WireGuard VPN’yi Bulut Sunucusunda Kurma: 2024 İçin Eksiksiz Kurulum Kılavuzu

Çevrimiçi gizlilik artık isteğe bağlı değil — bir zorunluluk. İster hassas iş iletişimlerini koruyor, ister coğrafi kısıtlamaları aşıyor, ister yalnızca tarama alışkanlıklarınızı gizli tutmak istiyor olun, kendi barındırdığınız bir VPN size ticari VPN hizmetlerinin sağlayamayacağı kontrolü sunar. Mevcut tüm VPN protokolleri arasında WireGuard, altın standart olarak öne çıkmıştır: son derece hızlı, kriptografik açıdan modern ve kurulumu şaşırtıcı derecede basit.

Bu kapsamlı kılavuzda, WireGuard’ın tam olarak ne olduğunu, neden kendi bulut sunucunuzda barındırmanın alabileceğiniz en akıllı gizlilik kararı olduğunu ve sıfırdan tam işlevsel bir WireGuard VPN’i adım adım nasıl yapılandıracağınızı öğreneceksiniz.

WireGuard Nedir?

WireGuard, OpenVPN veya IPSec gibi eski çözümlere kıyasla aynı anda daha hızlı, daha basit ve daha güvenli olacak şekilde tasarlanmış açık kaynaklı bir VPN protokolüdür. Başlangıçta Jason A. Donenfeld tarafından geliştirilen ve ilk olarak 2015’te yayımlanan WireGuard, 2020 yılında resmi olarak Linux çekirdeğine (sürüm 5.6) dahil edildi — bu, onu üretime hazır, kurumsal düzeyde bir teknoloji olarak pekiştiren önemli bir dönüm noktasıydı.

WireGuard’ı seleflerinden temelden farklı kılan şey felsefesidir: daha azını yap, ama mükemmel yap.

• Minimal kod tabanı: WireGuard yaklaşık 4.000 satır koddan oluşurken OpenVPN 100.000+ satıra sahiptir. Daha küçük bir kod tabanı, saldırı yüzeyini önemli ölçüde azaltır ve güvenlik denetimini çok daha kolay hale getirir.
• Son teknoloji kriptografi: WireGuard, simetrik şifreleme için ChaCha20, kimlik doğrulama için Poly1305, anahtar değişimi için Curve25519, karma için BLAKE2s ve hashtable anahtarları için SipHash24 kullanır. Bunlar eski algoritmalar değil — günümüzün en iyi sınıf temel bileşenleridir.
• Çekirdek düzeyinde performans: WireGuard, kullanıcı alanında değil Linux çekirdeğinin içinde çalıştığından, OpenVPN ve IPSec’in ulaşmakta zorlandığı verim ve gecikme değerlerine ulaşır.
• Durumsuz tasarım: WireGuard, geleneksel anlamda bağlantı durumunu korumaz; bu da onu dolaşıma (örn. tüneli kesmeden Wi-Fi’den mobil veriye geçiş) karşı son derece dayanıklı kılar.

WireGuard vs. OpenVPN vs. IPSec: Hızlı Karşılaştırma

WireGuard VPN’inizi Neden Bir Bulut Sunucusunda Barındırmalısınız?

Ticari VPN sağlayıcıları, trafiğinizle ilgili size tamamen güvenmenizi ister. Günlük tutma uygulamaları, sunucu yapılandırmaları veya veri paylaşım anlaşmaları hakkında hiçbir görünürlüğünüz yoktur. WireGuard VPN’inizi kendi sunucunuzda barındırmak bu güven gereksinimini tamamen ortadan kaldırır — kendi VPN sağlayıcınız olursunuz.

Kendi bulut VPS’inizde WireGuard çalıştırmanın temel avantajları şunlardır:

1. Tam Veri Egemenliği

Trafiğiniz, sizin kontrol ettiğiniz altyapı üzerinden akar. Hiçbir üçüncü taraf DNS sorgularınızı, tarama geçmişinizi veya bağlantı meta verilerinizi kaydetmez. Gerçek gizliliği elde etmenin tek yolu budur.

2. Maliyet Verimliliği

1–2 GB RAM’e sahip mütevazı bir VPS Hosting planı, birden fazla eş zamanlı istemci için WireGuard sunucusu çalıştırmaya fazlasıyla yeterlidir. Aylık maliyet, ticari VPN aboneliklerinin talep ettiğinin genellikle çok küçük bir kısmıdır; üstelik çok daha fazla şeffaflık ve kontrol sunar.

3. Özel Performans

Paylaşımlı bir ticari VPN’de bant genişliği için binlerce başka kullanıcıyla rekabet edersiniz. Kendi VPS’inizde ise tam ağ kapasitesi size aittir. WireGuard’ın çekirdek düzeyindeki verimliliği, ticari hizmetlerde yaygın olan darboğazlarla nadiren karşılaşacağınız anlamına gelir.

4. Coğrafi Esneklik

VPN sunucunuzu ihtiyaçlarınıza uygun herhangi bir veri merkezi bölgesine dağıtın — minimum gecikme için evinize yakın veya bölgeye kilitli içeriklere erişmek için belirli bir ülkede. Birden fazla konumda mevcut Dedicated Servers veya VPS seçenekleriyle kurulumunuzu tam olarak özelleştirebilirsiniz.

5. Tam Yapılandırma Kontrolü

Hangi portların açık olduğuna, hangi istemcilerin yetkili olduğuna, hangi DNS sunucularının kullanıldığına ve trafiğin nasıl yönlendirildiğine siz karar verirsiniz. Kara kutular yok, gizli ayarlar yok.

Ön Koşullar

Başlamadan önce aşağıdakilere sahip olduğunuzdan emin olun:

• Ubuntu 22.04 LTS veya Debian 12 çalıştıran bir bulut VPS (önerilir)
• Sunucuya root veya sudo erişimi
• Linux komut satırına temel düzeyde aşinalık
• Yerel cihazınızda yüklü WireGuard istemci yazılımı (Windows, macOS, Linux, Android ve iOS için mevcuttur)

> İpucu: AlexHost’un VPS Hosting planları bu kurulum için mükemmel bir seçimdir — tam root erişimi, SSD depolama ve birden fazla sunucu konumunda rekabetçi fiyatlandırma sunarlar.

Adım 1: Bulut Sunucunuzu Hazırlayın ve Güvenliğini Sağlayın

1.1 VPS Örneğinizi Oluşturun

Hosting kontrol panelinize giriş yapın ve aşağıdaki özelliklere sahip yeni bir VPS örneği dağıtın:

• İşletim Sistemi: Ubuntu 22.04 LTS veya Debian 12
• RAM: Minimum 1 GB (birden fazla istemci için 2 GB önerilir)
• Depolama: 20 GB SSD (WireGuard’ın kendisi ihmal edilebilir disk alanı kullanır)
• Ağ: En az 1 Gbps port hızı

1.2 İlk Sunucu Sertleştirmesini Gerçekleştirin

SSH aracılığıyla sunucunuza bağlanın:

ssh root@your-server-ip

Tüm sistem paketlerini hemen güncelleyin:

apt update && apt upgrade -y

Root olmayan bir sudo kullanıcısı oluşturun (vpnadmin yerine tercih ettiğiniz kullanıcı adını yazın):

adduser vpnadmin
usermod -aG sudo vpnadmin

SSH yapılandırmasını düzenleyerek root SSH girişini ve parola kimlik doğrulamasını devre dışı bırakın:

nano /etc/ssh/sshd_config

Aşağıdaki değerleri ayarlayın:

PermitRootLogin no
PasswordAuthentication no
PubkeyAuthentication yes

SSH hizmetini yeniden başlatın:

systemctl restart sshd

> Güvenlik notu: Parola kimlik doğrulamasını devre dışı bırakmadan önce SSH genel anahtarınızın /home/vpnadmin/.ssh/authorized_keys dosyasına zaten eklendiğinden emin olun.

Adım 2: WireGuard’ı Yükleyin

WireGuard, Ubuntu 22.04 ve Debian 12’nin varsayılan depolarında mevcuttur. Kurulum oldukça basittir:

sudo apt update
sudo apt install wireguard wireguard-tools -y

Kurulumu doğrulayın:

wg --version

wireguard-tools v1.0.20210914 benzeri bir çıktı görmelisiniz.

Adım 3: Kriptografik Anahtarlar Oluşturun

WireGuard, kimlik doğrulama için bir genel/özel anahtar çifti kullanır. Sunucunun anahtar çiftini uygun dosya izinleriyle oluşturun:

umask 077
wg genkey | tee /etc/wireguard/server_private.key | wg pubkey > /etc/wireguard/server_public.key

Her iki anahtarı da görüntüleyin ve not edin — yapılandırma dosyasında bunlara ihtiyaç duyacaksınız:

cat /etc/wireguard/server_private.key
cat /etc/wireguard/server_public.key

> Kritik: Özel anahtarınız asla paylaşılmamalı veya ifşa edilmemelidir. Özel anahtarınıza sahip olan herkes VPN trafiğinizin şifresini çözebilir.

Adım 4: WireGuard Sunucu Arayüzünü Yapılandırın

4.1 Ağ Arayüzünüzü Belirleyin

Sunucunuzun birincil ağ arayüzünün adını belirleyin:

ip route list default

Çıktıda arayüz adını arayın (genellikle eth0, ens3 veya enp1s0). Bunu not edin — güvenlik duvarı kuralları için buna ihtiyaç duyacaksınız.

4.2 WireGuard Yapılandırma Dosyasını Oluşturun

sudo nano /etc/wireguard/wg0.conf

Aşağıdaki yapılandırmayı ekleyin; yer tutucu değerleri gerçek anahtarlarınız ve arayüz adınızla değiştirin:

[Interface]
# The server's private key
PrivateKey = YOUR_SERVER_PRIVATE_KEY

# The VPN subnet address assigned to this server
Address = 10.0.0.1/24

# The port WireGuard listens on (51820 is the standard)
ListenPort = 51820

# Enable IP forwarding and configure NAT when the interface comes up
PostUp = sysctl -w net.ipv4.ip_forward=1; iptables -A FORWARD -i wg0 -j ACCEPT; iptables -A FORWARD -o wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = sysctl -w net.ipv4.ip_forward=0; iptables -D FORWARD -i wg0 -j ACCEPT; iptables -D FORWARD -o wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

# Peers (clients) will be added below this line

> Önemli: PostUp ve PostDown satırlarındaki eth0 ifadesini, Adım 4.1’de belirlediğiniz sunucunuzun gerçek ağ arayüzü adıyla değiştirin.

Yapılandırma dosyasına katı izinler ayarlayın:

sudo chmod 600 /etc/wireguard/wg0.conf

4.3 Kalıcı IP Yönlendirmeyi Etkinleştirin

IP yönlendirmenin yeniden başlatmalardan sonra da devam etmesini sağlamak için sysctl yapılandırmasını düzenleyin:

sudo nano /etc/sysctl.conf

Aşağıdaki satırın yorumunu kaldırın veya ekleyin:

net.ipv4.ip_forward=1

Değişikliği hemen uygulayın:

sudo sysctl -p

Adım 5: Güvenlik Duvarını Yapılandırın (UFW)

WireGuard portuna güvenlik duvarı üzerinden izin verin:

sudo ufw allow 51820/udp
sudo ufw allow OpenSSH
sudo ufw enable

Güvenlik duvarı durumunu doğrulayın:

sudo ufw status verbose

51820/udp portunun ALLOW olarak listelendiğini görmelisiniz.

Adım 6: WireGuard Hizmetini Başlatın

WireGuard arayüzünü başlatın ve önyüklemede otomatik olarak başlayacak şekilde etkinleştirin:

sudo wg-quick up wg0
sudo systemctl enable wg-quick@wg0

WireGuard’ın doğru çalıştığını doğrulayın:

sudo wg show

Çıktıda wg0 arayüzü, sunucunuzun genel anahtarı ve dinleme portu görüntülenmelidir.

Adım 7: İstemci Cihazları Yapılandırın

Her istemci cihazın kendi anahtar çifti ve yapılandırma dosyası gerekir.

7.1 İstemci Anahtarları Oluşturun

İstemci anahtarlarını sunucuda (ve güvenli bir şekilde aktararak) veya doğrudan istemci cihazda oluşturabilirsiniz. Sunucuda oluşturmak genellikle daha uygundur:

umask 077
wg genkey | tee /etc/wireguard/client1_private.key | wg pubkey > /etc/wireguard/client1_public.key

7.2 İstemciyi Sunucuda Eş Olarak Ekleyin

İstemciyi yetkili bir eş olarak eklemek için sunucu yapılandırmasını düzenleyin:

sudo nano /etc/wireguard/wg0.conf

Dosyanın sonuna aşağıdaki bloğu ekleyin:

[Peer]
# Client 1 - replace with the client's actual public key
PublicKey = CLIENT1_PUBLIC_KEY

# The IP address assigned to this client within the VPN subnet
AllowedIPs = 10.0.0.2/32

Hizmeti yeniden başlatmadan yeni eş yapılandırmasını uygulayın:

sudo wg addconf wg0 <(wg-quick strip wg0)

Ya da arayüzü yeniden başlatın:

sudo wg-quick down wg0 && sudo wg-quick up wg0

7.3 İstemci Yapılandırma Dosyasını Oluşturun

İstemci cihazınızda aşağıdaki yapılandırma dosyasını oluşturun (client1.conf olarak kaydedin veya doğrudan WireGuard uygulamasına aktarın):

[Interface]
# The client's private key
PrivateKey = CLIENT1_PRIVATE_KEY

# The IP address assigned to this client within the VPN subnet
Address = 10.0.0.2/32

# Use Cloudflare's DNS to prevent DNS leaks
DNS = 1.1.1.1, 1.0.0.1

[Peer]
# The server's public key
PublicKey = SERVER_PUBLIC_KEY

# The server's public IP address and WireGuard port
Endpoint = YOUR_SERVER_IP:51820

# Route all traffic through the VPN
AllowedIPs = 0.0.0.0/0, ::/0

# Keep the connection alive through NAT (recommended for mobile clients)
PersistentKeepalive = 25

7.4 Yapılandırmayı İçe Aktarın

• Windows/macOS: WireGuard uygulamasını açın, “Import tunnel(s) from file” seçeneğine tıklayın ve .conf dosyanızı seçin.
• Android/iOS: Yapılandırma dosyasından oluşturulan QR kodunu taramak veya dosyayı doğrudan içe aktarmak için WireGuard uygulamasını kullanın.
• Linux: sudo wg-quick up /path/to/client1.conf komutunu çalıştırın

Mobil cihazlar için QR kodu oluşturmak üzere (önce sudo apt install qrencode ile qrencode yükleyin):

qrencode -t ansiutf8 < /etc/wireguard/client1.conf

Adım 8: VPN Bağlantısını Test Edin ve Doğrulayın

8.1 Bağlantıyı Doğrulayın

İstemci cihazınızdan bağlandıktan sonra trafiğin VPN üzerinden yönlendirildiğini doğrulayın:

1. İstemci cihazınızdan WhatIsMyIP.com veya IPLeak.net adresini ziyaret edin.
2. Görüntülenen IP adresi, yerel ISP’nizin IP’si değil, bulut sunucunuzun IP adresi ile eşleşmelidir.

8.2 DNS Sızıntılarını Kontrol Edin

IPLeak.net’te, gösterilen DNS sunucularının yerel ISP’nizin DNS sunucuları değil, istemci yapılandırmanızda belirtilen sunucularla (örn. Cloudflare’in 1.1.1.1’i) eşleştiğini doğrulayın.

8.3 Sunucu Tarafı Bağlantısını Doğrulayın

Sunucuda şunu çalıştırın:

sudo wg show

Bağlı eşinizin yakın zamanlı bir “latest handshake” zaman damgası ve veri aktarım istatistikleriyle listelendiğini görmelisiniz.

Adım 9: Süregelen Yönetim ve Güvenlik En İyi Uygulamaları

Ek İstemciler Ekleme

Her yeni istemci için 7.1–7.3 adımlarını tekrarlayın; her birine benzersiz bir IP adresi (örn. 10.0.0.3/32, 10.0.0.4/32) ve benzersiz bir anahtar çifti atayın.

İstemci Erişimini İptal Etme

Bir istemcinin erişimini iptal etmek için /etc/wireguard/wg0.conf dosyasından [Peer] bloğunu kaldırın ve yapılandırmayı yeniden yükleyin:

sudo wg set wg0 peer CLIENT_PUBLIC_KEY remove

Sistemi Güncel Tutma

Güvenlik açıklarını gidermek için sunucunuzun paketlerini düzenli olarak güncelleyin:

sudo apt update && sudo apt upgrade -y

Katılımsız güvenlik güncellemelerini etkinleştirmeyi düşünün:

sudo apt install unattended-upgrades -y
sudo dpkg-reconfigure --priority=low unattended-upgrades

Günlük İzleme

Şüpheli etkinlik için kimlik doğrulama günlüklerini izleyin:

sudo journalctl -u wg-quick@wg0 -f
sudo tail -f /var/log/auth.log

Güvenlik Duvarı Sertleştirme

WireGuard portunun ötesinde, sunucunuzu agresif biçimde kilitleyin. Yalnızca SSH (port 22) ve WireGuard (port 51820/UDP) genel internetten erişilebilir olmalıdır:

sudo ufw default deny incoming
sudo ufw default allow outgoing
sudo ufw allow OpenSSH
sudo ufw allow 51820/udp
sudo ufw reload

Yaygın Sorunları Giderme

Kişisel VPN’in Ötesine Ölçeklendirme

Tek sunuculu WireGuard kurulumuna alıştıktan sonra, aynı ilkeler daha karmaşık mimarilere zarif biçimde ölçeklenir:

• Siteden siteye VPN: Her iki uçtaki WireGuard eşlerini kullanarak iki ofis ağını veya bulut ortamını güvenli biçimde bağlayın.
• Çok sunuculu mesh ağı: WireGuard’ı farklı bölgelerdeki birden fazla sunucuya dağıtın ve trafiği akıllıca yönlendirin.
• Ekip VPN’i: Her ekip üyesi için ayrı eş girişleri ekleyin; bu sayede ayrıntılı erişim kontrolü elde edin ve bireysel kullanıcıları anında iptal edebilin.

Daha fazla kaynak gerektiren ekipler veya işletmeler için Dedicated Servers, onlarca veya yüzlerce eş zamanlı VPN istemcisini çekişme olmadan yönetmek için gereken ham performansı ve izolasyonu sağlar.

VPN altyapınızın yanı sıra web uygulamaları da barındırıyorsanız, aynı sunucuda çalışan web’e yönelik hizmetleri güvence altına almak için VPS’inizi bir SSL Certificate ile eşleştirmeyi düşünün.

AlexHost Neden WireGuard VPN’iniz İçin İdeal Bir Platform?

Doğru hosting sağlayıcısını seçmek önemlidir. VPN’iniz, üzerinde çalıştığı altyapı kadar güvenilirdir. AlexHost, onu kendi barındırılan VPN dağıtımları için özellikle uygun kılan çeşitli özellikler sunar:

• Tüm VPS planlarında tam root erişimi — WireGuard’ı çekirdek düzeyinde yüklemek ve yapılandırmak için gereklidir
• Hızlı G/Ç performansı için SSD destekli depolama
• VPN’inizin bir darboğaza dönüşmemesini sağlamak için yüksek bant genişlikli ağ portları
• Coğrafi esneklik için birden fazla veri merkezi konumu
• Kendi barındırmayı çoğu ticari VPN aboneliğinden daha uygun fiyatlı kılan rekabetçi fiyatlandırma

Basit bir web sitesi için temel bir Shared Web Hosting planıyla başlıyor veya WireGuard sunucunuz için tam bir VPS Hosting ortamı dağıtıyor olun, AlexHost sizi hızla çalışır hale getirecek altyapı ve desteği sağlar.

Sonuç

WireGuard, VPN teknolojisinde gerçek bir sıçramayı temsil eder. Kriptografik titizliği, minimal saldırı yüzeyi, çekirdek düzeyindeki performansı ve basit yapılandırmasının birleşimi, onu kendi barındırdığı gizlilik altyapısı konusunda ciddi olan herkes için en iyi seçim haline getirir.

WireGuard’ı kendi bulut VPS’inizde dağıtarak, gizlilik uygulamalarını doğrulayamadığınız ticari VPN sağlayıcılarına olan bağımlılığı ortadan kaldırır, ağ trafiğiniz üzerinde tam kontrol kazanır ve bunu genellikle aylık VPN aboneliğinden daha düşük bir maliyetle gerçekleştirirsiniz.

Linux’a belirli düzeyde aşinalık gerektirmekle birlikte, kurulum süreci OpenVPN veya IPSec gibi eski alternatiflere kıyasla çok daha erişilebilirdir. Bu kılavuzdaki adımları dikkatlice takip edin, güvenlik sertleştirme önerilerini uygulayın; bir saat içinde üretime hazır kişisel bir VPN çalıştırıyor olacaksınız.

Veriniz. Sunucunuz. Kurallarınız.