Configuración VPN

La pantalla de Configuración VPN muestra la configuración WireGuard completa para la conexión de un dispositivo a una red específica. Los cambios que guardes aquí se envían al servidor de Nettica y se sincronizan con todos los demás pares de la misma red para que sepan cómo comunicarse con este dispositivo.

Debes haber iniciado sesión y tener derechos de administrador o propietario para editar la configuración VPN de otro dispositivo. Siempre puedes ver y editar la configuración de tu propio dispositivo (no se requiere inicio de sesión).

Activar / Desactivar

El interruptor en la parte superior de la pantalla activa o desactiva esta VPN en el dispositivo. Cuando está desactivada, el túnel WireGuard se detiene pero la configuración permanece intacta. Vuelve a activarla para reconectarte sin necesidad de reconfigurar nada.

Solo se puede activar una VPN a la vez en un dispositivo. Si activas una segunda VPN, se desactivará la que está activa en ese momento y luego se activará la nueva.

Nombre DNS

El nombre de host DNS que identifica este dispositivo dentro de la red, por ejemplo laptop.home. Debe seguir las reglas estándar de nombre de host DNS: solo letras, dígitos y guiones; sin guiones al inicio o al final; máximo 63 caracteres por etiqueta. El nombre completo puede tener hasta 253 caracteres.

Endpoint

La dirección IP pública y el puerto UDP que otros pares usan para iniciar una conexión WireGuard con este dispositivo, en el formato 263.0.113.1:51820. Las direcciones IPv6 usan el formato [2001:db8::1]:51820.

Deja el endpoint en blanco si este dispositivo está detrás de NAT y solo realiza conexiones salientes — los pares lo alcanzarán mediante paquetes keepalive en su lugar.

Detectar Endpoint Automáticamente (ícono de varita)

Si esta es la VPN de tu propio dispositivo, aparece un ícono de varita () a la derecha del campo Endpoint. Al tocarlo:

Consulta https://ip.nettica.com para descubrir tu dirección IP pública actual.
Asigna un puerto UDP aleatorio en el rango 30000–60000.
Intenta el reenvío de puertos NAT-PMP en tu router para ese puerto.
Completa el campo Endpoint con la dirección y el puerto descubiertos.

NAT-PMP debe estar disponible en tu router para que el reenvío automático de puertos funcione. Si NAT-PMP no está disponible, el endpoint se establece igualmente con tu IP pública y el puerto elegido — pero deberás agregar el reenvío de puertos manualmente en la configuración de tu router.

El campo de endpoint es de solo lectura para las VPN de tipo servicio (servicios de retransmisión y túnel). El servidor gestiona el endpoint para esas conexiones.

Dirección

La dirección IP VPN de este dispositivo (con prefijo CIDR) dentro de la red VPN, por ejemplo 10.0.0.5/32. Se pueden ingresar varias direcciones, aunque no se recomienda ya que las apps móviles solo admiten una. Soporta tanto IPv4 como IPv6.

Proveedor DNS

El o los servidores DNS que se utilizan mientras esta VPN está activa. Elige un proveedor preestablecido en el menú desplegable (Cloudflare, Google, Quad9, etc.) o escribe una dirección IP personalizada o una lista de direcciones separadas por comas directamente en el campo. El valor personalizado se guarda como entrada "Personalizado" en el menú desplegable.

IPs Permitidas

Los rangos de IP que se enrutan a través de este túnel VPN. Los valores más comunes son:

0.0.0.0/0, ::/0 — enruta todo el tráfico IPv4 e IPv6 a través del túnel (modo túnel completo / servicio de túnel)
10.0.0.0/24 — enruta únicamente el tráfico destinado a la subred privada de la VPN (túnel dividido / modo de retransmisión)

Para los pares del servicio de retransmisión, el servidor lo completa automáticamente. Para la entrada de tu propio dispositivo en la lista de pares, este campo generalmente contiene solo tu propia dirección IP VPN.

Keepalive Persistente

Con qué frecuencia (en segundos) otros dispositivos envían un paquete keepalive a este dispositivo. Esto mantiene activa la sesión WireGuard a través de dispositivos NAT y firewalls que de otro modo cerrarían las conexiones UDP inactivas. No es necesario configurar un keepalive persistente si el dispositivo no está configurado como endpoint.

El rango recomendado es de 17 a 23 segundos. Un valor de 0 desactiva los keepalives. Generalmente se necesitan keepalives cuando este dispositivo está detrás de NAT y necesita que los pares puedan iniciar conexiones con él.

MTU

Unidad Máxima de Transmisión en bytes. Configúralo en 0 para que WireGuard lo elija automáticamente (recomendado). Reduce este valor si ves problemas de fragmentación de paquetes — los valores comunes son 1280, 1380 o 1420 según la sobrecarga de tu red.

Campos de Solo Lectura

En la parte inferior de la pantalla se muestra la siguiente información que no puede editarse:

Bajo Demanda — la cadena de regla bajo demanda actual, si está configurada (solo iOS/macOS). Edítala desde el ícono de destellos en la pantalla principal.
Apps Incluidas — apps enrutadas a través de la VPN cuando la VPN por Aplicación está en modo Incluir (solo Android).
Apps Excluidas — apps que omiten la VPN cuando la VPN por Aplicación está en modo Excluir (solo Android).
Creado / Actualizado — marcas de tiempo y la cuenta que realizó cada cambio.

Guardar o Cancelar

Toca Guardar para validar todos los campos y enviar los cambios al servidor de Nettica. Aparece un indicador de progreso durante el guardado. Si tiene éxito, aparece una barra de confirmación y la pantalla se cierra.

Toca Cancelar para descartar todas las ediciones y regresar a la pantalla anterior sin realizar ningún cambio.

Si no tienes derechos de administrador o no has iniciado sesión, el guardado puede fallar con un mensaje de error.