Wenn Sie zu Hause eine kleine technische Ausstattung eingerichtet haben mit NAS, ein Linux-Server oder ein wiederverwendeter Computer voller DiensteSicher kennen Sie das Problem: Im WLAN funktioniert alles einwandfrei, aber sobald Sie das Haus verlassen, ist Schluss. Sie können weder auf Ihre Apps noch auf Ihre Dateien oder IP-Kameras zugreifen, ohne sich in Portkonfigurationsproblemen, DDNS-Problemen und Sicherheitsrisiken zu verstricken oder auf … zurückzugreifen. Empfohlene VPNs für Android.
Die einfachste und sicherste Lösung besteht darin, ein/e zu erstellen VPN mit WireGuard und Verbindung von Android (und von jedem anderen Gerät aus). So können Sie Ihr Heimnetzwerk nutzen, als wären Sie physisch vor Ort, selbst wenn Ihr Internetanbieter CGNAT verwendet oder Ihre Netzwerktopologie etwas komplexer ist. Sehen wir uns das Schritt für Schritt an: Was ist WireGuard? Wie richtet man es unter Linux ein (oder mit Docker und Panels wie EasyPanel/WireGuard Easy) und wie optimiert man es für den Zugriff auf Ihr LAN? VPN auf Android aktivieren und surfen Sie sicher mit Ihrem Mobilgerät.
Was ist WireGuard und warum eignet es sich ideal als Heim-VPN?
WireGuard ist ein modernes, minimalistisches und sehr schnelles VPN-Protokoll. Dies hat die Einrichtung virtueller privater Netzwerke grundlegend verändert. Im Gegensatz zu veralteten Technologien wie OpenVPN oder IPsec wurde es von Grund auf so konzipiert, dass es einfach zu konfigurieren, leicht zu überprüfen und extrem effizient ist.
Die Codebasis ist sehr klein (in der Größenordnung von ein paar tausend ZeilenDadurch lassen sich Sicherheitslücken leichter finden und das System auf dem neuesten Stand halten. Für die Verschlüsselung werden ausschließlich moderne und anerkannte Algorithmen verwendet, wie beispielsweise … Curve25519, ChaCha20, Poly1305, BLAKE2s und so weiter. Keine endlosen Listen veralteter Verschlüsselungsverfahren, die niemand mehr verwenden sollte.
Darüber hinaus funktioniert es ausschließlich auf UDP und kann in den Linux-Kernel integriert werden.Die Latenz ist also gering, die Leistung sehr gut und die CPU-Auslastung vernachlässigbar. Dies macht sich besonders beim Verbinden von Android über 4G/5G oder herkömmliches WLAN bemerkbar: Wiederverbindungen erfolgen schnell und der Tunnel kommt mit Netzwerkänderungen problemlos zurecht.
Die Einrichtung ist zudem wesentlich benutzerfreundlicher: Jedes Gerät verfügt über ein öffentliches/privates SchlüsselpaarEs wird eine interne VPN-IP-Adresse zugewiesen, und der durch den Tunnel gesendete Datenverkehr wird durch die Richtlinie definiert. Zulässige IPsDamit, einem UDP-Port und vier weiteren Einstellungen, ist das System einsatzbereit – ganz ohne Dutzende kryptischer Parameter oder endlose Dateien.
Ein weiterer großer Vorteil ist, dass WireGuard ist plattformübergreifend.: es gibt Offizielle Clients für AndroidEs ist kompatibel mit iOS, Windows, macOS und Linux und kann auch auf Routern, Docker-Containern oder eingebetteten Geräten ausgeführt werden. Auf Mobilgeräten können Sie eine .conf-Datei importieren oder einfach eine .conf-Datei scannen. Auf dem Server generierter QR-Code und fertig.
Grundvoraussetzungen vor der Einrichtung Ihres WireGuard-Servers
Bevor Sie Befehle wie am Fließband einfügen, sollten Sie prüfen, ob Sie bestimmte Voraussetzungen erfüllen. Mindestanforderungen für einen von Android aus erreichbaren WireGuard-ServerDas erspart Ihnen viel Ärger.
Am häufigsten wird ein/eine verwendet. Linux-ServerDies kann ein Cloud-basierter VPS sein (Ubuntu 22.04 ist eine sehr komfortable Option) oder ein Heimrechner (Raspberry Pi, Mini-PC, NAS mit Unterstützung usw.). Jede moderne Distribution mit WireGuard-Unterstützung funktioniert, Ubuntu/Debian bieten jedoch mehr Dokumentation und Beispiele.
Sie benötigen einen Benutzer mit Administratorrechte (Root-Rechte oder ein Benutzer mit sudo-Berechtigungen) sind erforderlich, da Sie Pakete installieren, Netzwerkeinstellungen anpassen, IP-Weiterleitung aktivieren und gegebenenfalls Firewall-Regeln ändern werden. SSH-Zugriff auf den Server und Kenntnisse über die Verbindung von Ihrem Rechner aus sind ebenfalls unerlässlich.
Auf der Clientseite werden Sie hauptsächlich Ihre Android-Smartphone mit der offiziellen WireGuard-AppObwohl das gleiche Konfigurationsschema für Windows, macOS, Linux und iOS funktioniert, unterscheidet sich die Konfigurationsdatei zwischen den Plattformen kaum. Daher ist das hier Gelernte für alle Plattformen nützlich.
Der große Feind: CGNAT und seine Auswirkungen auf Ihr Heim-VPN
Einer der wichtigsten Punkte, insbesondere wenn sich der Server zu Hause befindet, ist zu wissen, ob Ihr Provider Sie hinter einem Netzwerk platziert. CGNAT (Carrier-Grade NAT)Bei CGNAT teilen Sie sich eine öffentliche IP-Adresse mit anderen Clients und Sie können keine Ports zu Ihrem Heimnetzwerk öffnen.was die Bereitstellung eines VPN-Servers über Ihre Heimverbindung extrem schwierig macht.
Die Erkennung ist einfach: Schreiben Sie zunächst Ihre Öffentliche IP Öffnen Sie eine Website wie „whatismyip“ in Ihrem Browser. Greifen Sie anschließend auf die Benutzeroberfläche Ihres Routers zu (normalerweise unter 192.168.1.1 oder 192.168.0.1) und suchen Sie im Bereich „WAN“ oder „Internet“ nach der IP-Adresse, die der Router Ihnen zuweist. Wenn diese IP-Adresse mit … beginnt, … 10.xxx oder liegt im Bereich 100.64.0.0 – 100.127.255.255 Und wenn die Angaben nicht mit den Informationen auf den Webseiten übereinstimmen, nutzen Sie CGNAT. Alternativ können Sie auch direkt beim Mobilfunkanbieter anrufen und nachfragen.
Bei CGNAT erhält Ihr Router keine direkte öffentliche IP-Adresse, Klassische Portweiterleitung ist nicht möglich.Manche Anbieter ermöglichen es, CGNAT gegen Aufpreis oder durch Aktivierung einer Option zu deaktivieren, andere verlangen einen Tarifwechsel, und manchmal schnellen die Kosten in die Höhe. Wenn Sie all das vermeiden möchten, ist die klügere Lösung ein Wechsel zu einem anderen Anbieter. VPS als BrückeIhr Heimserver erstellt einen WireGuard-Tunnel zum VPS, und Sie verbinden sich von Ihrem Android-Gerät aus mit dem VPS, um Ihr Heimnetzwerk zu erreichen.
Vorbereitung des Linux-Servers: WireGuard-Update und -Installation
Auf einem Server mit Ubuntu 22.04 (oder einer ähnlichen Version) ist der erste Schritt folgender: Update-Pakete um die Übernahme von Sicherheitslücken oder alten Versionen zu vermeiden:
apt update && apt upgrade -y
Installieren Sie anschließend WireGuard aus den offiziellen Repositories mit folgendem Befehl:
apt install -y wireguard
Dieses Paket enthält die Werkzeuge wg und wg-quick und lädt das benötigte Kernelmodul. Falls Sie das manuelle Laden in einer etwas ungewöhnlichen Umgebung erzwingen möchten, können Sie Folgendes verwenden:
modprobe wireguard
Schlüsselgenerierung und Serverkonfigurationsstruktur
Das Herzstück von WireGuard ist das System von öffentliche und private SchlüsselNormalerweise wird im Standardverzeichnis gearbeitet. /etc/wireguard/dort werden Sie Schlüssel und Konfigurationsdateien speichern.
Wechseln Sie in dieses Verzeichnis und verschärfen Sie die Standardberechtigungen, bevor Sie etwas erstellen:
cd /etc/wireguard/
umask 077
Dies stellt sicher, dass die Neue Dateien sind möglicherweise für andere Benutzer nicht lesbar.Dies ist bei der Generierung privater Schlüssel von entscheidender Bedeutung. Generieren Sie beispielsweise das Server-Schlüsselpaar:
wg genkey > privatekey
wg pubkey < privatekey > publickey
La Privat Schlüssel Es muss immer auf dem Server verbleiben und darf ihn niemals verlassen; öffentlicher Schlüssel Ja, Sie können es mit Kunden teilen. Vermeiden Sie außerdem Drittanbieteranwendungen, die vertrauliche Informationen gefährden könnten; lesen Sie dazu die Artikel zu [Thema fehlt]. unsichere VPN-Anwendungen Falls Sie Zweifel an Kunden haben.
chmod 600 privatekey
Wenn Sie die Tasten auf dem Bildschirm sehen möchten, um sie später zu kopieren, können Sie Folgendes verwenden:
tail privatekey publickey
Erstellen und bearbeiten Sie die wg0.conf-Datei des Servers.
WireGuard organisiert seine Tunnel in virtuelle Schnittstellen Die Bezeichnungen laut Konvention lauten wg0, wg1 usw. Jede Schnittstelle hat ihre eigene Konfigurationsdatei in /etc/wireguard/Wir werden erschaffen wg0.conf als Hauptschnittstelle.
Wenn Ihnen Nano gefällt und Sie es noch nicht installiert haben, können Sie es mit folgendem Befehl hinzufügen:
apt install -y nano
Öffnen Sie die Konfigurationsdatei:
nano /etc/wireguard/wg0.conf
Bevor Sie etwas schreiben, ermitteln Sie den Namen der Netzwerkschnittstelle, die mit dem Internet verbunden ist (die mit der öffentlichen IP-Adresse oder die IP-Adresse, die Sie für die SSH-Verbindung verwenden). Sie finden diese Information mit folgendem Befehl:
ip a
Bei vielen VPS wird es so genannt eth0, ens3, enp0s3 Oder so ähnlich. Sie benötigen es für NAT-Regeln. Ein Beispiel für einen vollständigen Block wäre:
Address = 10.30.0.1/24
PrivateKey = <clave_privada_servidor>
ListenPort = 51820
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
Hier geben Sie dem Server die IP-Adresse an. 10.30.0.1 innerhalb des VPN-NetzwerksSie weisen es an, auf dem UDP-Port 51820 zu lauschen, und definieren die iptables-Regeln, die gelten, wenn die wg0-Schnittstelle aktiv wird (PostUp) und werden entfernt, wenn Sie nach unten gehen (PostDownSeien Sie beim Ersetzen vorsichtig. eth0 durch den tatsächlichen Namen Ihrer Ausgabeschnittstelle.
In Nano sparen Sie mit Strg + A und Sie schließen mit Strg + XDiese wg0.conf-Datei bildet den Kern, auf dem Sie die verschiedenen Clients (Peers) hinzufügen werden.
Aktivieren Sie die IP-Weiterleitung und starten Sie den WireGuard-Dienst.
Damit Ihre Clients auf das Internet oder das LAN hinter dem VPN-Server zugreifen können, muss das System Folgendes zulassen: IPv4- und IPv6-PaketweiterleitungDies wird mit sysctl gesteuert.
Eine schnelle Möglichkeit besteht darin, die entsprechenden Zeilen hinzuzufügen. /etc/sysctl.conf oder in eine Datei in /etc/sysctl.d/ und aufladen:
echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf
echo "net.ipv6.conf.all.forwarding=1" >> /etc/sysctl.conf
sysctl -p
Falls diese Zeilen bereits existierten, aber auskommentiert waren (mit #), genügt es, Entferne das #Speichern und neu starten sysctl -pOhne diesen Schritt wird der Tunnel zwar aufgebaut, aber die Clients verlieren den Zugriff auf das LAN oder das Internet.
Sie können WireGuard jetzt mithilfe von wg-schnell und systemd:
systemctl start wg-quick@wg0
Damit es automatisch mit dem System startet:
systemctl enable wg-quick@wg0
Prüfen Sie, ob alles grün ist mit:
systemctl status wg-quick@wg0
Um Echtzeitdetails der Schnittstelle, der Schlüssel, der Peers und des Datenverkehrs anzuzeigen, verwenden Sie:
wg
Clients hinzufügen: PC, Android-Mobilgeräte und andere Geräte
Jedes Gerät, das sich mit Ihrem VPN verbindet, wird als ein solches definiert. Peer mit eigenem Schlüssel und Tunnel-IPSie können die Schlüssel entweder auf dem Server selbst generieren (bequemer) oder auf jedem Client (sicherer, da der private Schlüssel den Server nie verlässt).
Bei einem Desktop-Computer könnten Sie beispielsweise Folgendes tun: /etc/wireguard/:
wg genkey > mypc_privatekey
wg pubkey < mypc_privatekey > mypc_publickey
Und für Ihr Android-Mobilgerät:
wg genkey > myphone_privatekey
wg pubkey < myphone_privatekey > myphone_publickey
Überprüfen Sie die Dateien mit:
ls
Und es zeigt die öffentlichen Schlüssel an:
tail mypc_publickey myphone_publickey
Diese öffentlichen Schlüssel sind diejenigen, die Sie eingeben müssen. wg0.conf innerhalb von Blöcken Öffnen Sie die Serverdatei erneut:
nano /etc/wireguard/wg0.conf
Und er fügt beispielsweise hinzu:
PublicKey = <clave_publica_mypc>
AllowedIPs = 10.30.0.2/32
Öffentlicher Schlüssel =
Zulässige IPs = 10.30.0.3/32
Dadurch reservieren Sie die IP-Adresse. 10.30.0.2 für PC und 10.30.0.3 für Android-MobilgeräteDie /32-Kennung bedeutet, dass es sich um eine individuelle IP-Adresse handelt. Jeder Teilnehmer verwendet innerhalb des VPN-Subnetzes seine eigene, eindeutige IP-Adresse.
Speichern und laden Sie den Dienst neu, um die Änderungen anzuwenden:
systemctl restart wg-quick@wg0
Clientkonfigurationsdateien erstellen
Jetzt ist es an der Zeit, die .conf-Dateien, die Clients verwenden werdenDazu gehören Ihr privater Schlüssel, Ihre interne IP-Adresse, DNS- und Serverdaten (öffentlicher Schlüssel, IP-Adresse/Domäne und Port).
Für den PC können Sie erstellen mypc.conf in /etc/wireguard/ (oder wo immer Sie es bevorzugen):
nano mypc.conf
Inhaltstyp:
PrivateKey = <clave_privada_mypc>
Address = 10.30.0.2/24
DNS = 1.1.1.1
Öffentlicher Schlüssel =
Endpunkt = :51820
Zulässige IPs = 0.0.0.0/0
PersistentKeepalive = 20
Im ersten Block definieren Sie die lokale Schnittstelle des Clients: seinen privaten Schlüssel, seine VPN-IP-Adresse und den zu verwendenden DNS-Server. Im zweiten Block beschreiben Sie den Server: seinen öffentlichen Schlüssel, seine Adresse und seinen Port. Die Zeile Zulässige IPs = 0.0.0.0/0 es macht Der gesamte Kundendatenverkehr wird über das VPN geleitet. (Volltunnel). Wenn Sie nur Zugriff auf Ihr entferntes LAN benötigen, können Sie diesen je nach Netzwerk auf 10.30.0.0/24 und/oder 192.168.x.0/24 beschränken.
PersistentKeepalive Für Clients hinter NAT- oder Mobilfunknetzen wird ein Intervall von 20-25 Sekunden dringend empfohlen, da dies verhindert, dass der Tunnel als inaktiv erscheint und die Firewall die Sitzung schließt.
Android-clientspezifische Konfiguration
Bei Android ist der Vorgang derselbe. Das Telefon benötigt seine privater Schlüssel, Ihre Tunnel-IP und die Serverdaten. Sie können die auf dem Server generierten Schlüssel wiederverwenden oder sie direkt in der App generieren.
Nach dem von Ihnen erstellten Beispiel myphone_privatekey und myphone_publickeyDie Datei myphone.conf für Ihr Telefon fehlt:
nano myphone.conf
Etwa so:
PrivateKey = <clave_privada_myphone>
Address = 10.30.0.3/24
DNS = 1.1.1.1
Öffentlicher Schlüssel =
Endpunkt = :51820
Zulässige IPs = 0.0.0.0/0
PersistentKeepalive = 20
Die Schwierigkeit hierbei ist Wie kann ich diese Datei sicher an das Mobiltelefon senden?In einer Laborumgebung könnte man die Datei auf einen Webserver hochladen und herunterladen, aber im Produktivbetrieb sollte man vermeiden, sie per E-Mail zu versenden oder auf unverschlüsselten Diensten zu speichern.
Die sauberste Methode ist in der Regel die Verwendung von qrencode um einen QR-Code zu generieren, den die WireGuard-App auf Android scannen kann:
apt install -y qrencode
qrencode -t ansiutf8 -r myphone.conf
Auf dem Terminal wird ein QR-Code in ASCII-Zeichen angezeigt. Öffnen Sie auf Ihrem Mobilgerät die WireGuard-App und wählen Sie „Scannen Sie den QR-Code„(QR-Code scannen) und auf den Bildschirm richten. So müssen Sie die .conf-Datei nicht über dubiose Kanäle weitergeben.“
Zugriff auf das Heimnetzwerk, DNS und lokale Namen
Abgesehen vom Bau des Tunnels, was ist interessant an einem VPN mit WireGuard auf Android für eine sichere Heimverbindung Es geht darum, auf alle Ihre Heimgeräte zugreifen zu können, als wären Sie vor Ort: NAS, IP-Kameras, Router, Medienserver usw., idealerweise mithilfe von Lokale Domänennamen statt IP-Adressen.
Viele Router, die einen WireGuard-Server oder einen internen DNS-Server integrieren, haben einen Abschnitt wie diesen: Netzwerk → DNS → Hosts bearbeiten wo Sie Einträge erstellen können wie 192.168.1.50 nas-casa.localWenn Sie die DNS-Einstellungen Ihrer VPN-Clients auf den Router oder Server verweisen, der diese Namen auflöst, können Sie über den Hostnamen auf Ihre Geräte zugreifen.
Einige Router-Firmwares mit WireGuard enthalten Kontrollkästchen wie „Fernzugriff auf das LAN zulassen“„Remote Access LAN Subnet“ oder Ähnliches. Sie müssen diese aktivieren, damit Remote-Clients das Netzwerk erreichen können. lokales Subnetz (192.168.xx) über den Router selbst hinaus.
In Szenarien, in denen der WireGuard-Server im Router integriert läuft, erlaubt er häufig Folgendes: Vorab vorbereitete .conf-Profile exportieren für mobile Geräte oder andere Client-Router. Diese Profile enthalten üblicherweise die Tunnel-IP, den korrekten DNS-Server (normalerweise die eigene IP-Adresse des Routers im VPN-Netzwerk) und eine korrekt konfigurierte Liste zulässiger IP-Adressen.
Verifizierung, Fehlerbehebung und Sicherheit
Sobald die Konfiguration in Android importiert und der Tunnel aktiviert wurde, sollte man als Erstes überprüfen, ob Der Handschlag erfolgt korrekt.Die WireGuard-App selbst zeigt den Status, die gesendeten/empfangenen Bytes und den Zeitstempel des letzten Handshakes an.
Führen Sie auf dem Server Folgendes aus:
wg
Dort sehen Sie für jeden Peer dessen öffentlichen Schlüssel, die IP-Adresse des Remote-Servers, den letzten Handshake und den ausgetauschten Datenverkehr. Ist das Feld „Letzter Handshake“ leer oder sehr alt, besteht keine Verbindung zum Client oder sie wird blockiert.
Falls keine Verbindung besteht, überprüfen Sie, ob die Der UDP-Port (51820 oder der von Ihnen verwendete) ist geöffnet. auf der Server-Firewall (UFW, iptables, nftables) und auf allen zwischengeschalteten Routern. Befindet sich der Server hinter einem Heimrouter, konfigurieren Sie die UDP-Portweiterleitung von diesem Port zur internen IP-Adresse des ServersDas Problem kann bestimmte Apps betreffen; siehe unseren Leitfaden zu Was tun, wenn Apps bei aktiviertem VPN nicht funktionieren?.
Wenn sich der Tunnel öffnet, Sie aber kein mobiles Internet haben, überprüfen Sie die Paketweiterleitung (net.ipv4.ip_forward und optional net.ipv6.conf.all.forwarding) ist aktiv und die NAT-Regeln verweisen auf die richtige ausgehende Schnittstelle (eth0, ens3 usw.).
DNS-Probleme werden üblicherweise erkannt, wenn man eine bestimmte IP-Adresse (z. B. 1.1.1.1) anpingen kann, aber keine Domains auflösen kann. Überprüfen Sie in diesem Fall die entsprechende Zeile. DNS = In der .conf-Datei des Clients: Sie können einen öffentlichen DNS-Server (8.8.8.8, 1.1.1.1) oder die Tunnel-IP-Adresse des Servers verwenden, wenn dieser als interner Resolver fungiert.
Was die Sicherheit betrifft, so gibt es neben der Kryptografie von WireGuard eine Reihe weiterer Aspekte. wesentliche bewährte Praktiken:
- Schützen Sie Ihre privaten SchlüsselKopieren Sie sie nicht auf unsichere Webseiten und teilen Sie sie nicht mit anderen.
- Beschränkt die zulässigen IPs pro Peer: Gewährt jedem Kunden nur Zugriff auf die Netzwerke, die er benötigt, keine uneingeschränkte Handlungsfreiheit.
- Verwenden Sie nicht-triviale UDP-PortsDurch den Austausch des 51820 gegen einen höheren Wert wird das Rauschen bei automatischen Scans reduziert.
- Halten Sie Ihr System und WireGuard auf dem neuesten Stand.: Patches jeden Tag.
- Filtert den Zugriff auf den WireGuard-Port in der Firewall, um einzuschränken, wer versuchen kann, eine Verbindung herzustellen (nach Quell-IP, wenn sinnvoll).
Wenn Sie CGNAT verwenden oder etwas Fortgeschritteneres benötigen: Tunneln Sie über einen VPS.
Wenn Ihr Anbieter Sie über CGNAT angebunden hat oder Sie einfach die öffentliche Zugangsschicht Ihres Heimnetzwerks trennen möchten, können Sie eine etwas komplexere, aber sehr leistungsstarke Lösung einrichten: Nutzen Sie einen VPS als zentralen Knotenpunkt und Ihren Heimserver als Client.Dann verbinden Sie sich von Ihrem Android-Gerät aus mit dem VPS und greifen über dieses auf Ihr LAN zu.
Das Grundprinzip ist folgendes: In der Cloud richten Sie ein WireGuard „Server“ (zum Beispiel mit Docker und einem Stack wie linuxserver/wireguard oder einem vorgefertigten Repository) aktivieren Sie Weiterleitung und NAT, und zu Hause haben Sie ein Raspberry Pi oder PC immer eingeschaltet Der Server verbindet sich als Peer mit diesem VPS. Der VPS verfügt über eine öffentliche IP-Adresse und ist nicht von CGNAT betroffen, sodass Sie dort problemlos Ports öffnen können.
Ein typischer Workflow mit Docker könnte wie folgt aussehen:
- Auf dem VPS installieren Sie Docker und Docker Compose, klonen ein WireGuard-Konfigurations-Repository und Sie heben den Container mit `docker-compose up -d` an..
- Der Container generiert automatisch die Serverschlüssel und die Schlüssel mehrerer Peers (Peer1, Peer2…) und speichert deren .conf-Dateien in einem Konfigurationsordner.
- Sie passen die Serverdatei so an, dass sie Ihre Heim-Subnetz (z. B. 192.168.1.0/24) in AllowedIPs den Peer, den Ihr Raspberry Pi verwenden wird, und konfigurieren Sie iptables oder gleichwertige Regeln auf dem Host, um den Datenverkehr zwischen dem VPN und Ihrem Heimnetzwerk zu leiten.
- Klonen Sie auf dem Raspberry Pi dasselbe Repository (oder ein vorbereitetes Repository), erstellen Sie eine wg0.conf-Datei mit den für Peer 1 generierten Daten, aktivieren Sie lokales NAT (um Datenverkehr zurück ins LAN senden zu können) und starten Sie den WireGuard-Client in Docker oder nativ.
Von dort aus kann jedes andere Gerät (einschließlich Ihres) Android mit der WireGuard-AppSie können einen der zusätzlichen Peers des VPS (Peer2, Peer3 usw.) verwenden, um eine Verbindung herzustellen. In der Praxis verbinden Sie sich immer mit der IP-Adresse des VPS, erreichen aber letztendlich Ihre Heimnetzwerkdienste, selbst über CGNAT.
WireGuard mit Webpanels: WireGuard Easy, EasyPanel und Co.
Falls Ihnen das alles zu konsolenlastig erscheint, gibt es sehr komfortable Lösungen, die Folgendes einrichten: Webpanel zur Verwaltung von WireGuard mit einem KlickAuf einem Server mit EasyPanel können Sie beispielsweise eine Anwendung wie folgt bereitstellen: WireGuard Easy Nutzen Sie eine Vorlage und vergessen Sie das manuelle Erstellen von Dateien.
Der Arbeitsablauf mit diesen Bedienfeldern ist üblicherweise wie folgt:
- Sie greifen mit Ihrem Benutzerkonto auf das Bedienfeld (EasyPanel oder ein anderes) zu.
- Sie installieren die Vorlage WireGuard Easy, wobei Parameter wie Domäne/öffentliche IP (WG_HOST), UDP-Port, VPN-Subnetz und DNS definiert werden.
- Das System startet einen Container, der eine passwortgeschützte Weboberfläche bereitstellt, auf der Sie Folgendes sehen: Peerliste, Statistiken und Konfigurationsoptionen.
- Um einen Kunden hinzuzufügen, füllen Sie einfach ein Formular mit dessen Namen aus; das Bedienfeld generiert die Schlüssel, weist ihnen eine IP-Adresse zu und zeigt die QR-Code zum Scannen mit Android bereitZusätzlich zur Möglichkeit, die .conf-Datei herunterzuladen.
Dies ist äußerst praktisch in Umgebungen, in denen mehrere Personen das VPN nutzen (Familie, Arbeitsteam usw.), da man Zugriff in Sekundenschnelle aktivieren oder widerrufen. Ohne technische Erklärungen. Wenn Sie WireGuard Easy auf einem VPS einsetzen, zentralisieren Sie außerdem den gesamten Fernzugriff auf Ihr Heimnetzwerk und andere Standorte.
WireGuard auf anderen Systemen: Windows, macOS, Linux, iOS
Obwohl wir uns hier auf Android konzentrieren, funktioniert WireGuard genauso gut mit Desktop-Computer und andere MobilgeräteUnter Windows lädt man beispielsweise den offiziellen Client herunter, installiert ihn und drückt dann „Tunnel hinzufügenSie wählen entweder „Leeren Tunnel hinzufügen“ oder „Aus Datei importieren“, und das Programm selbst generiert das Schlüsselpaar für Sie.
Das Konfigurationsformat ist dasselbe: Block mit Ihrem Privater Schlüssel, Adresse und DNSund blockieren Sie mit dem Öffentlicher Schlüssel des Servers, Endpunkt und zulässige IPsNach dem Speichern einfach auf „Aktivieren“ klicken, um die Benutzeroberfläche zu starten und den Datenfluss zu beginnen.
Unter iOS ist der Vorgang dem unter Android sehr ähnlich: Sie installieren die WireGuard-App aus dem App Store, erstellen einen neuen Tunnel und können dann Importieren Sie die .conf-Datei oder scannen Sie den QR-Code. Diesen Tunnel haben Sie mit qrencode oder über ein Bedienfeld wie WireGuard Easy erstellt. Anschließend aktivieren Sie den Tunnel mit einem Switch und befinden sich bereits in Ihrem Heimnetzwerk.
Auf Desktop-Linux-Systemen können Sie das Kommandozeilentool selbst verwenden (wg-schnell auf wg0Alternativ lässt es sich durch Importieren der .conf-Datei über die grafische Benutzeroberfläche in NetworkManager integrieren. Es gibt auch einen offiziellen macOS-Client, der sich sehr ähnlich wie die Windows-Version bedienen lässt.
Am Ende haben dasselbe Protokoll und Konfigurationsschema auf allen Plattformen Das vereinfacht das Leben ungemein: Man kann die Logik von einem Client auf einen anderen übertragen, indem man lediglich die Schlüssel und die Tunnel-IP ändert.
Mit dieser Kombination – einem gut konfigurierten Linux- oder Docker-Server, gegebenenfalls VPS-Unterstützung bei Verwendung von CGNAT, Web-Panels zur Vereinfachung der Verwaltung und der WireGuard-App für Android – können Sie Folgendes einrichten: Robustes, schnelles und sicheres Heim-VPN Dadurch können Sie auf Ihr Heimnetzwerk, Ihre Dateien und Dienste zugreifen und sicher in öffentlichen WLAN-Netzen surfen, ohne auf Drittanbieter oder intransparente kommerzielle Lösungen angewiesen zu sein. Teilen Sie diese Information, damit auch andere von der neuen Funktion erfahren..