Wireguard-Server unter Debian 10/11 installieren
Im folgenden Tutorial möchte ich euch zeigen wie Ihr Wireguard schnell unter Debian 10/11 installieren könnt. Hierzu muss Wireguard natürlich zuerst heruntergeladen und installiert werden:
sh -c "echo 'deb http://deb.debian.org/debian buster-backports main contrib non-free' > /etc/apt/sources.list.d/buster-backports.list"
apt update
apt install wireguard
Bei Debian 11 wird der Befehl „sh -c …“ nicht ausgeführt.
Danach muss das „#“ von „#net.ipv4.ip_forward=1“ unter etc/sysctl.conf entfernt werden:
nano /etc/sysctl.conf
# "#" von "#net.ipv4.ip_forward=1" unter etc/sysctl.conf entfernen
#speichern
sysctl -p
Danach generieren wir den Private-Key und Public-Key des Servers und lesen diesen direkt aus:
cd /etc/wireguard
umask 077
wg genkey | tee privatekey | wg pubkey > publickey
cat privatekey
cat publickey
Beide Server-Keys notieren wir uns separat!
Danach generieren wir beide Keys für den zukünftigen Client und lesen diesen direkt aus:
mkdir /etc/wireguard/tmp
cd /etc/wireguard/tmp
wg genkey | tee privatekey | wg pubkey > publickey
cat privatekey
cat publickey
Auch diese beiden Keys notieren wir uns gesondert!
Danach legen wir die Server-Konfiguration an:
nano /etc/wireguard/wg0.conf
Hier speichern wir folgende Daten ab:
[Interface]
Address = 10.66.66.1/24
SaveConfig = true
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
ListenPort = 51194
PrivateKey = PRIVATE KEY SERVER
[Peer]
PublicKey = PUBLIC KEY CLIENT
AllowedIPs = 10.66.66.2/32
In dieser Konfiguration werden die Firewall-Einstellungen direkt mit gesetzt und der Port 51194 verwendet.
Danach setzen wir Wireguard auf Autostart und starten es:
systemctl enable wg-quick@wg0
systemctl start wg-quick@wg0
Den status können wir mit folgenden Befehlen abfragen bzw. erkennen:
systemctl status wg-quick@wg0
wg
ip a show wg0
Ich gehe davon aus, dass auf der anderen Seite ein Windows-Client eingesetzt wird. Ein solcher Client würde die folgende Konfiguration für den Tunnel aufweisen:
[Interface]
PrivateKey = PRIVATE KEY CLIENT
Address = 10.66.66.2/32
DNS = 185.95.218.42, 185.95.218.43
[Peer]
PublicKey = PUBLIC KEY SERVER
AllowedIPs = 0.0.0.0/0, ::/0
Endpoint = 194.233.80.125:51194
PersistentKeepalive = 20
Bitte vergesst (von der Einrichtung Wireguards abgesehen) auch nicht euren Debian-Server entsprechend abzusichern.
Eine Antwort zu “Wireguard-Server unter Debian 10/11 installieren”
Danke für die tolle Anleitung!
Super einfach!
2 Hinweise: Es ist nicht immer eth0 das LAN Interface. Bei mir zb ens192.
Und iptables gibt es nicht als Standard bei Debian 11. Also zuerst nftables deinstallieren und iptables installieren!