Tutorials

WireGuard VPN einrichten

WireGuard ist ein modernes, leistungsstarkes VPN, das einfacher und schneller als OpenVPN oder IPsec ist. Diese Anleitung richtet einen WireGuard-Server auf deinem VPS ein, damit du Traffic von jedem Gerät sicher tunneln kannst.

Voraussetzungen

  • Ein VPS mit Ubuntu 20.04+ oder Debian 11+
  • Root- oder Sudo-Zugriff
  • Ein Client-Gerät (Laptop, Handy) zum Verbinden

1. Mit deinem Server verbinden

ssh root@DEINE_SERVER_IP

Oder verwende das Web-Terminal im Sitequest-Dashboard.

2. WireGuard installieren

apt update
apt install -y wireguard

3. Server-Schlüssel generieren

wg genkey | tee /etc/wireguard/server_private.key | wg pubkey > /etc/wireguard/server_public.key
chmod 600 /etc/wireguard/server_private.key

Speichere den privaten Schlüssel für die Konfiguration:

cat /etc/wireguard/server_private.key

4. Server konfigurieren

Erstelle die WireGuard-Interface-Konfiguration:

nano /etc/wireguard/wg0.conf

[Interface]
Address = 10.0.0.1/24
ListenPort = 51820
PrivateKey = SERVER_PRIVATE_KEY

PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

Ersetze SERVER_PRIVATE_KEY durch deinen tatsächlichen privaten Schlüssel. Ersetze eth0 durch dein Haupt-Netzwerkinterface (prüfe mit ip route show default).

5. IP-Forwarding aktivieren

echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf
sysctl -p

6. WireGuard starten

systemctl enable wg-quick@wg0
systemctl start wg-quick@wg0

Prüfe, ob es läuft:

wg show

7. Firewall-Ports öffnen

Öffne UDP-Port 51820 in der Sitequest-Firewall.

Mit ufw:

ufw allow 51820/udp

8. Client-Peer hinzufügen

Generiere Schlüssel auf deinem Client (oder auf dem Server):

wg genkey | tee client_private.key | wg pubkey > client_public.key

Füge den Peer zur Server-Konfiguration hinzu:

nano /etc/wireguard/wg0.conf

Anhängen:

[Peer]
PublicKey = CLIENT_PUBLIC_KEY
AllowedIPs = 10.0.0.2/32

Neu laden:

systemctl restart wg-quick@wg0

9. Client-Konfiguration erstellen

Erstelle auf deinem Client-Gerät eine Konfigurationsdatei:

[Interface]
Address = 10.0.0.2/24
PrivateKey = CLIENT_PRIVATE_KEY
DNS = 1.1.1.1

[Peer]
PublicKey = SERVER_PUBLIC_KEY
Endpoint = DEINE_SERVER_IP:51820
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 25

Importiere diese Datei in die WireGuard-App auf deinem Gerät (wireguard.com/install).

10. Verbindung testen

Aktiviere den Tunnel auf deinem Client und prüfe:

wg show

Auf dem Server solltest du den letzten Handshake und übertragene Daten des Peers sehen.

Nächste Schritte

  • Weitere Peers hinzufügen, indem du Schritte 8-9 mit eindeutigen IPs wiederholst (10.0.0.3, 10.0.0.4 usw.)
  • AllowedIPs auf dem Client einschränken, um nur bestimmte Subnetze über das VPN zu routen
  • DNS über VPN mit Pi-hole oder AdGuard Home einrichten
  • QR-Codes für einfache Handy-Einrichtung nutzen: qrencode -t ansiutf8 < client.conf