WireGuard ist ein modernes, einfaches und schnelles VPN, das besonders durch seine starke Sicherheit und minimalistische Konfiguration überzeugt. In dieser Anleitung zeigen wir Dir Schritt für Schritt, wie Du einen WireGuard-Server auf einem Ubuntu 22.04 Droplet bei DigitalOcean installierst, um sichere Zugriffe vom Mac aus zu ermöglichen. Ziel ist es, eine produktionsreife und funktionierende VPN-Verbindung einzurichten.
Warum WireGuard für sichere Verbindungen?
WireGuard ist nicht nur schneller und sicherer als viele herkömmliche VPNs wie OpenVPN oder IPSec, sondern auch viel einfacher einzurichten. Es verwendet moderne Kryptographie und ist effizient genug, um auch auf kleinen Servern wie DigitalOcean-Droplets reibungslos zu laufen.
Ein sicherer VPN-Zugang über WireGuard ermöglicht Dir, Dein Droplet abzusichern, indem Du nur vertrauenswürdige Verbindungen zulässt. Gleichzeitig kannst Du auch auf entfernte Netzwerke zugreifen, als wärst Du lokal verbunden.
Voraussetzungen
Bevor wir loslegen, stelle sicher, dass die folgenden Punkte erfüllt sind:
- DigitalOcean Droplet mit Ubuntu 22.04 (frisch erstellt, kein Konflikt mit bestehenden VPNs oder Firewalls).
- Root-Zugang oder ein Benutzer mit sudo-Rechten.
- Einen Mac für die Einrichtung des VPN-Clients.
- Grundlegende Kenntnisse im Umgang mit SSH und Terminal-Befehlen.
Schritt-für-Schritt-Anleitung
1. DigitalOcean Droplet vorbereiten
- Melde Dich bei DigitalOcean an und erstelle ein neues Droplet (Affiliate Link):
- Image: Wähle Ubuntu 22.04 (LTS).
- Größe: Ein Basismodell mit 1 GB RAM reicht für kleine VPN-Installationen aus.
- Region: Wähle eine Region, die Deiner Zielgruppe nahe ist.
- Nach der Erstellung erhältst Du die IP-Adresse Deines Droplets. Verbinde Dich per SSH:
ssh root@DEIN-DROPLET-IP
- Führe ein Update und Upgrade des Systems durch:
apt update && apt upgrade -y
2. WireGuard installieren
- Installiere die WireGuard-Tools und Module:
apt install wireguard wireguard-tools -y
- Überprüfe, ob das Kernel-Modul geladen wurde:
lsmod | grep wireguard
Wenn keine Ausgabe erscheint, starte den Server neu und prüfe erneut:reboot
3. WireGuard-Server konfigurieren
- Erstelle den Konfigurationsordner:
mkdir /etc/wireguard
chmod 700 /etc/wireguard
- Generiere die Schlüsselpaare:
wg genkey | tee /etc/wireguard/privatekey | wg pubkey > /etc/wireguard/publickey
Notiere Dir die Ausgaben. Der private Schlüssel bleibt auf dem Server, während der öffentliche Schlüssel für die Client-Konfiguration benötigt wird. - Konfigurationsdatei erstellen: Erstelle die Datei
/etc/wireguard/wg0.conf
mit folgendem Inhalt:
[Interface] Address = 10.0.0.1/24 ListenPort = 51820 PrivateKey = DEIN_PRIVATER_SCHLÜSSEL PostUp = ufw allow 51820/udp PostUp = iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE PostDown = ufw delete allow 51820/udp PostDown = iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
Ersetze DEIN_PRIVATER_SCHLÜSSEL
mit dem privaten Schlüssel aus Schritt 2.
- Aktiviere IP-Forwarding: Öffne
/etc/sysctl.conf
und entferne das Kommentarzeichen vor der Zeile:net.ipv4.ip_forward=1
Aktiviere die Änderung:sysctl -p
- Firewall konfigurieren: Installiere und aktiviere UFW (falls nicht vorhanden):
apt install ufw -y
ufw allow OpenSSH
ufw allow 51820/udp
ufw enable
- WireGuard starten:
-
systemctl enable wg-quick@wg0
systemctl start wg-quick@wg0
-
- Prüfe den Status:
wg
4. Mac-Client konfigurieren
- WireGuard-App installieren: Lade die offizielle WireGuard-App für macOS herunter:
https://apps.apple.com/us/app/wireguard/id1451685025 - Client-Schlüssel generieren: Auf dem Server:
wg genkey | tee client_privatekey | wg pubkey > client_publickey
Notiere Dir beide Schlüssel. - Client in der Server-Konfiguration hinzufügen: Öffne
/etc/wireguard/wg0.conf
und füge den Client hinzu:[Peer] PublicKey = CLIENT_PUBLIC_KEY AllowedIPs = 10.0.0.2/32
ErsetzeCLIENT_PUBLIC_KEY
mit dem öffentlichen Schlüssel des Clients. - Client-Konfigurationsdatei erstellen: Auf Deinem Mac und ersetze
CLIENT_PRIVATE_KEY
,SERVER_PUBLIC_KEY
undSERVER_IP
mit den entsprechenden Werten.
[Interface] PrivateKey = CLIENT_PRIVATE_KEY Address = 10.0.0.2/24 DNS = 1.1.1.1 [Peer] PublicKey = SERVER_PUBLIC_KEY Endpoint = SERVER_IP:51820 AllowedIPs = 0.0.0.0/0, ::/0
- Verbindung testen: Importiere die Konfiguration in die WireGuard-App und aktiviere die Verbindung. Du solltest nun sicher mit Deinem Droplet verbunden sein.
Fazit
Mit dieser Anleitung hast Du erfolgreich einen WireGuard-Server auf einem Ubuntu 22.04 Droplet bei DigitalOcean eingerichtet und einen Mac als Client angebunden (Affiliate Link). Das Ergebnis ist ein schnelles, sicheres VPN, das Deine Verbindungen verschlüsselt und Deinen Zugang zum Server absichert. Dank der minimalen Konfiguration von WireGuard bleibt das Setup schlank und wartungsfreundlich.