VPN (red privada virtual) emergencia · Túnel · Backup · Bypass
WireGuard — Bypass VPN de emergencia¶
Túnel VPN alternativo para el administrador. Solo se usa cuando NetBird falla. Sería el plan B de acceso al sistema.
Como usuario¶
Qué podrás hacer¶
No es para usuarios. Herramienta exclusiva del administrador para acceder al sistema cuando NetBird no está disponible.
Cómo se accederá¶
| Plataforma | Cómo |
|---|---|
| Navegador | No aplica |
| Ubuntu | Solo admin: perfil WireGuard exclusivo |
| Android | No aplica |
| FireTV | No aplica |
| Usuarios | No tienen acceso |
Primeros pasos (previstos)¶
Solo el administrador configura el túnel WireGuard de emergencia con su clave ED25519. Puerto UDP 51820.
Integración con otros servicios de SmallCountry¶
| Servicio | Relación |
|---|---|
| NetBird | Alternativa — se usa si NetBird falla |
Servicios que lo hacen posible¶
- Autenticación por clave pública (sin dependencia de Authentik)
Para el administrador (diseño previsto)
Datos del servicio¶
| LXC (contenedor ligero de Proxmox) | 100 (compartido con NetBird) |
| IP | 10.10.100.100 |
| Tier | A |
| Impacto | 🔴 Crítico |
Perfil admin exclusivo. Clave ED25519.
Almacenamiento persistente¶
ZFS (sistema de archivos con integridad de datos): rpool/datos/wireguard-emergencia → /opt/wireguard-emergencia/
Subdirectorios: config/
Backup: PBS (sistema de copias de seguridad de Proxmox) diario.
Healthcheck¶
Logs y diagnóstico¶
Backup manual¶
Problemas comunes¶
- No conecta → Verificar clave y puerto UDP 51820 en router.
Para el arquitecto (diseño previsto)
Relaciones con otros servicios¶
flowchart LR
Admin -->|UDP 51820| WireGuard
WireGuard -->|Bypass| Infraestructura
NetBird -.->|Fallback| WireGuardConfiguración de red¶
| Bridge | Puerto | Acceso desde |
|---|---|---|
| vmbr1 | UDP 51820 | Exterior → router → LXC 100 |
Independiente de NetBird, Authentik y cualquier LXC. Si todo el software de red está caído pero Proxmox sigue operativo, WireGuard de emergencia sigue funcionando. Hace bypass del modelo Zero Trust (modelo de seguridad sin confianza implícita) — solo para emergencias.
Orquestación¶
| Componente | Path |
|---|---|
| Rol Ansible | roles/wireguard-emergencia/ |
| Playbook | deploy-wireguard-emergencia.yml |
| Módulo OpenTofu | modules/wireguard-emergencia/ |
| Semaphore | Proyecto wireguard-emergencia |
| Forgejo Actions | .forgejo/workflows/wireguard-emergencia.yml |
| Repo Forgejo | infra-core/ |
| Ficha versionada | docs/fichas/programas/wireguard.md |