Manual WireGuard para Torpes

WireGuard para Torpes

Última edición del 1 de mayo de 2023. Creado por @Sergio151179

---Requisitos---

Requisitos para poder seguir este manual:

• Tener un router Xiaomi o Redmi de la serie AX con procesador de arquitectura ARM64 y que no lleve la nueva protección. (Xiaomi AX9000, AX3600, AX1800, Redmi AX6, …)
• Tener acceso por ssh.
• Necesitaremos las herramientas Putty y WinSCP.
• Vamos a necesitar descargar estos archivos:
  

  - wireguard-go
  - miwifi_overlay 
  - wg-quick
  - wireguard

Primera Parte

• Primera parte, habilitar el montaje r/w para instalar programas:
  - Creamos una conexión en Winscp para acceder al router.

  

  - Tenemos que tener especial atención a elegir Protocolo SCP, y la dirección IP del router 192.168.31.1, y el usuario root
  - A continuación le damos a conectar y nos saldrá una ventanita como esta
  

  

  - Ponemos la contraseña del SSH y ya accedemos a la ventana principal
  

  

  - En el lado izquierdo tenemos la carpeta de nuestro ordenador y en el derecho las carpetas y archivos del router
  - Lo siguiente que tenemos que hacer es en el lado izquierdo localizar los archivos que hemos descargado en el pc para realizar el tutorial, y en la ventana derecha vamos a la ubicación /etc/init.d

  

  - Seleccionamos el archivo miwifi_overlay y pulsamos en el botón derecho y en subir.
  - A continuación lo seleccionamos en el lado derecho y pulsamos en el botón derecho en propiedades.
  

  

  - Establecemos los permisos en 0755 y cerramos la sesión de winscp.
  - Abrimos una sesión de ssh con putty.
  

  

  

  - En la sesión de ssh introducimos los siguientes comandos:
  

  service miwifi_overlay enable 
  sync
  reboot

  

  - Al terminar de introducir los comandos el router se reiniciará y tendrá habilitada la lectura/escritura, con lo que podremos seguir con la instalación.

Segunda Parte (Instalacion Servidor WireGuard)

• A continuación volvemos ha abrir una sesión de ssh:
  

  

  - Introducimos los siguientes codigos:
  

  cat << EOF > /etc/opkg/distfeeds.conf
  src/gz openwrt_core
  http://downloads.openwrt.org/releases/18.06-SNAPSHOT/targets/ipq807x_64/MiWiFi/packages
  src/gz openwrt_base http://downloads.openwrt.org/releases/packages-18.06/aarch64_cortex-a53/base
  src/gz openwrt_packages http://downloads.openwrt.org/releases/packages-18.06/aarch64_cortex-a53/packages
  src/gz openwrt_routing http://downloads.openwrt.org/releases/packages-18.06/aarch64_cortex-a53/routing
  EOF
  opkg update
  opkg install wget--force-overwrite
  opkg install libustream-openssl--force-overwrite
  opkg install wireguard-tools bash coreutils-stat
  

  

  mkdir -p /etc/wireguard
  

  
  - Abrimos una sesión de winscp sin cerrar la sesión de ssh:
  

  

  - seleccionamos en la ventana de la izquierda la carpeta donde tenemos descargados los archivos del tutorial y en la izquierda la carpeta /etc/init.d

  

  - seleccionamos wireguard en la pantalla de la izquierda y le damos a subir, en la pantalla de la derecha abrimos las propiedades y le damos permisos 0755
  

  

  - A continuación cambiamos la carpeta de la ventana de la derecha a /usr/bin
  

  

  - En la pantalla de la izquierda seleccionamos y subimos wg-quick y wireguard-go, luego en la ventana de la derecha los seleccionamos y cambiamos las propiedades con permisos 0755 en ambos archivos.
  

  

  - Volvemos a la sesión de ssh y abrimos el puerto en el router para que funcione el servidor de wireguard.
  

  

  uci add firewall rule
  uci set firewall.@rule[-1].name='Allow-WireGuard'
  uci set firewall.@rule[-1].src='wan'
  uci set firewall.@rule[-1].proto='udp'
  uci set firewall.@rule[-1].dest_port='51820'
  uci set firewall.@rule[-1].target='ACCEPT'
  uci commit firewall
  service firewall restart
  

  
  - Añadimos la red de wireguard
  

  uci set network.wg0='interface'
  uci set network.wg0.proto='none'
  uci set network.wg0.ifname='wg0'
  uci commit network
  /etc/init.d/network reload
  

  
  - Añadimos una zona nueva en el firewall y las forwards:
  

  uci add firewall zone
  uci set firewall.@zone[-1].name='vpn'
  uci set firewall.@zone[-1].network='wg0'
  uci set firewall.@zone[-1].input='ACCEPT'
  uci set firewall.@zone[-1].output='ACCEPT'
  uci set firewall.@zone[-1].forward='REJECT'
  uci commit firewall
  uci add firewall forwarding
  uci set firewall.@forwarding[-1].src='vpn'
  uci set firewall.@forwarding[-1].dest='lan'
  uci commit firewall
  uci add firewall forwarding
  uci set firewall.@forwarding[-1].src='vpn'
  uci set firewall.@forwarding[-1].dest='wan'
  uci commit firewall
  uci add firewall forwarding
  uci set firewall.@forwarding[-1].src='lan'
  uci set firewall.@forwarding[-1].dest='vpn'
  uci commit firewall
  service firewall restart
  

  
  - A continuación abrimos en el navegador la pagina https://www.wireguardconfig.com/
  

  

  - Seleccionamos el numero de clientes que se van a conectar, yo en mi caso solo voy a poner uno, en el campo que pone CIDR recomiendo poner 10.8.0.0/24, Endpoint es el campo mas importante le dice a donde tienen que conectarse a los clientes, si teneis ddns configurado poner el dominio, si no la ip publica, con este formato mirouter.ddns.org:51820 o 200.120.12.2:51820, es importante poner a continuacion de nuestra ip o nuestro dominio los :51820, que es el puerto que hemos abierto en el router para la comunicación.
  

  

  - Luego en las líneas Post-Up rule y Post-Down rule las dejamos en blanco
  

  

  - Pulsamos en Generate Config, a continuación bajamos hasta server y copiamos el texto del recuadro al portapapeles
  

  

  - Nos vamos a winscp y en la ventana de la derecha nos vamo a la carpeta /etc/wireguard y pulsamos el botón nuevo de la derecha elegimos archivo y le ponemos de nombre wg0.conf y pegamos el texto del portapapeles
  

  

  - Guardamos y cerramos, seleccionamos el archivo en la ventana de la derecha y en propiedades le damos los permisos 0600.
  

  

  - A continuación vamos a activar el servidor, para eso volvemos a la pantalla del ssh
  

  

  service wireguard enable
  sync
  reboot
  

  
  - Cuando termine de reiniciar el router ya tendremos el servidor activo. - Para conectar los clientes solamente tenemos que escanear el código QR correspondiente desde la app del teléfono o si es un pc el cliente copiando el texto del recuadro correspondiente.
  

Recuperacion WireGuard

• Después de una actualización del sistema al igual que hay que despertar el ssh, también hay que recuperar wireguard, pero es muy sencillo.
  - Abrimos WinSCP y abrimos conexión con el router (antes hay que despertar el ssh).
  En el lado de pc navegamos hasta la carpeta con los archivos del manual, y en el lado del router navegamos hasta /etc/init.d y subimos al router wireguard.

  

  - Le damos permisos 0755

  

  - Cerramos sesión en winscp, a continuación abrimos ssh y introducimos los siguientes comandos:
  

  

  service wireguard enable
  sync
  reboot