Richten Sie Ihren eigenen WireGuard VPN-Server unter Debian 11 und Debian 10 ein

Basis für die Installation ist ein Debian 11 Server mit SSH Zugriff auf einem ESXI Host Dieses Tutorial zeigt Ihnen, wie Sie Ihren eigenen WireGuard VPN-Server unter Debian 11 Bullseye und Debian 10 Buster einrichten. WireGuard wurde speziell für den Linux-Kernel entwickelt. Es läuft im Linux-Kernel und ermöglicht Ihnen die Erstellung eines schnellen, modernen und sicheren VPN-Tunnels. Funktionen von WireGuard VPN Leichte und superschnelle Geschwindigkeit, die OpenVPN in den Schatten stellt. Plattformübergreifend. WireGuard kann unter Linux, BSD, macOS, Windows, Android, iOS und OpenWRT ausgeführt werden. Die Benutzerauthentifizierung erfolgt durch den Austausch öffentlicher Schlüssel, ähnlich wie bei SSH-Schlüsseln. Es weist VPN-Clients statische Tunnel-IP-Adressen zu. Manchen Leuten gefällt es vielleicht nicht, aber in manchen Fällen kann es nützlich sein. Mobile Geräte können nahtlos zwischen WLAN und Mobilfunknetz wechseln, ohne dass die Verbindung unterbrochen wird. Ziel ist es, OpenVPN und IPSec in den meisten Anwendungsfällen zu ersetzen.

Schritt 1: Installieren Sie WireGuard auf dem Debian-Server und -Desktop

Melden Sie sich bei Ihrem Debian-Server an. WireGuard ist im Debian 11 (Bullseye)-Repository enthalten, sodass Sie die folgenden Befehle ausführen können, um es zu installieren.

apt update
apt install wireguard wireguard-tools linux-headers-$(uname -r)

Debian 10-Benutzer müssen das Backport-Repository mit dem folgenden Befehl hinzufügen.

echo "deb http://deb.debian.org/debian buster-backports main" | tee /etc/apt/sources.list.d/buster-backports.list

Dann installieren Sie WireGuard.

apt update
apt -t buster-backports install wireguard wireguard-tools wireguard-dkms linux-headers-$(uname -r)

Verwenden Sie dieselben Befehle, um WireGuard auf Ihrem lokalen Debian-Computer (dem VPN-Client) zu installieren. Beachten Sie, dass Sie auch das openresolv-Paket auf dem Client installieren müssen, um den DNS-Server zu konfigurieren.

apt install openresolv

Schritt 2: Öffentliches/privates Schlüsselpaar generieren

Führen Sie den folgenden Befehl auf dem Debian-Server aus, um ein öffentliches/privates Schlüsselpaar zu erstellen, das im Verzeichnis /etc/wireguard/ gespeichert wird.

wg genkey | tee /etc/wireguard/server_private.key | wg pubkey | tee /etc/wireguard/server_public.key

Schritt 3: WireGuard-Konfigurationsdatei erstellen

Verwenden Sie einen Befehlszeilen-Texteditor wie Nano, um eine WireGuard-Konfigurationsdatei auf dem Debian-Server zu erstellen. wg0 ist der Name der Netzwerkschnittstelle.

nano /etc/wireguard/wg0.conf

Kopieren Sie den folgenden Text und fügen Sie ihn in Ihre Konfigurationsdatei ein. Sie müssen Ihren eigenen privaten Serverschlüssel und Ihren eigenen öffentlichen Clientschlüssel verwenden.

[Interface]
Address = 10.10.10.1/24
ListenPort = 51820
## Ihr eigener privater Serverschlüssel
PrivateKey = cD+ZjXiVIX+0iSX1PNijl4a+88lCbDgw7kO78oXXLEc=

[Peer]
PublicKey = AYQJf6HbkQ0X0Xyt+cTMTuJe3RFwbuCMF46LKgTwzz4=
AllowedIPs = 10.10.10.2/32

Wo:

• • Adresse: Geben Sie die private IP-Adresse des VPN-Servers an. Hier verwende ich den Netzwerkbereich 10.10.10.0/24, damit es nicht zu Konflikten mit dem Bereich Ihres Heimnetzwerks kommt. (Die meisten Heimrouter verwenden 192.168.0.0/24 oder 192.168.1.0/24). 10.10.10.1 ist die private IP-Adresse für den VPN-Server.
  • PrivateKey: Der private Schlüssel des VPN-Servers, der in der Datei /etc/wireguard/server_private.key auf dem Server zu finden ist.
  • ListenPort: Der WireGuard VPN-Server überwacht den UDP-Port 51820, was die Standardeinstellung ist.
  • PublicKey: Der öffentliche Schlüssel des VPN-Clients, der in der Datei /etc/wireguard/client_public.key auf dem Client-Computer zu finden ist.
  • AllowedIPs: IP-Adressen, die der VPN-Client verwenden darf. In diesem Beispiel kann der Client nur die IP-Adresse 10.10.10.2 innerhalb des VPN-Tunnels verwenden.

Speichern und schließen Sie die Datei. (Um eine Datei im Nano-Texteditor zu speichern, drücken Sie Strg+O und dann die Eingabetaste zur Bestätigung. Drücken Sie Strg+X zum Beenden.) Ändern Sie den Dateiberechtigungsmodus, sodass nur der Root-Benutzer die Dateien lesen kann.

chmod 600 /etc/wireguard/ -R

Schritt 4: Aktivieren Sie die IP-Weiterleitung auf dem Server

Damit der VPN-Server Pakete zwischen VPN-Clients und dem Internet weiterleiten kann, müssen wir die IP-Weiterleitung aktivieren. Bearbeiten Sie die Datei sysctl.conf.

nano /etc/sysctl.conf

Fügen Sie am Ende dieser Datei die folgende Zeile hinzu.

net.ipv4.ip_forward = 1

Speichern und schließen Sie die Datei. Wenden Sie dann die Änderungen mit dem folgenden Befehl an. Die Option -p lädt die Sysctl-Einstellungen aus der Datei /etc/sysctl.conf. Dieser Befehl behält unsere Änderungen über Systemneustarts hinweg bei.

sysctl -p

Schritt 5: IP-Masquerading auf dem Server konfigurieren

Wir müssen IP-Masquerading in der Server-Firewall einrichten, damit der Server zu einem virtuellen Router für VPN-Clients wird. Ich werde UFW verwenden, ein Frontend der iptables-Firewall. Installieren Sie UFW unter Debian mit:

apt install ufw

Zunächst müssen Sie SSH-Verkehr zulassen.

ufw allow 22/tcp

Suchen Sie als Nächstes den Namen der Hauptnetzwerkschnittstelle Ihres Servers.

ip addr

Auf meinem Debian-Server unter ESXI heisst es ens192. Um die IP-Masquerading zu konfigurieren, müssen wir den Befehl iptables in einer UFW-Konfigurationsdatei hinzufügen.

nano /etc/ufw/before.rules

Standardmäßig gibt es einige Regeln für die Filtertabelle. Fügen Sie am Ende dieser Datei die folgenden Zeilen hinzu. Ersetzen Sie ens192 durch Ihren eigenen Netzwerkschnittstellennamen.

# NAT table rules
*nat
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -o ens192 -j MASQUERADE

# End each table with the 'COMMIT' line or these rules won't be processed
COMMIT

Die obigen Zeilen hängen (-A) eine Regel an das Ende der POSTROUTING-Kette der NAT-Tabelle an. Es verbindet Ihr virtuelles privates Netzwerk mit dem Internet. Und verbergen Sie Ihr Netzwerk auch vor der Außenwelt. Das Internet kann also nur die IP Ihres VPN-Servers sehen, nicht aber die IP Ihres VPN-Clients, genau wie Ihr Heimrouter Ihr privates Heimnetzwerk verbirgt. Standardmäßig verbietet UFW die Paketweiterleitung. Wir können die Weiterleitung für unser privates Netzwerk zulassen. Suchen Sie in dieser Datei nach der ufw-before-forward-Kette und fügen Sie die folgenden drei Zeilen hinzu, die die Paketweiterleitung akzeptieren, wenn die Quell-IP oder Ziel-IP im Bereich 10.10.10.0/24 liegt. in der gleichen Datei /etc/ufw/before.rules müssen noch folgende Regeln

# allow forwarding for trusted network
-A ufw-before-forward -s 10.10.10.0/24 -j ACCEPT
-A ufw-before-forward -d 10.10.10.0/24 -j ACCEPT

nach

# ok icmp code for FORWARD
-A ufw-before-forward -p icmp --icmp-type destination-unreachable -j ACCEPT
-A ufw-before-forward -p icmp --icmp-type time-exceeded -j ACCEPT
-A ufw-before-forward -p icmp --icmp-type parameter-problem -j ACCEPT
-A ufw-before-forward -p icmp --icmp-type echo-request -j ACCEPT

eingetragen werden. Speichern und schließen Sie die Datei. Aktivieren Sie dann UFW.

ufw enable

Wenn Sie UFW zuvor aktiviert haben, können Sie systemctl verwenden, um UFW neu zu starten.

systemctl restart ufw

Wenn Sie nun die Regeln in der POSTROUTING-Kette der NAT-Tabelle auflisten, indem Sie den folgenden Befehl verwenden:

iptables -t nat -L POSTROUTING

Sie könnte die Maskerade-Regel sehen.

Schritt 6: Installieren Sie einen DNS-Resolver auf dem Server.

Da wir den VPN-Server als DNS-Server für den Client angegeben haben, müssen wir einen DNS-Resolver auf dem VPN-Server ausführen. Wir können den bind9-DNS-Server installieren.

apt install bind9

Sobald es installiert ist, wird BIND automatisch gestartet. Sie können den Status überprüfen mit:

systemctl status bind9

Beispielausgabe:

named.service - BIND Domain Name Server
     Loaded: loaded (/lib/systemd/system/named.service; enabled; vendor preset: enabled)
     Active: active (running) since Sun 2020-05-17 08:11:26 UTC; 37s ago
       Docs: man:named(8)
   Main PID: 13820 (named)
      Tasks: 5 (limit: 1074)
     Memory: 14.3M
     CGroup: /system.slice/named.service
             └─13820 /usr/sbin/named -f -u bind

Wenn es nicht läuft, starten Sie es mit:

systemctl start bind9

Bearbeiten Sie die Konfigurationsdatei des BIND-DNS-Servers.

nano /etc/bind/named.conf.options

Fügen Sie die folgende Zeile hinzu, um VPN-Clients das Senden rekursiver DNS-Abfragen zu ermöglichen.

allow-recursion { 127.0.0.1; 10.10.10.0/24; };

Speichern und schließen Sie die Datei. Bearbeiten Sie dann die /etc/default/named-Dateien.

nano /etc/default/named

Fügen Sie -4 zu den OPTIONEN hinzu, um sicherzustellen, dass BIND Root-DNS-Server abfragen kann.

OPTIONS="-u bind -4"

Speichern und schließen Sie die Datei. Standardmäßig aktiviert BIND DNSSEC, wodurch sichergestellt wird, dass DNS-Antworten korrekt sind und nicht manipuliert werden. Aufgrund des Vertrauensanker-Rollovers und aus anderen Gründen funktioniert es jedoch möglicherweise nicht sofort. Damit es ordnungsgemäß funktioniert, können wir die verwaltete Schlüsseldatenbank mit den folgenden Befehlen neu erstellen.

rndc managed-keys destroy
rdnc reconfig

Es kann vorkommen, das der Befehl rdnc reconfig nicht gefunden wird, was nicht weiter schlimm ist. Starten Sie BIND9 neu, damit die Änderungen wirksam werden.

systemctl restart bind9

Anschließend müssen Sie den folgenden Befehl ausführen, damit VPN-Clients eine Verbindung zu Port 53 herstellen können.

ufw insert 1 allow in from 10.10.10.0/24

Schritt 7: Öffnen Sie den WireGuard-Port in der Firewall

Führen Sie den folgenden Befehl aus, um den UDP-Port 51820 auf dem Server zu öffnen.

ufw allow 51820/udp

Schritt 8: Starten Sie WireGuard

Führen Sie den folgenden Befehl auf dem Server aus, um WireGuard zu starten.

wg-quick up /etc/wireguard/wg0.conf

Um Wiregard zu stoppen, führen Sie folgendes aus

wg-quick down /etc/wireguard/wg0.conf

Sie können WireGuard auch mit dem Systemd-Dienst starten.

systemctl start wg-quick@wg0.service

Aktivieren Sie den automatischen Start beim Systemstart.

systemctl enable wg-quick@wg0.service

Überprüfen Sie den Status mit dem folgenden Befehl. Sein Status sollte aktiv (exited) sein.

systemctl status wg-quick@wg0.service

Jetzt ist der WireGuard-Server bereit, Client-Verbindungen zu akzeptieren.

Schritt 9: Client

Erstellen Sie einen Client auf dem Windows PC

hier ein Beispiel

[Interface]
PrivateKey = CMQW4OSB4DKvCJuIM5KYhRWVCLHyBu5RB/nTBFFoz1w=
Address = 10.10.10.2/24
DNS = 10.10.10.1, 1.1.1.1

[Peer]
PublicKey = Public Key Ihres Wiregard Servers
AllowedIPs = 0.0.0.0/1, 128.0.0.0/1
Endpoint = ihre öffentliche IP Adresse:51820
PersistentKeepalive = 25

Eintragen des Peers am Server

[Peer]
PublicKey = Public Key Ihres Clienten
AllowedIPs = 10.10.10.2/32

Sollten Sie einen weiteren Peer/Client hinzufügen, muss zwingen der Wiregard Server neu gestartet werden, damit die neuen Einstellungen greifen. Dazu geben Sie folgende Befehle ein

wg-quick down /etc/wireguard/wg0.conf
wg-quick up /etc/wireguard/wg0.conf

Gadget

Der Konfigurationsgenerator auf dieser Webseite ermöglicht es Ihnen, mühelos alle notwendigen Schlüssel und QR-Codes direkt in Ihrem Browser zu generieren. Dieser benutzerfreundliche Ansatz vereinfacht den gesamten Vorgang erheblich, sodass Sie sich nicht mit komplexen Schritten herumschlagen müssen. Besuchen Sie die Webseite und folgen Sie den einfachen Anweisungen, um die erforderlichen Konfigurationsdaten für Ihr Vorhaben zu erstellen. Dieser Service ist besonders nützlich für diejenigen, die eine schnelle und unkomplizierte Lösung suchen, ohne tief in die technischen Details einzusteigen. Denken Sie daran, sicherzustellen, dass Sie vertrauenswürdige und sichere Quellen für solche Dienste nutzen. Es ist ratsam, Bewertungen zu lesen oder Empfehlungen von vertrauenswürdigen Quellen einzuholen, um sicherzustellen, dass Ihre Daten geschützt sind. Nutzen Sie diese Webseite, um den Konfigurationsprozess zu vereinfachen und Zeit zu sparen, während Sie gleichzeitig sicherstellen, dass alle erforderlichen Schlüssel und QR-Codes korrekt generiert werden. Konfigurationsgenerator