WireGuard nedir?

WireGuard, modern kriptografi kullanan hızlı, sade ve güvenli bir VPN tünelidir. Mantık basittir: Sunucuda bir WireGuard arayüzü oluşturursun, istemciler için anahtar çiftleri üretirsin, her istemciye özel bir IP tanımlarsın ve cihazları bu güvenli tünele bağlarsın.

WireGuard’ın sevilen tarafı, konfigürasyonunun görece sade olmasıdır. Bir sunucu config dosyası, her cihaz için bir peer tanımı ve istemcide kullanılacak küçük bir `.conf` dosyası yeterlidir. Telefon tarafında bu config genellikle QR kodla içe aktarılır.

Neden ücretli VPN yerine kendi VPS VPN sistemini kurmak isteyebilirsin?

Ücretli VPN servisleri genellikle farklı ülke lokasyonları, uygulama kolaylığı ve tek tıkla bağlantı gibi avantajlar sunar. Fakat kendi VPS üzerine WireGuard kurmanın amacı biraz farklıdır. Burada öncelik “ülke değiştirmek” değil; kendi kontrolünde, kendi sunucuna bağlı, kendi cihazlarını kapsayan güvenli bir özel ağ kurmaktır.

Bu sistem özellikle şu durumlarda işe yarar: dışarıdayken VPS üzerindeki admin panellerine güvenli bağlanmak, public Wi-Fi’da trafiği tünellemek, yalnızca VPN üzerinden erişilmesini istediğin servisler oluşturmak, SSH/phpMyAdmin/panel gibi araçları herkese açık bırakmadan yönetmek.

• Kendi VPS servislerine güvenli erişim sağlayabilirsin.
• Public Wi-Fi kullanırken trafiğini kendi sunucun üzerinden tünelleyebilirsin.
• Telefon, laptop ve masaüstü bilgisayarı aynı özel ağda buluşturabilirsin.
• Admin panellerini doğrudan internete açmak yerine VPN arkasına alabilirsin.
• CGNAT problemi yaşamazsın; çünkü VPN sunucusu public IP’li VPS üzerinde çalışır.
• Ek VPN lisansı ödemezsin; mevcut VPS’in varsa maliyet çok düşük olur.

Bu sistem ücretsiz mi? Hangi maliyetler var?

“Ücretsiz VPN” ifadesini doğru anlamak gerekir. WireGuard yazılımı ücretsizdir. Android, iPhone, Windows, macOS ve Linux istemcileri ücretsizdir. Docker ücretsizdir. linuxserver/wireguard ve wg-easy gibi self-hosted araçlar açık kaynak olarak kullanılabilir.

Ancak bir VPN sunucusu çalıştırmak için internete açık bir makine gerekir. Bu rehberde bu makine VPS’tir. Eğer zaten bir VPS’in varsa, WireGuard için ek lisans maliyeti çıkmaz. Yeni VPS alacaksan, gerçek maliyet VPS ücretidir.

Gerekenler

Bu rehberde Ubuntu/Debian tabanlı bir VPS varsayacağız. Komutlar Ubuntu 22.04/24.04 ve Debian 12 gibi modern sistemlerde benzer mantıkla uygulanabilir. Sunucuda root veya sudo yetkili kullanıcıya ihtiyacın olacak.

• Public IP adresine sahip bir VPS.
• Ubuntu veya Debian tabanlı Linux sunucu.
• SSH erişimi.
• UDP 51820 portunu açma imkânı.
• Telefon için WireGuard mobil uygulaması.
• Bilgisayar için WireGuard istemcisi.
• Docker yöntemi kullanılacaksa Docker ve Docker Compose.

Yöntem 1: Klasik WireGuard kurulumu

Klasik kurulum, WireGuard’ı doğrudan VPS üzerine kurma yöntemidir. Docker kullanmadan, sistem servisleriyle çalışan temiz ve kontrol edilebilir bir yapı kurarsın. Teknik olarak biraz daha fazla komut içerir; fakat mantığı öğrenmek için en iyi yöntem budur.

1. Sistem güncelleme ve WireGuard kurulumu

sudo apt update
sudo apt upgrade -y
sudo apt install wireguard qrencode ufw -y

`wireguard` paketleri sunucu ve istemci araçlarını getirir. `qrencode` mobil cihazlar için terminalden QR kod üretmekte kullanılır. `ufw` ise basit firewall yönetimi için tercih edilebilir.

2. Sunucu anahtarlarını üretme

sudo mkdir -p /etc/wireguard
cd /etc/wireguard

umask 077
wg genkey | sudo tee server_private.key | wg pubkey | sudo tee server_public.key

sudo cat server_private.key
sudo cat server_public.key

Private key kesinlikle paylaşılmamalıdır. Public key ise peer tanımlarında kullanılabilir.

3. IP forwarding açma

VPN istemcilerinin internet trafiğini VPS üzerinden çıkarabilmesi için IP forwarding gerekir.

echo "net.ipv4.ip_forward=1" | sudo tee /etc/sysctl.d/99-wireguard.conf
sudo sysctl --system

4. Ağ arayüzünü öğrenme

NAT kuralında sunucunun dış ağ arayüzünü kullanacağız. Genelde `eth0`, `ens3`, `ens18` veya benzeri olabilir.

ip route | grep default

Çıktıda `dev eth0` gibi bir bölüm görürsen dış arayüzün `eth0` olabilir. Aşağıdaki örneklerde `eth0` kullanıldı; kendi sunucundaki değer farklıysa onu yazmalısın.

5. Sunucu config dosyası oluşturma

sudo nano /etc/wireguard/wg0.conf

[Interface]
Address = 10.8.0.1/24
ListenPort = 51820
PrivateKey = SUNUCU_PRIVATE_KEY_BURAYA

PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -A FORWARD -o wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -D FORWARD -o wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

`SUNUCU_PRIVATE_KEY_BURAYA` alanına `server_private.key` içeriği yazılır. `eth0` yerine kendi VPS dış ağ arayüzünü kullanmalısın.

6. Firewall portlarını açma

sudo ufw allow OpenSSH
sudo ufw allow 51820/udp
sudo ufw enable
sudo ufw status

SSH erişimini açık bırakmadan firewall etkinleştirmek büyük hata olur. Bu yüzden önce `OpenSSH` kuralını eklemek önemlidir.

7. WireGuard servisini başlatma

sudo systemctl enable wg-quick@wg0
sudo systemctl start wg-quick@wg0
sudo wg show

`sudo wg show` çıktısında `wg0` arayüzü ve dinleme portu görünüyorsa sunucu tarafı temel olarak hazırdır.

Telefon için peer oluşturma ve QR kod bağlantısı

Şimdi telefona özel bir istemci config dosyası hazırlayacağız. Her cihaz için ayrı peer oluşturmak en sağlıklı yaklaşımdır. Yani telefon, laptop ve masaüstü bilgisayar aynı config dosyasını paylaşmamalıdır.

1. Telefon anahtarlarını üretme

cd /etc/wireguard

umask 077
wg genkey | sudo tee phone_private.key | wg pubkey | sudo tee phone_public.key

sudo cat phone_private.key
sudo cat phone_public.key

2. Sunucu config dosyasına peer ekleme

[Peer]
PublicKey = TELEFON_PUBLIC_KEY_BURAYA
AllowedIPs = 10.8.0.2/32

Bu bölüm `/etc/wireguard/wg0.conf` dosyasının en altına eklenir. Ardından WireGuard yeniden başlatılır.

sudo systemctl restart wg-quick@wg0
sudo wg show

3. Telefon config dosyası oluşturma

Aşağıdaki dosyada `VPS_PUBLIC_IP` alanına VPS IP adresini, `TELEFON_PRIVATE_KEY_BURAYA` alanına telefon private key’ini, `SUNUCU_PUBLIC_KEY_BURAYA` alanına sunucu public key’ini yazmalısın.

[Interface]
PrivateKey = TELEFON_PRIVATE_KEY_BURAYA
Address = 10.8.0.2/32
DNS = 1.1.1.1

[Peer]
PublicKey = SUNUCU_PUBLIC_KEY_BURAYA
Endpoint = VPS_PUBLIC_IP:51820
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 25

`AllowedIPs = 0.0.0.0/0` tüm IPv4 trafiğini VPN üzerinden geçirir. Sadece sunucu iç servislerine erişmek istiyorsan split tunnel yapılabilir; örneğin `AllowedIPs = 10.8.0.0/24` gibi daha sınırlı bir yapı tercih edilebilir.

4. QR kod üretme

sudo qrencode -t ansiutf8 < /etc/wireguard/phone.conf

Telefonda WireGuard uygulamasını açıp “QR kod ile tünel ekle” seçeneğiyle bu kodu okutabilirsin. Bağlandıktan sonra sunucuda `sudo wg show` komutuyla handshake görmen gerekir.

Bilgisayar bağlantısı: Windows, macOS ve Linux istemcileri

Bilgisayar tarafında mantık telefonla aynıdır. Her bilgisayar için ayrı private/public key üretilir, sunucuya ayrı peer eklenir ve istemciye özel `.conf` dosyası oluşturulur.

[Interface]
PrivateKey = LAPTOP_PRIVATE_KEY_BURAYA
Address = 10.8.0.3/32
DNS = 1.1.1.1

[Peer]
PublicKey = SUNUCU_PUBLIC_KEY_BURAYA
Endpoint = VPS_PUBLIC_IP:51820
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 25

Sunucu tarafına da bu laptop için şu peer bölümü eklenir:

[Peer]
PublicKey = LAPTOP_PUBLIC_KEY_BURAYA
AllowedIPs = 10.8.0.3/32

Yöntem 2: Docker ile linuxserver/wireguard kurulumu

Docker yöntemi, WireGuard’ı container içinde çalıştırmak isteyenler için uygundur. Özellikle VPS üzerinde Docker tabanlı servisler çalıştırıyorsan, WireGuard’ı da aynı yönetim mantığına almak isteyebilirsin.

LinuxServer.io WireGuard imajı, `PEERS` değişkeniyle sunucu modunda peer config dosyalarını otomatik üretebilir. QR kodları logda gösterebilir ve config dosyalarını `/config` altında saklayabilir.

services:
  wireguard:
    image: lscr.io/linuxserver/wireguard:latest
    container_name: wireguard
    cap_add:
      - NET_ADMIN
      - SYS_MODULE
    environment:
      - PUID=1000
      - PGID=1000
      - TZ=Europe/Istanbul
      - SERVERURL=VPS_PUBLIC_IP
      - SERVERPORT=51820
      - PEERS=phone,laptop
      - PEERDNS=1.1.1.1
      - INTERNAL_SUBNET=10.13.13.0
      - ALLOWEDIPS=0.0.0.0/0
      - LOG_CONFS=true
    volumes:
      - ./config:/config
      - /lib/modules:/lib/modules
    ports:
      - 51820:51820/udp
    sysctls:
      - net.ipv4.conf.all.src_valid_mark=1
    restart: unless-stopped

mkdir -p ~/wireguard-docker
cd ~/wireguard-docker
nano docker-compose.yml

docker compose up -d
docker logs -f wireguard

`LOG_CONFS=true` kullanıldığında peer QR kodları loglarda görüntülenebilir. Config dosyaları da `./config` klasörü altında oluşur.

Yöntem 3: wg-easy ile web arayüzlü kolay kurulum

Yeni başlayanlar için en pratik yöntem wg-easy olabilir. Çünkü WireGuard sunucusunu kurmanın yanında web panel üzerinden client oluşturma, QR kod gösterme, config indirme ve bağlantıları görme gibi işleri kolaylaştırır.

Klasik kurulum öğrenmek için iyi, linuxserver/wireguard Docker düzeni sevenler için güçlü, wg-easy ise hızlıca çalışan ve yönetilebilir bir sistem isteyenler için oldukça kullanışlıdır.

services:
  wg-easy:
    image: ghcr.io/wg-easy/wg-easy:latest
    container_name: wg-easy
    environment:
      - WG_HOST=VPS_PUBLIC_IP
      - PASSWORD=GUCLU_BIR_PANEL_SIFRESI
      - WG_PORT=51820
      - WG_DEFAULT_DNS=1.1.1.1
    volumes:
      - ./wg-easy:/etc/wireguard
    ports:
      - "51820:51820/udp"
      - "51821:51821/tcp"
    cap_add:
      - NET_ADMIN
      - SYS_MODULE
    sysctls:
      - net.ipv4.ip_forward=1
      - net.ipv4.conf.all.src_valid_mark=1
    restart: unless-stopped

mkdir -p ~/wg-easy
cd ~/wg-easy
nano docker-compose.yml

docker compose up -d
docker logs -f wg-easy

Panel varsayılan olarak `http://VPS_PUBLIC_IP:51821` üzerinden erişilebilir. Ancak bu paneli herkese açık bırakmak doğru değildir. En azından güçlü şifre kullanılmalı; daha iyi yaklaşım paneli firewall ile kısıtlamak, reverse proxy + HTTPS kullanmak veya panel erişimini sadece güvenilir IP’lerden açmaktır.

Telefon bağlantısı: Android ve iPhone için QR kod yöntemi

WireGuard’ın mobil tarafta en güzel tarafı QR kodla kurulum kolaylığıdır. Klasik kurulumda `qrencode` ile terminalde QR üretirsin. linuxserver/wireguard log veya config klasöründe QR üretir. wg-easy ise web panel üzerinden client QR kodunu doğrudan gösterir.

1. WireGuard uygulamasını kur Android veya iPhone’da WireGuard istemcisini yükle.
2. Yeni tünel ekle “Create from QR code” veya “QR koddan oluştur” seçeneğini kullan.
3. QR kodu okut Klasik kurulumda terminal QR kodunu, wg-easy’de paneldeki QR kodu okut.
4. Tüneli etkinleştir Bağlantıyı aç ve birkaç saniye bekle.
5. Sunucuda kontrol et `sudo wg show` veya wg-easy panelinden handshake ve trafik durumunu kontrol et.

Full tunnel mı, split tunnel mı?

WireGuard config dosyasındaki `AllowedIPs` alanı, hangi trafiğin VPN tüneline gireceğini belirler. Bu küçük satır, kullanım şeklini ciddi biçimde değiştirir.

Public Wi-Fi güvenliği için full tunnel daha uygundur. Sadece VPS üzerindeki özel admin servislerine erişmek istiyorsan split tunnel daha sade ve hızlı olabilir.

Güvenlik notları

WireGuard sade bir protokol olsa da, güvenli kullanım için sunucu tarafında bazı temel kurallara dikkat etmek gerekir. VPN kurmak güvenliği otomatik olarak çözmez; yanlış yapılandırılmış bir VPN yeni riskler doğurabilir.

• Her cihaz için ayrı peer oluştur; aynı config dosyasını birden fazla cihazda kullanma.
• Kaybolan veya satılan cihazların peer kaydını hemen sil.
• UDP 51820 dışında gereksiz portları kapalı tut.
• wg-easy panelini güçlü şifre, firewall ve mümkünse HTTPS ile koru.
• Sunucuyu düzenli güncelle.
• Config dosyalarını ve private key’leri herkese açık depolama alanlarına koyma.
• SSH, phpMyAdmin, admin panel gibi servisleri mümkünse sadece VPN IP bloğundan erişilebilir yap.
• Yedek alırken private key güvenliğini unutma.

Sık yapılan hatalar ve çözüm yolları

WireGuard kurulumunda hata olduğunda bağlantı çoğu zaman “bağlandı gibi görünür ama internet gelmez” ya da “handshake oluşmaz” şeklinde kendini belli eder. Sorunu ayırmak için sunucu, firewall, NAT ve istemci config ayrı ayrı kontrol edilmelidir.

sudo wg show
sudo systemctl status wg-quick@wg0
sudo journalctl -u wg-quick@wg0 -n 100 --no-pager
sudo ufw status
ip route
ip a

Hangi yöntemi kim seçmeli?

Üç yöntem de çalışır; doğru tercih senin teknik seviyene ve yönetim ihtiyacına bağlıdır. En sade teknik kontrol klasik kurulumdadır. Docker düzeni kullanıyorsan linuxserver/wireguard temiz bir yaklaşımdır. En kolay peer yönetimi ise wg-easy ile gelir.

1. Klasik WireGuard kurulumu Linux ağ mantığını öğrenmek, sistemi elle kontrol etmek ve minimum bağımlılıkla çalışmak isteyenler için uygundur.
2. linuxserver/wireguard Docker Compose düzeninde servis yöneten, config dosyalarını container mantığıyla saklamak isteyen teknik kullanıcılar için uygundur.
3. wg-easy Telefon ve bilgisayar peer’larını web panelden oluşturmak, QR kod almak ve kullanıcıları kolay yönetmek isteyenler için en pratiktir.

İlk kez kuracaksan wg-easy hızlı sonuç verir; sistemi gerçekten anlamak istiyorsan klasik kurulum en öğretici yöntemdir.

Sonuç: Kendi kişisel VPN altyapını kurmak sandığından daha ulaşılabilir

WireGuard, kendi VPS’in üzerinde kişisel VPN altyapısı kurmayı oldukça erişilebilir hale getiriyor. Klasik kurulum biraz Linux bilgisi ister; Docker yöntemi işleri düzenli tutar; wg-easy ise özellikle telefon ve bilgisayar için peer yönetimini çok kolaylaştırır.

Bu sistemin en güzel tarafı, doğrudan uygulanabilir olmasıdır. Zaten bir VPS’in varsa ek lisans maliyeti çıkmaz. WireGuard ücretsizdir, istemciler ücretsizdir, Docker ücretsizdir ve wg-easy gibi araçlarla yönetim kolaylaşır.

Ama unutulmaması gereken nokta şu: VPN kurmak tek başına güvenlik sihri değildir. Firewall, güncelleme, güçlü şifre, private key güvenliği, panel erişimi ve servis izolasyonu doğru yapılırsa WireGuard çok güçlü bir kişisel güvenlik katmanına dönüşür.