Tüm sistemler çalışıyor Amsterdam · Paris · Reykjavík +5 Ödeme yöntemi Kripto para
Ağ ve self-hostingOrta seviye9 dk okumaGüncellendi: 2026-07-14

VPS üzerinde WireGuard VPN nasıl kurulur

Bir VPS üzerinde WireGuard VPN'i yaklaşık on dakikada kurun: paketi yükleyin, anahtarları oluşturun, wg0.conf dosyasını yazın, UDP 51820'yi açın ve istemcinizi bağlayın. No-KYC, kripto ödemeli bir sunucuda adım adım anlatım.

VPS üzerinde WireGuard VPN nasıl kurulur
Bu sayfada
  1. Ticari VPN satın almak yerine neden WireGuard kendi başınıza barındırılır?
  2. Kişisel VPN için hangi katmanı seçmeli?
  3. Adım 1 — WireGuard'ı yükleme
  4. Adım 2 — Sunucu ve istemci anahtarlarını oluşturma
  5. Adım 3 — /etc/wireguard/wg0.conf dosyasını yazma
  6. Adım 4 — IP yönlendirmeyi etkinleştirme ve güvenlik duvarını açma
  7. Adım 5 — Tüneli başlatma ve önyüklemede etkinleştirme
  8. Adım 6 — İstemci cihazınızı yapılandırma
  9. Güçlendirme ipuçları
  10. VPS ve ticari VPN — kendi başınıza barındırmanın mantıklı olduğu durumlar
  11. Sık sorulan sorular

WireGuard, kendi VPN'inizi çalıştırmanın en hızlı ve en sade yoludur. Linux çekirdeğinde çalışır, modern kriptografi kullanır ve çalışan bir tünel, her iki tarafta tek bir kısa yapılandırma dosyasından ibarettir. VPS üzerinde kendiniz barındırmak, çıkış noktasını uçtan uca kontrol etmenizi sağlar: trafiğinizi kaydeden paylaşımlı bir ticari sunucu yoktur ve gerçek IP'nizi yalnızca seçtiğiniz sunucu görür.

Bu rehber, gerçekten kopyalayabileceğiniz komutlarla yaklaşık on dakikada eksiksiz bir sunucu kurmanızı anlatır. Taze bir Debian veya Ubuntu LTS makinesi ve root erişiminizin olduğunu varsayıyoruz. Henüz bir sunucu dağıtmadıysanız, kripto ödemeli no-KYC VPS, kendi kendine barındırılan VPN ile doğal bir uyum içindedir; giriş seviyemiz bunun için fazlasıyla yeterlidir. Rehberin sonunda her yeniden başlatmada otomatik olarak ayağa kalkan bir tünele ve telefonunuzda QR kodu olarak tarayabileceğiniz bir istemci yapılandırmasına sahip olacaksınız.

Ticari VPN satın almak yerine neden WireGuard kendi başınıza barındırılır?

Ticari bir VPN size kolaylık ve geniş bir çıkış IP havuzu sunar; ancak kayıt tutmadıklarına ve gizlilik politikalarında yazdıklarına üçüncü bir tarafı güvenerek inanırsınız. Kendi başınıza barındırılan bir WireGuard uç noktası bunu tersine çevirir: makinenin sahibi sizsiniz, yapılandırmayı siz yazarsınız ve bir şeyin kaydedilip kaydedilmeyeceğine siz karar verirsiniz. Binlerce yabancıyla paylaşılan çıkış adresi yoktur; bu aynı zamanda onların kötüye kullanım geçmişinin size yansımayacağı anlamına gelir.

Değiş tokuş açıktır: VPS sağlayıcısı yine de bir IP'nin var olduğunu ve trafik yönlendirdiğini görebilir; dolayısıyla kendi başınıza barındırmak, güveni bir VPN markasından sunucunuza taşır. Bunun işe yaraması için gizlilik odaklı bir yargı bölgesindeki offshore no-KYC VPS üzerinde çalıştırmak, kimliğinizi vermeden ödeme yapmak önem kazanır. Bu nedenle özel deriz, anonim değil: kendi başınıza barındırılan bir tünel tutumunuzu geliştirir; ancak gerçek anonimlik yine de kendi ödeme ve ağ hijyeninize bağlıdır. Daha geniş bağlam için VPN için VPS kullanımına genel bakış yazımıza göz atın.

Kişisel VPN için hangi katmanı seçmeli?

WireGuard kaynak tüketimi açısından son derece hafiftir. Tek bir CPU çekirdeği ve 1 GB RAM, çoğu ev bağlantısını doyurur; şifreleme işi, ağır bir kullanıcı alanı arka plan programı yerine çekirdekte gerçekleşir. Bir kişi veya birkaç cihaz için Pup katmanı (1 vCPU, 1 GB RAM, 25 GB NVMe) yeterlidir; her katmanda olduğu gibi sınırsız trafikle birlikte gelir, bu nedenle bir VPN ölçülü bir kotayı tüketmez.

Yalnızca yük ekliyorsanız bir üst katmana geçin. Aynı tünel üzerinde birkaç aile üyesi Pup veya Cub'da sorunsuz çalışır; başka servisler barındırmak, birkaç konteyner çalıştırmak veya aynı anda birden fazla yoğun akış sunmak istiyorsanız ek çekirdek ve RAM için Scout ya da Runner katmanına geçin. Bir VPN için boyut kadar konum da önemlidir: gecikme ve yargı yetkisine göre seçin; bunu ileride ele alıyoruz. Monero veya desteklenen herhangi bir kripto para birimiyle ödeme yapabilirsiniz; sunucu kurulum ücreti olmadan yaklaşık altmış saniyede kullanıma hazır olur.

Adım 1 — WireGuard'ı yükleme

WireGuard, modern Linux çekirdeğinde yerleşik olarak bulunur; kurulum yalnızca kullanıcı alanı araçlarını içerir. Debian veya Ubuntu LTS üzerinde paket dizinini yenileyip paketi root olarak yükleyin:

apt update && apt install -y wireguard

Bu işlem, tüneli yönetmek için kullanacağınız iki komutu, wg ve wg-quick'i getirir. AlmaLinux, Rocky veya Fedora üzerinde karşılığı dnf install -y wireguard-tools'dur. Devam etmeden önce wg --version ile kurulumu doğrulayın.

Adım 2 — Sunucu ve istemci anahtarlarını oluşturma

WireGuard, parolaların aksine Curve25519 anahtar çiftleriyle kimlik doğrular. Önce dizini kilitleyin, ardından sunucu için bir anahtar çifti, her istemci cihaz için ayrı bir tane oluşturun. Root olarak çalıştırın:

umask 077; cd /etc/wireguard

wg genkey | tee server_private.key | wg pubkey > server_public.key

wg genkey | tee client_private.key | wg pubkey > client_public.key

Artık dört dosyanız var. İki açık anahtar eşler arasında paylaşılır; iki özel anahtar ise ait oldukları makineden hiçbir zaman ayrılmaz. Bir sonraki adımda yapılandırmayı doldururken cat server_private.key gibi komutlarla bunları ekrana yazdırın. Telefon ve dizüstü bilgisayar arasında bir anahtar çiftini yeniden kullanmak yerine cihaz başına yeni bir istemci anahtar çifti oluşturun.

Adım 3 — /etc/wireguard/wg0.conf dosyasını yazma

/etc/wireguard/wg0.conf konumunda sunucu arabirimi yapılandırmasını oluşturun. Bu dosya tünel alt ağını (burada 10.0.0.0/24), dinleme portunu ve istemci trafiğinin sunucunun genel arabirimiyle maskelenmesi için NAT kuralını tanımlar. SERVER_PRIVATE_KEY ve CLIENT_PUBLIC_KEY değerlerini adım 2'dekilerle değiştirin; genel NIC adınızı ip route get 1.1.1.1 ile onaylayın (genellikle eth0 veya ens3):

[Interface]
Address = 10.0.0.1/24
ListenPort = 51820
PrivateKey = SERVER_PRIVATE_KEY
PostUp = iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

[Peer]
PublicKey = CLIENT_PUBLIC_KEY
AllowedIPs = 10.0.0.2/32

Sunucu 10.0.0.1'dir; ilk istemci 10.0.0.2 olacaktır. Her ek cihaz kendi [Peer] bloğunu ve aralıktaki bir sonraki adresi alır.

Adım 4 — IP yönlendirmeyi etkinleştirme ve güvenlik duvarını açma

Sunucunun istemci trafiğini internete yönlendirebilmesi için çekirdek paket iletimini yapmalıdır. Kalıcı olarak etkinleştirin ve hemen uygulayın:

echo 'net.ipv4.ip_forward=1' >> /etc/sysctl.conf && sysctl -p

Ardından WireGuard portunu açın. WireGuard varsayılan olarak UDP 51820 üzerinde dinler. UFW kullanıyorsanız:

ufw allow 51820/udp && ufw allow OpenSSH

Güvenlik duvarını etkinleştirdiğinizde kendinizi dışarıda bırakmamak için SSH portuna aynı anda izin verin. Her VPSCrypto VPS'i ayrılmış temiz bir IPv4 ve bir IPv6 /64 ile gelir; dolayısıyla bu tek UDP kuralı VPN'inizin ihtiyaç duyduğu tüm gelen trafiğe açık olmak için yeterlidir.

Adım 5 — Tüneli başlatma ve önyüklemede etkinleştirme

Yapılandırmanızı okuyan yardımcı araçla arabirimi başlatın, ardından yeniden başlatmaları atlatan systemd birimini etkinleştirin:

wg-quick up wg0

systemctl enable wg-quick@wg0

Arabirimin çalışır durumda ve dinleme modunda olduğunu wg show ile onaylayın; bu komut arabirimi, açık anahtarı ve dinleme portunu yazdırır. Bu noktada sunucu tarafı tamamdır; geriye yalnızca bir istemciyi yönlendirmek kalmaktadır. wg0.conf'u daha sonra değiştirirseniz wg-quick down wg0 && wg-quick up wg0 ile temiz bir şekilde uygulayın.

Adım 6 — İstemci cihazınızı yapılandırma

Dizüstü bilgisayarınızda veya telefonunuzda resmi WireGuard uygulamasını ya da paketini yükleyin ve bu yapılandırmadan bir tünel oluşturun. Adım 2'deki istemci özel anahtarını ve sunucunun açık anahtarını kullanın. İstemci Endpoint değeri, sunucunuzun genel IP'si ve WireGuard UDP portu, örneğin 203.0.113.10:51820'dir:

[Interface]
PrivateKey = CLIENT_PRIVATE_KEY
Address = 10.0.0.2/32
DNS = 1.1.1.1

[Peer]
PublicKey = SERVER_PUBLIC_KEY
Endpoint = 203.0.113.10:51820
AllowedIPs = 0.0.0.0/0, ::/0
PersistentKeepalive = 25

AllowedIPs değerini 0.0.0.0/0, ::/0 olarak ayarlamak tüm trafiği tünel üzerinden yönlendirir. Mobilde, sunucuda qrencode -t ansiutf8 < client.conf ile bu dosyadan bir QR kodu oluşturun ve uygulamada tarayın. Tüneli etkinleştirip görünür IP'nizi kontrol edin — artık sunucunun IP'si olmalıdır. PersistentKeepalive satırı, bağlantının NAT arkasında canlı kalmasını sağlar.

Güçlendirme ipuçları

Çalışan bir tünel başlangıçtır, bitişi değil. Periyodik olarak bir istemci anahtar çifti yenileyip sunucunun [Peer] bloğundaki açık anahtarı değiştirerek anahtarları döndürün. Birisini diğerlerini etkilemeden iptal edebilmek için cihaz başına ayrı bir anahtar çifti kullanın; iptal etmek için o eşin bloğunu silip yapılandırmayı yeniden uygulayın.

  • İhtiyaç duymadığınız kayıt tutmayı devre dışı bırakın. WireGuard'ın kendisi varsayılan olarak sessizdir; SSH ve sistem günlüklerinizi gözden geçirin; minimal bir ayak izi önemliyse saklama süresini kısaltın.
  • SSH'yi yalnızca anahtar tabanlı kimlik doğrulamayla kilitleyin ve 22 numaralı porttan taşımayı düşünün; güvenlik duvarını etkinleştirmeden önce bu porta UFW'de izin verdiğinizden emin olun.
  • Yargı yetkisini bilinçli seçin. Sunucunun konumu artık VPN'inizin gizlilik tutumudur. FADP kapsamında İsviçre ve basın özgürlüğü geleneğiyle İzlanda güçlü seçeneklerdir; Hollanda ve Fransa ise küçük bir primle bu avantajlardan bazılarını AB gecikmesi için takas eder.

Süregelen operasyonlar ve kimlik bilgisi yönetimi için belgelerimiz ters DNS, IPv6 ve panel özelliklerini ayrıntılı biçimde ele almaktadır.

VPS ve ticari VPN — kendi başınıza barındırmanın mantıklı olduğu durumlar

Kendi başınıza barındırmak, ayrılmış bir IP, kayıt üzerinde tam kontrol ve hiçbir sağlayıcının binlerce kullanıcıya pazarlamadığı bir tünel istediğinizde kazandırır. Kendi servislerinize erişmek, izin listelerine sabit bir adres edinmek ya da bir VPN şirketinin kayıt tutmama iddiasına güvenmemek için idealdir. Bedeli, bakımını sizin yapmanız ve tek bir kendi başınıza barındırılan çıkış IP'sinin ticari bir VPN'in paylaşımlı havuzu gibi kalabalığa karışmak için tasarlanmamış olmasıdır.

Ticari VPN'ler kolaylık, ülke atlama ve paylaşımlı IP'nin inkâr edilebilirliği konusunda öne çıkar. Gerçekten sahip oldukları tek bir güvenilir uç nokta isteyen gizlilik bilincine sahip kullanıcıların çoğu için WireGuard çalıştıran küçük bir VPS daha iyi yanıttır; üstelik kripto, no-KYC ödeme ile kurulum uçtan uca tutarlı kalır. Yaklaşımı hâlâ tartıyorsanız, VPS-VPN için genel bakış yazımız ikisini daha derinlemesine karşılaştırmaktadır.

Sık sorulan sorular

Kişisel bir WireGuard VPN için ne kadar VPS gerekir?

Çok az. WireGuard çekirdekte çalışır ve CPU ile bellek tüketimi düşüktür; bu nedenle sınırsız trafikli Pup katmanımız (1 vCPU, 1 GB RAM, 25 GB NVMe) kişisel VPN için rahatlıkla yeterlidir. Yalnızca birden fazla kullanıcı ekliyor veya başka servisler birlikte barındırıyorsanız Scout ya da Runner'a geçin.

WireGuard hangi portu kullanır?

Varsayılan olarak UDP 51820 üzerinde dinler. Güvenlik duvarınızda ufw allow 51820/udp ile açın; hazırsınız. Farklı bir port tercih ediyorsanız wg0.conf'daki ListenPort'u değiştirebilirsiniz; ancak eşleşen kuralı açmayı ve istemcinin Endpoint değerini güncellemeyi unutmayın.

Kendi başınıza barındırılan bir WireGuard VPN, ticari bir VPN'den daha özel midir?

Olabilir; çünkü uç noktayı ve bir şeyin kaydedilip kaydedilmeyeceğini yalnızca siz kontrol edersiniz — paylaşımlı çıkış yoktur ve körü körüne inanmanız gereken bir satıcı kayıt tutmama iddiası da yoktur. Değiş tokuş, VPS sunucusunun IP'yi görmesidir; dolayısıyla gizlilik kazanımı, güçlü bir yargı bölgesinde no-KYC bir sunucu seçmeye ve özel ödeme yapmaya bağlıdır. Bu gerçek bir gelişmedir, anonimlik garantisi değil.

Aynı VPS üzerinde WireGuard ve başka servisleri çalıştırabilir miyim?

Evet. WireGuard hafiftir ve diğer iş yükleriyle sorunsuz bir arada çalışır. Kişisel VPN artı küçük bir site veya birkaç konteyner için Pup veya Cub yeterlidir; tünel yanında daha ağır servisler çalıştırmak için ek çekirdek ve RAM amacıyla Scout veya Runner katmanına geçin.

VPN VPS için en iyi konum hangisidir?

Gecikme ve yargı yetkisine göre seçin. Hollanda veya Fransa, iyi bağlantılı bir merkezden düşük AB gecikmesi sunar; FADP kapsamında İsviçre ve İzlanda'nın basın özgürlüğü geleneği, küçük bir primle daha güçlü bir gizlilik tutumu sağlar. Uç noktayı siz kontrol ettiğinizden sunucunun yargı yetkisi fiilen VPN'inizin yargı yetkisi haline gelir.

Yaklaşık bir dakikada offshore VPS kurun

No-KYC, kripto ödemeli, tamamı NVMe. Bir paket seçin, Monero veya herhangi büyük bir koinle ödeyin, yaklaşık 60 saniyede root erişimi alın.

Fenrir nöbette