0850 302 60 70
BlogDestekÖdeme
Buyukweb
WireGuard VPN Sunucu: Kurulum, Peer Yönetimi ve Split Tunneling
Ağ & Network

WireGuard VPN Sunucu: Kurulum, Peer Yönetimi ve Split Tunneling

WireGuard VPN sunucu kurulumu, peer ekleme/çıkarma, split tunneling yapılandırması ve site-to-site VPN tüneli oluşturma.

Büyükweb Teknik Ekibi24 Şubat 20257 dakika okuma

WireGuard VPN Sunucu: Kurulum, Peer Yönetimi ve Split Tunneling

WireGuard, modern, hızlı ve güvenli bir VPN protokolüdür. OpenVPN'e kıyasla çok daha az kod satırına sahip olması güvenliği artırır ve performans üstündür.

WireGuard Kurulumu (Sunucu)

# Ubuntu 20.04+
apt install wireguard -y

# Kernel modülü yükleme
modprobe wireguard
lsmod | grep wireguard

# Anahtar çifti oluştur
cd /etc/wireguard
wg genkey | tee server_private.key | wg pubkey > server_public.key
chmod 600 server_private.key

cat server_private.key  # Gizli tut!
cat server_public.key   # Peer'larla paylaş

Sunucu Yapılandırması

# /etc/wireguard/wg0.conf

[Interface]
Address = 10.8.0.1/24              # VPN sunucu IP'si
ListenPort = 51820                  # UDP port
PrivateKey = <SERVER_PRIVATE_KEY>   # cat server_private.key

# NAT ve IP yönlendirme (internet erişimi için)
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE; ip6tables -A FORWARD -i %i -j ACCEPT; ip6tables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE; ip6tables -D FORWARD -i %i -j ACCEPT; ip6tables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

# Peer 1: Admin laptop
[Peer]
PublicKey = <CLIENT1_PUBLIC_KEY>
AllowedIPs = 10.8.0.2/32           # Bu peer için IP

# Peer 2: Ofis bilgisayarı
[Peer]
PublicKey = <CLIENT2_PUBLIC_KEY>
AllowedIPs = 10.8.0.3/32

# Peer 3: Site-to-site (ofis ağı)
[Peer]
PublicKey = <OFFICE_ROUTER_PUBLIC_KEY>
AllowedIPs = 10.8.0.10/32, 192.168.100.0/24  # Ofis alt ağına erişim
Endpoint = ofis.buyukweb.com:51820
PersistentKeepalive = 25

# IP yönlendirmeyi etkinleştir
echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf
echo "net.ipv6.conf.all.forwarding=1" >> /etc/sysctl.conf
sysctl -p

# WireGuard'ı başlat
systemctl enable wg-quick@wg0
systemctl start wg-quick@wg0
wg show                  # Durum kontrolü

İstemci Yapılandırması

# İstemci anahtar çifti oluştur
wg genkey | tee client_private.key | wg pubkey > client_public.key

Tam Tünel (Full Tunnel - Tüm Trafik VPN'den)

# /etc/wireguard/wg0.conf (İstemci)

[Interface]
Address = 10.8.0.2/32
PrivateKey = <CLIENT_PRIVATE_KEY>
DNS = 1.1.1.1, 8.8.8.8            # VPN DNS

[Peer]
PublicKey = <SERVER_PUBLIC_KEY>
Endpoint = vpn.buyukweb.com:51820
AllowedIPs = 0.0.0.0/0, ::/0      # TÜM trafik VPN'den geçer
PersistentKeepalive = 25

Split Tunneling (Seçici Tünel)

# /etc/wireguard/wg0.conf (İstemci - Split Tunnel)

[Interface]
Address = 10.8.0.2/32
PrivateKey = <CLIENT_PRIVATE_KEY>
# DNS belirtme (yerel DNS kullan)

[Peer]
PublicKey = <SERVER_PUBLIC_KEY>
Endpoint = vpn.buyukweb.com:51820

# Sadece belirli ağlar VPN'den geçer
AllowedIPs = 10.8.0.0/24,         # VPN ağı
             192.168.1.0/24,       # Ofis ağı
             172.16.0.0/12         # Sunucu ağı
# 0.0.0.0/0 YOK = internete direkt bağlan
PersistentKeepalive = 25

Peer Yönetimi

# Yeni peer ekle (sunucu yeniden başlatmadan)
wg set wg0 peer <NEW_CLIENT_PUBLIC_KEY> allowed-ips 10.8.0.4/32

# Peer kaldır
wg set wg0 peer <CLIENT_PUBLIC_KEY> remove

# Değişiklikleri kaydet
wg-quick save wg0

# Peer durumu görüntüle
wg show wg0 peers
wg show wg0 latest-handshakes
wg show wg0 transfer            # Veri aktarım istatistikleri

# Tüm WireGuard durumu
wg show

WireGuard QR Kodu (Mobil İstemci)

# QR kod araçları
apt install qrencode -y

# İstemci yapılandırmasını QR koda çevir
qrencode -t ansiutf8 < /etc/wireguard/client1.conf

# Geçici dosyaya yaz (telefona taratmak için)
qrencode -o /tmp/wg-client1.png < /etc/wireguard/client1.conf

Site-to-Site VPN

# Lokasyon A (Bursa ofisi)
# /etc/wireguard/wg0.conf
[Interface]
Address = 10.10.0.1/30
PrivateKey = <BURSA_PRIVATE_KEY>
ListenPort = 51820
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

[Peer]
PublicKey = <ISTANBUL_PUBLIC_KEY>
Endpoint = istanbul.buyukweb.com:51820
AllowedIPs = 10.10.0.2/32, 192.168.2.0/24
PersistentKeepalive = 25

# Lokasyon B (İstanbul ofisi)
[Interface]
Address = 10.10.0.2/30
PrivateKey = <ISTANBUL_PRIVATE_KEY>
ListenPort = 51820

[Peer]
PublicKey = <BURSA_PUBLIC_KEY>
Endpoint = bursa.buyukweb.com:51820
AllowedIPs = 10.10.0.1/32, 192.168.1.0/24
PersistentKeepalive = 25

Performans ve İzleme

# Bant genişliği testi (VPN üzerinden)
iperf3 -s                          # Sunucu
iperf3 -c 10.8.0.1                # İstemci

# Gecikme testi
ping 10.8.0.1
mtr 10.8.0.1

# Trafik izleme
wg show wg0 transfer
watch -n 1 'wg show wg0 transfer'

# Log görüntüleme
journalctl -u wg-quick@wg0 -f
dmesg | grep wireguard

Sonuç

WireGuard, OpenVPN ve IPsec'e kıyasla çok daha basit, hızlı ve güvenli bir VPN çözümüdür. Split tunneling ile sadece gerekli trafiği VPN'den geçirebilir, site-to-site yapılandırma ile ofisler arası güvenli bağlantı sağlayabilirsiniz. Buyukweb, VPS ve dedicated sunucu hizmetlerinde WireGuard kurulumunu desteklemektedir.

Ilgili Buyukweb Hizmetleri:

Ag Yonetimi ve Sorun Giderme

DNS

A, AAAA, CNAME, MX, TXT kayitlarini yapilandirin. TTL ayarlayin. DNSSEC ile spoofing koruması. Yedekli DNS kullanin.

Performans Olcumu

iperf3 bant genisligi, mtr traceroute, ping gecikme, dig DNS analizi. Smokeping ile uzun vadeli izleme.

Load Balancing

HAProxy/Nginx ile trafik dagitimi. Health check ile ariza tespiti. Round-robin veya least connections algoritmasi.

VPN

WireGuard minimal ve hizli. OpenVPN genis platform destegi. Site-to-site VPN ile lokasyonlari baglayin.

DDoS Koruma

L3/L4: rate limiting, SYN cookie. L7: WAF, CAPTCHA, JS challenge. Buyukweb L3-L7 koruma sunar.

IPv6

Dual-stack yapilandirma ile IPv4 ve IPv6 birlikte. IPv4 tukeniyor, IPv6 gecisi kacinilmaz.

Sik Sorulan Sorular

Ping atamiyorum ne yapmaliyim?

ICMP engellenebilir. Port bazli test yapin. DNS kontrol edin.

DNS degisikligi ne zaman yayilir?

TTL'e bagli. Dusuk TTL (300s) ile 5-10 dakika. Degisiklik oncesi TTL dusurmenizi oneririz.

Sonuc

Ag altyapisi dijital hizmetlerin temelidir. DNS, guvenlik ve performans ile kesintisiz hizmet sunun.

Ag Sorun Giderme Adimlari

1. Fiziksel Katman

Kablo baglantilari, switch portlari ve NIC durumu kontrol edin.

2. IP Katmani

ip addr ile IP yapilandirmasi, ip route ile yonlendirme tablosu kontrol edin.

3. DNS Katmani

dig veya nslookup ile DNS cozumlemesi test edin.

4. Uygulama Katmani

curl ile HTTP yanit kodlari, telnet ile port erisimi kontrol edin.

Ag Guvenlik Kontrol Listesi

  • Guvenlik duvari kurallari minimize
  • IDS/IPS aktif (Snort, Suricata)
  • VPN ile uzaktan erisim
  • Ag segmentasyonu (VLAN)
  • Port security yapilandirmasi
  • Trafik izleme ve analiz
  • Duzenli guvenlik taramasi

Bant Genisligi Hesaplama

Ortalama sayfa boyutu x gunluk ziyaretci x sayfa/ziyaret = gunluk trafik. Guvenlik marji %50 ekleyin. Buyukweb 1 Gbps paylasımsız port sunar.

Profesyonel Hosting icin Onemli Kriterler

Veri Merkezi Kalitesi

Veri merkezinin tier seviyesi, sunucu barindirma kalitesini dogrudan etkiler. Tier 3 veri merkezleri yedekli guc, soğutma ve ag altyapisi ile %99.982 uptime garantisi sunar. Buyukweb'in Bursa Pendc Tier 3 veri merkezi bu standartlari karsilamaktadir.

Teknik Destek Kalitesi

7/24 ulasılabilir, Turkce ve teknik bilgi sahibi destek ekibi hosting hizmetinin vazgecilmez parcasidir. E-posta, canli destek ve telefon kanallarindan hizli yanit almak ozellikle is surekliligi acisından kritiktir.

Olceklenebilirlik

Isletmeniz buyudukce hosting ihtiyaclariniz da degisir. Paylasimli hostingten VDS'e, VDS'den dedicated sunucuya sorunsuz gecis yapabilmek uzun vadeli planlamaniz icin onemlidir. Buyukweb tum bu gecis sureclerini ucretsiz olarak yonetir.

Yedekleme ve Felaket Kurtarma

Gunluk otomatik yedekleme, tek tikla geri yukleme ve uzak yedekleme secenekleri veri guvenliginiz icin sart. JetBackup ile profesyonel yedekleme cozumu tum Buyukweb hosting paketlerinde standarttir.

Guvenlik Katmanlari

SSL sertifikasi, WAF korumasi, malware tarama, DDoS korumasi ve guvenlik duvari - tum bu katmanlar birlikte calisiarak web sitenizi korur. Buyukweb bu guvenliklerin hepsini standart olarak sunar.

Uygulama ve Proje Ornekleri

Hosting ve sunucu hizmetleri farkli sektorlerde farkli ihtiyaclara karsilik gelir:

Kurumsal Web Sitesi

Sirket tanitim sitesi, blog, kariyer sayfasi ve iletisim formu icin paylasimli hosting yeterlidir. SSL, e-posta ve yedekleme dahil. cPanel ile kolay yonetim.

E-Ticaret Magaza

WooCommerce veya PrestaShop ile online magaza kurmak icin VDS oneriyoruz. Urun gorselleri, siparis yonetimi ve odeme entegrasyonu icin daha fazla kaynak gerekir.

SaaS Uygulamasi

Kendi yaziliminizi barindirmak icin dedicated sunucu veya VDS idealdir. Tam root erisim, ozel yapilandirma ve yuksek performans gerektirir.

Oyun Sunucusu

Multiplayer oyunlar icin dusuk gecikme suresi ve yuksek CPU performansi sart. GPU VDS ile grafik islem gerektiren oyun sunuculari calistirabilirsiniz.

Gelistirme Ortami

Test, staging ve CI/CD icin uygun fiyatli VDS paketleri kullanin. Docker ile gelistirme ortamlarinizi standartlastirin.

Her senaryo icin en uygun cozumu belirlemek icin Buyukweb teknik ekibine danisin: 0850 302 60 70.

Etiketler:

#wireguard#vpn#split tunneling#site-to-site vpn#ağ güvenliği

Bu yazıyı paylaş

TwitterLinkedInWhatsApp

Benzer Yazılar

CDN Nasıl Çalışır? Cloudflare ve Global İçerik Dağıtım Ağı Rehberi

CDN Nasıl Çalışır? Cloudflare ve Global İçerik Dağıtım Ağı Rehberi

7 dk okuma
Nginx Reverse Proxy: Yapılandırma, SSL ve Yük Dengeleme

Nginx Reverse Proxy: Yapılandırma, SSL ve Yük Dengeleme

7 dk okuma
IP Adresleri ve Subnetting: Ağ Bölümlendirme Kapsamlı Rehberi

IP Adresleri ve Subnetting: Ağ Bölümlendirme Kapsamlı Rehberi

7 dk okuma