🔒 Rocky Linux 8'de WireGuard VPN Kurulumu
WireGuard, modern kriptografi temelli, hafif ve hızlı bir VPN çözümüdür. Rocky Linux 8 üzerinde çalışan sunucularda hem güvenli hem de performanslı bir tünel oluşturmak için ideal bir yapıya sahiptir. Bu rehberde WireGuard'ın tam kurulumunu, anahtar çiftlerinin oluşturulmasını, özel IPv4/IPv6 adres yapısını, firewalld NAT kurallarını ve istemci bağlantısını baştan sona öğreneceksiniz.
📝 Bu Rehberde Ne Öğreneceksiniz?
- WireGuard'ın nasıl kurulduğunu
- Sunucu ve istemci için özel/genel anahtar oluşturmayı
- Özel IP adres aralıklarını belirlemeyi
- wg0.conf yapılandırmasının nasıl yapıldığını
- IP forwarding, NAT ve firewalld kurallarını
- Peer (istemci) ekleme ve VPN tünelini çalıştırmayı
WireGuard, geleneksel VPN’lere göre daha hızlıdır ve sade tasarımı sayesinde yönetimi kolaydır. Bu rehber, özellikle güvenilir olmayan ağlarda (otel, kafe WiFi, hotspot vb.) güvenli internet erişimi sağlamak isteyen sistem yöneticileri için hazırlanmıştır.
WireGuard, diğer VPN çözümleri olan OpenVPN & IPSec’in karmaşık TLS/sertifika yapısından tamamen farklı olarak genel/özel anahtar çifti ile kimlik doğrulama yapar. Bu da hem daha hızlı hem de çok daha basit bir kurulum sağlar.
🔑 WireGuard VPN Kurulum Adımları
Aşağıdaki adımları Rocky Linux 8 sunucunuzda sırasıyla uygulayın.
1. Depoları Ekleyin ve WireGuard'ı Kurun
Rocky Linux 8 üzerinde WireGuard paketleri varsayılan olarak gelmez. EPEL ve ELRepo gereklidir.
sudo dnf install elrepo-release epel-release -y
sudo dnf install kmod-wireguard wireguard-tools -y
2. Sunucu Anahtar Çifti Oluşturma
Özel Anahtar (gizli tutulur)
wg genkey | sudo tee /etc/wireguard/private.key
sudo chmod go= /etc/wireguard/private.key
Genel Anahtar
sudo cat /etc/wireguard/private.key | wg pubkey | sudo tee /etc/wireguard/public.key
Bu iki anahtar, VPN tünelinin kimliğini tanımlar.
3. Özel IPv4/IPv6 Aralıklarının Belirlenmesi
Bu örnekte:
IPv4: 10.10.0.0/24
IPv6: fd0a:b6c4:d8e2::/64
Sunucu IP’leri:
10.10.0.1/24
fd0a:b6c4:d8e2::1/64
4. Sunucu Yapılandırması (wg0.conf)
# /etc/wireguard/wg0.conf
[Interface]
PrivateKey = SUNUCU_PRIVATE_KEY
Address = 10.10.0.1/24, fd0a:b6c4:d8e2::1/64
ListenPort = 51820
SaveConfig = true
5. IP Forwarding Açma
sudo vi /etc/sysctl.conf
Ekleyin:
net.ipv4.ip_forward=1
net.ipv6.conf.all.forwarding=1
Aktifleştirin:
sudo sysctl -p
6. Firewalld NAT Kuralları
WireGuard portunu aç:
sudo firewall-cmd --zone=public --add-port=51820/udp --permanent
wg0 arayüzünü internal zone’a ekle:
sudo firewall-cmd --zone=internal --add-interface=wg0 --permanent
NAT (Masquerade) etkinleştirme:
sudo firewall-cmd --zone=public --add-rich-rule='rule family=ipv4 source address=10.10.0.0/24 masquerade' --permanent
sudo firewall-cmd --zone=public --add-rich-rule='rule family=ipv6 source address=fd0a:b6c4:d8e2::/64 masquerade' --permanent
Kuralları yükle:
sudo firewall-cmd --reload
7. WireGuard Servisini Başlatma
sudo systemctl enable [email protected]
sudo systemctl start [email protected]
sudo systemctl status [email protected]
👥İstemci (Peer) Yapılandırması
1. İstemci Anahtarları
wg genkey | sudo tee /etc/wireguard/private.key
sudo chmod go= /etc/wireguard/private.key
sudo cat /etc/wireguard/private.key | wg pubkey | sudo tee /etc/wireguard/public.key
2. İstemci Yapılandırması (wg0.conf)
# /etc/wireguard/wg0.conf
[Interface]
PrivateKey = PEER_PRIVATE_KEY
Address = 10.10.0.2/24
Address = fd0a:b6c4:d8e2::2/64
DNS = 1.1.1.1
[Peer]
PublicKey = SERVER_PUBLIC_KEY
Endpoint = 203.0.113.10:51820
AllowedIPs = 0.0.0.0/0, ::/0
PersistentKeepalive = 25
3. Peer’i Sunucuya Ekleyin
sudo wg set wg0 peer PEER_PUBLIC_KEY allowed-ips 10.10.0.2/32,fd0a:b6c4:d8e2::2/128
sudo systemctl restart [email protected]
İstemciyi başlat:
sudo wg-quick up wg0
📂 Önemli Dosyalar (Tablo)
| Dosya | Açıklama |
|---|---|
| /etc/wireguard/private.key | Özel anahtar — ASLA paylaşılmaz |
| /etc/wireguard/public.key | Genel anahtar — peer ile paylaşılır |
| /etc/wireguard/wg0.conf | WireGuard yapılandırması |
| /etc/sysctl.conf | IP forward ayarları |
❓ Sıkça Sorulan Sorular (SSS)
1. WireGuard neden hızlıdır?
Kod tabanı küçüktür ve modern kriptografi kullanır. Bu nedenle düşük gecikmeli ve verimlidir.
2. Firewalld yerine iptables kullanabilir miyim?
Evet fakat Rocky Linux varsayılan olarak firewalld kullanır. Yönetmesi daha kolaydır.
3. AllowedIPs = 0.0.0.0/0 ne anlama gelir?
Tüm trafiği VPN üzerinden yönlendirir. Sunucuyu bir gateway gibi kullanırsın.
4. Birden fazla peer ekleyebilir miyim?
Evet, her birine benzersiz bir IP atandığı sürece sınırsız sayıda peer eklenebilir.
🏁 Sonuç
Bu rehberi takip ederek Rocky Linux 8 üzerinde WireGuard VPN kurulumunu, NAT yapılandırmasını, IPv4/IPv6 tünellemesini ve istemci bağlantı adımlarını başarıyla tamamladınız. Artık güvenli olmayan ağlarda bile tüm trafiğinizi şifreli biçimde yönlendirebilirsiniz.
Yüksek performanslı bulut altyapısı arıyorsanız, bu kurulumu Rabisu Bulut üzerinde deneyebilirsiniz. 🚀