Neden kendi WireGuard VPN'inizi çalıştırmalısınız?
Ticari bir VPN, denetleyemeyeceğiniz bir şirkete güvenmenizi gerektirir. Onlara ödeme yaparsınız, tüm trafiğinizi sunucuları üzerinden yönlendirirsiniz ve kayıt tutmadıklarına dair sözlerine inanmak zorunda kalırsınız. Kendi barındırdığınız bir VPN ise bu denklemi tersine çevirir: bir sunucu kiralar, VPN'i kendiniz kurar ve trafiğinizi görebilecek tek taraf siz olursunuz. Ortada günlük tutacak, satacak ya da mahkeme kararıyla verilere erişilecek bir sağlayıcı yoktur.
WireGuard, bunu pratik kılan şeydir. Küçük, hızlı ve sade bir modern VPN protokolüdür — eski yazılım yığınlarındaki yüz binlerce satır kod yerine birkaç bin satırdan oluşur; bu da denetlenmesini kolaylaştırır ve yanlış yapılandırmayı neredeyse imkânsız hâle getirir. Mütevazı bir VPS'de bile bağlantıyı ihmal edilebilir CPU kullanımıyla doyurur. KYC gerektirmeyen offshore bir VPS ile birleştiğinde, kendi barındırdığınız bir WireGuard tüneli yalnızca size ait özel bir çıkış noktası sunar — bu rehber de onu sıfırdan inşa eder.
Neye ihtiyacınız var?
Kurulumun tamamı tek bir sunucu ve yaklaşık on beş dakika gerektirir:
- Bir VPS. En küçük plan bile yeterlidir — WireGuard son derece hafiftir. Trafiğinizin görünmesini istediğiniz konumu seçin. Tam root erişimiyle ayda 7,50 dolardan başlayan bir ServPrivacy VPS fazlasıyla yeterlidir.
- Temiz bir Linux kurulumu. Güncel herhangi bir Debian veya Ubuntu işe yarar; aşağıdaki komutlar bunlardan birini varsaymaktadır. Diğer dağıtımlar yalnızca paket kurulum adımında farklılık gösterir.
- Root veya sudo erişimi ve komut satırında birkaç dakikanız.
Bir alan adına, kontrol paneline ya da herhangi bir üçüncü taraf VPN yazılımına ihtiyacınız yoktur. WireGuard, modern Linux çekirdeğinin içinde zaten bulunmaktadır.
Adım 1 — Sunucuya WireGuard'ı kurun
SSH üzerinden VPS'inize bağlanın ve WireGuard araçlarını yükleyin. Debian veya Ubuntu'da bu tek bir komutla yapılır: apt update && apt install -y wireguard. Çekirdek modülü modern bir çekirdekte zaten mevcuttur; bu komut yalnızca tünelleri yönetmek için kullandığınız kullanıcı alanı araçlarını — wg ve wg-quick — yükler.
Kurulum bu kadar. Yapılandırılacak ayrı bir daemon, oluşturulacak bir hesap ya da normal sistem güncellemeleri dışında bakım gerektiren bir şey yoktur.
Adım 2 — Anahtarları oluşturun ve sunucu yapılandırmasını yazın
WireGuard, eşleri açık anahtar şifrelemesiyle doğrular; bu nedenle ilk görev sunucu için bir anahtar çifti oluşturmaktır. Şu komutla oluşturun: wg genkey | tee server_private.key | wg pubkey > server_public.key. Özel anahtar sunucuda kalır ve asla paylaşılmaz; açık anahtar her istemciye verilir.
Ardından /etc/wireguard/wg0.conf dosyasına tünel yapılandırmasını oluşturun. Sunucu bölümü, tünelin özel adres aralığını, WireGuard'ın dinlediği portu (varsayılan olarak 51820) ve sunucunun özel anahtarını tanımlar. Daha sonra bağladığınız her cihaz, istemcinin açık anahtarını ve tünel içindeki adresini içeren bir [Peer] bloğu olarak eklenir. Dosyanın yalnızca root tarafından okunabilir olmasını sağlayın — sunucunun özel anahtarını içermektedir.
Yapılandırma kasıtlı olarak kısadır. Çalışan bir sunucu yapılandırması yirmi satırın oldukça altındadır; bu da WireGuard'ın tehlikeli biçimde hatalı yapılandırılmasının neden bu kadar zor olduğunun bir parçasıdır.
Adım 3 — Yönlendirmeyi etkinleştirin ve portu açın
VPN'in trafiğinizi internete yönlendirebilmesi için sunucunun paket iletmesi gerekir. /etc/sysctl.conf dosyasında net.ipv4.ip_forward=1 ayarını yaparak ve sysctl -p ile uygulayarak IP yönlendirmeyi etkinleştirin. Tünel yapılandırması ayrıca giden trafiği maskeleyerek sunucunun kendi adresiyle çıkmasını sağlayan bir güvenlik duvarı kuralına ihtiyaç duyar — bu genellikle tünel başladığında otomatik uygulanması için wg0.conf dosyasına PostUp satırı olarak eklenir.
Ardından WireGuard portunun erişilebilir olduğundan emin olun. VPS'de bir güvenlik duvarı çalışıyorsa seçtiğiniz portta (varsayılan olarak 51820) UDP'ye izin verin. WireGuard yalnızca UDP kullanır ve — gizlilik açısından faydalı bir özellik olarak — istek dışı paketlere hiç yanıt vermez; dolayısıyla bir port taraması hizmetin varlığını bile doğrulayamaz.
Tüneli wg-quick up wg0 komutuyla başlatın ve önyüklemede etkinleştirmek için systemctl enable [redacted-user]@[redacted-host] komutunu çalıştırın. Sunucu tarafı artık çalışır durumda.
Adım 4 — İstemci ekleyin ve bağlanın
VPN'i kullanan her cihazın — dizüstü bilgisayar, telefon — kendi anahtar çiftine ve küçük bir istemci yapılandırmasına ihtiyacı vardır. Sunucu için olduğu gibi istemci için de bir anahtar çifti oluşturun, ardından istemcinin özel anahtarını, tünel adresini, sunucunun açık anahtarını, sunucunun genel IP ve portunu Endpoint olarak ve tüm trafiğin tünelden geçmesi için AllowedIPs değerini [redacted-ip]/0 olarak içeren bir istemci yapılandırması yazın.
Eşleşen [Peer] bloğunu — istemcinin açık anahtarıyla birlikte — sunucunun wg0.conf dosyasına ekleyin ve yeniden yükleyin. İstemcide WireGuard uygulamasını yükleyin (her masaüstü ve mobil platform için mevcuttur), yapılandırmayı içe aktarın — çoğu uygulama QR kodu kabul eder, telefonlar için en kolay yöntem budur — ve tüneli açın. Bir saniye içinde cihazınızın trafiği VPS'inizden çıkmaya başlar. Bunu genel IP adresinizi kontrol ederek doğrulayabilirsiniz: artık sunucunun adresi olmalıdır.
Adım 5 — Güvenliği sertleştirin ve bakımını yapın
Çalışan bir tünel işin büyük bölümünü oluşturur; birkaç son dokunuş onu sağlam kılar:
- SSH'yi güvenceye alın. Anahtar tabanlı giriş kullanın, şifre kimlik doğrulamasını devre dışı bırakın ve SSH'yi 22 numaralı porttan taşımayı düşünün. VPN yalnızca çalıştığı sunucu kadar özeldir.
- Sistemi güncel tutun. WireGuard'ın kendisi çok az dikkat gerektirir, ancak altta yatan OS güvenlik güncellemelerini almalıdır — otomatik güncellemeleri etkinleştirin.
- Cihaz başına bir anahtar çifti. Tek bir istemci yapılandırmasını cihazlar arasında asla paylaşmayın. Bir cihaz kaybolursa yalnızca o cihazın peer bloğunu kaldırırsınız, her şeyi yeniden anahtarlamanıza gerek kalmaz.
- İstemci yapılandırmasında DNS ayarlayın. İstemciyi gizlilik odaklı bir çözümleyiciye yönlendirin; böylece DNS sorguları da yerel ağa sızmak yerine tünelden geçer.
- Günlük tutma konusunda varsayılanlara güvenin. WireGuard taşıdığı trafik hakkında hiçbir şey kaydetmez; geçenden hiçbir şey günlüğe alınmaz, dolayısıyla devre dışı bırakmanız gereken ekstra bir şey yoktur.
Bu şekilde bakıldığında sunucu neredeyse hiç sürekli ilgi gerektirmez — WireGuard bir kez kur, unut yaklaşımına çok yakındır.
Kendi barındırdığınız bir VPN'in doğru tercih olduğu durumlar
Kendi barındırdığınız bir WireGuard VPN, yalnızca size hesap veren özel bir çıkış noktası istediğinizde doğru seçimdir — güvenilmez ağlarda bağlantınızı güvence altına almak, göz atma etkinliğinizi bir ISP'den uzak tutmak ya da seçtiğiniz bir konumdan görünmek için. Kendi sunucunuz olduğundan, binlerce yabancıyla paylaşılan bir IP adresi yoktur ve inanç üzerine kurulu sağlayıcı günlük politikası da.
Yapmadığı tek şeyi açıkça belirtmek gerekir: tek sunuculu bir VPN, sizi ISP'nizden ve ziyaret ettiğiniz sitelerden korur; ancak VPS sağlayıcısı teorik olarak çıkıştaki trafiği gözlemleyebilir. İşte bu yüzden host seçimi önemlidir — KYC gerektirmeyen, kayıt tutmayan, offshore bir VPS, çıkış noktasının kimlik toplamayan ve geçen kayıtları saklamayan bir sağlayıcı tarafından işletildiği anlamına gelir. Kendi barındırdığınız WireGuard artı doğru VPS, çoğu insan için mevcut en dürüst gizlilik kurulumudur: kontrol ettiğiniz altyapının ötesinde hiçbir güvene ihtiyaç yoktur.