Wie man Wireguard VPN auf Debian 11 installiert

Wireguard ist ein kostenloses und Open-Source-VPN-Protokoll, das eine Alternative zu IPSec, IKEv2 und OpenVPN darstellt. Wireguard ist für Linux- und Unix-Betriebssysteme konzipiert. Es läuft im Linux-Kernelraum, was Wireguard schneller und zuverlässiger macht. Wireguard wird verwendet, um sichere Tunnelverbindungen zwischen zwei oder mehr Computern zu erstellen.

Wireguard zielt darauf ab, VPN-Protokolle wie IPSec, IKEv2 und OpenVPN zu ersetzen. Wireguard ist leichter, schneller, einfach einzurichten und effizienter. Gleichzeitig hat Wireguard jedoch nicht auf den Sicherheitsaspekt des VPN-Protokolls verzichtet. Wireguard unterstützt moderne, hochmoderne Kryptografie wie das Noise-Protokoll-Framework, Curve25519, ChaCha20, Poly1305, BLAKE2, SipHash24, HKDF und sichere, vertrauenswürdige Konstruktionen.

Im Vergleich zu anderen VPN-Protokollen wie OpenVPN, IPSec und IKEv2 ist Wireguard ein neues VPN-Protokoll. Wireguard wurde 2015 von Jason A. Donenfeld als alternatives VPN-Protokoll veröffentlicht, es wurde 2020 in den Linux-Kernel v5.6 von Linus Torvalds integriert und im selben Jahr auch auf FreeBSD 13 portiert.

In diesem Tutorial installieren und richten Sie einen VPN-Server über Wireguard auf Debian 11-Servern ein. Sie richten einen Wireguard-VPN-Server mit einem Debian 11-Server ein und konfigurieren dann eine Client-Maschine, um sich mit dem Wireguard-VPN-Server zu verbinden.

Für die Client-Maschine können Sie jede Linux-Distribution verwenden, aber dieses Beispiel verwendet eine Debian-Maschine.

Voraussetzungen

Um mit diesem Tutorial zu beginnen, müssen Sie die folgenden Anforderungen erfüllen:

• Ein Debian 11-Server - Dieses Beispiel verwendet einen Debian-Server mit dem Hostnamen ‘ wireguard-server ‘ und einer externen statischen IP-Adresse ‘ SERVER-IP ‘.
• Eine Linux-Maschine, die als Client verwendet wird - Sie können jede Linux-Distribution verwenden, aber dieses Beispiel verwendet eine Debian-Maschine mit dem Hostnamen ‘client1’.
• Ein Nicht-Root-Benutzer mit sudo/root-Administratorrechten.

Wenn all diese Anforderungen bereit sind, lassen Sie uns anfangen.

Wireguard installieren

Bevor Sie Wireguard installieren, führen Sie den folgenden apt-Befehl aus, um Ihr Debian-Paket-Index zu aktualisieren und zu aktualisieren.

sudo apt update

Sobald die Debian-Repositories aktualisiert sind, führen Sie den folgenden apt-Befehl aus, um das Wireguard-Paket auf Ihrem Debian-Server zu installieren. Dies installiert auch das Paket wireguard-tools, das zur Verwaltung Ihrer Wireguard-Serverinstallation verwendet wird.

sudo apt install wireguard

Wenn Sie zur Bestätigung aufgefordert werden, geben Sie y ein, um zu bestätigen, und drücken Sie ENTER, um fortzufahren. Jetzt sollte die Installation beginnen.

Mit Wireguard, das auf Ihrem Server installiert ist, sind Sie bereit, ein öffentliches und privates Schlüsselpaar für den Wireguard-Server und den Client zu generieren.

Generierung eines öffentlichen/privaten Schlüsselpaares

In diesem Schritt generieren Sie ein öffentliches und privates Schlüsselpaar für den Wireguard-Server und die Client-Maschine. Dies kann über die ‘wg’-Befehlszeile erfolgen, die vom Paket wireguard-tools bereitgestellt wird.

Das Schlüsselpaar für den Server wird vom Wireguard-Server verwendet, und die Client-Maschine verwendet das Schlüsselpaar für den Client. Wenn Sie mehrere Client-Maschinen haben, können Sie mehrere Schlüsselpaar für Ihre Clients generieren.

Generierung des Schlüsselpaares für den Wireguard-Server

Führen Sie den folgenden ‘ wg genkey ‘ Befehl aus, um den privaten Schlüssel für den Wireguard-Server zu generieren. Ändern Sie dann die Berechtigung des privaten Schlüssels auf ‘ 0400 ‘, wodurch der Lese- und Schreibzugriff für die Gruppe und andere deaktiviert wird.

In diesem Beispiel generieren Sie den privaten Schlüssel ‘/etc/wireguard/server.key’.

wg genkey | sudo tee /etc/wireguard/server.key  
sudo chmod 0400 /etc/wireguard/server.key

Sie erhalten dann eine Ausgabe eines zufälligen Base64-Schlüssels auf Ihrem Terminalbildschirm.

Führen Sie als Nächstes den folgenden Befehl ‘ wg pubkey ‘ aus, um den neuen öffentlichen Schlüssel des Servers in ‘ /etc/wireguard/server.pub ‘ zu generieren. Der öffentliche Schlüssel des Servers wird aus dem privaten Schlüssel des Servers ‘ /etc/wireguard/server.key ‘ abgeleitet.

sudo cat /etc/wireguard/server.key | wg pubkey | sudo tee /etc/wireguard/server.pub

Sie erhalten dann eine Ausgabe eines zufälligen Base64-öffentlichen Schlüssels auf Ihrem Terminal.

Jetzt, da Sie öffentliche und private Schlüsselpaar für den Wireguard-Server generiert haben. Der private Schlüssel befindet sich unter ‘/etc/wireguard/server.key’, und der öffentliche Schlüssel befindet sich unter ‘/etc/wireguard/server.pub ‘.

Führen Sie den folgenden cat-Befehl aus, um das generierte Schlüsselpaar für den Wireguard-Server anzuzeigen und zu überprüfen.

cat /etc/wireguard/server.key  
cat /etc/wireguard/server.pub

Generierung des Schlüsselpaares für den Client

Für das Client-Schlüsselpaar können Sie es auf jeder Maschine (Wireguard-Server oder Client) mit den installierten wireguard-tools generieren. In diesem Schritt generieren Sie ein Client-Schlüsselpaar vom Wireguard-Server.

Der Prozess zur Generierung eines Schlüsselpaares für den Server und den Client ist derselbe, wobei der Befehl ‘ wg genkey ‘ zur Generierung des privaten Schlüssels verwendet wird und der Befehl ‘ wg pubkey ‘ zur Generierung des öffentlichen Schlüssels, der aus dem privaten Schlüssel abgeleitet wird.

Führen Sie nun den folgenden Befehl aus, um ein neues Verzeichnis ‘ /etc/wireguard/clients ‘ zu erstellen. Dieses Verzeichnis wird verwendet, um das Client-Schlüsselpaar zu speichern.

mkdir -p /etc/wireguard/clients

Führen Sie den folgenden ‘wg genkey’-Befehl aus, um den privaten Schlüssel des Clients in ‘ /etc/wireguard/clients/client1.key ‘ zu generieren. Generieren Sie dann den öffentlichen Schlüssel des Clients über den Befehl ‘ wg pubkey ‘ in ‘/etc/wireguard/clients/client1.pub ‘.

wg genkey | tee /etc/wireguard/clients/client1.key  
cat /etc/wireguard/clients/client1.key | wg pubkey | tee /etc/wireguard/clients/client1.pub

Jetzt, da das Client-Schlüsselpaar generiert wurde, befindet sich der öffentliche Schlüssel unter ‘/etc/wireguard/clients/client1.pub’ und der private Schlüssel ist ‘ /etc/wireguard/clients/client1.key ‘. Führen Sie den folgenden Befehl aus, um das generierte Schlüsselpaar anzuzeigen und zu überprüfen.

cat /etc/wireguard/clients/client1.key  
cat /etc/wireguard/clients/client1.pub

Konfiguration des Wireguard-Servers

Sie erstellen in diesem Schritt eine neue Konfigurationsdatei für den Wireguard-Server. Aber bevor Sie das tun, müssen Sie entscheiden, welche Subnetze Sie für den Wireguard-VPN-Server verwenden möchten. Sie können auch entscheiden, ob Sie IPv6 für Ihren Wireguard-VPN-Server aktivieren oder deaktivieren möchten.

In diesem Beispiel hat der Wireguard-VPN-Server IP-Adressen mit dem Subnetz ‘10.8.0.2/24’ und deaktiviert IPv6 für das Wireguard-VPN.

Erstellen Sie eine neue Wireguard-Konfigurationsdatei ‘/etc/wireguard/wg0.conf ‘ mit dem folgenden nano-Editor-Befehl.

sudo nano /etc/wireguard/wg0.conf

Fügen Sie zunächst die folgenden Zeilen in die Datei ein, um die Details des Wireguard-Servers zu definieren. Stellen Sie sicher, dass Sie den ‘ PrivateKey ‘ mit dem privaten Schlüssel des Wireguard-Servers ‘ server.key ‘ ändern. Damit wird die Wireguard-Server-Schnittstelle auf der IP-Adresse ‘ 10.8.0.1 ‘ ausgeführt, der UDP-Port 51820 geöffnet, der für Clients verfügbar ist, um sich zu verbinden, und der SaveConfig-Parameter stellt sicher, dass alle Änderungen in der Konfigurationsdatei gespeichert werden, selbst wenn die Wireguard-Schnittstelle ausgeschaltet ist.

[Interface]  
# Wireguard Server privater Schlüssel - server.key  
PrivateKey = SIybp8GHtKIPtHPBOQFP1kbQg4UCLCMyNIfCLBQR2EA=  
  
# Wireguard-Schnittstelle wird auf 10.8.0.1 ausgeführt  
Address = 10.8.0.1/24  
  
# Clients werden sich mit UDP-Port 51820 verbinden  
ListenPort = 51820  
  
# Stellen Sie sicher, dass alle Änderungen in der Wireguard-Konfigurationsdatei gespeichert werden  
SaveConfig = true

Fügen Sie als Nächstes die folgenden Zeilen hinzu, um die Client-Peer-Verbindung zu definieren. Ändern Sie den ‘ PublicKey ‘ Parameter mit dem öffentlichen Schlüssel des Clients ‘ client1.pub ‘. Und der ‘ AllowedIPs ‘ Parameter gibt an, welche Wireguard-Clients Zugriff auf diese Peer-Verbindung haben. In diesem Beispiel dürfen nur Clients mit der IP ‘ 10.8.0.2 ‘ auf diese Peer-Verbindung zugreifen. Sie können jedoch auch einen Bereich von Subnetzen wie ‘ 10.8.0.0/24 ‘ zulassen.

[Peer]  
# Wireguard-Client öffentlicher Schlüssel - client1.pub  
PublicKey = ENokvIsS2euXrmM4OVFHPmTdCZ4wfEIR/UHuGCW64lw=  
  
# VPN-IP-Adressen der Clients, die Sie zulassen möchten  
# möglich, Subnetz anzugeben ⇒ [10.8.0.0/24]  
AllowedIPs = 10.8.0.2/24

Speichern Sie die Datei und beenden Sie den Editor, wenn Sie fertig sind.

Mit der erstellten Wireguard-Server-Konfigurationsdatei und der hinzugefügten Client-Peer-Verbindung richten Sie als Nächstes das Port-Forwarding auf dem Wireguard-Server ein und konfigurieren die Firewall, um den Datenverkehr zu routen.

Aktivieren des Port-Forwardings über /etc/sysctl.conf

In diesem Schritt aktivieren Sie das Port-Forwarding auf dem Wireguard-Server über die Datei /etc/sysctl.conf’. Sie können das Port-Forwarding sowohl für IPv4 als auch für IPv6 auf dem Wireguard-Server aktivieren.

Um zu beginnen, öffnen Sie die Konfigurationsdatei ‘/etc/sysctl.conf ‘ mit dem folgenden nano-Editor-Befehl.

sudo nano /etc/sysctl.conf

Fügen Sie die folgenden Zeilen in die Datei ein. Dies aktiviert das Port-Forwarding auf Ihrem Wireguard-Server. Sie können sowohl für IPv4 als auch für IPv6 verwenden, oder Sie können IPv4 verwenden, wenn Sie IPv6 auf Ihrem Wireguard-Server deaktiviert haben.

# Port-Forwarding für IPv4  
net.ipv4.ip_forward=1  
  
# Port-Forwarding für IPv6  
net.ipv6.conf.all.forwarding=1

Speichern Sie die Datei und beenden Sie den Editor, wenn Sie fertig sind.

Führen Sie als Nächstes den folgenden sysctl-Befehlsdienst aus, um die Änderungen anzuwenden.

sudo sysctl -p

Sie erhalten eine Ausgabe wie diese - Das Port-Forwarding sollte sofort aktiviert sein.

Mit dem aktivierten Port-Forwarding auf dem Wireguard-Server richten Sie als Nächstes die Firewall ein, die den Datenverkehr der Wireguard-Clients an die spezifische Netzwerkschnittstelle weiterleitet.

Konfiguration der Firewall für den Wireguard-Server

In diesem Schritt richten Sie die Firewall ein, die für den Wireguard-Server verwendet wird, um Client-Verbindungen an die richtige Netzwerkschnittstelle weiterzuleiten, die für den Zugriff auf das Internet verwendet wird. Dies ermöglicht es auch Wireguard-Clients, über die spezifische Schnittstelle auf dem Wireguard-Server auf das Internet zuzugreifen.

Führen Sie zunächst den folgenden apt-Befehl aus, um das ufw-Firewall-Paket auf Ihrem Debian-Server zu installieren.

sudo apt install ufw

Geben Sie y ein, wenn Sie dazu aufgefordert werden, und drücken Sie ENTER, um fortzufahren.

Nachdem ufw installiert ist, führen Sie den folgenden Befehl aus, um den SSH-Dienst zu öffnen und die ufw-Firewall zu aktivieren.

sudo ufw allow OpenSSH  
sudo ufw enable

Wenn Sie zur Bestätigung aufgefordert werden, um die ufw-Firewall zu aktivieren, geben Sie y ein und drücken Sie ENTER. Die ufw-Firewall sollte jetzt auf Ihrem System ausgeführt werden und ist auch aktiviert.

Überprüfen Sie nun den Status der ufw-Firewall über den folgenden Befehl. Sie sollten eine Ausgabe wie ‘ Status: aktiv ‘ erhalten, was bedeutet, dass der Status der ufw-Firewall aktiv ist.

sudo ufw status

Mit der laufenden ufw-Firewall konfigurieren Sie als Nächstes, dass der Datenverkehr von Wireguard-Clientverbindungen an die spezifische Netzwerkschnittstelle weitergeleitet wird.

Führen Sie nun den folgenden Befehl aus, um die Standard-Routing-Tabelle auf dem Wireguard-Server zu überprüfen. In der Regel wird dies eine Schnittstelle erkennen, die für den Zugriff auf das Internet verwendet wird oder auf der die öffentliche IP-Adresse verfügbar ist.

ip route list default

Sie erhalten eine Ausgabe wie diese - In diesem Beispiel ist die Schnittstelle eth0 die Standard-Routing-Tabelle für den Wireguard-Server. Und dies ist die Schnittstelle, die für den Zugriff auf das Internet verwendet wird. Möglicherweise haben Sie einen anderen Schnittstellennamen.

Öffnen Sie als Nächstes die Wireguard-Server-Konfigurationsdatei ‘ /etc/wireguard/wg0.conf ‘ mit dem folgenden nano-Editor-Befehl.

sudo nano /etc/wireguard/wg0.conf

Fügen Sie die folgenden Zeilen in den Abschnitt ‘ [Interface] ‘ ein.

[Interface]  
...  
....  
PostUp = ufw route allow in on wg0 out on eth0  
PostUp = iptables -t nat -I POSTROUTING -o eth0 -j MASQUERADE  
PostUp = ip6tables -t nat -I POSTROUTING -o eth0 -j MASQUERADE  
PreDown = ufw route delete allow in on wg0 out on eth0  
PreDown = iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE  
PreDown = ip6tables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

Speichern Sie die Datei und beenden Sie den Editor, wenn Sie fertig sind.

• Der ‘ PostUp ‘ Parameter wird immer ausgeführt, wenn der Wireguard-Server das VPN-Tunnel startet.
• Der ‘ PreDown ‘ Parameter wird immer ausgeführt, wenn der Wireguard-Server das VPN-Tunnel stoppt.
• Der Befehl ‘ ufw route allow in on wg0 out on eth0 ‘ erlaubt das Weiterleiten von Datenverkehr, der über die wg0-Schnittstelle kommt, zur Internetschnittstelle eth0.
• Der Befehl ‘iptables -t nat -I POSTROUTING -o eth0 -j MASQUERADE’ aktiviert das Masquerading und schreibt den IPv4-Datenverkehr von der wg0-Schnittstelle um, sodass er wie die direkte Verbindung vom Wireguard-Server erscheint.
• Der Befehl ‘ ip6tables -t nat -I POSTROUTING -o eth0 -j MASQUERADE ‘ aktiviert das Masquerading und schreibt den IPv6-Datenverkehr von der wg0-Schnittstelle um, sodass er wie die direkte Verbindung vom Wireguard-Server erscheint.

Führen Sie nun den folgenden ufw-Befehl aus, um den UDP-Port 51820 zu öffnen, über den sich die Clients verbinden.

sudo ufw allow 51820/udp

Führen Sie zuletzt den folgenden Befehl aus, um die ufw-Firewall neu zu laden und die Änderungen anzuwenden. Überprüfen Sie dann die Liste der ufw-Regeln über den folgenden Befehl.

sudo ufw reload  
sudo ufw status

Sie erhalten eine Ausgabe wie diesen Screenshot - Der UDP-Port 51820, den der Wireguard-Server für Clientverbindungen verwenden wird, wurde zur ufw-Firewall hinzugefügt.

Jetzt haben Sie das Port-Forwarding aktiviert und die Firewall auf dem Wireguard-Server konfiguriert. Sie sind jetzt bereit, den Wireguard-Server zu starten.

Starten des Wireguard-Servers

In diesem Schritt starten und aktivieren Sie den Wireguard-Server. Sie überprüfen auch den Wireguard-Server und die wg0-Schnittstelle, die vom Wireguard-Dienst erstellt wird.

Führen Sie den folgenden systemctl-Befehl aus, um den Wireguard-Dienst zu starten und zu aktivieren. Der Dienst ‘ [email protected] ‘ erstellt und aktiviert die Wireguard-Schnittstelle ‘ wg0 ‘ auf Ihrem Wireguard-Server.

sudo systemctl start [email protected]  
sudo systemctl enable [email protected]

Überprüfen Sie nun den Wireguard-Dienst über den folgenden Befehl.

sudo systemctl status [email protected]

Sie erhalten eine Ausgabe, die dem folgenden Screenshot ähnelt - Der Wireguard-Dienst ‘ [email protected] ‘ läuft und ist aktiviert. Das bedeutet auch, dass die ‘ wg0 ‘ Schnittstelle erstellt und aktiv ist.

Führen Sie den folgenden Befehl aus, um die ‘wg0’-Schnittstelle auf Ihrem Wireguard-Server zu überprüfen.

ip a show wg0

Sie sollten eine Ausgabe wie diese erhalten - Die Wireguard-Schnittstelle wg0 erhält eine IP-Adresse ‘ 10.8.0.1 ‘, wie in der Wireguard-Konfigurationsdatei ‘ /etc/wireguard/wg0.conf ‘ beschrieben.

Zusätzlich können Sie Wireguard auch über den Befehl ‘ wg-quick k’ wie unten starten und stoppen. Der Befehl ‘ wg-quick up ‘ startet den Wireguard-Server, und der ‘wg-quick down ‘ stoppt den Wireguard-Server.

sudo wg-quick up /etc/wireguard/wg0.conf  
sudo wg-quick down /etc/wireguard/wg0.conf

Mit dem laufenden Wireguard-Server richten Sie als Nächstes die Client-Maschine ein und verbinden sie mit dem Wireguard-Server.

Einrichten der Client-Maschine und Verbindung zum Wireguard-Server

In diesem Schritt richten Sie die Client-Maschine ein, indem Sie die wireguard-tools installieren, eine neue Wireguard-Konfiguration für den Client erstellen, sich mit dem Wireguard-VPN-Server verbinden und schließlich die Verbindung überprüfen und sicherstellen, dass die Client-Maschine das Internet und das lokale VPN-Netzwerk erreichen kann.

Installieren Sie das Paket ‘ wireguard-tools ‘ auf der Client-Maschine. Dies verwendet Debian als Client, sodass der APT-Befehl verwendet wird.

sudo apt install wireguard-tools

Die Installation sollte automatisch beginnen.

Nachdem die wireguard-tools installiert sind, erstellen Sie eine neue Konfigurationsdatei ‘ /etc/wireguard/wg-client1.conf ‘ mit dem folgenden nano-Editor-Befehl.

sudo nano /etc/wireguard/wg-client1.conf

Fügen Sie die folgenden Zeilen in die Datei ein.

[Interface]  
# Definieren Sie die IP-Adresse für den Client - muss mit wg0 auf dem Wireguard-Server übereinstimmen  
Address = 10.8.0.2/24  
  
# spezifischer DNS-Server  
DNS = 1.1.1.1  
  
# Privater Schlüssel für den Client - client1.key  
PrivateKey = KPI59QH0jwc9wkUsW5Byci9ojXhz1322QXK52fQCE3E=  
  
[Peer]  
# Öffentlicher Schlüssel des Wireguard-Servers - server.pub  
PublicKey = Qt6oRLtlfAR490lTNb2K8TlbpwADV1j8NX7D5HY38EM=  
  
# Erlauben Sie, dass der gesamte Datenverkehr über Wireguard VPN geroutet wird  
AllowedIPs = 0.0.0.0/0  
  
# Öffentliche IP-Adresse des Wireguard-Servers  
Endpoint = SERVER-IP:51820  
  
# Senden Sie alle 25 Sekunden Keepalive  
PersistentKeepalive = 25

Speichern Sie die Datei und schließen Sie sie, wenn Sie fertig sind.

Im Abschnitt ‘ [Interface] ‘ müssen Sie Folgendes definieren:

• Die IP-Adresse des Clients muss mit dem Subnetz des Wireguard-Servers übereinstimmen. Der Wireguard-Client erhält in diesem Beispiel die IP-Adresse ‘10.8.0.2’.
• Geben Sie den DNS-Server für den Client an.
• Ändern Sie den ‘ PrivateKey ‘ Parameter mit dem privaten Schlüssel, den Sie generiert haben, ‘ client1.key ‘.

Im Abschnitt ‘ [Peer]’ müssen Sie Folgendes hinzufügen:

• Den öffentlichen Schlüssel des Wireguard-Servers ‘ server.pub ‘ zum PublicKey-Parameter.
• Geben Sie ‘ AllowedIPs ‘ an, um den Zugriff auf den VPN-Peer einzuschränken. Sie können Subnetze von Netzwerken angeben oder einfach 0.0.0.0/0 angeben, um den gesamten Datenverkehr über VPN zu tunneln.
• Geben Sie den Endpoint-Parameter mit der öffentlichen IP-Adresse des Wireguard-Servers oder verwenden Sie einen Domainnamen an.

Nachdem die Client-Konfiguration erstellt wurde, führen Sie den folgenden Befehl aus, um Wireguard auf der Client-Maschine zu starten.

wg-quick up wg-client1

Sie sollten eine Ausgabe erhalten, die diesem Screenshot ähnelt - Die neue Wireguard-Schnittstelle ‘ wg-client1 ‘ wird erstellt und die Client-Maschine sollte mit dem Wireguard-Server verbunden sein, der auf ‘ SERVER-IP:51820 ‘ läuft.

Führen Sie den folgenden Befehl aus, um die Wireguard-Schnittstelle ‘ wg-client1 ‘ zu überprüfen.

ip a show wg-client1

Sie sollten eine Ausgabe wie diese erhalten - Die wg-client1 Schnittstelle ist aktiv mit einer IP-Adresse ‘ 10.8.0.2 ‘, die Teil des Subnetzes des Wireguard-Servers ‘ 10.8.0.0/24 ‘ ist.

Sie können die Wireguard-Verbindung auch über den Befehl ‘ wg show ‘ überprüfen.

Führen Sie den folgenden ‘ wg show’ Befehl auf der Client-Maschine aus und Sie sollten eine Ausgabe wie diese erhalten.

wg show

Wenn Sie mit dem richtigen Wireguard-Server verbunden sind, sollten Sie die IP-Adresse des Wireguard-Servers im Abschnitt ‘ endpoint ‘ sehen und den öffentlichen Schlüssel des Wireguard-Servers ‘ server.pub ‘ sehen.

Wechseln Sie nun zum Wireguard-Server und führen Sie den Befehl ‘ wg show ‘ aus.

wg show

Sie sollten eine Ausgabe erhalten, die dem folgenden ähnelt - Im Abschnitt endpoint sehen Sie die öffentliche IP-Adresse des Clients, und im Peer-Bereich sehen Sie den öffentlichen Schlüssel des Clients ‘client1.pub ‘.

Führen Sie zuletzt den folgenden Befehl aus, um sicherzustellen, dass die Client-Maschine auf das Internet zugreifen oder auf das interne Netzwerk-Subnetz des Wireguard-VPN zugreifen kann.

ping -c5 10.8.0.1  
ping -c5 1.1.1.1  
ping -c5 duckduckgo.com

Unten ist die Ausgabe, die Sie erhalten sollten:

Die Client-Maschine kann sich mit dem Wireguard-Server mit der IP-Adresse ‘10.8.0.1 ‘ verbinden.

Die Client-Maschine kann auf das Internet zugreifen. Der gesamte Datenverkehr wird über die öffentliche IP-Adresse des Wireguard-Servers geroutet.

Wenn Sie nun Wireguard auf der Client-Maschine stoppen möchten, können Sie den Befehl ‘ wg-quick down ‘ wie folgt ausführen.

wg-quick down wg-client1

Sie erhalten die Ausgabe wie diese. Auch die Schnittstelle wg-client1 wird von der Client-Maschine verschwinden.

Jetzt haben Sie das Wireguard-VPN auf der Client-Maschine konfiguriert. Sie haben auch die Verbindung zwischen der Client-Maschine und dem Wireguard-Server überprüft.

Fazit

In diesem Tutorial haben Sie Wireguard VPN auf einem Debian 11-Server installiert und konfiguriert. Sie haben auch eine Debian-Maschine konfiguriert und erfolgreich eine Verbindung zum Wireguard-VPN-Server hergestellt.

Im Detail haben Sie das Wireguard-VPN-Paket installiert, ein Schlüsselpaar aus öffentlichen und privaten Schlüsseln für sowohl Server als auch Client generiert, die UFW-Firewall konfiguriert, um den VPN-Datenverkehr an die spezifische Netzwerkschnittstelle weiterzuleiten, und das Port-Forwarding über die Datei /etc/sysctl.conf aktiviert.

Mit diesem Wissen können Sie nun weitere Clients zu Ihrem Wireguard-VPN-Server hinzufügen, indem Sie ein weiteres Schlüsselpaar für den Client generieren, die Peer-Verbindung auf dem Wireguard-Server definieren und dann eine neue Wireguard-Konfigurationsdatei erstellen, die die Client-Maschine verwenden wird. Um mehr über Wireguard zu erfahren, besuchen Sie die offizielle Wireguard-Dokumentation.