Wireguard en raspberry

Hola a todos, os comento mis dudas por si alguien me puede ayudar u orientar.
Estoy montando un servidor plex en una raspberry pi 3, para compartir video con algunos familiares. Pero quiero usarlo a través de algún vpn (preferiblemente wireguard), para tener una capa de seguridad (también la usaría en un pc y ocasionalmente en el móvil).
He usado pivpn para configurar wireguard, y aparentemente esta todo ok, tengo Internet, es accesible desde fuera de la Red, el problema es que nunca cambia mi ip publica. Por lo que no se si esto es correcto o debería tener una ip publica distinta a la real, como puedo cerciorarme del correcto funcionamiento de wireguard? He probado openvpn tb, y su rendimiento es muy malo y ocurre lo mismo, la ip publica tampoco cambia.
Otra duda que tengo es si en la misma raspberry, puedo tener alojado el servidor vpn y ser cliente a la vez?
Otra opción sería coger un router mikrotik, que he visto por aquí el tema de configuración y sería lo ideal, porque ya pasaría todo el tráfico, directamente a través de la VPN en el router, el problema es que no tengo grandes conocimientos en redes, y no sé qué tal me defendería, con mikrotik.
Tiene muy buena pinta el nuevo modelo con wifi6 el ax2, en este modelo es similar el manual de configuración de wireguard?
 
Última edición:
No entiendo lo de la IP pública. ¿cómo que vas a obtener otra? Obtendrás la tuya, la de tu conexión. Es decir, el equipo externo que se conecta a tu Pi cogerla la IP pública de la Pi, en lugar de la original que él tuviera. Sino, haz una prueba antes y después de conectar, y verás como cambia esa IP (obviamente con un equipo que esté fuera de tu red).

Por otro lado, cliente/servidor: la respuesta corta: sí. La algo más larga: en wireguard cualquier extremo puede ser cliente o servidor, ambos son Peers.

Con el tema de mikrotik, primero cacharrea un poco con lo que tienes y luego si quieres das el salto. La curva de aprendizaje de Mikrotik es pronunciada, y aunque tengas mucho material en el sub dedicado, implica que tengas una pequeña base en temas de redes.

Saludos!
 
No entiendo lo de la IP pública. ¿cómo que vas a obtener otra? Obtendrás la tuya, la de tu conexión. Es decir, el equipo externo que se conecta a tu Pi cogerla la IP pública de la Pi, en lugar de la original que él tuviera. Sino, haz una prueba antes y después de conectar, y verás como cambia esa IP (obviamente con un equipo que esté fuera de tu red).

Por otro lado, cliente/servidor: la respuesta corta: sí. La algo más larga: en wireguard cualquier extremo puede ser cliente o servidor, ambos son Peers.

Con el tema de mikrotik, primero cacharrea un poco con lo que tienes y luego si quieres das el salto. La curva de aprendizaje de Mikrotik es pronunciada, y aunque tengas mucho material en el sub dedicado, implica que tengas una pequeña base en temas de redes.

Saludos!
OK gracias por la aclaración, culpa mía que no termino de entender bien los conceptos y escribo barbaridades.
A ver si explico mejor mi objetivo y así asimilo mejor las respuestas.
Básicamente lo que quiero montar es una vpn, para que los clientes del servidor plex, consuman el video pero con una capa de seguridad (supongo que las comunicaciones entre servidor-cliente, son cifradas por wireguard, no?), para que a ser posible mi proveedor de ISP o cualquier otro no tenga acceso a ese tráfico., no porque vaya a ser nada ilegal, ni nada grande (como ya digo es un servidor plex en una raspberry, para la familia), pero si es factible montar esa capa de seguridad, pues estaría más tranquilo.
En cuanto al router, te voy a hacer caso, es montar un simple servidor casero y me está dando bastantes dolores de cabeza, xD, mejor será dejarlo para más adelante. Lo que si tengo claro es q no tardando mucho, me gustaría montar un router neutro de mayor calidad que lo que te dan las compañías telefónicas.
 
Vale, en ese caso, afina la configuración de wireguard todo lo que puedas. Me explico: si sólo necesitas llegar a esa IP, no enrutes todo el tráfico de los clientes al servidor, (todo el internet de ese cliente), sino únicamente la configuración cliente/servidor. Esto se hace usando el allowed address, que en lugar de llevar 0.0.0.0/0 en los clientes, llevaría la IP o el segmento de red de la máquina remota en cuestión. En ese caso verás que la IP pública de los clientes se mantiene, y no pasa a ser nunca la de la conexión del servidor, puesto que el tráfico de internet no está enrutado por el túnel, únicamente el del acceso a PLEX.

Si quieres dar el salto a Mikrotik yo encantado, te ayudo en lo que necesites. Pero quizá sea mejor que cojas soltura con los conceptos montándolo primero en la Pi, y luego llevándote la configuración a un router (son similares en cuanto a concepto).

Saludos!
 
OK, entiendo la finalidad de lo que me quieres explicar, si el cliente tiene en su archivo.conf el parámetro allowed ip en 0.0.0.0 (así es en efecto como los genera pivpn), tendrá acceso a todas las ips privadas de mi red, pero no termino de entender como llevar a cabo la restricción.
En el archivo de configuración wg0.conf, me define la ip del servidor (x.x.x.x/24), y a continuación va agregando los distintos peers con un allowed ip (x.x.x.x+1/32). Entonces antes de entregar el archivo.conf del cliente, lo edito y que valor debo poner en allowed ip? La ip del servidor (x.x.x.x/24)? o la allowed ip que hay en el archivo wg0.conf (x.x.x.x+1/32)?
 
Imagínate que la IP local a la que necesita acceder el peer remoto es la 192.168.20.55. En ese caso, el allowed-address de ese Peer, lo puedes configurar como
allowed-address = 192.168.20.0/24
De esa manera, cuando ese Peer salga a internet, saldrá por su propio gateway. Mientras que si va a una dirección de esa subred, sabrá que hay que meter ese tráfico por el túnel. De esa manera evitas enrutar todo tráfico que genere ese Peer por el servidor vpn remoto.

Saludos!
 
Muchas gracias por la ayuda, he actualizado los peers como me has dicho, y ya solo enruta el tráfico de la IP del servidor.
Gracias x la ayuda, yo solo no hubiera podido hacerlo funcionar.
 
Muchas gracias por la ayuda, he actualizado los peers como me has dicho, y ya solo enruta el tráfico de la IP del servidor.
Gracias x la ayuda, yo solo no hubiera podido hacerlo funcionar.
Genial, me alegro de que ya lo tengas funcionando. A disfrutarlo!

Saludos!
 
Arriba