
sudo wg show

5. Abrir Puerto en Firewall

# UFW
sudo ufw allow 51820/udp

# iptables
sudo iptables -A INPUT -p udp --dport 51820 -j ACCEPT

Configuración de Clientes {#configuracion-clientes}

Linux

1. Instalar WireGuard:

# Ubuntu/Debian
sudo apt install wireguard wireguard-tools -y

2. Crear configuración del cliente:

Crea /etc/wireguard/wg0.conf:

[Interface]
# Clave privada del cliente
PrivateKey = [CLAVE_PRIVADA_CLIENTE]

# IP del cliente en la red VPN
Address = 10.0.0.2/24

# DNS a usar cuando esté conectado
DNS = 1.1.1.1, 8.8.8.8

[Peer]
# Clave pública del servidor
PublicKey = [CLAVE_PUBLICA_SERVIDOR]

# IP pública del servidor y puerto
Endpoint = tu-servidor.com:51820

# Qué tráfico enrutar por la VPN
# 0.0.0.0/0 = todo el tráfico (VPN completo)
# 10.0.0.0/24 = solo red VPN (split tunnel)
AllowedIPs = 0.0.0.0/0

# Mantener conexión viva (útil si el cliente está detrás de NAT)
PersistentKeepalive = 25

3. Conectar:

# Levantar interfaz
sudo wg-quick up wg0

# Verificar conexión
sudo wg show

# Bajar interfaz
sudo wg-quick down wg0

Windows

1. Descargar e instalar:

• Descargar desde: https://www.wireguard.com/install/
• Instalar el cliente oficial

2. Importar configuración:

• Abrir aplicación WireGuard
• Clic en «Añadir túnel» → «Crear desde archivo»
• Seleccionar archivo .conf generado
• Activar conexión

Android/iOS

1. Instalar app:

• Android: Google Play
• iOS: App Store

2. Importar configuración:

• Opción 1: Escanear QR code (si el servidor lo genera)
• Opción 2: Importar archivo .conf desde almacenamiento
• Activar conexión

Routing y Firewall Avanzado {#routing-firewall}

Exponer Subred Completa

Si quieres que los clientes accedan a toda tu red local (192.168.1.0/24):

Servidor (wg0.conf):

[Interface]
PrivateKey = [CLAVE_PRIVADA_SERVIDOR]
Address = 10.0.0.1/24
ListenPort = 51820

# Añadir ruta para red local
PostUp = ip route add 192.168.1.0/24 dev wg0
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT
PostUp = iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

[Peer]
PublicKey = [CLAVE_PUBLICA_CLIENTE]
AllowedIPs = 10.0.0.2/32, 192.168.1.0/24

Cliente:

[Interface]
PrivateKey = [CLAVE_PRIVADA_CLIENTE]
Address = 10.0.0.2/24

[Peer]
PublicKey = [CLAVE_PUBLICA_SERVIDOR]
Endpoint = tu-servidor.com:51820
AllowedIPs = 10.0.0.0/24, 192.168.1.0/24

Site-to-Site VPN

Para conectar dos redes completas:

Servidor A (wg0.conf):

[Interface]
PrivateKey = [CLAVE_PRIVADA_A]
Address = 10.0.0.1/24
ListenPort = 51820

[Peer]
PublicKey = [CLAVE_PUBLICA_B]
Endpoint = servidor-b.com:51820
AllowedIPs = 10.0.0.2/32, 192.168.2.0/24
PersistentKeepalive = 25

Servidor B (wg0.conf):

[Interface]
PrivateKey = [CLAVE_PRIVADA_B]
Address = 10.0.0.2/24
ListenPort = 51820

[Peer]
PublicKey = [CLAVE_PUBLICA_A]
Endpoint = servidor-a.com:51820
AllowedIPs = 10.0.0.1/32, 192.168.1.0/24
PersistentKeepalive = 25

Casos de Uso Avanzados {#casos-uso}

1. Acceso Remoto a Homelab

Escenario: Acceder a servicios self-hosted (Portainer, n8n, Jellyfin) desde fuera de casa.

Configuración:

• Servidor WireGuard en homelab
• Clientes: laptop, móvil
• AllowedIPs: Solo red local (192.168.1.0/24)

Beneficios:

• Acceso seguro sin exponer servicios a internet
• Sin necesidad de reverse proxy público
• Encriptación end-to-end

2. Conectar Múltiples Homelabs

Escenario: Tienes homelab en casa y otro en casa de tus padres. Quieres conectarlos.

Configuración:

• Site-to-site VPN entre ambos servidores
• Routing para que ambas redes se vean

Beneficios:

• Sincronización de backups
• Acceso a recursos remotos
• Distribución de carga

3. Exit Node (VPN Tradicional)

Escenario: Usar tu homelab como punto de salida cuando estás en WiFi pública.

Configuración:

• Servidor WireGuard con salida a internet
• Cliente con AllowedIPs = 0.0.0.0/0
• MASQUERADE en servidor

Beneficios:

• IP fija de tu homelab
• Filtrado de tráfico (Pi-hole, etc.)
• Seguridad en redes públicas

4. Integración con Pi-hole o AdGuard Home

Escenario: Quieres que los clientes VPN usen tu servidor DNS local para bloqueo de anuncios.

Configuración:

• Configurar DNS en cliente para apuntar a Pi-hole/AdGuard:

[Interface]
DNS = 192.168.1.100  # IP de Pi-hole/AdGuard en red local

• Asegurar que el routing permite acceso a DNS local

Beneficios:

• Bloqueo de anuncios en todos los dispositivos VPN
• Estadísticas centralizadas de DNS
• Control parental si usas AdGuard Home

5. Backup Automatizado entre Sites

Escenario: Sincronizar backups automáticamente entre dos homelabs conectados por WireGuard.

Configuración:

• Site-to-site VPN entre ambos servidores
• Script de backup que usa rsync sobre WireGuard:

rsync -avz --progress /backup/ 10.0.0.2:/backup-remoto/

Beneficios:

• Backups automáticos sin exponer servicios
• Encriptación end-to-end
• Bajo costo (solo ancho de banda)

Troubleshooting Común {#troubleshooting}

Problema 1: Conexión no se establece

Síntomas:

• Cliente no puede conectar al servidor
• wg show no muestra peers conectados

Soluciones:

1. Verificar que el puerto 51820/UDP esté abierto:

sudo ufw allow 51820/udp

1. Verificar que WireGuard esté corriendo:

sudo systemctl status wg-quick@wg0
sudo wg show

1. Verificar claves públicas coinciden entre servidor y cliente

1. Verificar endpoint es accesible:

nc -u -v tu-servidor.com 51820

Problema 2: Cliente conecta pero no hay tráfico

Síntomas:

• Conexión establecida (wg show muestra handshake)
• No puede acceder a recursos en la red VPN

Soluciones:

1. Verificar routing:

ip route show
sudo iptables -L -n -v

1. Verificar AllowedIPs incluye las redes necesarias

1. Verificar PostUp/PostDown en servidor

Problema 3: Cliente detrás de NAT no mantiene conexión

Síntomas:

• Conexión se cae después de unos minutos

Solución:

Añadir PersistentKeepalive = 25 en el cliente

Problema 4: No puedo acceder a internet desde cliente

Síntomas:

• Cliente conectado a VPN
• No puede navegar por internet

Soluciones:

1. Verificar MASQUERADE en servidor:

sudo iptables -t nat -L POSTROUTING -n -v
# Debe mostrar regla MASQUERADE para eth0 (o interfaz salida)

1. Verificar AllowedIPs en cliente (0.0.0.0/0 para todo el tráfico)

1. Verificar DNS en cliente:

[Interface]
DNS = 1.1.1.1, 8.8.8.8

1. Verificar que el servidor tiene acceso a internet:

ping 8.8.8.8

Problema 5: Error «Invalid key» o «Handshake failed»

Síntomas:

• Error al conectar
• Logs muestran «Invalid key»

Soluciones:

1. Verificar que las claves públicas coinciden:

# En servidor, ver clave pública del peer
sudo wg show wg0

# Comparar con clave pública generada en cliente

1. Regenerar claves si es necesario:

# En cliente
wg genkey | tee new_private.key | wg pubkey > new_public.key

# Actualizar configuración cliente y servidor

1. Verificar formato de claves (deben ser base64, 44 caracteres)

Problema 6: Conexión lenta o con latencia alta

Síntomas:

• VPN funciona pero es lenta
• Alta latencia en conexiones

Soluciones:

1. Verificar que estás usando conexión directa (no relay):

sudo wg show wg0
# Verificar que hay handshake reciente

1. Verificar MTU (Maximum Transmission Unit):

[Interface]
MTU = 1420  # Ajustar si hay problemas de fragmentación

1. Verificar que no hay problemas de red en el servidor:

# Verificar ancho de banda
iperf3 -s  # En servidor
iperf3 -c servidor-ip  # En cliente

Seguridad y Mejores Prácticas {#seguridad}

1. Rotación de claves periódica: Regenerar claves cada 6-12 meses
2. Firewall restrictivo: Solo permitir puerto 51820/UDP desde IPs conocidas
3. Monitoreo de logs: Revisar journalctl -u wg-quick@wg0 regularmente
4. Actualizaciones: Mantener WireGuard y sistema actualizados
5. Backup de configuraciones: Guardar copias de /etc/wireguard/ en lugar seguro
6. Limitación de peers: Solo añadir peers necesarios
7. AllowedIPs restrictivo: No usar 0.0.0.0/0 si no es necesario
8. DNS seguro: Usar DNS encriptado (1.1.1.1, 8.8.8.8) o tu propio resolver

📦 Descargar Ejemplos {#descargar-ejemplos}

Todos los ejemplos de esta guía están disponibles en GitHub:

🔗 https://github.com/ziruelen/learningaiagents/tree/main/networking/wireguard-manual-self-hosted-vpn-homelab-guia-completa-2026

Incluye:

• docker-compose.yml – Servidor WireGuard en Docker
• configs/ – Templates de configuración (servidor y cliente)
• scripts/ – Scripts automatizados (generar claves, añadir peers, etc.)
• README.md – Instrucciones de uso

Preguntas Frecuentes {#faqs}

¿WireGuard es más seguro que OpenVPN?

Sí, WireGuard usa criptografía moderna (Curve25519, ChaCha20) mientras que OpenVPN usa RSA legacy. Además, el código de WireGuard es mucho más pequeño (~4000 líneas vs 100K+), lo que facilita auditorías de seguridad.

¿Puedo usar WireGuard sin IP pública?

Sí, pero necesitarás configurar port forwarding en tu router o usar un servicio como ngrok para exponer el puerto. Tailscale es mejor opción si no tienes IP pública.

¿Cuántos dispositivos puedo conectar?

Ilimitados con WireGuard manual. Tailscale limita a 100 dispositivos en el plan gratis.

¿WireGuard funciona en Windows?

Sí, hay cliente oficial para Windows disponible en https://www.wireguard.com/install/

¿Puedo usar WireGuard para acceder a mi red local?

Sí, configurando routing adecuado puedes acceder a toda tu red local (192.168.1.0/24) desde clientes VPN.

¿Qué diferencia hay entre WireGuard manual y Tailscale?

WireGuard manual te da control total pero requiere configuración manual. Tailscale automatiza todo pero depende de sus servidores de coordinación.

¿WireGuard es gratis?

Sí, completamente gratis y open source.

¿Necesito dominio para WireGuard?

No, puedes usar IP pública directamente. El dominio solo facilita la gestión si cambias de IP.

¿Puedo usar WireGuard con Docker?

Sí, la imagen linuxserver/wireguard es la más popular y funciona perfectamente.

¿WireGuard funciona en móviles?

Sí, hay apps oficiales para Android e iOS.

¿Qué puerto usa WireGuard?

Por defecto usa el puerto 51820/UDP, pero puedes cambiarlo.

¿WireGuard es más rápido que OpenVPN?

Sí, WireGuard es significativamente más rápido porque está integrado en el kernel de Linux.

¿Puedo conectar dos redes con WireGuard?

Sí, configurando site-to-site VPN puedes conectar dos redes completas.

¿WireGuard funciona detrás de NAT?

Sí, pero necesitas configurar PersistentKeepalive en el cliente para mantener la conexión viva.

¿Necesito abrir puertos en el router?

Sí, necesitas abrir el puerto 51820/UDP y hacer port forwarding al servidor WireGuard.

Conclusión {#conclusion}

WireGuard manual te da control total sobre tu VPN, privacidad absoluta, y sin límites de dispositivos. Es la opción perfecta si quieres máxima flexibilidad y no te importa la configuración manual.

Cuándo usar WireGuard manual:

• ✅ Quieres control total sobre claves y configuración
• ✅ Necesitas privacidad absoluta (sin terceros)
• ✅ Tienes más de 100 dispositivos
• ✅ Necesitas configuración avanzada (routing personalizado, site-to-site)

Cuándo usar Tailscale:

• ✅ Quieres facilidad y configuración automática
• ✅ Tienes múltiples sites y quieres mesh automático
• ✅ No te importa depender de servicios SaaS
• ✅ Tienes menos de 100 dispositivos

Cuándo usar Cloudflare Tunnel:

• ✅ Solo quieres exponer servicios web
• ✅ No necesitas VPN completa
• ✅ Quieres facilidad máxima

Próximos pasos:

1. Descargar ejemplos de GitHub
2. Configurar servidor WireGuard
3. Añadir clientes (laptop, móvil)
4. Probar acceso a servicios homelab
5. Configurar routing avanzado si es necesario

¿Necesitas ayuda? Únete a nuestra comunidad Discord o consulta los artículos relacionados sobre networking y homelab.

Artículos relacionados:

• Tailscale para Homelab: VPN Mesh sin Abrir Puertos – Alternativa SaaS más fácil
• AdGuard Home: DNS Encriptado para tu Homelab – Complementario con VPN