#2 Kendi VPN Sunucunu Kurma: WireGuard + Panel + Güvenlik Ayarları

[ATK]

Hazırlayan : @ATK
Herkese tekrar selamlar.

İlk bölümde WireGuard’ın mantığını, sunucu hazırlığını, temel güvenlik sertleştirmelerini ve WireGuard kurulumunu işlemiştik.

Bu bölümde ise artık işin daha profesyonel tarafına geçiyoruz. WireGuard manuel yapılandırması, istemci kurulumları, wg-easy paneli, firewall hardening, Fail2Ban, DNS leak koruması, kill switch ve ileri seviye güvenlik ayarlarını detaylı şekilde ele alacağız.

Hazırsanız Kaldığımız Yerden Yani WireGuard Yapılandırmasından Devam Edelim.

WireGuard Kurulumu :

​

Kernel Kontrölü :

uname -r

WireGuard Modülü Kontrölü :

lsmod | grep wireguard

WireGuard Paketleri :

sudo apt install wireguard wireguard-tools

Versiyon Kontrölü :

wg --version

Kernel Modülü Yükleme :

sudo modprobe wireguard

Otomatik Yükleme :

echo "wireguard" | sudo tee /etc/modules-load.d/wireguard.conf

WireGuard Manuel Yapılandırma :
Anahtar Üretimi :

cd /etc/wireguard
sudo chmod 700 /etc/wireguard

Anahtar Üret :

sudo wg genkey | sudo tee server_private.key | wg pubkey | sudo tee server_public.key

PSK Üret :

sudo wg genpsk | sudo tee preshared.key

İzinler :

sudo chmod 600 server_private.key
sudo chmod 600 preshared.key

Ağ Arayüzü :

ip route get 8.8.8.8

Çıktıda Genelde :

dev eth0

wg0.conf :

sudo nano /etc/wireguard/wg0.conf

İçerik :

[Interface]
Address = 10.0.0.1/24
ListenPort = 51820
PrivateKey = SERVER_PRIVATE_KEY

PostUp = iptables -A FORWARD -i %i -j ACCEPT
PostUp = iptables -A FORWARD -o %i -j ACCEPT
PostUp = iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

PostDown = iptables -D FORWARD -i %i -j ACCEPT
PostDown = iptables -D FORWARD -o %i -j ACCEPT
PostDown = iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

İzin :

sudo chmod 600 /etc/wireguard/wg0.conf

WireGuard Başlatma :

sudo wg-quick up wg0

Durum :

sudo wg show

Otomatik Başlat :

sudo systemctl enable wg-quick@wg0

İstemci Yapılandırması :
İstemci Anahtarları :

wg genkey | tee client_private.key | wg pubkey > client_public.key

PSK :

wg genpsk > client_psk.key

Sunucuya İstemci Ekleme :

​

wg0.confiçine :

[Peer]
PublicKey = CLIENT_PUBLIC_KEY
PresharedKey = CLIENT_PSK
AllowedIPs = 10.0.0.2/32
PersistentKeepalive = 25

İstemci Config :

[Interface]
Address = 10.0.0.2/24
PrivateKey = CLIENT_PRIVATE_KEY
DNS = 1.1.1.1

[Peer]
PublicKey = SERVER_PUBLIC_KEY
PresharedKey = CLIENT_PSK
Endpoint = SERVER_IP:51820
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 25

QR Kod :

sudo apt install qrencode
qrencode -t ansiutf8 < client.conf

WireGuard UI (wg-easy) :
Docker Kurulumu :

curl -fsSL https://get.docker.com | sh

Docker Compose :

sudo apt install docker-compose-plugin

docker-compose.yml :

version: "3.8"

services:
  wg-easy:
    image: ghcr.io/wg-easy/wg-easy:latest
    container_name: wg-easy

    environment:
      - WG_HOST=SERVER_IP
      - PASSWORD=admin
      - WG_PORT=51820
      - WG_DEFAULT_DNS=1.1.1.1

    volumes:
      - ~/.wg-easy:/etc/wireguard

    ports:
      - "51820:51820/udp"
      - "51821:51821/tcp"

    restart: unless-stopped

    cap_add:
      - NET_ADMIN
      - SYS_MODULE

Başlatma :

docker compose up -d

Log :

docker compose logs -f

Panel Erişimi :

http://SERVER_IP:51821

Nginx Reverse Proxy :
Kurulum :

sudo apt install nginx certbot python3-certbot-nginx

SSL :

sudo certbot --nginx -d vpn.domain.com

Firewall Yapılandırması :
UFW Kurulumu :
Ubuntu Üzerinden en kolay firewall yönetin aracı UFW'dir.
Durum Kontrölü :

sudo ufw status verbose

Varsayılan Politikalar :

sudo ufw default deny incoming
sudo ufw default allow outgoing

SSH Portunu Aç :

sudo ufw allow 2222/tcp

WireGuard Portu :

sudo ufw allow 51820/udp

Firewall Aktif Et :

sudo ufw enable

Rate Limiting :
SSH Brute Force Saldırılarını Azaltmak İçin :

sudo ufw limit 2222/tcp

nftables :
Modern Linux Sistemlerde İptables Yerine Nftables Önerilir.
Kurulum :

sudo apt install nftables

Servisi Başlat :

sudo systemctl enable nftables
sudo systemctl start nftables

Config :

sudo nano /etc/nftables.conf

Örnek :

table inet filter {
  chain input {
    type filter hook input priority 0;

    ct state established,related accept
    iif lo accept

    tcp dport 2222 accept
    udp dport 51820 accept

    ip protocol icmp accept

    counter drop
  }
}

Uygula :

sudo nft -f /etc/nftables.conf

Fail2Ban Ve Saldırı Önleme :

​

Kurulum :

sudo apt install fail2ban

Servisi Başlat :

sudo systemctl enable fail2ban
sudo systemctl start fail2ban

Jail Yapılandırması :

sudo nano /etc/fail2ban/jail.local

Örnek :

[DEFAULT]
bantime = 1h
findtime = 10m
maxretry = 3

[sshd]
enabled = true
port = 2222
logpath = /var/log/auth.log

Durum Kontrölü :

sudo fail2ban-client status

SSH Jail :

sudo fail2ban-client status sshd

DNS Güvenliği Ve Leak Koruması :
- DNS Leak Nedir :
VPN Aktif Olsa Bile DNS Sorguların ISS'ye Gidiyorsa Gizlilik Bozulur. Buna DNS Leak Denir.

​

Güvenli DNS Sağlayıcıları (Önerilen) :
CloudFlare - DNS : 1.1.1.1
Google - DNS : 8.8.8.8
Quad9 - DNS : 9.9.9.9

WireGuard DNS Ayarı :
İstemci Config :

DNS = 1.1.1.1

DNS Leak Test :
Araçlar :
- dnsleaktest.com
- ipleak.net
- browserleaks.com

Unbound Recursive DNS :
Kurulum :

sudo apt install unbound

Servis Kontrölü :

sudo systemctl status unbound

Test :

dig @127.0.0.1 google.com

Kill Switch ve Trafik Zorlaması :
Kill Switch Mantığı :
VPN Düşerse trafik normal bağlantıya kaçmamalıdır.
Kill Switch Bunu Engeller.

AllowedIPs :
Tam Tünel :

AllowedIPs = 0.0.0.0/0

iptables Kill Switch :

iptables -A OUTPUT ! -o wg0 -m conntrack --ctstate NEW -j REJECT

Kalıcı Kayıt :

sudo apt install iptables-persistent

IPv6 Leak Önleme :
IPv6 Devre Dışı Bırak :

sudo nano /etc/sysctl.d/99-ipv6.conf

İçerik :

net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1

Uygula :

sudo sysctl -p /etc/sysctl.d/99-ipv6.conf

IPv6 WireGuard Yapılandırması :
- IPv4 Adresleri Tükenmektedir.
- Modern Ağlar IPv6 Kullanır.

IPv6 Adresleme :
Örnek Subnet :

fd00:dead:beef::/64

Sunucu Config :

[Interface]
Address = 10.0.0.1/24, fd00:dead:beef::1/64
ListenPort = 51820
PrivateKey = SERVER_PRIVATE_KEY

İstemci Config :

[Interface]
Address = 10.0.0.2/24, fd00:dead:beef::2/64
PrivateKey = CLIENT_PRIVATE_KEY
DNS = 1.1.1.1

[Peer]
PublicKey = SERVER_PUBLIC_KEY
Endpoint = SERVER_IP:51820
AllowedIPs = 0.0.0.0/0, ::/0

IPv6 Forwarding :

sudo nano /etc/sysctl.d/99-ipv6-forward.conf

İçerik :

net.ipv6.conf.all.forwarding = 1

Uygula :

sudo sysctl -p /etc/sysctl.d/99-ipv6-forward.conf

Değerli TurkHackTeam Üyeleri Buraya kadar okuyan herkese teşekkür ederim.

Bu rehber serisinde sıfırdan başlayarak profesyonel seviyede bir WireGuard VPN altyapısının nasıl kurulacağını, güvenli hale getirileceğini ve yönetileceğini detaylı şekilde ele aldık.

Artık:
- kendi VPN sunucunuzu kurabilir,
- güvenlik sertleştirmeleri yapabilir,
- istemci yönetimini sağlayabilir,
- DNS leak ve trafik sızıntılarını engelleyebilir,
- daha güvenli ve kontrollü bir altyapı oluşturabilirsiniz.

Umarım faydalı olmuştur.
Sorusu veya eklemek istediği bir şey olan herkes konu altında belirtebilir.

İyi forumlar.

 

[sametghack]

Eline sağlık

 

[mertarsln]

Eline sağlık hocam

 

[ATK]

Eline sağlık

Çok Teşekkür Ederim Hocam Bunun Gibi Konular Açmaya Devam Ediceğim.

Eline sağlık hocam

Çok Teşekkürler.

 

[REALWHİTEHATHACKER12]

Eline sağlık

 

[ATK]

Eline sağlık

Çok Teşekkürler Hocam

 

[xNewt]

Eline sağlık iyi bir konu

 

[ATK]

Eline sağlık iyi bir konu

Teşekkürler

 

[ByTurkX]

Hazırlayan : @ATK
Herkese tekrar selamlar.

İlk bölümde WireGuard’ın mantığını, sunucu hazırlığını, temel güvenlik sertleştirmelerini ve WireGuard kurulumunu işlemiştik.

Bu bölümde ise artık işin daha profesyonel tarafına geçiyoruz. WireGuard manuel yapılandırması, istemci kurulumları, wg-easy paneli, firewall hardening, Fail2Ban, DNS leak koruması, kill switch ve ileri seviye güvenlik ayarlarını detaylı şekilde ele alacağız.

Hazırsanız Kaldığımız Yerden Yani WireGuard Yapılandırmasından Devam Edelim.

WireGuard Kurulumu :

​

Kernel Kontrölü :

uname -r

WireGuard Modülü Kontrölü :

lsmod | grep wireguard

WireGuard Paketleri :

sudo apt install wireguard wireguard-tools

Versiyon Kontrölü :

wg --version

Kernel Modülü Yükleme :

sudo modprobe wireguard

Otomatik Yükleme :

echo "wireguard" | sudo tee /etc/modules-load.d/wireguard.conf

WireGuard Manuel Yapılandırma :
Anahtar Üretimi :

cd /etc/wireguard
sudo chmod 700 /etc/wireguard

Anahtar Üret :

sudo wg genkey | sudo tee server_private.key | wg pubkey | sudo tee server_public.key

PSK Üret :

sudo wg genpsk | sudo tee preshared.key

İzinler :

sudo chmod 600 server_private.key
sudo chmod 600 preshared.key

Ağ Arayüzü :

ip route get 8.8.8.8

Çıktıda Genelde :

dev eth0

wg0.conf :

sudo nano /etc/wireguard/wg0.conf

İçerik :

[Interface]
Address = 10.0.0.1/24
ListenPort = 51820
PrivateKey = SERVER_PRIVATE_KEY

PostUp = iptables -A FORWARD -i %i -j ACCEPT
PostUp = iptables -A FORWARD -o %i -j ACCEPT
PostUp = iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

PostDown = iptables -D FORWARD -i %i -j ACCEPT
PostDown = iptables -D FORWARD -o %i -j ACCEPT
PostDown = iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

İzin :

sudo chmod 600 /etc/wireguard/wg0.conf

WireGuard Başlatma :

sudo wg-quick up wg0

Durum :

sudo wg show

Otomatik Başlat :

sudo systemctl enable wg-quick@wg0

İstemci Yapılandırması :
İstemci Anahtarları :

wg genkey | tee client_private.key | wg pubkey > client_public.key

PSK :

wg genpsk > client_psk.key

Sunucuya İstemci Ekleme :

​

wg0.confiçine :

[Peer]
PublicKey = CLIENT_PUBLIC_KEY
PresharedKey = CLIENT_PSK
AllowedIPs = 10.0.0.2/32
PersistentKeepalive = 25

İstemci Config :

[Interface]
Address = 10.0.0.2/24
PrivateKey = CLIENT_PRIVATE_KEY
DNS = 1.1.1.1

[Peer]
PublicKey = SERVER_PUBLIC_KEY
PresharedKey = CLIENT_PSK
Endpoint = SERVER_IP:51820
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 25

QR Kod :

sudo apt install qrencode
qrencode -t ansiutf8 < client.conf

WireGuard UI (wg-easy) :
Docker Kurulumu :

curl -fsSL https://get.docker.com | sh

Docker Compose :

sudo apt install docker-compose-plugin

docker-compose.yml :

version: "3.8"

services:
  wg-easy:
    image: ghcr.io/wg-easy/wg-easy:latest
    container_name: wg-easy

    environment:
      - WG_HOST=SERVER_IP
      - PASSWORD=admin
      - WG_PORT=51820
      - WG_DEFAULT_DNS=1.1.1.1

    volumes:
      - ~/.wg-easy:/etc/wireguard

    ports:
      - "51820:51820/udp"
      - "51821:51821/tcp"

    restart: unless-stopped

    cap_add:
      - NET_ADMIN
      - SYS_MODULE

Başlatma :

docker compose up -d

Log :

docker compose logs -f

Panel Erişimi :

http://SERVER_IP:51821

Nginx Reverse Proxy :
Kurulum :

sudo apt install nginx certbot python3-certbot-nginx

SSL :

sudo certbot --nginx -d vpn.domain.com

Firewall Yapılandırması :
UFW Kurulumu :
Ubuntu Üzerinden en kolay firewall yönetin aracı UFW'dir.
Durum Kontrölü :

sudo ufw status verbose

Varsayılan Politikalar :

sudo ufw default deny incoming
sudo ufw default allow outgoing

SSH Portunu Aç :

sudo ufw allow 2222/tcp

WireGuard Portu :

sudo ufw allow 51820/udp

Firewall Aktif Et :

sudo ufw enable

Rate Limiting :
SSH Brute Force Saldırılarını Azaltmak İçin :

sudo ufw limit 2222/tcp

nftables :
Modern Linux Sistemlerde İptables Yerine Nftables Önerilir.
Kurulum :

sudo apt install nftables

Servisi Başlat :

sudo systemctl enable nftables
sudo systemctl start nftables

Config :

sudo nano /etc/nftables.conf

Örnek :

table inet filter {
  chain input {
    type filter hook input priority 0;

    ct state established,related accept
    iif lo accept

    tcp dport 2222 accept
    udp dport 51820 accept

    ip protocol icmp accept

    counter drop
  }
}

Uygula :

sudo nft -f /etc/nftables.conf

Fail2Ban Ve Saldırı Önleme :

​

Kurulum :

sudo apt install fail2ban

Servisi Başlat :

sudo systemctl enable fail2ban
sudo systemctl start fail2ban

Jail Yapılandırması :

sudo nano /etc/fail2ban/jail.local

Örnek :

[DEFAULT]
bantime = 1h
findtime = 10m
maxretry = 3

[sshd]
enabled = true
port = 2222
logpath = /var/log/auth.log

Durum Kontrölü :

sudo fail2ban-client status

SSH Jail :

sudo fail2ban-client status sshd

DNS Güvenliği Ve Leak Koruması :
- DNS Leak Nedir :
VPN Aktif Olsa Bile DNS Sorguların ISS'ye Gidiyorsa Gizlilik Bozulur. Buna DNS Leak Denir.

​

Güvenli DNS Sağlayıcıları (Önerilen) :
CloudFlare - DNS : 1.1.1.1
Google - DNS : 8.8.8.8
Quad9 - DNS : 9.9.9.9

WireGuard DNS Ayarı :
İstemci Config :

DNS = 1.1.1.1

DNS Leak Test :
Araçlar :
- dnsleaktest.com
- ipleak.net
- browserleaks.com

Unbound Recursive DNS :
Kurulum :

sudo apt install unbound

Servis Kontrölü :

sudo systemctl status unbound

Test :

dig @127.0.0.1 google.com

Kill Switch ve Trafik Zorlaması :
Kill Switch Mantığı :
VPN Düşerse trafik normal bağlantıya kaçmamalıdır.
Kill Switch Bunu Engeller.

AllowedIPs :
Tam Tünel :

AllowedIPs = 0.0.0.0/0

iptables Kill Switch :

iptables -A OUTPUT ! -o wg0 -m conntrack --ctstate NEW -j REJECT

Kalıcı Kayıt :

sudo apt install iptables-persistent

IPv6 Leak Önleme :
IPv6 Devre Dışı Bırak :

sudo nano /etc/sysctl.d/99-ipv6.conf

İçerik :

net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1

Uygula :

sudo sysctl -p /etc/sysctl.d/99-ipv6.conf

IPv6 WireGuard Yapılandırması :
- IPv4 Adresleri Tükenmektedir.
- Modern Ağlar IPv6 Kullanır.

IPv6 Adresleme :
Örnek Subnet :

fd00:dead:beef::/64

Sunucu Config :

[Interface]
Address = 10.0.0.1/24, fd00:dead:beef::1/64
ListenPort = 51820
PrivateKey = SERVER_PRIVATE_KEY

İstemci Config :

[Interface]
Address = 10.0.0.2/24, fd00:dead:beef::2/64
PrivateKey = CLIENT_PRIVATE_KEY
DNS = 1.1.1.1

[Peer]
PublicKey = SERVER_PUBLIC_KEY
Endpoint = SERVER_IP:51820
AllowedIPs = 0.0.0.0/0, ::/0

IPv6 Forwarding :

sudo nano /etc/sysctl.d/99-ipv6-forward.conf

İçerik :

net.ipv6.conf.all.forwarding = 1

Uygula :

sudo sysctl -p /etc/sysctl.d/99-ipv6-forward.conf

Değerli TurkHackTeam Üyeleri Buraya kadar okuyan herkese teşekkür ederim.

Bu rehber serisinde sıfırdan başlayarak profesyonel seviyede bir WireGuard VPN altyapısının nasıl kurulacağını, güvenli hale getirileceğini ve yönetileceğini detaylı şekilde ele aldık.

Artık:
- kendi VPN sunucunuzu kurabilir,
- güvenlik sertleştirmeleri yapabilir,
- istemci yönetimini sağlayabilir,
- DNS leak ve trafik sızıntılarını engelleyebilir,
- daha güvenli ve kontrollü bir altyapı oluşturabilirsiniz.

Umarım faydalı olmuştur.
Sorusu veya eklemek istediği bir şey olan herkes konu altında belirtebilir.

İyi forumlar.

Anlaşılır ve ayrıntılı bir konu olmuş ellerine sağlık.

 

[ATK]

Anlaşılır ve ayrıntılı bir konu olmuş ellerine sağlık.

Sağolun Çok Teşekkürler

 

[EnsarKara]

Temiz Konu Eline Sağlık

 

[ATK]

Temiz Konu Eline Sağlık

Teşekkür Ederim Ensar

 

[Z10n]

Eline sağlık hocam rehber genel olarak güzel olmuş ama birkaç yerde teknik olarak eksik veya çelişen kısım var mesela ıpv6 kısmında önce tamamen disable edilmesi anlatılmış ileride ise ıpv6 wireguard yapılandırmasına geçilmiş ıpv6 kullanacak kişiler için disable kısmının opsiyonel olduğunun belirtilmesi daha doğru olur ayrıca AllowedIPs = 0.0.0.0/0 satırı sadece tam tünel değil bütün internet trafiğini vpn üzerinden geçirir split tunnel mantığına da kısa değinilebilir kill switch kısmındaki iptables -A OUTPUT ! -o wg0 ... kuralı da biraz agresif yanlış kullanımda ssh bağlantısını bile kesebilir özellikle sunucu tarafında dikkat edilmesi gerektiği belirtilirse daha iyi olur bir de nftables önerilmiş olmasına rağmen wireguard config içinde hala iptables kullanılması modern sistemlerde iptables zaten nft backend kullanabiliyor ama yine de tutarlılık açısından buna kısa bir not eklenebilir genel olarak rehber iyi ama bu küçük detaylar düzeltilirse çok daha profesyonel ve güvenli bir anlatım olur ayrıca wireguard tercih etmen aşırı iyi olmuş yeni projelerin gelmesi dileği ile