VPN fácil y rápida con WireGuard y pfSense: guía sin dramas

¿Te gustaría conectarte a tu casa desde cualquier parte del mundo, navegar seguro en redes públicas o simplemente sentirte como un hacker de película (pero legal)? Hoy te traigo una guía para montar tu propia VPN con WireGuard y pfSense, explicada para humanos y sin palabros raros. Si ya has seguido nuestras aventuras con pfSense y tienes tu servidor seguro y a punto, este es el siguiente nivel.

¿Qué es una VPN y por qué WireGuard?

Una VPN (Red Privada Virtual) es como un túnel secreto entre tu dispositivo y tu casa: todo lo que envías viaja cifrado, nadie cotillea, y puedes acceder a tu red como si estuvieras en el sofá de tu salón.
WireGuard es la VPN de moda: más rápida, más segura y mucho más fácil de configurar que las clásicas OpenVPN o IPSec. Además, consume pocos recursos y funciona en casi cualquier sistema operativo. Si pfSense es tu castillo, WireGuard es el foso con cocodrilos.

¿Qué necesitas antes de empezar?

• pfSense instalado y funcionando (si no, empieza por nuestra guía básica de pfSense).
• Acceso de administrador a pfSense.
• Conexión a Internet estable (mejor si tienes IP pública o un dominio, pero no imprescindible).
• Un PC, móvil o tablet para probar la VPN.

¿Aún no tienes tu servidor bien protegido? Échale un ojo a nuestro artículo “Haz tu servidor seguro y fácil de usar (sin dramas ni sustos)” para dejarlo a prueba de sustos antes de abrir puertas al exterior.

Paso 1: Instala WireGuard en pfSense

1. Entra al panel de pfSense.
2. Ve a “System” > “Package Manager” > “Available Packages”.
3. Busca “WireGuard” e instálalo.
   (Tardará un minuto y aparecerá en el menú principal).

Paso 2: Configura el servidor WireGuard

1. Ve al nuevo menú “VPN” > “WireGuard”.
2. Crea una nueva instancia de túnel:
   • Pulsa “Add Tunnel”.
   • pfSense generará automáticamente una clave pública y privada.
   • Elige una red interna para la VPN, por ejemplo, 10.6.0.1/24.
   • El puerto por defecto es el 51820/UDP (puedes dejarlo así).
3. Guarda los cambios.

Paso 3: Abre el puerto en el firewall

1. Ve a “Firewall” > “Rules” > “WAN”.
2. Añade una regla para permitir el tráfico entrante UDP al puerto 51820 (o el que hayas elegido).
3. Aplica los cambios.

Así, tu pfSense escuchará las conexiones VPN desde fuera, pero solo por ese puerto (¡seguridad ante todo!).

Paso 4: Crea un cliente WireGuard

1. Genera un par de claves pública y privada en el dispositivo que quieras conectar (puedes usar la app oficial de WireGuard en Windows, Mac, Linux, Android o iOS).
2. En pfSense, ve a “Peers” dentro de WireGuard y añade un nuevo peer:
   • Pega la clave pública del cliente.
   • Pon la IP que tendrá el cliente en la red VPN (por ejemplo, 10.6.0.2/32).
3. En el cliente, configura:
   • La clave privada generada.
   • La IP interna (10.6.0.2).
   • La clave pública del servidor (la de pfSense).
   • El endpoint: tu IP pública o dominio y el puerto 51820.
   • Allowed IPs: 0.0.0.0/0 si quieres que todo el tráfico pase por la VPN, o solo la red de casa (por ejemplo, 192.168.1.0/24).

Paso 5: Permite el tráfico de la VPN a tu red

1. Ve a “Firewall” > “Rules” > selecciona la interfaz de WireGuard (puede llamarse OPT1 o similar).
2. Añade una regla para permitir el tráfico desde la red VPN a la LAN (y viceversa, si quieres acceso completo).
3. Aplica los cambios.

¿Te interesa afinar aún más el control? Puedes combinarlo con nuestra guía de seguridad perimetral en pfSense para aislar dispositivos o limitar accesos.

Paso 6: ¡Conecta y prueba!

• Abre la app de WireGuard en tu dispositivo y activa el túnel.
• Prueba a acceder a algún recurso de tu red (por ejemplo, la interfaz de pfSense o un servidor casero).
• Si todo va bien, ¡ya tienes tu VPN privada y segura!

Consejos y trucos para no liarla

• Cambia las claves de vez en cuando, sobre todo si sospechas que alguien las ha visto.
• Puedes limitar qué dispositivos acceden a qué recursos usando reglas de firewall en pfSense.
• Mantén pfSense y el paquete WireGuard actualizados para evitar sustos.
• Si tienes problemas, revisa bien las claves, las IPs y las reglas de firewall. La mayoría de errores vienen de ahí.

¿Te animas a bloquear aún más cosas molestas? Mira nuestra guía completa de pfBlockerNG para eliminar publicidad y amenazas en toda la red.

¿Y ahora qué?

Con esto tienes una VPN moderna, rápida y segura, perfecta para acceder a tu red desde cualquier sitio o para navegar seguro en WiFis públicas. Si te animas, puedes añadir más clientes, crear túneles entre dos casas (site-to-site) o combinarlo con otras soluciones de seguridad que ya hemos visto en el blog, como el firewall de pfSense o el bloqueo de publicidad con pfBlockerNG