Todos los sistemas operativos Ámsterdam · París · Reikiavik +5 Paga con Criptomoneda
Redes y autoalojamientoIntermedio11 min de lecturaActualizado: 2026-07-14

Cómo configurar una VPN WireGuard en un VPS

Configura una VPN WireGuard en un VPS en unos diez minutos: instala el paquete, genera claves, escribe wg0.conf, abre UDP 51820 y conecta tu cliente. Paso a paso en un servidor no-KYC pagado con cripto.

Cómo configurar una VPN WireGuard en un VPS
En esta página
  1. Por qué autoalojar WireGuard en lugar de comprar una VPN
  2. Qué nivel elegir para una VPN personal
  3. Paso 1 — Instala WireGuard
  4. Paso 2 — Genera las claves del servidor y del cliente
  5. Paso 3 — Escribe /etc/wireguard/wg0.conf
  6. Paso 4 — Activa el reenvío de IP y abre el firewall
  7. Paso 5 — Levanta el túnel y actívalo en el arranque
  8. Paso 6 — Configura tu dispositivo cliente
  9. Consejos de refuerzo
  10. VPS vs VPN comercial — cuándo tiene sentido el autoalojamiento
  11. Preguntas frecuentes

WireGuard es la forma más rápida y ligera de ejecutar tu propia VPN. Vive en el kernel de Linux, usa criptografía moderna, y un túnel funcional es un único archivo de configuración corto en cada extremo. Alojarlo tú mismo en un VPS significa que controlas el punto de salida de extremo a extremo: no hay ningún servidor comercial compartido registrando tu tráfico, y la única parte que ve tu IP real es el proveedor que elegiste.

Esta guía recorre un servidor completo en aproximadamente diez minutos, con comandos reales que puedes copiar. Asumimos una máquina Debian o Ubuntu LTS recién instalada con acceso root. Si todavía no has desplegado una, un VPS no-KYC pagado con cripto encaja perfectamente con una VPN autoalojada, y nuestro nivel de entrada es más que suficiente. Al final tendrás un túnel que se levanta en cada reinicio y una configuración de cliente que puedes escanear como código QR en tu teléfono.

Por qué autoalojar WireGuard en lugar de comprar una VPN

Una VPN comercial ofrece comodidad y un gran pool de IPs de salida, pero estás confiando en un tercero para que no registre y para que su política de privacidad sea real. Un endpoint WireGuard autoalojado invierte eso: tú posees la máquina, escribes la configuración y decides si se registra algo. No hay dirección de salida compartida con miles de desconocidos, lo que también significa que ninguno de sus historiales de abuso recae sobre ti.

El compromiso es honesto: el proveedor del VPS sigue pudiendo ver que existe una IP y enruta tráfico, así que el autoalojamiento desplaza la confianza de una marca VPN a tu proveedor. Por eso compensa ejecutarlo en un VPS offshore no-KYC en una jurisdicción orientada a la privacidad, pagado sin entregar tu identidad. Esto es también por qué decimos privado, no anónimo: un túnel autoalojado mejora tu postura, pero el anonimato real sigue dependiendo de tu propia higiene de pago y de red. Para el caso más amplio, consulta nuestra descripción general de ejecutar un VPS para una VPN.

Qué nivel elegir para una VPN personal

WireGuard consume recursos notablemente bajos. Un único núcleo de CPU y 1 GB de RAM saturarán la mayoría de las conexiones domésticas, y el trabajo de cifrado ocurre en el kernel en lugar de en un daemon pesado en espacio de usuario. Para una sola persona o un par de dispositivos, el nivel Pup (1 vCPU, 1 GB RAM, 25 GB NVMe) es más que suficiente, y como todos los niveles incluye tráfico ilimitado para que una VPN no consuma un límite medido.

Sube de nivel solo si añades carga. Unos pocos miembros de la familia en el mismo túnel están bien con Pup o Cub; si quieres coalojar otros servicios, ejecutar algunos contenedores o servir varios streams pesados simultáneos, pasa a Scout o Runner para los núcleos y RAM extra. La ubicación importa tanto como el tamaño para una VPN: elige por latencia y jurisdicción, algo que cubrimos más adelante. Puedes pagar con Monero o cualquier moneda admitida, y un servidor se despliega en unos sesenta segundos sin tarifa de instalación.

Paso 1 — Instala WireGuard

WireGuard viene incluido en el kernel de Linux moderno, así que la instalación es solo las herramientas de espacio de usuario. En Debian o Ubuntu LTS, actualiza el índice de paquetes e instala el paquete como root:

apt update && apt install -y wireguard

Esto instala wg y wg-quick, los dos comandos que usarás para gestionar el túnel. En AlmaLinux, Rocky o Fedora el equivalente es dnf install -y wireguard-tools. Verifica que está instalado con wg --version antes de continuar.

Paso 2 — Genera las claves del servidor y del cliente

WireGuard autentica los pares con pares de claves Curve25519, no con contraseñas. Primero bloquea el directorio, luego genera un par de claves para el servidor y uno para cada dispositivo cliente. Ejecuta como root:

umask 077; cd /etc/wireguard

wg genkey | tee server_private.key | wg pubkey > server_public.key

wg genkey | tee client_private.key | wg pubkey > client_public.key

Ahora tienes cuatro archivos. Las dos claves públicas se intercambian entre pares; las dos claves privadas nunca salen de la máquina a la que pertenecen. Muéstralas con cat server_private.key y así sucesivamente cuando rellenes la configuración en el siguiente paso. Genera un nuevo par de claves de cliente por dispositivo en lugar de reutilizar uno en el teléfono y el portátil.

Paso 3 — Escribe /etc/wireguard/wg0.conf

Crea la configuración de la interfaz del servidor en /etc/wireguard/wg0.conf. Esto define la subred del túnel (10.0.0.0/24 aquí), el puerto de escucha y una regla NAT para que el tráfico del cliente se enmascare a través de la interfaz pública del servidor. Sustituye SERVER_PRIVATE_KEY y CLIENT_PUBLIC_KEY con los valores del paso 2, y confirma el nombre de tu NIC pública con ip route get 1.1.1.1 (normalmente eth0 o ens3):

[Interface]
Address = 10.0.0.1/24
ListenPort = 51820
PrivateKey = SERVER_PRIVATE_KEY
PostUp = iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

[Peer]
PublicKey = CLIENT_PUBLIC_KEY
AllowedIPs = 10.0.0.2/32

El servidor es 10.0.0.1; el primer cliente será 10.0.0.2. Cada dispositivo adicional obtiene su propio bloque [Peer] y la siguiente dirección del rango.

Paso 4 — Activa el reenvío de IP y abre el firewall

Para que el servidor enrute el tráfico del cliente a Internet, el kernel debe reenviar paquetes. Actívalo de forma permanente y aplícalo ahora:

echo 'net.ipv4.ip_forward=1' >> /etc/sysctl.conf && sysctl -p

Luego abre el puerto de WireGuard. WireGuard escucha en UDP 51820 por defecto. Si usas UFW:

ufw allow 51820/udp && ufw allow OpenSSH

Siempre permite tu puerto SSH al mismo tiempo para no bloquearte al habilitar el firewall. Cada VPS de VPSCrypto llega con una IPv4 dedicada limpia y una IPv6 /64, así que esta única regla UDP es toda la exposición entrante que necesita tu VPN.

Paso 5 — Levanta el túnel y actívalo en el arranque

Inicia la interfaz con el helper que lee tu configuración, luego activa la unidad systemd para que sobreviva a los reinicios:

wg-quick up wg0

systemctl enable wg-quick@wg0

Confirma que la interfaz está activa y escuchando con wg show, que muestra la interfaz, su clave pública y el puerto de escucha. En este punto el lado del servidor está terminado; lo único que queda es apuntar un cliente hacia él. Si cambias wg0.conf más adelante, aplícalo limpiamente con wg-quick down wg0 && wg-quick up wg0.

Paso 6 — Configura tu dispositivo cliente

En tu portátil o teléfono, instala la app o paquete oficial de WireGuard y crea un túnel con esta configuración. Usa la clave privada del cliente del paso 2 y la clave pública del servidor. El Endpoint del cliente es simplemente la IP pública de tu servidor seguida del puerto UDP de WireGuard, por ejemplo 203.0.113.10:51820:

[Interface]
PrivateKey = CLIENT_PRIVATE_KEY
Address = 10.0.0.2/32
DNS = 1.1.1.1

[Peer]
PublicKey = SERVER_PUBLIC_KEY
Endpoint = 203.0.113.10:51820
AllowedIPs = 0.0.0.0/0, ::/0
PersistentKeepalive = 25

Establecer AllowedIPs a 0.0.0.0/0, ::/0 enruta todo el tráfico a través del túnel. En móvil, genera un código QR desde este archivo con qrencode -t ansiutf8 < client.conf en el servidor y escanéalo en la app. Activa el túnel y luego comprueba tu IP visible — debería ser ahora la del servidor. La línea PersistentKeepalive mantiene viva la conexión detrás de NAT.

Consejos de refuerzo

Un túnel funcional es el comienzo, no el final. Rota las claves periódicamente regenerando un par de claves de cliente y reemplazando la clave pública en el bloque [Peer] del servidor. Mantén un par de claves separado por dispositivo para poder revocar uno sin perturbar los demás — para revocar, simplemente elimina el bloque de ese par y vuelve a aplicar la configuración.

  • Desactiva el registro que no necesitas. WireGuard es discreto por defecto; revisa tus logs de SSH y del sistema y reduce la retención si un footprint mínimo te importa.
  • Refuerza SSH con autenticación solo por clave y considera moverlo del puerto 22; mantén ese puerto permitido en UFW antes de habilitar el firewall.
  • Elige la jurisdicción deliberadamente. La ubicación del servidor es ahora la postura de privacidad de tu VPN. Suiza bajo el FADP e Islandia con su tradición de libertad de prensa son opciones sólidas; los Países Bajos y Francia cambian algo de eso por menor latencia en la UE.

Para las operaciones en curso y la gestión de credenciales, nuestra documentación cubre el DNS inverso, IPv6 y las funciones del panel en detalle.

VPS vs VPN comercial — cuándo tiene sentido el autoalojamiento

El autoalojamiento gana cuando quieres una IP dedicada, control total del registro y un túnel que ningún proveedor ofrece a miles de usuarios. Es ideal para acceder a tus propios servicios, obtener una dirección estable para listas de permitidos, o simplemente no confiar en la afirmación de no-logs de una empresa VPN. El coste es que lo mantienes tú, y una única IP de salida autoalojada no está diseñada para mezclarse entre una multitud como sí lo hace el pool de IPs compartidas de una VPN comercial.

Las VPN comerciales ganan en comodidad, cambio de país y negación plausible de IP compartida. Para la mayoría de los usuarios conscientes de la privacidad que quieren un endpoint de confianza que realmente poseen, un VPS pequeño ejecutando WireGuard es la mejor respuesta — y pagar por él a través de un pago en cripto, no-KYC mantiene la configuración coherente de extremo a extremo. Si todavía estás valorando el enfoque, nuestra descripción general de VPS para VPN compara los dos con más profundidad.

Preguntas frecuentes

¿Cuánto VPS necesito para una VPN WireGuard personal?

Muy poco. WireGuard corre en el kernel y consume pocos recursos de CPU y memoria, así que nuestro nivel Pup (1 vCPU, 1 GB RAM, 25 GB NVMe) con tráfico ilimitado gestiona una VPN personal sin problemas. Sube a Scout o Runner solo si añades varios usuarios o coaloja otros servicios.

¿En qué puerto escucha WireGuard?

Por defecto escucha en UDP 51820. Ábrelo en tu firewall con ufw allow 51820/udp y listo. Puedes cambiar ListenPort en wg0.conf si prefieres un puerto distinto, pero recuerda abrir la regla correspondiente y actualizar el Endpoint del cliente.

¿Es más privada una VPN WireGuard autoalojada que una VPN comercial?

Puede serlo, porque solo tú controlas el endpoint y si se registra algo — no hay salida compartida ni afirmación de no-logs de un proveedor que tomar por fe. El compromiso es que tu proveedor del VPS ve la IP, así que la ganancia de privacidad depende de elegir un proveedor no-KYC en una jurisdicción sólida y pagar de forma privada. Es una mejora real, no una garantía de anonimato.

¿Puedo ejecutar WireGuard y otros servicios en el mismo VPS?

Sí. WireGuard es ligero y coexiste bien con otras cargas de trabajo. Para una VPN personal más un sitio pequeño o un par de contenedores, Pup o Cub está bien; para servicios más pesados ejecutándose junto al túnel, sube al nivel Scout o Runner para núcleos y RAM extra.

¿Qué ubicación es mejor para un VPS de VPN?

Elige por latencia y jurisdicción. Los Países Bajos o Francia dan baja latencia en la UE desde un hub bien conectado; Suiza bajo el FADP y la tradición de libertad de prensa de Islandia dan una postura de privacidad más sólida con un pequeño extra. Como controlas el endpoint, la jurisdicción del servidor se convierte efectivamente en la de tu VPN.

Despliega un VPS offshore en un minuto

Sin KYC, pago en cripto, todo NVMe. Elige un plan, paga con Monero o cualquier moneda principal y obtén root en unos 60 segundos.

Fenrir en guardia