Cloudflare Tunnel se ha convertido en una de las herramientas más populares para exponer servidores domésticos a la web de manera segura. Sin embargo, ¿es realmente necesario depender de una solución propietaria cuando Linux y algunas configuraciones inteligentes pueden ofrecer una alternativa robusta y eficiente? En este artículo, exploramos cómo exponer tu servidor de forma segura sin depender de Cloudflare Tunnel, utilizando WireGuard y un VPS.
¿Qué es un túnel y por qué utilizar uno?
En términos de redes, un túnel permite exponer un servidor en una red privada a internet sin necesidad de configuraciones complicadas en el router, como el redireccionamiento de puertos (port forwarding). Además, los túneles pueden proporcionar ventajas en seguridad y rendimiento al encapsular y cifrar el tráfico entre el cliente y el servidor.
Hoy en día, la mayoría de los usuarios acceden a internet bajo redes NAT, lo que impide conexiones entrantes directas. Para quienes desean hospedar servicios accesibles desde cualquier parte del mundo, existen dos enfoques comunes:
- Utilizar un VPS: Se contrata un servidor en la nube que actúa como punto de acceso y reenvía el tráfico al servidor doméstico.
- Usar un túnel administrado: Servicios como Cloudflare Tunnel evitan la necesidad de configurar firewalls y DNS manualmente.
El problema con Cloudflare Tunnel es que introduce una capa adicional de dependencia. Si bien es conveniente, también significa que Cloudflare controla el acceso a tu servicio. Si en algún momento deciden cambiar sus políticas o cerrar cuentas, tu servidor podría quedar inaccesible.
Una alternativa es configurar un túnel propio con WireGuard y un VPS cercano.
Configuración de un túnel con WireGuard y un VPS
Para esta configuración, usaremos un VPS con al menos dos direcciones IPv4 públicas. Una se usará para acceder al VPS y la otra para exponer nuestro servidor doméstico en internet.
1. Configuración en el VPS
- Habilitar el reenvío de paquetes
sudo sysctl -w net.ipv4.ip_forward=1Esto permite que el tráfico entrante pueda ser redirigido a nuestro servidor doméstico. - Configurar WireGuard para aceptar tráfico
ip route add $HOME_WIREGUARD_IPv4 dev $WIREGUARD_INTERFACE_NAME scope link ip route add $PUBLIC_IPv4 via $HOME_WIREGUARD_IPv4 dev $WIREGUARD_INTERFACE_NAME onlink - Configurar ARP Proxy para que el VPS “finja” ser el dueño de la IP pública
ip neighbour add proxy $PUBLIC_IPv4 dev $ETHERNET_INTERFACE_NAME
2. Configuración en el Servidor Doméstico
- Asignar la IP pública a la interfaz WireGuard
ip address add dev $WIREGUARD_INTERFACE_NAME "${PUBLIC_IPv4}/32" - Crear una tabla de enrutamiento personalizada
ip route add default via $VPS_WIREGUARD_IPv4 table 200 - Forzar el tráfico desde la IP pública a usar la tabla de enrutamiento personalizada
ip rule add from $PUBLIC_IPv4 lookup 200
Comparación con Cloudflare Tunnel
| Característica | Cloudflare Tunnel | WireGuard + VPS |
|---|---|---|
| Facilidad de uso | Alta | Media |
| Dependencia de terceros | Sí | No |
| Costo | Gratuito (con límites) | VPS mensual (~5€) |
| Privacidad | Controlado por Cloudflare | Autogestionado |
| Latencia | Baja en la red de Cloudflare | Depende del VPS |
| Seguridad | Alta (Cloudflare maneja el acceso) | Alta (configurable) |
Conclusión
Cloudflare Tunnel es una solución robusta, pero no siempre es la mejor opción. Si prefieres evitar la dependencia de un servicio externo y tener control total sobre tu infraestructura, configurar un túnel con WireGuard y un VPS cercano es una alternativa viable y segura.
Para proyectos personales o empresas que requieren autonomía, la solución basada en Linux ofrece mayor flexibilidad y previsibilidad a largo plazo. En última instancia, la elección dependerá de la prioridad entre conveniencia vs. control.
Si tu objetivo es aprender más sobre redes y administración de servidores, crear tu propio túnel es una excelente oportunidad para acercarte un poco más al «gran cable» que nos conecta a todos.
