WireGuard Kurulumu (Debian 11) – Modern, Güvenli ve Hızlı VPN Rehberi
WireGuard, hem IPv4 hem de IPv6 üzerinde çalışan, modern tasarımıyla yüksek hız ve güvenlik sunan bir VPN teknolojisidir. Bu rehberde Debian 11 üzerinde WireGuard sunucusu kuracak, IPv4/IPv6 yapılandıracak ve istemci bağlantısını yöneteceksiniz.
📝 Bu Rehberde Ne Öğreneceksiniz?
- WireGuard kurulumu
- Key pair oluşturma
- IPv4/IPv6 adres blokları belirleme
- NAT ve forwarding ayarları
- İstemci (peer) yapılandırması
- Tünelin yönetimi
🚀 WireGuard Kurulumu Adımları
1. WireGuard’ı Kurun
📌 Bu komutlar paket listesini günceller ve WireGuard’ı sisteminize kurar.
sudo apt update
sudo apt install wireguard
2. Sunucu Anahtarlarını Oluşturun
🔐 Özel Anahtarı Oluştur
📌 Sunucuya ait özel anahtarı oluşturur ve sadece root tarafından okunabilir hale getirir.
wg genkey | sudo tee /etc/wireguard/private.key
sudo chmod go= /etc/wireguard/private.key
🔑 Genel Anahtarı Oluştur
📌 Özel anahtardan türetilmiş genel anahtarı üretir; istemcilere bu verilir.
sudo cat /etc/wireguard/private.key | wg pubkey | sudo tee /etc/wireguard/public.key
3. VPN IP Aralıklarını Belirleyin
📌 Bu IP blokları WireGuard tünelindeki sanal ağınız olur.
IPv4: 10.8.0.0/24
Sunucu: 10.8.0.1/24
İstemci: 10.8.0.2/24
IPv6: fd24:609a:6c18::/64
Sunucu: fd24:609a:6c18::1/64
4 Sunucu Yapılandırma Dosyasını Oluşturun
📌 WireGuard tünel arayüzü ayarlarının bulunduğu ana yapılandırma dosyasıdır.
sudo nano /etc/wireguard/wg0.conf
[Interface]
PrivateKey = SUNUCU_PRIVATE_KEY
Address = 10.8.0.1/24, fd24:609a:6c18::1/64
ListenPort = 51820
SaveConfig = true
5. IP Forwarding Açın
📌 Sunucunun istemci trafiğini internet yönüne iletebilmesi için gereklidir.
sudo nano /etc/sysctl.conf
net.ipv4.ip_forward=1
net.ipv6.conf.all.forwarding=1
Değişiklikleri yükleyin: 📌 Yeni forwarding değerlerini aktif eder.
sudo sysctl -p
6. NAT Masquerading ve Firewall Ayarları
Ağ arayüzünü bulun 📌 Sunucunun internete bakan fiziksel arayüz adını gösterir (eth0/ens3).
ip route list default
wg0.conf içine NAT kurallarını ekleyin 📌 Bu kurallar istemci trafiğini sunucunun IP’si üzerinden internete yönlendirir.
sudo nano /etc/wireguard/wg0.conf
PostUp = ufw route allow in on wg0 out on eth0
PostUp = iptables -t nat -I POSTROUTING -o eth0 -j MASQUERADE
PostUp = ip6tables -t nat -I POSTROUTING -o eth0 -j MASQUERADE
PreDown = ufw route delete allow in on wg0 out on eth0
PreDown = iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
PreDown = ip6tables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
Port Açma 📌 VPN için 51820/udp ve SSH için erişim izni verilir.
sudo ufw allow 51820/udp
sudo ufw allow OpenSSH
sudo ufw disable
sudo ufw enable
7. WireGuard Servisini Başlatın
📌 WireGuard tünelini systemd servisi olarak çalıştırır.
sudo systemctl enable [email protected]
sudo systemctl start [email protected]
sudo systemctl status [email protected]
8. Peer (İstemci) Anahtarlarını Oluşturun
📌 İstemci için yeni özel/genel anahtar çifti oluşturur.
wg genkey | sudo tee /etc/wireguard/private.key
sudo chmod go= /etc/wireguard/private.key
sudo cat /etc/wireguard/private.key | wg pubkey | sudo tee /etc/wireguard/public.key
9. İstemci Yapılandırma Dosyasını Hazırlayın
📌 İstemci tarafında wg0.conf dosyasını oluşturur.
sudo nano /etc/wireguard/wg0.conf
[Interface]
PrivateKey = PEER_PRIVATE_KEY
Address = 10.8.0.2/24, fd24:609a:6c18::2/64
DNS = 67.207.67.2
[Peer]
PublicKey = SERVER_PUBLIC_KEY
AllowedIPs = 0.0.0.0/0, ::/0
Endpoint = SERVER_PUBLIC_IP:51820
PersistentKeepalive = 25
📌 AllowedIPs Açıklaması: 0.0.0.0/0, ::/0 → tüm trafik VPN’e gider
10.8.0.0/24 → sadece VPN içi cihazlara erişim
📌 PersistentKeepalive Açıklaması: NAT arkasında bağlantının düşmesini engeller. Mobil cihazlarda özellikle önemlidir.
10. Sunucuya Peer (İstemci) Ekleyin
📌 Sunucuya istemcinin genel anahtarını tanıtır.
sudo wg set wg0 peer PEER_PUBLIC_KEY allowed-ips 10.8.0.2,fd24:609a:6c18::2
Durumu görüntüle:
sudo wg
11. İstemci Bağlantısını Başlatın
📌 WireGuard tünelini istemci tarafında aktif eder.
sudo wg-quick up wg0
Bağlantıyı kapatmak için:
sudo wg-quick down wg0
❓ Sıkça Sorulan Sorular (SSS)
1. WireGuard neden OpenVPN’den hızlıdır?
Kernel seviyesinde çalışır ve daha modern bir kriptografi seti kullanır.
2. AllowedIPs neden önemlidir?
VPN üzerinden hangi trafiğin geçeceğini belirler. Yanlış değer internetinizi kesebilir.
3. PersistentKeepalive ne işe yarar?
NAT arkasındaki istemcilerin bağlantısının kapanmasını engeller.
4. Yeni bir istemci nasıl eklenir?
Yeni key oluştur → Sunucuya ekle → Servisi restart et.
5. Bir istemciyi nasıl engellerim?
Sunucudaki [Peer] bloğunu silip servisi yeniden başlatmanız yeterli.
🎉 Sonuç
Debian 11 üzerinde hızlı, modern ve tamamen güvenli bir WireGuard VPN kurdunuz. IPv4 + IPv6 destekli, NAT yapılandırmalı ve mobil cihazlarla uyumlu bir VPN’iniz hazır.
Rabisu Bulut üzerinde bir örnek oluşturup hemen kullanmaya başlayabilirsiniz.