Split Tunneling en WireGuard con AllowedIPs

En WireGuard el parámetro AllowedIPs funciona como filtro ACL y tabla de enrutamiento a la vez. NetRoute Pro genera la cadena AllowedIPs lista desde los dominios de cualquier sitio — no necesitas comandos ip route adicionales, solo edita el config del peer y recarga.

Requisitos previos

Cualquier cliente WireGuard: wg-quick en Linux, WireGuard GUI en Windows/macOS, apps móviles Android/iOS, o router con soporte WireGuard
Extensión NetRoute Pro instalada en Chrome
Acceso al archivo de configuración o interfaz del peer

Paso 1. Genera AllowedIPs en NetRoute Pro

Abre el sitio web objetivo en Chrome
Lanza la extensión NetRoute Pro
Selecciona la plataforma WireGuard
Haz clic en Analyze Website
Copia la línea AllowedIPs generada

Consejo: activa optimización RIPE BGP en la extensión — reemplaza IPs individuales con prefijos BGP anunciados reales, dando rutas estables que no se rompen cuando Cloudflare/Fastly rotan IPs.

Paso 2. Pega en config del peer

Linux (wg-quick)

Edita el archivo de configuración, normalmente /etc/wireguard/wg0.conf. En la sección [Peer] reemplaza el valor de AllowedIPs:

[Interface]
PrivateKey = <tu-clave-privada>
Address = 10.8.0.2/24

[Peer]
PublicKey = <clave-publica-servidor>
Endpoint = vpn.example.com:51820
AllowedIPs = 104.21.32.0/24, 172.67.0.0/16, 162.159.128.0/19
PersistentKeepalive = 25

Windows / macOS (GUI)

Abre la app WireGuard
Selecciona tu túnel y pulsa Edit tunnel
Modifica la línea AllowedIPs en la sección [Peer]
Pulsa Save

Android / iOS

Abre la app WireGuard
Pulsa tu túnel para editarlo
Modifica el campo Allowed IPs
Pulsa Save explícitamente — la app a veces resetea cambios al salir

Paso 3. Reinicia el túnel

Linux: sudo wg-quick down wg0 && sudo wg-quick up wg0
GUI Windows/macOS: desactiva el túnel y vuelve a activarlo
Móvil: usa el interruptor off/on del túnel

Verificar

Comprueba que los cambios se aplicaron:

sudo wg show

Verás el peer con los AllowedIPs aplicados. Desde un cliente, comprueba el enrutamiento:

ip route get 104.21.32.1    # Linux
tracert example.com         # Windows

Problemas comunes

Se perdió toda la conexión a internet

Eliminaste 0.0.0.0/0 del AllowedIPs pero los prefijos listados no cubren las subredes que quieres usar. Añade las subredes específicas o regenera con más dominios en NetRoute Pro.

Android: el túnel se queda en "connecting" infinito

La app no guardó la configuración. Edita de nuevo y pulsa Save explícitamente antes de salir.

Error: AllowedIPs has invalid format

Revisa comas, espacios y saltos de línea en la cadena. AllowedIPs debe estar en una sola línea con prefijos separados por coma, p.ej. 10.0.0.0/8, 192.168.1.0/24.

Ruta añadida pero el tráfico no va por el túnel

Comprueba que el peer está activo con sudo wg show
Verifica que el endpoint del peer responde (handshake reciente)
En el servidor, verifica que hay NAT/masquerade hacia tu salida

Documentación oficial

¿Listo para probar?

NetRoute Pro — extensión gratuita de Chrome para generar rutas desde cualquier sitio web.

Instalar extensión