Wireguard VPN unter Debian 11 installieren

Wireguard ist eine kostenlose und quelloffene VPN-Protokoll-Alternative zu IPSec, IKEv2 und OpenVPN. Wiruguard ist für Linux- und Unix-Betriebssysteme konzipiert. Es läuft auf dem Linux-Kernelspace, was Wireguard schneller und zuverlässiger macht. Wireguard wird verwendet, um sichere Tunnelverbindungen zwischen zwei oder mehr Computern herzustellen.

Wireguard zielt darauf ab, VPN-Protokolle wie IPSec, IKEv2 und OpenVPN zu ersetzen. Wireguard ist leichter, schneller, einfach einzurichten und effizienter. Gleichzeitig hat Wiregurad den Sicherheitsaspekt des VPN-Protokolls nicht geopfert. Wireguard unterstützt moderne State-of-the-Art-Kryptografie wie das Noise-Protokoll-Framework, Curve25519, ChaCha20, Poly1305, BLAKE2, SipHash24, HKDF und sichere, vertrauenswürdige Konstruktionen.

Im Vergleich zu anderen VPN-Protokollen wie OpenVPN, IPSec und IKEv2 ist Wireguard ein neues VPN-Protokoll. Wireguard wurde 2015 von Jason A. Donenfeld als alternatives VPN-Protokoll veröffentlicht. 2020 wurde es von Linus Torvalds in den Linux-Kernel v5.6 integriert und im selben Jahr auch auf FreeBSD 13 portiert.

In diesem Tutorial wirst du einen VPN-Server über Wireguard auf Debian 11 Servern installieren und einrichten. Du richtest einen Wireguard VPN-Server mit Debian 11 Server ein und richtest dann einen Client-Rechner ein, der sich mit dem Wireguard VPN-Server verbindet.

Für den Client-Rechner kannst du jede beliebige Linux-Distribution verwenden, aber in diesem Beispiel wird ein Debian-Rechner benutzt.

Voraussetzungen

Um mit diesem Tutorial zu beginnen, musst du folgende Voraussetzungen erfüllen:

• Ein Debian 11-Server – Dieses Beispiel verwendet einen Debian-Server mit dem Hostnamen ‚wireguard-server‚ und einer externen statischen IP-Adresse ‚SERVER-IP‚.
• Ein Linux-Rechner, der als Client verwendet wird – Du kannst jede Linux-Distribution verwenden, aber in diesem Beispiel wird ein Debian-Rechner mit dem Hostnamen ‚client1‘.
• Ein Nicht-Root-Benutzer mit sudo/root-Administrator-Rechten.

Wenn alle diese Voraussetzungen erfüllt sind, können wir loslegen.

Installieren von Wireguard

Bevor du Wireguard installierst, führe den folgenden apt-Befehl aus, um deinen Debian-Paketindex zu aktualisieren und aufzufrischen.

sudo apt update

Sobald die Debian-Repositories aktualisiert sind, führst du den folgenden apt-Befehl aus, um das Wireguard-Paket auf deinem Debian-Server zu installieren. Dabei wird auch das Paket wireguard-tools installiert, das zur Verwaltung deiner Wireguard-Serverinstallation verwendet wird.

sudo apt install wireguard

Wenn du zur Bestätigung aufgefordert wirst, gib y ein, um zu bestätigen, und drücke ENTER, um fortzufahren. Jetzt sollte die Installation beginnen.

Wenn Wireguard auf deinem Server installiert ist, kannst du ein öffentliches und ein privates Schlüsselpaar für den Wireguard Server und den Client erzeugen.

Generierung des öffentlichen/privaten Schlüsselpaars

In diesem Schritt erzeugst du ein öffentliches und ein privates Schlüsselpaar für den Wireguard-Server und den Client-Rechner. Das kannst du über die Befehlszeile „wg“ des Wireguard-Tools-Pakets erledigen.

Das Schlüsselpaar für den Server wird vom Wireguard-Server verwendet, und der Client-Computer verwendet das Schlüsselpaar für den Client. Wenn du mehrere Client-Rechner hast, kannst du mehrere Schlüsselpaare für deine Clients erzeugen.

Schlüsselpaar für den Wireguard-Server generieren

Führe den folgenden ‚wg genkey‚ aus, um den privaten Schlüssel für den Wireguard-Server zu erzeugen. Dann änderst du die Berechtigung des privaten Schlüssels auf„0400„, wodurch der Lese- und Schreibzugriff für die Gruppe und andere deaktiviert wird.

In diesem Beispiel erzeugst du den privaten Schlüssel „/etc/wireguard/server.key“.

wg genkey | sudo tee /etc/wireguard/server.key
sudo chmod 0400 /etc/wireguard/server.key

Du erhältst dann einen zufälligen base64-Schlüssel auf deinem Terminalbildschirm.

Als Nächstes führst du den unten stehenden Befehl ‚wg pubkey‚ aus, um den neuen öffentlichen Schlüssel des Servers in„/etc/wireguard/server.pub“ zu erzeugen. Der öffentliche Schlüssel des Servers wird von dem privaten Schlüssel des Servers„/etc/wireguard/server.key“ abgeleitet.

sudo cat /etc/wireguard/server.key | wg pubkey | sudo tee /etc/wireguard/server.pub

Du erhältst dann einen zufälligen öffentlichen base64-Schlüssel auf deinem Terminal.

Jetzt hast du öffentliche und private Schlüsselpaare für den Wireguard-Server erzeugt. Der privat Schlüssel befindet sich unter ‚/etc/wireguard/server.key‘und der öffentliche Schlüssel befindet sich unter ‚/etc/wireguard/server.pub‚.

Führe den folgenden cat-Befehl aus, um das generierte Schlüsselpaar für den Wireguard-Server anzuzeigen und zu überprüfen.

cat /etc/wireguard/server.key
cat /etc/wireguard/server.pub

Erzeugen des Schlüsselpaares für den Client

Das Client-Schlüsselpaar kannst du auf jedem Rechner (Wireguard-Server oder -Client) erzeugen, auf dem die Wireguard-Tools installiert sind. In diesem Schritt erzeugst du ein Client-Schlüsselpaar für den Wireguard-Server.

Das Verfahren zur Erzeugung eines Schlüsselpaars für den Server und den Client ist dasselbe: Mit dem Befehl ‚wg genkey‚, um den privaten Schlüssel zu erzeugen, und mit dem Befehl ‚wg pubkey‚ zur Erzeugung des öffentlichen Schlüssels, der vom privaten Schlüssel abgeleitet wird.

Führe nun den folgenden Befehl aus, um ein neues Verzeichnis„/etc/wireguard/clients“ zu erstellen. In diesem Verzeichnis wird das Client-Schlüsselpaar gespeichert.

mkdir -p /etc/wireguard/clients

Führe den unten stehenden Befehl „wg genkey“ aus, um den privaten Schlüssel des Clients in„/etc/wireguard/clients/client1.key“ zu erzeugen. Anschließend generierst du den öffentlichen Schlüssel des Clients mit dem Befehl„wg pubkey“ in „/etc/wireguard/clients/client1.pub„.

wg genkey | tee /etc/wireguard/clients/client1.key
cat /etc/wireguard/clients/client1.key | wg pubkey | tee /etc/wireguard/clients/client1.pub

Nachdem das Client-Schlüsselpaar erzeugt wurde, wird der öffentlich Schlüssel befindet sich unter ‚/etc/wireguard/clients/client1.pub‘ und der privat Schlüssel ist ‚/etc/wireguard/clients/client1.key‚. Führe den folgenden Befehl aus, um das erzeugte Schlüsselpaar anzuzeigen und zu überprüfen.

cat /etc/wireguard/clients/client1.key
cat /etc/wireguard/clients/client1.pub

Wireguard Server konfigurieren

In diesem Schritt erstellst du eine neue Konfigurationsdatei für den Wireguard Server. Zuvor musst du jedoch entscheiden, welche Subnetze du für den Wireguard VPN Server verwenden willst. Du kannst auch entscheiden, ob du IPv6 für deinen Wireguard VPN Server aktivieren oder deaktivieren willst.

In diesem Beispiel wird der Wireguard VPN Server IP-Adressen mit dem Subnetz ‚10.8.0.2/24‘ haben und das IPv6 für das Wireguard VPN deaktivieren.

Erstelle eine neue Wireguard-Konfigurationsdatei „/etc/wireguard/wg0.conf“ mit dem unten stehenden nano-Editor-Befehl.

sudo nano /etc/wireguard/wg0.conf

Füge zunächst die folgenden Zeilen in die Datei ein, um die Details des Wirguard-Servers zu definieren. Achte darauf, dass du den„PrivateKey“ durch den privaten Schlüssel des Wirguard-Servers„server.key“ ersetzt. Damit läuft die Wireguard-Serverschnittstelle unter der IP-Adresse„10.8.0.1„, öffnet den UDP-Port 51820, über den sich die Clients verbinden können, und der Parameter SaveConfig stellt sicher, dass alle Änderungen in der Konfigurationsdatei gespeichert werden, auch wenn die Wireguard-Schnittstelle ausgeschaltet ist.

[Interface]
# Wireguard Server private key - server.key
PrivateKey = SIybp8GHtKIPtHPBOQFP1kbQg4UCLCMyNIfCLBQR2EA=
# Wireguard interface will be run at 10.8.0.1
Address = 10.8.0.1/24

# Clients will connect to UDP port 51820
ListenPort = 51820

# Ensure any changes will be saved to the Wireguard config file
SaveConfig = true

Als Nächstes fügst du die folgenden Zeilen ein, um die Client-Peer-Verbindung zu definieren. Ändere den Parameter‚PublicKey‚ mit dem öffentlichen Schlüssel des Clients‚client1.pub‚. Und der Parameter„AllowedIPs“ gibt an, welcher Wireguard-Client Zugriff auf diese Gegenstelle hat. In diesem Beispiel dürfen nur Clients mit der IP„10.8.0.2“ auf diese Peer-Verbindung zugreifen. Du kannst aber auch einen Bereich von Subnetzen zulassen, z.B.„10.8.0.0/24„.

[Peer]
# Wireguard client public key - client1.pub
PublicKey = ENokvIsS2euXrmM4OVFHPmTdCZ4wfEIR/UHuGCW64lw=
# clients' VPN IP addresses you allow to connect
# possible to specify subnet ? [10.8.0.0/24]
AllowedIPs = 10.8.0.2/24

Speichere die Datei und beende den Editor, wenn du fertig bist.

Nachdem du die Wireguard-Serverkonfigurationsdatei erstellt und die Client-Peer-Verbindung hinzugefügt hast, richtest du als Nächstes die Port-Weiterleitung auf dem Weireguard-Server ein und richtest die Firewall ein, um das Traffic Routing einzurichten.

Port-Forwarding über /etc/sysctl.conf einrichten

In diesem Schritt aktivierst du das Port-Forwarding auf dem Wireguard-Server über die Datei /etc/sysctl.conf‘. Du kannst das Port-Forwarding sowohl für IPv4 als auch für IPv6 auf dem Wireguard-Server aktivieren.

Öffne zunächst die Konfigurationsdatei ‚/etc/sysctl.conf‚ mit dem unten stehenden Editor-Befehl nano.

sudo nano /etc/sysctl.conf

Füge die folgenden Zeilen in die Datei ein. Dadurch wird die Portweiterleitung auf deinem Wireguard-Server aktiviert. Du kannst sie sowohl für IPv4 als auch für IPv6 verwenden, oder du kannst IPv4 verwenden, wenn du IPv6 auf deinem Wireguard-Server deaktiviert hast.

# Port Forwarding for IPv4
net.ipv4.ip_forward=1
# Port forwarding for IPv6
net.ipv6.conf.all.forwarding=1

Speichere die Datei und beende den Editor, wenn du fertig bist.

Als Nächstes führst du den unten stehenden Befehl sysctl aus, um die Änderungen zu übernehmen.

sudo sysctl -p

Du wirst eine Ausgabe wie diese erhalten – Das Port-Forwarding sollte sofort aktiviert werden.

Wenn das Port-Forwarding auf dem Wireguard-Server aktiviert ist, musst du als Nächstes die Firewall einrichten, die den Datenverkehr der Wireguard-Clients an die entsprechende Netzwerkschnittstelle weiterleitet.

Firewall für Wireguard Server konfigurieren

In diesem Schritt richtest du die Firewall ein, die für den Wireguard-Server verwendet wird, um Client-Verbindungen an die richtige Netzwerkschnittstelle zu leiten, die für den Internetzugang verwendet wird. Dadurch können die Wireguard-Clients über die entsprechende Schnittstelle des Wireguard-Servers auf das Internet zugreifen.

Führe zunächst den folgenden apt-Befehl aus, um das Firewall-Paket ufw auf deinem Debian-Server zu installieren.

sudo apt install ufw

Gib y ein, wenn du dazu aufgefordert wirst, und drücke ENTER, um fortzufahren.

Nachdem ufw installiert ist, führe den folgenden Befehl aus, um den SSH-Dienst zu öffnen und die ufw-Firewall zu aktivieren.

sudo ufw allow OpenSSH
sudo ufw enable

Wenn du aufgefordert wirst, die Aktivierung der ufw-Firewall zu bestätigen, gib y ein und drücke ENTER. Die ufw-Firewall sollte jetzt auf deinem System laufen und ist auch aktiviert.

Überprüfe nun den Status der ufw-Firewall mit dem folgenden Befehl. Du solltest eine Ausgabe wie„Status: aktiv“ erhalten, was bedeutet, dass die ufw-Firewall läuft.

sudo ufw status

Wenn die ufw-Firewall läuft, musst du sie so konfigurieren, dass sie die Verbindungen der Wireguard-Clients an die entsprechende Netzwerkschnittstelle weiterleitet.

Führe den folgenden Befehl aus, um die Standard-Routing-Tabellenschnittstelle auf dem Wireguard-Server zu überprüfen. Meistens wird dabei eine Schnittstelle erkannt, die für den Internetzugang genutzt wird oder über die eine öffentliche IP-Adresse verfügbar ist.

ip route list default

Du erhältst eine Ausgabe wie diese – In diesem Beispiel ist die Schnittstelle eth0 die Standard-Routing-Tabelle für den Wireguard-Server. Und dies ist die Schnittstelle, die für den Zugang zum Internet verwendet wird. Du kannst auch einen anderen Schnittstellennamen haben.

Als Nächstes öffnest du die Wireguard-Serverkonfigurationsdatei„/etc/wireguard/wg0.conf“ mit dem folgenden nano-Editor-Befehl.

sudo nano /etc/wireguard/wg0.conf

Füge die folgenden Zeilen in den ‚[Schnittstelle]‚ Abschnitt ein.

[Interface]
...
....
PostUp = ufw route allow in on wg0 out on eth0
PostUp = iptables -t nat -I POSTROUTING -o eth0 -j MASQUERADE
PostUp = ip6tables -t nat -I POSTROUTING -o eth0 -j MASQUERADE
PreDown = ufw route delete allow in on wg0 out on eth0
PreDown = iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
PreDown = ip6tables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

Speichere die Datei und beende den Editor, wenn du fertig bist.

• Der Parameter‚PostUp‚ wird immer dann ausgeführt, wenn der Wirguard-Server den VPN-Tunnel startet.
• Der Parameter‚PreDown‚ wird immer dann ausgeführt, wenn der Wireguard-Server den VPN-Tunnel beendet.
• Der Befehl‚ufw route allow in on wg0 out on eth0‚ erlaubt die Weiterleitung des über die Schnittstelle wg0 eingehenden Datenverkehrs an die Internetschnittstelle eth0.
• Der Befehl ‚iptables -t nat -I POSTROUTING -o eth0 -j MASQUERADE‘ aktiviert Masquerading und schreibt den IPv4-Verkehr von der wg0-Schnittstelle so um, dass er wie die direkte Verbindung vom Wireguard-Server aussieht.
• Der Befehl‚ip6tables -t nat -I POSTROUTING -o eth0 -j MASQUERADE‚ aktiviert Masquerading und schreibt den IPv46-Verkehr von der wg0-Schnittstelle um, so dass er wie eine direkte Verbindung vom Wireguard-Server aussieht.

Führe nun den folgenden ufw-Befehl aus, um den UDP-Port 51820 zu öffnen, über den die Clients verbunden werden.

sudo ufw allow 51820/udp

Führe abschließend den folgenden Befehl aus, um die ufw-Firewall neu zu laden und die Änderungen zu übernehmen. Überprüfe dann die Liste der ufw-Regeln mit dem unten stehenden Befehl.

sudo ufw reload
sudo ufw status

Du erhältst eine Ausgabe wie in diesem Screenshot – Der UDP-Port 51820, den der Wireguard-Server für Client-Verbindungen verwenden wird, wurde der ufw-Firewall hinzugefügt.

Jetzt hast du das Port-Forwarding aktiviert und die Firewall auf dem Wireguard-Server konfiguriert. Jetzt kannst du den Wireguard-Server starten.

Wireguard Server starten

In diesem Schritt startest du den Wireguard-Server und aktivierst ihn. Außerdem überprüfst du den Wireguard-Server und die wg0-Schnittstelle, die vom Wireguard-Dienst erstellt wird.

Führe den folgenden systemctl-Befehl aus, um den Wireguard-Dienst zu starten und zu aktivieren. Der Dienst„wg-quick@wg0.service“ erstellt und aktiviert die Wireguard-Schnittstelle„wg0“ auf deinem Wireguard-Server.

sudo systemctl start wg-quick@wg0.service
sudo systemctl enable wg-quick@wg0.service

Überprüfe nun den Wireguard-Dienst mit dem unten stehenden Befehl.

sudo systemctl status wg-quick@wg0.service

Du erhältst eine Ausgabe ähnlich dem folgenden Screenshot – Der Wireguard-Dienst„wg-quick@wg0.service“ läuft und ist aktiviert. Das bedeutet auch, dass die Schnittstelle„wg0“ erstellt wurde und läuft.

Führe den folgenden Befehl aus, um die Schnittstelle „wg0“ auf deinem Wireguard-Server zu überprüfen.

ip a show wg0

Du solltest eine Ausgabe wie diese erhalten – Die Wireguard-Schnittstelle wg0 erhält eine IP-Adresse‚10.8.0.1‚, wie in der Wireguard-Konfigurationsdatei‚/etc/wireguard/wg0.conf‚ beschrieben.

Außerdem kannst du Wireguard auch über den Befehl„wg-quick“ starten und stoppen (siehe unten). Mit dem Befehl„wg-quick up“ startest du den Wireguard-Server und mit „wg-quick down“ stoppst du den Wireguard-Server.

sudo wg-quick up /etc/wireguard/wg0.conf
sudo wg-quick down /etc/wireguard/wg0.conf

Wenn der Wireguard-Server läuft, richtest du als Nächstes den Client-Rechner ein und verbindest ihn mit dem Wireguard-Server.

Client-Rechner einrichten und mit dem Wireguard-Server verbinden

In diesem Schritt richtest du den Client-Rechner ein, indem du die Wireguard-Tools installierst, eine neue Wireguard-Konfiguration für den Client erstellst, eine Verbindung zum Wireguard-VPN-Server herstellst und schließlich die Verbindung überprüfst und sicherstellst, dass der Client-Rechner das Internet und das lokale VPN-Netzwerk erreichen kann.

Installiere das Paket„wireguard-tools“ auf dem Client-Rechner. Hier wird ein Debian als Client verwendet, also wird der APT-Befehl benutzt.

sudo apt install wireguard-tools

Die Installation sollte automatisch beginnen.

Nachdem die wireguard-tools installiert sind, erstelle eine neue Konfigurationsdatei„/etc/wireguard/wg-client1.conf“ mit dem unten stehenden nano-Editor-Befehl.

sudo nano /etc/wireguard/wg-client1.conf

Füge die folgenden Zeilen in die Datei ein.

[Interface]
# Define the IP address for the client - must be matched with wg0 on Wireguard Server
Address = 10.8.0.2/24
# specific DNS Server
DNS = 1.1.1.1

# Private key for the client - client1.key
PrivateKey = KPI59QH0jwc9wkUsW5Byci9ojXhz1322QXK52fQCE3E=

[Peer]
# Public key of the Wireguard server - server.pub
PublicKey = Qt6oRLtlfAR490lTNb2K8TlbpwADV1j8NX7D5HY38EM=

# Allow all traffic to be routed via Wireguard VPN
AllowedIPs = 0.0.0.0/0

# Public IP address of the Wireguard Server
Endpoint = SERVER-IP:51820

# Sending Keepalive every 25 sec
PersistentKeepalive = 25

Speichere und schließe die Datei, wenn du fertig bist.

Im Abschnitt „[Schnittstelle]“ musst du Folgendes festlegen:

• Die IP-Adresse des Clients muss mit dem Subnetz des Wireguard-Servers übereinstimmen. In diesem Beispiel erhält der Wireguard-Client die IP-Adresse ‚10.8.0.2‘.
• Gib den DNS-Server für den Client an.
• Ändere den Parameter‚PrivateKey‚ mit dem privaten Schlüssel des Clients, den du erzeugt hast,‚client1.key‚.Im Abschnitt ‚[Peer]‘ musst du Folgendes hinzufügen:
• Den öffentlichen Schlüssel des Wireguard-Servers’server.pub‚ zum Parameter ‚PublicKey‘.
• Gib‚AllowedIPs‚ an, um den Zugriff auf den VPN-Peer zu beschränken. Du kannst Subnetze von Netzwerken angeben oder einfach 0.0.0.0/0, um den gesamten Datenverkehr über VPN zu tunneln.
• Gib den Parameter Endpunkt mit der öffentlichen IP-Adresse des Wireguard-Servers an oder verwende einen Domänennamen.

Nachdem du die Client-Konfiguration erstellt hast, führe den folgenden Befehl aus, um Wireguard auf dem Client-Rechner zu starten.

wg-quick up wg-client1

Du solltest eine ähnliche Ausgabe wie in diesem Screenshot erhalten – die neue Wireguard-Schnittstelle„wg-client1“ wird erstellt und der Client-Rechner sollte mit dem Wireguard-Server verbunden sein, der unter„SERVER-IP:51820“ läuft.

Führe den folgenden Befehl aus, um die Wireguard-Schnittstelle„wg-client1“ zu überprüfen.

ip a show wg-client1

Du solltest eine Ausgabe wie diese erhalten – Die Schnittstelle wg-client1 ist mit der IP-Adresse„10.8.0.2“ aktiviert, die zum Subnetz des Wireguard-Servers„10.8.0.0/24“ gehört.

Du kannst die Wireguard-Verbindung auch mit dem Befehl‚wg show‚ überprüfen.

Führe den folgenden„wg show“ -Befehl auf dem Client-Rechner aus und du solltest eine Ausgabe wie diese erhalten.

wg show

Wenn du mit dem richtigen Wireguard-Server verbunden bist, solltest du die IP-Adresse des Wirguard-Servers im Abschnitt„Endpunkt“ sehen und den öffentlichen Schlüssel des Wirguard-Servers ‚server.pub‚.

Wechsle nun zum Wireguard-Server und führe den Befehl„wg show“ aus.

wg show

Du solltest eine ähnliche Ausgabe wie diese erhalten: Im Abschnitt “ Endpunkt“ siehst du die öffentliche IP-Adresse des Clients und im Abschnitt „Peer“ den öffentlichen Schlüssel des Clients ‚client1.pub‚.

Zum Schluss führst du den folgenden Befehl aus, um sicherzustellen, dass der Client-Rechner auf das Internet oder das interne Netzwerk-Subnetz des Wireguard VPN zugreifen kann.

ping -c5 10.8.0.1
ping -c5 1.1.1.1
ping -c5 duckduckgo.com

Nachfolgend siehst du die Ausgabe, die du erhalten solltest:

Der Client-Rechner kann eine Verbindung zum Wireguard-Server mit der IP-Adresse „10.8.0.1“ herstellen.

Der Client-Rechner kann auf das Internet zugreifen. Der gesamte Datenverkehr wird über die öffentliche IP-Adresse des Wireguard-Servers geleitet.

Wenn du nun Wrieguard auf dem Client-Rechner stoppen möchtest, kannst du den Befehl„wg-quick down“ ausführen

wg-quick down wg-client1

Du erhältst dann die folgende Meldung. Außerdem wird die Schnittstelle wg-client1 auf dem Client-Rechner gelöscht.

Jetzt hast du das Wirguard VPN auf dem Client-Rechner konfiguriert. Außerdem hast du die Verbindung zwischen dem Client-Rechner und dem Wireguard-Server überprüft.

Fazit

In diesem Tutorium hast du Wireguard VPN auf einem Debian 11 Server installiert und konfiguriert. Außerdem hast du einen Debian-Rechner konfiguriert und dich erfolgreich mit dem Wireguard VPN Server verbunden.

Im Einzelnen hast du das Wireguard VPN-Paket installiert, ein Schlüsselpaar aus öffentlichem und privatem Schlüssel für den Server und den Client erzeugt, die UFW-Firewall so konfiguriert, dass sie den VPN-Datenverkehr an die entsprechende Netzwerkschnittstelle weiterleitet, und die Portweiterleitung über die Datei /etc/sysctl.conf aktiviert.

Nun kannst du weitere Clients zu deinem Wireguard VPN Server hinzufügen, indem du ein weiteres Schlüsselpaar für den Client generierst, die Peer-Verbindung auf dem Wireguard Server definierst und dann eine neue Wireguard-Konfigurationsdatei erstellst, die der Client-Rechner verwenden wird. Um mehr über Wireguard zu erfahren, besuche die offizielle Wireguard-Dokumentation.