VPN

Actualizado mayo de 2026

WireGuard Seguimiento

Supervisa las conexiones entre pares de WireGuard, el estado del protocolo de enlace, las métricas de transferencia de datos y el estado del túnel en tiempo real sin necesidad de configuración.

Empieza tu prueba gratuita Ver documentos

¿Por qué realizar un seguimiento? WireGuard?

WireGuard es un protocolo VPN moderno y de alto rendimiento. La supervisión de WireGuard garantiza conexiones entre pares correctas, intercambios de datos satisfactorios y un rendimiento óptimo del túnel para tu infraestructura de red segura.

Detección automática mediante Xitogent

Estado de conexión de peers

Seguimiento del último handshake

Transferencia de datos por peer

Alcanzabilidad de endpoints

Métricas a nivel de interfaz

Soporte multi-interfaz

Intervalos de recolección de 1 minuto

Compatible a nivel de cable con el modelo de datos de

Intervalos de recolección de métricas de 1 minuto desde el primer momento

¿Qué es el monitoreo de WireGuard?

Monitoreo de WireGuard, explicado

El monitoreo de WireGuard detecta pares inactivos (sin handshake reciente = desconexión silenciosa), cambios de endpoint (la IP pública de un par se movió o expiró una asignación NAT), abuso de ancho de banda por par y errores de paquetes a nivel de interfaz antes de que se manifiesten como reportes de "mi VPN a veces no funciona". Como WireGuard es UDP sin estado — no hay un evento de "conectar" o "desconectar" como en OpenVPN — la antigüedad del handshake es la señal canónica de "¿está este par vivo?". Para servidores VPN de acceso remoto, túneles sitio a sitio, cifrado pod a pod en Kubernetes vía Cilium y redes mesh (Tailscale / NetBird), la visibilidad de la antigüedad del handshake por par es lo que separa una alerta de 60 segundos sobre un túnel caído de encontrar pares fuera de línea durante horas. Xitoring detecta automáticamente cada interfaz wg*, lee wg show all dump y enruta las alertas a Slack, PagerDuty, Telegram o su rotación de guardia existente.

Métricas

Lo que monitorizamos

Peers activos

Peers WireGuard conectados.

Último handshake

Tiempo desde el último handshake exitoso.

Transferencia RX/TX

Datos recibidos y enviados por peer.

Estado del endpoint

Alcanzabilidad del endpoint de los peers.

Tráfico de interfaz

Tráfico total a través de la interfaz WireGuard.

Endpoint por par

Dirección:puerto pública en la que el par es accesible actualmente. Los cambios de endpoint señalan re-mapeo NAT, movimiento de pares móviles o rotación de IP del lado del par.

IPs permitidas

Lista de subredes enrutadas a cada par (usadas tanto para enrutamiento como para control de acceso). Cambios inesperados indican deriva de configuración; entradas faltantes explican brechas de conectividad misteriosas.

Keepalive persistente

Intervalo de keepalive por par (por defecto `0` = ninguno; el valor típico para travesía NAT es `25` segundos). Los pares detrás de NAT sin keepalive parecerán inactivos después de que expire la asignación NAT.

Bytes RX / TX de la interfaz

Bytes totales en la interfaz `wg*` desde `ip -s link`. Rendimiento agregado de todos los pares — para planificación de capacidad.

Paquetes / Errores / Descartados de la interfaz

Contadores de paquetes del lado del kernel. Errores / descartes RX señalan una mala configuración de MTU (WireGuard añade 80 bytes de sobrecarga — MTU típico 1420 en enlaces de 1500) o desbordamiento del buffer del kernel.

Puerto de escucha

Puerto UDP al que está vinculada la interfaz WireGuard (51820 por defecto). Mostrado para inventario + detección de cambios.

Conteo de pares (total / configurados)

Número de entradas de pares en la configuración de la interfaz vs número actualmente vivos. La brecha = pares configurados pero que nunca conectan (clave incorrecta, endpoint incorrecto, bloqueo de firewall).

Desencadenantes y alertas

Configurables condiciones de activación de alertas

Configura alertas personalizadas en tu panel de control para recibir una notificación en cuanto las métricas de «WireGuard» superen los umbrales que hayas definido.

WireGuard panel de control de la configuración de los desencadenantes de supervisión

Handshake obsoleto

crítico

Se dispara cuando el handshake es demasiado antiguo, indicando desconexión del peer.

Peer caído

crítico

Alerta cuando un peer esperado no es alcanzable.

Tasa de transferencia

advertencia

Se activa ante patrones de transferencia anómalos.

Importancia de la monitorización de WireGuard

La simplicidad de WireGuard oculta fallos silenciosos. Los handshakes obsoletos y las desconexiones de peers pasan desapercibidos sin monitorización.

Detecte handshakes obsoletos que indican pérdida de conectividad
Monitorice la disponibilidad de los peers
Realice un seguimiento de las tasas de transferencia por peer
Garantice la salud del túnel

Por qué elegir Xitoring

Monitorización WireGuard sin configuración.

Instalación con un solo comando
Nodos globales
Panel unificado
Alertas multicanal

Casos de uso

Escenarios habituales de monitoreo de WireGuard

Dónde se ejecuta WireGuard típicamente hoy en día — y qué podría salir mal si nadie está vigilando.

VPN moderna de acceso remoto para el personal

WireGuard deja de comunicarse silenciosamente con un usuario cuando su conexión muere — no hay error, solo silencio. Detectamos el túnel caído en el momento en que sucede para que TI pueda solucionarlo antes de que el personal se quede atascado y empiece a llamar a soporte.

Tráfico cifrado entre servidores Kubernetes

Las configuraciones modernas de Kubernetes cifran el tráfico entre servidores para que los datos internos permanezcan privados. Si ese cifrado deja de funcionar silenciosamente entre dos servidores, los datos sensibles podrían estar fluyendo sin protección. Detectamos el momento en que cualquier enlace se interrumpe para que la protección siga siendo real.

Redes privadas que conectan oficinas, usuarios y dispositivos

Las redes privadas modernas conectan a decenas o cientos de usuarios, oficinas y dispositivos en una única malla segura. Cuando una única conexión falla silenciosamente, solo una parte de su red se ve afectada — lo que dificulta su detección. Sacamos a la luz el problema inmediatamente para que el enlace correcto pueda repararse antes de que más usuarios se vean afectados.

Antes de empezar

Requisitos previos para WireGuard

Asegúrate de tener todo esto en su sitio — la mayoría de las instalaciones tardan 60 segundos una vez listo.

Módulo del kernel WireGuard cargado (integrado en el kernel 5.6+)
wireguard-tools instalado (wg, wg-quick disponibles en el PATH)
Acceso root — los detalles de la interfaz WireGuard lo requieren

Guía de configuración

Empieza con minutos

Instalar Xitogent en tu host WireGuard

Instala el agente de monitorización ligero Xitogent en el host que ejecuta WireGuard.

curl -s https://xitoring.com/install.sh | sudo bash -s -- --key=YOUR_API_KEY

Levantar la interfaz WireGuard

Activa el túnel (p. ej. `wg-quick up wg0`) y confirma que `wg show` devuelve el estado de los peers. Xitogent corre como root, así que puede leer los detalles en tiempo de ejecución de WireGuard directamente — no se necesita configuración de grupos adicional.

sudo xitogent integrate

Habilitar la integración de WireGuard

Usa el panel de Xitoring o la CLI para habilitar la integración de WireGuard. Xitogent detecta automáticamente cada interfaz `wg` del host junto con sus peers.

Configurar umbrales de alerta (opcional)

Define umbrales personalizados para Handshake obsoleto, Peer Down o anomalías en la tasa de transferencia para que los túneles inactivos aparezcan en las alertas antes de que los usuarios se quejen.

Verifica que funciona

Ejecuta este comando en el servidor para confirmar que Xitogent ha detectado la integración. En unos 30 segundos comenzarán a llegar métricas nuevas a tu panel.

sudo xitogent status

Comparar

¿Estás considerando alternativas?

Mira cómo se compara Xitoring frente a las alternativas para la supervisión de WireGuard: precios planos, integraciones más profundas y un solo agente que cubre todo tu stack.

Xitoring vs

Datadog

El precio por host se vuelve caro rápidamente a escala. Descubre cómo Xitoring ofrece la misma cobertura con una tarifa plana.

Xitoring vs

New Relic

Observabilidad full-stack sin niveles empresariales, tarifas de ingesta ni licencias por usuario.

Xitoring vs

Grafana Cloud

Una herramienta con un solo precio, en lugar de unir Prometheus, Loki y Grafana en un stack que también tienes que supervisar.

Ver todas las comparaciones

Con frecuencia preguntas formuladas

¿El núcleo frente al espacio de usuario?

Se admiten tanto WireGuard en el núcleo como en el espacio de usuario.

¿Varias interfaces?

Sí, se supervisan todas las interfaces de wg.

¿Cómo detecto desconexiones de pares WireGuard?

WireGuard no tiene evento de `disconnect` (UDP sin estado). La detección es: par configurado + sin handshake reciente = desconectado. Rastree el `latest_handshake` de cada par a lo largo del tiempo — cuando deja de avanzar, el par está fuera de línea. Para escenarios de travesía NAT donde los pares pierden conectividad cuando expira su asignación NAT, configure `PersistentKeepalive = 25` para mantener los handshakes fluyendo.

¿Cómo verifico los bytes transferidos por par en WireGuard?

`wg show all dump` incluye `transfer_rx_bytes` y `transfer_tx_bytes` por par (acumulados desde que la interfaz se puso en marcha). Calcule la tasa por minuto a partir de muestras secuenciales. Útil para la detección de abuso de ancho de banda y el análisis de tráfico asimétrico. Xitogent muestra tanto los totales como las tasas por par.

¿Cómo monitoreo WireGuard con Prometheus / Grafana?

(MindFlavor) es el exportador canónico de Prometheus para WireGuard — ejecuta `wg show` y expone métricas por par en `/metrics`. Combine con paneles preconstruidos de Grafana. Xitogent lee `wg show` directamente sin un exportador — elija el que encaje en su stack.

Monitoreo de WireGuard vs OpenVPN — ¿qué cambia?

OpenVPN es con estado al estilo TCP — eventos explícitos de conexión/desconexión, ancho de banda + duración por sesión, fáciles de rastrear. WireGuard es UDP sin estado — sin evento de "conectar", sin concepto de sesión; "¿está vivo el par?" se infiere de la antigüedad del handshake. OpenVPN tiene PKI por usuario + RADIUS rico para entornos empresariales; WireGuard usa pares PublicKey/PrivateKey más simples sin cadenas RADIUS. Ambos son válidos en 2026 — use la integración adecuada para el protocolo adecuado.

¿Qué MTU debo usar con WireGuard?

WireGuard añade 80 bytes de sobrecarga a cada paquete. En un enlace Ethernet estándar de 1500 bytes, establezca el MTU de WireGuard en 1420 (1500 - 80). En VXLAN, GRE u otro enlace encapsulado, reste la sobrecarga adicional. Un MTU incorrecto provoca que los paquetes grandes se fragmenten o sean descartados — visible como errores RX en la interfaz e informes de "a veces mi SSH se congela".

¿Funciona con Tailscale, NetBird o Cilium WireGuard?

Sí — todos usan la misma interfaz `wg*` subyacente, por lo que `wg show` funciona de forma idéntica. Para Tailscale, monitoree tanto `tailscale status` (para el plano de coordinación: ACLs, MagicDNS, estado de autenticación) Y la interfaz `wg0` subyacente (para los túneles cifrados reales). Lo mismo para Headscale, NetBird, Netmaker. El modo WireGuard de Cilium expone pares por nodo — monitoree en todo el clúster.

¿Xitogent soporta WireGuard en espacio de usuario?

Sí. Tanto WireGuard del kernel (in-tree en Linux 5.6+) como `wireguard-go` en espacio de usuario son compatibles — ambos exponen la misma interfaz `wg show`. El espacio de usuario es más lento (~15% de penalización en rendimiento) pero funciona en plataformas sin el módulo del kernel (kernels Linux más antiguos, BSD, macOS, Windows). Para Windows, la aplicación WireGuard for Windows usa un controlador en modo kernel — el agente de Windows de Xitogent lee vía la superficie IOCTL equivalente.

Empieza a seguir a WireGuard hoy

Se configura en menos de 60 segundos. No se necesita tarjeta de crédito. Estadísticas completas desde el primer día.

Empieza tu prueba gratuita

Sigue explorando

Relacionado Integraciones

OpenVPN