WireGuard en Proxmox (LXC + Dashboard)
- cloudflare ,
- network ,
- networking ,
- proxmox ,
- tailscale ,
- tunnel ,
- vpn ,
- wireguard
Configura WireGuard en Proxmox y accede a tus servicios fuera de casa con un único tunel
Esta guía detalla cómo desplegar un servidor VPN WireGuard en Proxmox utilizando contenedores LXC y una interfaz de gestión web.
Con estos pasos podemos olvidarnos de configurar manualmente tuneles en Cloudflare y exponerlos a todo el internet (aunque hayamos configurado Access Control) o utilizar Tailscale.
Instalación del contenedor LXC
El script de la comunidad automatiza la creación del contenedor y la instalación de las dependencias.
- Ve a Proxmox Helper Scripts - WireGuard.
- Copia el comando de instalación (suelen ser comandos
bash -c "$(wget …)"). - En tu nodo de Proxmox, abre la Shell y pega el comando.
- Proceso de instalación:
- Selecciona “Yes” para crear un nuevo contenedor.
- Usa la configuración por defecto o personaliza (ID, almacenamiento).
- Dashboard: Durante el proceso, el script te preguntará: ¿Deseas instalar el WireGuard Dashboard?. Selecciona Sí.
Configuración Inicial del Dashboard
Una vez finalizado el script, se te proporcionará la dirección IP del contenedor y las credenciales por defecto.
- Accede vía navegador a: `http://IP_DEL_CONTENEDOR:10086 (o el puerto indicado).
- Credenciales iniciales: Generalmente
admin/admin. - Configuración de cuenta: El sistema te pedirá crear un nuevo usuario administrador y una contraseña segura de inmediato.
- (Opcional) Configura la autenticación de dos factores (MFA) si lo deseas.
Configuración de Red Crítica (IP Estática)
Para que el VPN sea estable y el router de tu operador sepa a dónde enviar el tráfico, el contenedor debe tener una IP fija.
- En la interfaz de Proxmox, selecciona el contenedor de WireGuard.
- Ve a Network (Red) -> selecciona la interfaz de red -> Edit.
- Cambia de IPv4/DHCP a Static.
- Asigna una IP (ej:
192.168.1.60/24) y la puerta de enlace (Gateway) de tu router (ej:192.168.0.1).
Apertura de Puertos en el Router (Port Forwarding)
Para conectar desde fuera de tu casa, debes abrir el puerto de WireGuard.
- Puerto por defecto:
51820 - Protocolo:
UDP(Muy importante: WireGuard no usa TCP). - Destino: La IP estática que asignaste al contenedor en el paso anterior.
En mi caso se vería así en el router de Lowi
6. Creación de Clientes (Peers)
En lugar de editar cada cliente a mano, configuraremos el Dashboard para que use tu IP pública (o dominio) automáticamente.
- En el menú lateral, ve a Settings y selecciona la pestaña Peers Settings.
- Busca el campo Peer Remote Endpoint.
- Introduce aquí tu IP Pública
curl ifconfig.me: (ej:1.111.111.111) o tu dominio de DuckDNS/DDNS.- Nota: Como indica el aviso en naranja de tu captura, este cambio es global y se aplicará a todos los códigos QR y archivos de configuración que generes a partir de ahora.
- Asegúrate de que los otros valores sean correctos:
- DNS:
1.1.1.1(o el de tu preferencia). - Endpoint Allowed IPs:
0.0.0.0/0(si quieres que todo el tráfico del cliente pase por la VPN).
- DNS:
- Ahora ve a la sección Clients, crea un nuevo Peer y verás que el archivo de configuración ya viene listo para conectar desde el exterior sin tocar nada más.
7. Verificación y Diagnóstico
- Ping: Una vez conectado, intenta hacer ping a la IP interna de la VPN o a la IP del servidor Proxmox.
- Estado: El Dashboard mostrará en tiempo real si el cliente está transfiriendo datos (Active Transfer).
Para probar en Android por ejemplo puedes utilizar la aplicación oficial de WireGuard APK, yo particularmente uso WG Tunnel