Usar OpenWrt y WireGuard para conectar dos LAN remotas por Internet

Thu, 14 Apr 2022 00:00:00 +0000

WireGuard puede usarse en routers OpenWrt para conectar dos LAN situadas en lugares distintos. Después de configurarlo, los dispositivos de ambos lados pueden accederse entre sí como si estuvieran unidos por una red privada enrutada.

Esto es útil para laboratorios domésticos, acceso a NAS, monitorización remota, sincronización de backups y conexión de pequeñas oficinas.

Topología Básica

Supongamos dos sedes:

1
2
3

Site A LAN: 192.168.1.0/24
Site B LAN: 192.168.2.0/24
WireGuard tunnel: 10.10.10.0/24

Cada router OpenWrt ejecuta WireGuard. Un lado puede tener un endpoint público, o ambos pueden conectarse mediante un servidor alcanzable.

Instalar WireGuard

En OpenWrt, instala los paquetes necesarios:

1
2

opkg update
opkg install wireguard-tools luci-proto-wireguard

Después de instalar, la interfaz LuCI puede configurar interfaces WireGuard.

Crear Claves

Genera claves privada y pública para cada lado:

`1`	`wg genkey \| tee privatekey \| wg pubkey > publickey`

Mantén las claves privadas en secreto. Intercambia solo las claves públicas entre los routers.

Configurar El Túnel

Crea una interfaz WireGuard en cada router, por ejemplo wg0.

Direcciones de túnel de ejemplo:

1
2

Site A wg0: 10.10.10.1/24
Site B wg0: 10.10.10.2/24

En Site A, añade Site B como peer y configura allowed IPs:

1
2

10.10.10.2/32
192.168.2.0/24

En Site B, añade Site A como peer y configura allowed IPs:

1
2

10.10.10.1/32
192.168.1.0/24

Estas rutas indican a cada router qué subred remota debe pasar por el túnel WireGuard.

Firewall Y Enrutamiento

Crea o asigna una zona de firewall para la interfaz WireGuard. Permite el forwarding entre LAN y WireGuard según tu política.

Como mínimo, cada lado necesita:

forwarding de LAN a WireGuard;
forwarding de WireGuard a LAN;
puerto UDP abierto para WireGuard en el lado con endpoint público;
allowed IPs correctas para la subred remota.

Si no se requiere NAT, el acceso enrutado es más limpio. Cada LAN debe saber que la otra LAN se alcanza a través del router WireGuard.

Probar Conectividad

Después de configurar ambos lados, prueba primero la IP del túnel:

1
2

ping 10.10.10.1
ping 10.10.10.2

Luego prueba un host de la LAN remota:

`1`	`ping 192.168.2.1`

Si las IP del túnel responden pero los hosts LAN no, revisa forwarding del firewall y rutas de subred remota.

Resumen

OpenWrt con WireGuard es una forma ligera de conectar dos LAN remotas. Los puntos importantes son intercambio de claves, direcciones del túnel, allowed IPs, forwarding del firewall y rutas correctas entre ambos segmentos LAN.

Remote-Network on KnightLi Blog