WireGuard ist der “neue” VPN Server von Heute! Nicht das er als Open Source sowieso schon bei mir gewonnen hat, sondern er ist auch ein Leichtgewicht. Der schlanke SourceCode bringt ihm zusätzlich Performance, sodass wir alles an Board haben was wir brauchen.
Zusammengefasst, WireGuard ist ein sehr einfacher, sehr sicherer und sehr schneller VPN Server für alle möglichen Plattformen und Betriebssystemen.
Im nachfolgenden Video erkläre ich euch einiges zu WireGuard und installieren die Variante mit Client-to-Server Kommunikation.
Anleitung: WireGuard VPN Server
Schritt 1: Auf dem SERVER und CLIENTEN ausführen
sh -c "echo 'deb http://deb.debian.org/debian buster-backports main contrib non-free' > /etc/apt/sources.list.d/buster-backports.list"
apt update
apt install linux-headers-$(uname --kernel-release)
apt install wireguard
nano /etc/sysctl.conf
# <- entfernen bei der Zeile "net.ipv4.ip_forward=1" und speichern
sysctl -p
cd /etc/wireguard/
umask 077; wg genkey | tee privatekey | wg pubkey > publickey
cat privatekey
cat publickey
chmod 600 /etc/wireguard/privatekey
Schritt 2: Nur auf dem SERVER ausführen
Konfigurationsdatei anlegen
nano /etc/wireguard/wg0.conf
[Interface] PrivateKey = <Dein privater Schlüssel [privatekey SERVER]> Address = 172.31.0.1/32 SaveConfig = true PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE ListenPort = 51820
In den Zeilen PostUP & PostDown das Interface anpassen wie es zu eurem System passt. Hier steht jetzt eth0, das kann aber bei euch anders sein. Prüfen könnt Ihr das mit “ip a“
Schritt 3: Nur auf dem CLIENTEN ausführen
Konfigurationsdatei anlegen
nano /etc/wireguard/wg0.conf
[Interface] PrivateKey = <Dein privater Schlüssel [privatekey CLIENT]> Address = 172.31.0.2/32 ##DNS = 10.0.0.1 [Peer] PublicKey = <Öffentlicher Schlüssel des [SERVERS]> Endpoint = <ServerIP oder Domain/FQDN>:51820 AllowedIPs = 0.0.0.0/0 PersistentKeepalive = 25
Schritt 4: Nur auf dem SERVER ausführen
wg set wg0 peer <öffentlicher Schlüssel des CLIENTEN> allowed-ips 172.31.0.2/32
Schritt 5: Auf dem SERVER und CLIENTEN ausführen
wg-quick up wg0
wg
##Das zeigt dir den Status der Verbindung an
Schritt 6: Autostart
Wenn WireGuard automatisch mit dem System starten soll, dann folgenden Befehl absetzen.
systemctl enable wg-quick@wg0
Das könnte dich auch interessieren:
5 Tipps für mehr Besucher auf der Webseite
PfSense installieren & konfigurieren. Einfach erklärt. Wie gehe ich vor?!
Die ersten 1000 YouTube Abonnenten. Wie hab ich es geschafft?
Du brauchst weitere Hilfe oder Lösungsansätze im Umgang mit WireGuard? Du benötigst Troubleshooting Tipps oder allgemeine Hilfe? Dann kontaktiere mich über die Kommentare oder schreibe mir direkt eine Nachricht.
dennis schröder
3. Januar 2021 um 18:05
Hallo Dennis,
eine super Anleitung für die Einrichtung von Wirequard.
Bin auf der Suche nach einer Lösung, um über den VPN-Server – Zugang zum kompletten Netzwerk hinter dem Client zu bekommen. Im Internet gibt es verschiedene Lösungen, aber trotzdem habe ich keine funktionierende Lösung gefunden.
Auf dem Client habe ich zusätzlich bei AllowedIPs noch das Netz 192.168.10.0/24 eingetragen.
Nun kann ich leider nicht mehr den Client erreichen.
Hast Du eine Lösung für das Problem?
Viele Grüße,
Oliver
4. Januar 2021 um 08:36
Ich werde in kürze noch ein Video machen auf Youtube zu einer Site-To-Site VPN Verbindung. Da sollte dann deine Frage auch beantwortet werden.
15. September 2022 um 13:18
Wireguard mit IPv6 wäre verdammt interessant
4. Januar 2021 um 16:50
Du hast einen kleinen Fehler in deiner Server Config. Da muss die IP hin das ist Richtig aber das Subnetz muss größer als 32 sein, beim Client ist /32 richtig.
4. Januar 2021 um 20:46
Hallo Dennis, großes Lob für deinen Content! Vielleicht noch eine Idee für deine Wireguard Reihe: Einbinden von Android/iOS Clients mittels generiertem QR Code.
Grüße
Thorsten
4. Januar 2021 um 22:15
Vielen Dank für Dein Video zum Thema Site-To-Site VPN-Verbindung.
Das war die Lösung für mein Problem.
VPN-Server: vServer von Hetzner
Ein RaspberryPI vom Heim-Netz (192.168.10.0/24) stellt die Verbindung zum VPN-Server her.
Auf dem RaspberryPI ist IP-Forwarding aktiviert.
VPN-Server: AllowedIPs: 192.168.10.0/24, 172.31.0.0/24
RaspberryPI: AllowedIPs: 172.31.0.0/24
Aber eine statische Route musste ich dafür in meinem Router nicht einbauen.
Viele Grüße,
Oliver
4. Januar 2021 um 22:26
Muss der Schritt 4 und 5 nicht getauscht werden. In Deinem Video zeigst Du den Befehl “wg set …” erst nach dem Befehl “wg-quick up wg0”. Wenn “wg-quick up wg0” vor dem “wg set …” ausgeführt wird, bekam ich eine Fehlermeldung.
9. April 2021 um 14:27
Schritt 4 und 5 müssten anders herum, richtig? Sonst wäre wg0 noch nicht verfügbar. Im Video ist es anders herum.
Da bin ich auch gerade darüber gestolpert.
23. April 2021 um 22:51
Servus zusammen, vllt kann ja einer von euch mir helfen und zwar habe ich folgendes Problem:
wenn ich mit dem VPN eine Verbindung über Wlan (öffentliches Wlan oder Wlan der Freundin)zum Server aufbaue und verbunden bin komme ich ins Internet (bekomme auch die IP des VPN Servers) aber hab leider kein zugriff auf das Heimnetzwerk, verstehe nicht wo der Fehler ist. Über Mobilesnetz funktioniert alles ohne Probleme.
VG
8. Oktober 2021 um 17:03
Weiß nicht, ob sich vielleicht mittlerweile was geändert hat, aber ich musste am Server auch einen peer eintrag machen.
meiner sieht so aus:
[Peer]
PublicKey = -Hier pubkey vom client
AllowedIPs = 192.168.61.2/32 #Das ist die ip, die ich im Client eingetragen hab
10. März 2022 um 14:39
Hallo Dennis,
ich schaue mir immer gerne deinen Content an. Auch wenn ich es dann leicht anders verwende.
Ich versuche gerade Wireguard über mein Home Assistant zu machen. Adguard läuft dort auch schon super.
Jetzt habe ich noch einen GLINET Beryl. Aber ich schaffe es nicht meine beiden Systeme kommunizieren zu lassen.
Dies ist meine Konfig.
peers:
– name: Sebastian
addresses:
– 10.10.10.2
allowed_ips: []
client_allowed_ips:
– 10.10.10.0/24
– 192.168.178.0/24
server:
addresses:
– 10.10.10.1
dns:
– 1.1.1.1
host: blablabla.duckdns.org
log_level: info
Wo liegt denn der Fehler?
Auch ein Setup über ein Android per QR Code scheitert immer schon am Handshake.
Vielen Dank für deine Hilfe!
Sebastian
1. August 2022 um 17:37
Moin,
ich habe versucht nach deinem Tutorial WireGuard auf einem vServer zu installieren.
Bei dem Command `wg-quick up wg0` bekomme ich aber folgende Fehlermeldung:
“””
[#] ip link add wg0 type wireguard
RTNETLINK answers: Operation not supported
Unable to access interface: Protocol not supported
[#] ip link delete dev wg0
Cannot find device “wg0”
“””
Die Linux-Headers sind meines Verständnisses nach installiert, jedoch nicht über den Weg des Tutorials, sondern standardmäßig.
Kann mir da wer helfen?
MfG
13. Oktober 2022 um 16:46
Hi Dennis,
ich habe ein Anwendungsfall, bei dem ich nicht weiterkomme. Vielleicht hast du einen Tipp für mich. Ich beabsichtige folgendes: Daheim habe ich eine pfSense mit Dual Wan. Vodafone mit bester IP (Business-Anschluss) und O2 via LTE mit CGNAT, sodass ein Portforwarding nicht funktioniert. Über den Vodafone-Anschluss existiert bereits eine Wireguard-Verbindung, die prima funktioniert. Ich habe Zugriff von mobilen Geräten auf das Heimnetzwerk.
Im Falle eines Ausfalls der Hauptleitung über Vodafone springt die 2. WAN-Leitung wunderbar ein. Dann funktioniert aber natürlich der Zugriff von Außen über Wireguard nicht mehr. Um das zu lösen habe ich nun einen Wireguard Server in der Hetzner Cloud installiert. Diesen nenne ich mal Wireguard-Jumphost. Die pfSense baut dorthin ein Netzwerk auf. Kann den Server via Tunnel-IP pingen und umgekehrt. Outbound ist das Netzwerk in der pfSense mit dem WAN2 (O2) gekoppelt.
Auf meinem Handy habe ich nun ebenfalls einen Tunnel eingerichtet, der eine Verbindung zum Jumphost aufbaut. Allerdings ist es mir nicht möglich auf mein Heimnetz zuzugreifen.
Ich hoffe ich habe es verständlich rübergebracht. Gern mache ich auch eine kleine Skizze.
Hast du eine Idee?
VG
Christian