„Wireguard” einrichten: Wie Sie den schnellen und sicheren VPN unter Linux im Handumdrehen zum Laufen bringen

Sie suchen nach einer schnellen, sicheren und unkomplizierten VPN-Lösung für Ihr Linux-System? Dann ist WireGuard genau das Richtige für Sie! Im Gegensatz zu älteren VPN-Protokollen wie OpenVPN oder IPSec bietet WireGuard eine deutlich verbesserte Performance, ist einfacher zu konfigurieren und verwendet modernste Kryptographie. In diesem umfassenden Leitfaden zeigen wir Ihnen Schritt für Schritt, wie Sie WireGuard unter Linux einrichten und nutzen können.

Was ist WireGuard?

WireGuard ist ein modernes VPN-Protokoll, das auf Geschwindigkeit, Sicherheit und Benutzerfreundlichkeit ausgelegt ist. Es verwendet modernste kryptographische Verfahren und ist im Vergleich zu älteren VPN-Protokollen deutlich schlanker und effizienter. Dies führt zu einer besseren Performance, geringerer Latenz und einem niedrigeren Akkuverbrauch auf mobilen Geräten. WireGuard ist Open Source und kann kostenlos verwendet werden.

Warum WireGuard unter Linux?

Linux ist ein äußerst flexibles und anpassbares Betriebssystem, was es zu einer idealen Plattform für VPNs macht. WireGuard integriert sich nahtlos in Linux und bietet eine hohe Performance bei geringem Ressourcenverbrauch. Zudem ist die Konfiguration von WireGuard unter Linux relativ einfach, insbesondere im Vergleich zu anderen VPN-Lösungen.

Voraussetzungen

Bevor Sie mit der Installation beginnen, stellen Sie sicher, dass Sie die folgenden Voraussetzungen erfüllen:

• Ein Linux-System mit Root-Zugriff (Server und Client).
• Eine stabile Internetverbindung.
• Grundlegende Kenntnisse der Linux-Kommandozeile.

Installation von WireGuard

Die Installation von WireGuard ist je nach Linux-Distribution unterschiedlich. Hier sind die Anweisungen für einige gängige Distributionen:

Debian/Ubuntu

Öffnen Sie ein Terminal und führen Sie die folgenden Befehle aus:

sudo apt update
sudo apt install wireguard

Fedora

Öffnen Sie ein Terminal und führen Sie die folgenden Befehle aus:

sudo dnf install wireguard-tools wireguard-kmod

Arch Linux

Öffnen Sie ein Terminal und führen Sie die folgenden Befehle aus:

sudo pacman -S wireguard-tools

Nach der Installation muss das WireGuard-Modul geladen werden. Dies geschieht in der Regel automatisch, aber Sie können es manuell erzwingen:

sudo modprobe wireguard

Konfiguration von WireGuard

Die Konfiguration von WireGuard erfolgt über Textdateien. Wir benötigen zwei Konfigurationen: eine für den Server und eine für den Client.

Server-Konfiguration

1. Schlüsselpaar generieren: Erstellen Sie ein privates und ein öffentliches Schlüsselpaar für den Server. Führen Sie dazu folgende Befehle aus:

   wg genkey | tee privatekey | wg pubkey > publickey

   Bewahren Sie die privatekey-Datei sicher auf. Der Inhalt der publickey-Datei wird an den Client weitergegeben.

2. Konfigurationsdatei erstellen: Erstellen Sie eine neue Konfigurationsdatei für WireGuard, z.B. /etc/wireguard/wg0.conf. Ersetzen Sie die Platzhalter durch Ihre eigenen Werte:

   [Interface]
     PrivateKey = <Inhalt der privatekey-Datei>
     Address = 10.6.0.1/24
     ListenPort = 51820
     PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
     PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
     SaveConfig = true
   
     [Peer]
     PublicKey = <öffentlicher Schlüssel des Clients>
     AllowedIPs = 10.6.0.2/32

   Erläuterungen:

   • PrivateKey: Der private Schlüssel des Servers.
   • Address: Die IP-Adresse des Servers im VPN-Netzwerk.
   • ListenPort: Der Port, auf dem WireGuard auf Verbindungen wartet. Standardmäßig 51820.
   • PostUp: Befehle, die beim Aktivieren der Schnittstelle ausgeführt werden (Firewall-Regeln).
   • PostDown: Befehle, die beim Deaktivieren der Schnittstelle ausgeführt werden (Firewall-Regeln).
   • PublicKey: Der öffentliche Schlüssel des Clients.
   • AllowedIPs: Die IP-Adresse des Clients im VPN-Netzwerk.
3. Firewall konfigurieren: Stellen Sie sicher, dass der WireGuard-Port in Ihrer Firewall geöffnet ist. Bei Verwendung von ufw (Ubuntu):

   sudo ufw allow 51820/udp

   Passen Sie dies gegebenenfalls an Ihre Firewall-Konfiguration an.

4. IP-Forwarding aktivieren: Aktivieren Sie das IP-Forwarding, damit der Server den Datenverkehr zwischen dem VPN und dem Internet weiterleiten kann:

   sudo sysctl -w net.ipv4.ip_forward=1

   Um dies dauerhaft zu machen, bearbeiten Sie die Datei /etc/sysctl.conf und fügen Sie die Zeile net.ipv4.ip_forward=1 hinzu. Führen Sie dann sudo sysctl -p aus.

Client-Konfiguration

1. Schlüsselpaar generieren: Erstellen Sie ein privates und ein öffentliches Schlüsselpaar für den Client, analog zum Server.
2. Konfigurationsdatei erstellen: Erstellen Sie eine neue Konfigurationsdatei für WireGuard, z.B. /etc/wireguard/wg0.conf. Ersetzen Sie die Platzhalter durch Ihre eigenen Werte:

   [Interface]
     PrivateKey = <Inhalt der privatekey-Datei>
     Address = 10.6.0.2/32
     DNS = 8.8.8.8, 8.8.4.4
   
     [Peer]
     PublicKey = <öffentlicher Schlüssel des Servers>
     AllowedIPs = 0.0.0.0/0
     Endpoint = <öffentliche IP-Adresse des Servers>:51820
     PersistentKeepalive = 25

   Erläuterungen:

   • PrivateKey: Der private Schlüssel des Clients.
   • Address: Die IP-Adresse des Clients im VPN-Netzwerk.
   • DNS: DNS-Server, die über das VPN verwendet werden sollen.
   • PublicKey: Der öffentliche Schlüssel des Servers.
   • AllowedIPs: Die IP-Adressen, die über das VPN geleitet werden sollen. 0.0.0.0/0 leitet den gesamten Datenverkehr über das VPN.
   • Endpoint: Die öffentliche IP-Adresse und der Port des Servers.
   • PersistentKeepalive: Sendet regelmäßig Keepalive-Pakete, um die Verbindung aufrechtzuerhalten (nützlich hinter NAT).

WireGuard starten und stoppen

Um die WireGuard-Schnittstelle zu starten, führen Sie folgenden Befehl aus:

sudo wg-quick up wg0

Um die WireGuard-Schnittstelle zu stoppen, führen Sie folgenden Befehl aus:

sudo wg-quick down wg0

Sie können den Status der WireGuard-Schnittstelle mit folgendem Befehl überprüfen:

sudo wg show wg0

Automatischer Start beim Systemstart

Um WireGuard automatisch beim Systemstart zu starten, können Sie Systemd-Dienste verwenden. Erstellen Sie eine Datei /etc/systemd/system/[email protected] mit folgendem Inhalt:

[Unit]
Description=WireGuard via wg-quick(8) for wg0
After=network.target

[Service]
Type=oneshot
RemainAfterExit=true
ExecStart=/usr/bin/wg-quick up wg0
ExecStop=/usr/bin/wg-quick down wg0

[Install]
WantedBy=multi-user.target

Aktivieren Sie den Dienst mit:

sudo systemctl enable wg-quick@wg0

Fehlerbehebung

Wenn Sie Probleme mit WireGuard haben, überprüfen Sie die folgenden Punkte:

• Stellen Sie sicher, dass die Firewall-Regeln korrekt konfiguriert sind.
• Überprüfen Sie die Konfigurationsdateien auf Tippfehler.
• Stellen Sie sicher, dass das IP-Forwarding aktiviert ist.
• Überprüfen Sie die Logs mit sudo journalctl -u wg-quick@wg0.

Fazit

WireGuard ist eine hervorragende VPN-Lösung für Linux, die Geschwindigkeit, Sicherheit und einfache Konfiguration vereint. Mit dieser Anleitung sollten Sie in der Lage sein, WireGuard problemlos auf Ihrem System einzurichten und von den Vorteilen eines modernen VPN-Protokolls zu profitieren. Experimentieren Sie mit den Einstellungen und passen Sie die Konfiguration an Ihre individuellen Bedürfnisse an. Viel Erfolg!