Este documento explica cómo funciona el acceso remoto mediante WireGuard dentro del clúster y por qué existen múltiples instancias independientes.
No es una guía de comandos.
Es una explicación de modelo.
Inicialmente WireGuard se utilizaba como una única puerta de entrada VPN.
Permitía:
Era simple y funcional.
Pero la arquitectura evolucionó.
Con el crecimiento del sistema surgieron nuevas necesidades:
La solución no fue hacer una VPN más compleja.
La solución fue dividir el acceso remoto en instancias independientes.
Actualmente existen varias instancias de WireGuard funcionando en paralelo.
Cada instancia representa:
👉 Una VPN completamente independiente.
Cada una tiene:
Comparten la infraestructura del clúster.
No comparten identidades.
Esto permite:
Al estar separadas funcionalmente, cada instancia puede:
Si se detiene una instancia:
👉 Todos los usuarios asociados a esa unidad pierden acceso inmediatamente.
Sin tocar el resto de VPN.
Sin modificar otras configuraciones.
Esto convierte el acceso remoto en un servicio modular.
wg-easy no es la VPN.
Es el panel que facilita su gestión.
Permite:
La seguridad sigue siendo WireGuard.
El panel solo simplifica la operación.
Esto es clave cuando se delega gestión a terceros.
Una decisión importante fue elegir el modo de funcionamiento.
En un full tunnel:
Ventaja:
Inconvenientes:
En el modelo actual se utiliza split tunnel.
Esto significa:
Conceptualmente:
👉 El túnel solo se usa para llegar a un segmento concreto autorizado.
El usuario:
Esto:
WireGuard no sustituye la segmentación.
Se integra con ella.
Cada instancia está asociada a un plano de red concreto.
Aunque un usuario esté “dentro” de la VPN:
👉 No está dentro de toda la infraestructura.
Solo puede acceder a lo publicado en su segmento autorizado.
Cuando un usuario se conecta:
No existe acceso global.
No existe red plana.
Es simple operativamente.
Es robusto arquitectónicamente.
Después de leer esto debe quedar claro que:
No es solo una VPN.
Es una extensión controlada y segmentada de la red.
Acceso remoto mínimo necesario. Segmentación coherente. Delegación segura.