Hub

electrosystems

wireguard-jrz-elp

active medium work
Creado
2026-05-08
Actualizado
2026-05-29
Directorios
  • /home/sergio/agy/electrosystems/servers/wireguard
  • /home/sergio/agy/electrosystems/servers/vpn-elpaso
  • /home/sergio/agy/electrosystems/servers/vpn-push

Pendientes abiertos (13)

Ver todos →

🎯 Top de ataque (13)

  • #078 📅 2026-06-05 Documentar el estado actual del enlace Juárez ↔ El Paso. ¿Qué tecnología usa hoy? ¿Cuál es el endpoint en cada lado? ¿Qué subnets enruta?
  • #078 📅 2026-06-05 Documentar el WireGuard ya existente (192.168.20.5). ¿Para qué se usa hoy? ¿Es servidor de "road warrior" (clientes remotos) o site-to-site? ¿Qué peers tiene configurados?
  • #079 📅 2026-06-08 Identificar si hay perfiles de host en ~/agy/electrosystems/servers/ para los dos endpoints del túnel actual; si no, crearlos.
  • 📅 2026-06-10 Decidir topología WireGuard:
  • 📅 2026-06-12 Plan de IPs: ¿qué subnet /24 usar para los túneles WireGuard? Mantener disjunto del rango interno actual.
  • 📅 2026-06-15 Plan de routing: ¿quién enruta qué? Si hay redes que ya están "anunciadas" por el túnel actual, mapear cada una a su AllowedIPs correspondiente del lado WireGuard.
  • 📅 2026-06-18 Plan de cutover: cómo hacer la transición sin tirar el enlace (probable: levantar WireGuard en paralelo, validar, mover rutas, retirar el viejo).
  • 📅 2026-06-20 Generar pares de llaves en cada extremo.
  • 📅 2026-06-22 Configurar wg0 en cada extremo + persistencia (systemd-networkd, wg-quick, NetworkManager — depende de la distro).
  • 📅 2026-06-24 Abrir UDP en firewalls (puerto típico 51820, o dedicado).
  • 📅 2026-06-26 Validar con ping cross-site usando rutas WireGuard.
  • 📅 2026-06-28 Cambiar las rutas internas para que prefieran WireGuard.
  • 📅 2026-06-30 Decommissionar el túnel viejo.

Actividad en bitácora 1 día

jun
jul
ago
sep
oct
nov
dic
ene
feb
mar
abr
may
L
X
V
Menos
Más

WireGuard — Migración del enlace Juárez ↔ El Paso

Contexto

Pendiente capturado por Sergio el 2026-05-08: migrar la conexión Juárez ↔ El Paso a WireGuard. La VPN actual entre los dos sitios usa otra tecnología (presumiblemente OpenVPN o IPSec — confirmar con investigación).

Aliases SSH ya existentes que apuntan a infraestructura VPN:

  • wireguard192.168.20.5 (user electrosystems)
  • vpn-elpaso192.168.10.100, port 58690 (user root)
  • vpn-push192.168.3.50, port 58695 (user root)

Indica que Electrosystems ya tiene un servidor WireGuard funcionando en otro contexto (probablemente VPN cliente para acceso remoto). La migración consiste en sustituir/extender el túnel site-to-site Juárez-ElPaso para que use WireGuard en lugar de la solución actual.

Tareas pendientes (no actuar todavía — informativo)

Diagnóstico (read-only, ya autorizado)

  • #078 📅 2026-06-05 — Documentar el estado actual del enlace Juárez ↔ El Paso. ¿Qué tecnología usa hoy? ¿Cuál es el endpoint en cada lado? ¿Qué subnets enruta?
    • SSH a vpn-elpaso y al equivalente Juárez para inspeccionar configs activas.
    • Revisar si ya existe doc en ~/agy/electrosystems/servers/vpn-elpaso/ o relacionados.
  • #078b 📅 2026-06-05 — Documentar el WireGuard ya existente (192.168.20.5). ¿Para qué se usa hoy? ¿Es servidor de “road warrior” (clientes remotos) o site-to-site? ¿Qué peers tiene configurados?
  • #079 📅 2026-06-08 — Identificar si hay perfiles de host en ~/agy/electrosystems/servers/ para los dos endpoints del túnel actual; si no, crearlos.

Diseño

  • 📅 2026-06-10 — Decidir topología WireGuard:
    • Site-to-site puro (un peer en JRZ, otro en ELP, allowed_ips cubre las subnets internas de cada sitio).
    • Hub-and-spoke (un hub central, ambos sitios y futuros sitios se conectan al hub).
  • 📅 2026-06-12 — Plan de IPs: ¿qué subnet /24 usar para los túneles WireGuard? Mantener disjunto del rango interno actual.
  • 📅 2026-06-15 — Plan de routing: ¿quién enruta qué? Si hay redes que ya están “anunciadas” por el túnel actual, mapear cada una a su AllowedIPs correspondiente del lado WireGuard.
  • 📅 2026-06-18 — Plan de cutover: cómo hacer la transición sin tirar el enlace (probable: levantar WireGuard en paralelo, validar, mover rutas, retirar el viejo).

Cutover (NO ejecutar sin autorización explícita)

  • 📅 2026-06-20 — Generar pares de llaves en cada extremo.
  • 📅 2026-06-22 — Configurar wg0 en cada extremo + persistencia (systemd-networkd, wg-quick, NetworkManager — depende de la distro).
  • 📅 2026-06-24 — Abrir UDP en firewalls (puerto típico 51820, o dedicado).
  • 📅 2026-06-26 — Validar con ping cross-site usando rutas WireGuard.
  • 📅 2026-06-28 — Cambiar las rutas internas para que prefieran WireGuard.
  • 📅 2026-06-30 — Decommissionar el túnel viejo.

Notas técnicas

(Por completar tras la fase de diagnóstico.)

Bitácora

2026-05-08

  • Pidió Sergio: registrar el pendiente de la migración.
  • Hice: creado el proyecto. Identificados los aliases SSH preexistentes relacionados con VPN/WireGuard.
  • Falta: todo. Esto es solo captura del pendiente; el diagnóstico arranca cuando Sergio dé autorización.