NetBird: Implementación de una VPN de malla basada en WireGuard y confianza cero (Parte II)

Introducción

Este artículo continúa el despliegue autohospedado de NetBird iniciado en la Parte I y se centra en la fase de ajuste fino y puesta en marcha real del stack. El objetivo es consolidar la configuración, generar los artefactos finales y exponer NetBird correctamente a través de Caddy como proxy reverso, manteniendo Authentik como proveedor OIDC.

El contenido no pretende guiar paso a paso, sino dejar claro qué archivos se tocan, por qué se regeneran y cómo encajan proxy, variables y contenedores dentro del flujo completo.

Ubicación actualde trabajo

~~Actualmente~~El ~~estamos~~punto ~~ubicados~~de enpartida laes ~~carpeta:~~el directorio de infraestructura de NetBird:

netbird/infrastructure_files/

Desde aquí se ~~encuentra~~gestionan eltodos docker-compose.ymllos ~~principal y demás archivos~~elementos necesarios para ~~continuar con~~ el ~~despliegue~~despliegue:

Plantillas de ~~NetBird.~~Docker Compose Variables de entorno Script de generación (configure.sh) Directorio de salida (artifacts/)

🔑 ~~Importante: tanto~~ NetBird ~~como~~y Authentik deben ~~estar accesibles con certificados TLS válidos (no autofirmados) y~~ ser accesibles públicamente ~~para~~y ~~que~~mediante elcertificados TLS válidos. El flujo OIDC ~~funcione~~falla ~~correctamente.~~de forma silenciosa si se utilizan certificados autofirmados o endpoints no accesibles desde Internet.

Archivos aimplicados editaren la configuración

SeLa ~~editarán~~configuración se realiza directamente ~~("en~~sobre ~~sucio")~~plantillas, no sobre los ~~siguientes~~archivos ~~archivos:~~finales:

docker-compose.yml.tmpl
setup.env.example → una vez ~~editado,~~ajustado, se ~~renombrará~~renombra a setup.env

~~Cada~~Estos ~~vez~~archivos ~~que~~no se ~~realice~~usan ~~un cambio~~directamente en ~~estos~~ejecución. ~~archivos,~~Actúan ~~deberá~~como ~~ejecutarse~~fuente elde ~~script~~verdad configure.sha ~~con:~~partir de la cual se generan los artefactos finales.

Cada modificación requiere ejecutar:

./configure.sh

~~Esto~~Este ~~generará~~proceso ~~los~~genera ~~archivos~~automáticamente ~~finales~~el contenido definitivo dentro dede:

~~la carpeta~~

artifacts/
,

~~que también~~

Ahí se ~~encuentra~~crean, enentre ~~este mismo directorio. Desde ahí, se podrán levantar los contenedores cuando todo esté listo.~~otros:

~~Una~~

~~vez esté todo correctamente rellenado y configurado, volveremos a ejecutar~~ ./configure.sh ~~para generar el~~ docker-compose.yml ~~final~~management.json yturnserver.conf ~~otros~~ ~~archivos~~

El ~~necesarios dentro~~stack de laNetBird ~~carpeta~~solo debe levantarse desde artifacts/., ~~Será~~nunca desde ~~esa~~la ~~carpeta donde finalmente levantaremos el entorno completo~~raíz de ~~NetBird.~~infraestructura.

Integración con Caddy

Además del stack de contenedores, es necesario exponer NetBird a través del proxy reverso.

~~Después de eso, habrá que editar también el~~El archivo Caddyfile. Sedebe ~~puede~~ampliarse ~~tomar como base el ejemplo disponible en el repositorio Gitea (ver más abajo) y adaptarlo a los puertos que hayamos elegido en nuestra configuración.~~

~~Una vez añadida~~con la sección correspondiente a ~~NetBird~~NetBird, tomando como base un ejemplo funcional y adaptándolo a:

Dominio elegido Puertos definidos en elsetup.env Caddyfile,Endpoints ~~reiniciaremos~~expuestos por Management, Signal y Dashboard

Tras aplicar los cambios, se reinicia Caddy para ~~aplicar~~que ~~los~~el ~~cambios:~~proxy cargue la nueva configuración:

sudo systemctl restart caddy

~~Finalmente,~~Una ~~con~~vez ~~todo en su sitio (entorno,~~proxy, variables y ~~proxy),~~artefactos ~~levantaremos~~están ~~los~~alineados, ~~contenedores~~el deentorno ~~NetBird~~completo ~~desde~~puede lalevantarse ~~carpeta~~ artifacts:desde:

cd artifacts/
docker compose up -d

~~Una~~En ~~vez~~este ~~realizado~~punto, ~~todo~~el ~~esto, solo tendremos que ir~~acceso al dominio ~~elegido~~configurado ~~para~~debería ~~NetBird,~~redirigir ~~autenticarnos~~correctamente ~~con~~a Authentik ~~y...~~y ~~finalmente~~permitir ~~estaremos~~la ~~dentro.~~autenticación en NetBird.

Archivos de ejemplo listos para usarpreparados

Para ~~facilitar~~simplificar lael ~~configuración,~~despliegue, se han preparado ~~versiones~~archivos de ejemplo ya ~~limpias~~depurados, yajustados ~~ajustadas~~al aescenario ~~la configuración explicada~~descrito en la ~~primera~~Parte ~~parte.~~I. ~~Algunas secciones se~~Se han eliminado ~~porque~~secciones no ~~son~~ necesarias para ~~este~~evitar ~~escenario~~ruido ~~concreto.~~y confusión.

~~Están~~Repositorio ~~disponibles~~disponible en ~~el siguiente repositorio:~~Gitea:

~~Ejemplos~~Netbird ~~NetBird en~~- Gitea

~~Contiene:~~Incluye:

docker-compose.yml.tmpl →— ~~listo~~plantilla lista para ~~rellenar~~completar
setup.env →— ~~limpio~~variables limpias y ~~preparado~~alineadas ~~para~~con ~~completar~~Authentik
Caddyfile →— ~~sección~~bloque ~~específica~~específico para NetBird, ~~lista~~preparado para ~~copiar y pegar~~integrar en tuun ~~propio~~Caddy ~~archivo~~existente

de ~~Caddy.~~

Solo ~~hay~~es ~~que~~necesario sustituir los ~~datos~~valores ficticios por los reales del entorno.

AyudaVariables paraclave completarde `setup.env` (Authentik como proveedor OIDC)

Qué valores hay que rellenar y de dónde sacarlos

`NETBIRD_AUTH_OIDC_CONFIGURATION_ENDPOINT`

~~Qué es:~~ ~~URL~~Endpoint de configuración OIDC ~~generada~~

NETBIRD_AUTH_OIDC_CONFIGURATION_ENDPOINT

Define la URL de descubrimiento OIDC expuesta por Authentik.

obtiene

~~Dónde está:~~ ~~Al guardar la aplicación en Authentik, aparece~~desde el botón "OpenID configuration". al editar la aplicación en Authentik.

Ejemplo:

https://auth.<tudominio>/application/o/netbird/.well-known/openid-configuration

Client

ID y Audience

NETBIRD_AUTH_CLIENT_ID

~~Qué~~Corresponde ~~es:~~ Elal Client ID generado por ~~Authentik.~~Authentik y actúa como identificador central del proveedor.

Este

~~Dónde está:~~ En Providers > netbird-provider > OAuth2 Configuration

~~Este~~mismo valor ~~también~~ se ~~usa~~reutiliza en:

NETBIRD_AUTH_AUDIENCE
NETBIRD_AUTH_DEVICE_AUTH_CLIENT_ID
NETBIRD_AUTH_DEVICE_AUTH_AUDIENCE
NETBIRD_IDP_MGMT_CLIENT_ID

En despliegues

self-hosted con Authentik, audience y client_id suelen coincidir.

Scopes soportados

NETBIRD_AUTH_SUPPORTED_SCOPES

~~Qué~~Scopes ~~poner:~~necesarios para funcionamiento completo, incluyendo login interactivo y device flow:

"openid profile email offline_access api"api

`NETBIRD_IDP_MGMT_EXTRA_USERNAME`

~~Qué es:~~ ~~Nombre del usuario~~

Usuario de servicio

~~(creado~~

NetBird ~~manualmente).~~requiere credenciales técnicas para operaciones internas.

~~Dónde se crea:~~NETBIRD_IDP_MGMT_EXTRA_USERNAME Directory > Users > Create

~~Username:~~Usuario creado manualmente en Authentik

Ejemplo habitual: Netbird ~~Crear una contraseña de aplicación~~

NETBIRD_IDP_MGMT_EXTRA_PASSWORD

~~Qué es:~~ Contraseña de aplicación del usuario de ~~servicio.~~
servicio
Se
~~Dónde~~genera seen ~~obtiene:~~la Usersficha >del Netbird > Passwords
usuario

~~Crear~~El ~~nueva~~valor ~~contraseña~~solo es visible en el momento de ~~aplicación~~ ~~Copiar el string generado (no se podrá volver a ver)~~creación

Ajuste

de PKCE

NETBIRD_AUTH_PKCE_DISABLE_PROMPT_LOGIN=true

~~Qué es:~~

Flag ~~necesaria~~necesario para evitar problemas de autenticación relacionados con PKCE.

~~Qué~~

Debe ~~hacer:~~

mantenerse ~~Dejarla tal cual.~~ habilitado.

Resumen visualrápido rápidode variables

Variable en `.env`	~~Dónde encontrarla~~Origen en Authentik
`NETBIRD_AUTH_OIDC_CONFIGURATION_ENDPOINT`	Botón "OpenID ~~configuration" en la aplicación~~configuration
`NETBIRD_AUTH_CLIENT_ID`	~~En el~~ Provider (`→ OAuth2 Configuration`)
`NETBIRD_AUTH_AUDIENCE`	Igual que el `Client ID`
`NETBIRD_AUTH_DEVICE_AUTH_CLIENT_ID`	Igual que el `Client ID`
`NETBIRD_AUTH_DEVICE_AUTH_AUDIENCE`	Igual que el `Client ID`
`NETBIRD_IDP_MGMT_CLIENT_ID`	Igual que el `Client ID`
`NETBIRD_IDP_MGMT_EXTRA_USERNAME`	Usuario de servicio ~~creado por ti~~ (`Netbird`)
`NETBIRD_IDP_MGMT_EXTRA_PASSWORD`	~~Contraseña~~App ~~de aplicación~~Password del usuario ~~de servicio~~

Resumen breve

La segunda fase del despliegue de NetBird se centra en consolidar la configuración real del entorno: edición de plantillas, generación de artefactos, exposición correcta mediante Caddy y validación del flujo OIDC con Authentik. Mantener una separación clara entre plantillas y archivos finales permite regenerar el stack sin errores y facilita ajustes futuros sin romper el entorno.

Referencias

Esta guía está pensada como complemento práctico, no reemplaza a la documentación oficial. Se recomienda revisar los siguientes enlaces para entender en profundidad cada componente: