Le preguntamos a Gemini, la inteligencia artificial de Google cómo solucionar problemas del servidor VPN en X-WRT
Solucionar problemas en un servidor VPN sobre X-WRT (basado en OpenWRT) puede sentirse como buscar una aguja en un pajar digital, principalmente porque si algo falla, suele hacerlo en silencio.Si tu túnel no conecta o, peor aún, conecta pero no navega, aquí tienes la hoja de ruta para diagnosticarlo y repararlo como un profesional.
1. El primer paso: ¿Hay "Apretón de Manos" (Handshake)?
Si estás usando WireGuard (lo más común en 2026), lo primero es saber si el cliente y el servidor se están hablando.
Comprobación por SSH: Conéctate a tu router y ejecuta:
Bash
wg show
Diagnóstico: * Si ves una línea que dice latest handshake: ... seconds ago, el túnel está activo físicamente. El problema es de enrutamiento o DNS.
- Si no aparece nada o el handshake fue hace horas, el problema es de llaves, puertos o IP.
2. Problemas de Conexión (El túnel no levanta)
A. El Puerto está Cerrado
X-WRT necesita que abras explícitamente el puerto (normalmente 51820 UDP) en el Firewall.
Ve a Network > Firewall > Traffic Rules.
Asegúrate de que exista una regla que permita tráfico UDP desde la zona WAN al puerto del servidor.
Error común: Muchos olvidan que es UDP, no TCP.
B. El problema del CGNAT (El "Jefe Final")
Si tu IP pública empieza por 100.x.x.x, estás tras un CGNAT de tu operadora. Esto significa que, aunque abras el puerto en tu router, el puerto sigue cerrado en la central del ISP.
Solución: Debes llamar a tu proveedor para que te saquen del CGNAT (IP pública real) o usar servicios como Tailscale o ZeroTier (disponibles en el repositorio de X-WRT) que saltan esta restricción.
3. Conecta pero no navega (Sin acceso a Internet) 🌐
Este es el fallo más típico: el móvil dice "VPN Conectado" pero nada carga.
A. Masquerading (NAT)
El router debe "enmascarar" el tráfico que viene de la VPN para que parezca que sale de él mismo hacia internet.
Ve a Network > Firewall > Zones.
Busca la zona de la VPN (o donde esté tu interfaz).
Asegúrate de que la casilla Masquerading esté marcada.
B. Reglas de Forwarding
Debes permitir que el tráfico fluya de la zona VPN a la zona WAN.
En la misma pantalla de Zones, la fila de la zona VPN debe tener en la columna "Forward" seleccionada la zona WAN.
4. Conecta pero no carga webs ( Fallo de DNS )
Si puedes hacer ping a 8.8.8.8 desde el cliente VPN pero no puedes entrar a google.com, tus DNS no están llegando al cliente.
En el servidor ( X-WRT ): Asegúrate de que el servicio dnsmasq esté escuchando en la interfaz de la VPN.
En el cliente: En la configuración del móvil/PC, asegúrate de que el campo DNS tenga la IP interna del router (ej. 10.0.0.1) o un DNS público (ej. 1.1.1.1).
MTU (Fragmentación): Si algunas webs cargan y otras no, es un problema de MTU. Prueba a bajar el MTU en la configuración del cliente a 1280.
5. Logs: La verdad absoluta
Si nada de lo anterior funciona, X-WRT te dirá qué pasa en sus registros internos.
Ve a Status > System Log.
Filtra o busca por la palabra wireguard o vpn.
Comando rápido por SSH:
Bash
logread | grep -i vpn
Si ves errores como Key pair mismatch, significa que copiaste mal la llave pública o privada en alguno de los extremos.
Tabla de Resumen: Fallo vs. Solución