Wireguard-Server unter Debian 10/11 installieren

Wireguard-Server unter Debian 10/11 installieren

Im folgenden Tutorial möchte ich euch zeigen wie Ihr Wireguard schnell unter Debian 10/11 installieren könnt. Hierzu muss Wireguard natürlich zuerst heruntergeladen und installiert werden:

sh -c "echo 'deb http://deb.debian.org/debian buster-backports main contrib non-free' > /etc/apt/sources.list.d/buster-backports.list"
apt update
apt install wireguard

Bei Debian 11 wird der Befehl „sh -c …“ nicht ausgeführt.

Danach muss das „#“ von „#net.ipv4.ip_forward=1“ unter etc/sysctl.conf entfernt werden:

nano /etc/sysctl.conf
# "#" von "#net.ipv4.ip_forward=1" unter etc/sysctl.conf entfernen
#speichern
sysctl -p

Danach generieren wir den Private-Key und Public-Key des Servers und lesen diesen direkt aus:

cd /etc/wireguard
umask 077
wg genkey | tee privatekey | wg pubkey > publickey
cat privatekey
cat publickey

Beide Server-Keys notieren wir uns separat!

Danach generieren wir beide Keys für den zukünftigen Client und lesen diesen direkt aus:

mkdir /etc/wireguard/tmp
cd /etc/wireguard/tmp
wg genkey | tee privatekey | wg pubkey > publickey
cat privatekey
cat publickey

Auch diese beiden Keys notieren wir uns gesondert!

Danach legen wir die Server-Konfiguration an:

nano /etc/wireguard/wg0.conf

Hier speichern wir folgende Daten ab:

[Interface]
Address = 10.66.66.1/24
SaveConfig = true
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
ListenPort = 51194
PrivateKey = PRIVATE KEY SERVER

[Peer]
PublicKey = PUBLIC KEY CLIENT
AllowedIPs = 10.66.66.2/32

In dieser Konfiguration werden die Firewall-Einstellungen direkt mit gesetzt und der Port 51194 verwendet.

Danach setzen wir Wireguard auf Autostart und starten es:

systemctl enable [email protected]
systemctl start [email protected]

Den status können wir mit folgenden Befehlen abfragen bzw. erkennen:

systemctl status [email protected]wg0
wg
ip a show wg0

Ich gehe davon aus, dass auf der anderen Seite ein Windows-Client eingesetzt wird. Ein solcher Client würde die folgende Konfiguration für den Tunnel aufweisen:


[Interface]
PrivateKey = PRIVATE KEY CLIENT
Address = 10.66.66.2/32
DNS = 185.95.218.42, 185.95.218.43

[Peer]
PublicKey = PUBLIC KEY SERVER
AllowedIPs = 0.0.0.0/0, ::/0
Endpoint = 194.233.80.125:51194
PersistentKeepalive = 20

Bitte vergesst (von der Einrichtung Wireguards abgesehen) auch nicht euren Debian-Server entsprechend abzusichern.

Eine Antwort zu “Wireguard-Server unter Debian 10/11 installieren”

  1. Danke für die tolle Anleitung!
    Super einfach!
    2 Hinweise: Es ist nicht immer eth0 das LAN Interface. Bei mir zb ens192.
    Und iptables gibt es nicht als Standard bei Debian 11. Also zuerst nftables deinstallieren und iptables installieren!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.