WireGuard VPN Einrichtung und Fehlerbehebung unter Linux

Warum WireGuard?

WireGuard ist ein modernes, leistungsstarkes VPN-Protokoll für Einfachheit, Geschwindigkeit und starke Sicherheit.

Voraussetzungen

• Ein Linux-Server mit öffentlicher IP-Adresse.
• Root- oder Sudo-Zugang.
• UDP-Port 51820 offen auf der Server-Firewall.

Schritt-für-Schritt-Lösung

1. WireGuard Installieren

sudo apt update && sudo apt install -y wireguard

2. Schlüsselpaare Generieren

wg genkey | tee /etc/wireguard/private.key | wg pubkey > /etc/wireguard/public.key
chmod 600 /etc/wireguard/private.key

3. Server Konfigurieren

[Interface]
Address = 10.0.0.1/24
ListenPort = 51820
PrivateKey = <SERVER_PRIVATER_SCHLUESSEL>
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

[Peer]
PublicKey = <CLIENT_OEFFENTLICHER_SCHLUESSEL>
AllowedIPs = 10.0.0.2/32

4. Client Konfigurieren

[Interface]
Address = 10.0.0.2/24
PrivateKey = <CLIENT_PRIVATER_SCHLUESSEL>
DNS = 1.1.1.1

[Peer]
PublicKey = <SERVER_OEFFENTLICHER_SCHLUESSEL>
Endpoint = <SERVER_OEFFENTLICHE_IP>:51820
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 25

Fehlerbehebung

• Kein Handshake: Überprüfen Sie Firewall, Schlüssel und IP-Weiterleitung.
• DNS-Lecks: Fügen Sie DNS = 1.1.1.1 zur Client-[Interface]-Sektion hinzu.
• Kein Internet: Überprüfen Sie die PostUp-iptables-Regeln und den Schnittstellennamen.

Zusammenfassung

• WireGuard ist ein modernes VPN-Protokoll im Linux-Kernel seit Version 5.6.
• Verwenden Sie PersistentKeepalive = 25 für Clients hinter NAT.

Verwandte Artikel

• SSH Hardening: Secure Your Linux Server
• Configure UFW Firewall on Ubuntu Server
• NFTables Linux Firewall: iptables Replacement