Das ultimative WireGuard-VPN Tutorial (Anfänger-Edition)

In dieser Anleitung verbinden wir einen Miet-Server (Hetzner VPS) mit deinem Proxmox-Server zu Hause. So kommst du von unterwegs sicher in dein Heimnetz.

Vorbereitung: Die “Notizzettel”-Methode

Bevor du startest, öffne eine leere Textdatei (Notepad) auf deinem Computer. Wir werden dort nacheinander Keys (Schlüssel) hineinkopieren. Beschrifte sie so:

  • VPS Public Key:

  • VPS Private Key:

  • LXC Public Key:

  • LXC Private Key:

  • Handy Public Key:

  • Handy Private Key:

Schritt 1: Den Miet-Server (VPS) vorbereiten

Logge dich per SSH auf deinem Hetzner VPS ein.

  1. WireGuard installieren: Tippe: apt update && apt install wireguard qrencode -y

  2. Schlüssel generieren: Tippe: cd /etc/wireguard Tippe: wg genkey | tee vps_private.key | wg pubkey > vps_public.key

  3. Schlüssel aufschreiben:

    • Tippe cat vps_private.key, kopiere den Code und speichere ihn in deinem Notepad unter VPS Private Key.

    • Tippe cat vps_public.key, kopiere den Code und speichere ihn unter VPS Public Key.

Schritt 2: Den Proxmox-Container (LXC) vorbereiten

Gehe in die Konsole deines WireGuard-LXC auf Proxmox.

  1. Schlüssel generieren: Tippe: cd /etc/wireguard Tippe: wg genkey | tee privatekey_prox | wg pubkey > publickey_prox

  2. Schlüssel aufschreiben:

    • Tippe cat privatekey_prox -> Kopieren in Notepad unter LXC Private Key.

    • Tippe cat publickey_prox -> Kopieren in Notepad unter LXC Public Key.

  3. Konfigurationsdatei erstellen: Tippe: nano /etc/wireguard/wg_home.conf Kopiere diesen Block hinein und ersetze die Platzhalter mit deinen Notizen:

    Ini, TOML
     
    [Interface]
Address = 10.0.0.2/24
PrivateKey = [DEIN LXC PRIVATE KEY]

[Peer]
PublicKey = [DEIN VPS PUBLIC KEY]
Endpoint = [DEINE-HETZNER-IP]:51821
AllowedIPs = 10.0.0.0/24
PersistentKeepalive = 25

    (Speichern: Strg+O, dann Enter. Schließen: Strg+X)

Schritt 3: Den VPS (Server) fertig einstellen

Gehe zurück auf deinen Hetzner VPS.

  1. Konfigurationsdatei erstellen: Tippe: nano /etc/wireguard/wg_home.conf Kopiere diesen Block hinein und fülle ihn aus:

    Ini, TOML
     
    [Interface]
Address = 10.0.0.1/24
ListenPort = 51821
PrivateKey = [DEIN VPS PRIVATE KEY]
# Diese zwei Zeilen erlauben den Datenverkehr:
PostUp = iptables -A FORWARD -i wg_home -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i wg_home -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

[Peer]
# Dies ist der Proxmox LXC
PublicKey = [DEIN LXC PUBLIC KEY]
AllowedIPs = 10.0.0.2/32, 192.168.2.0/24

    (Speichern: Strg+O, dann Enter. Schließen: Strg+X)

Schritt 4: Das Handy hinzufügen

Bleibe auf dem Hetzner VPS.

  1. Handy-Schlüssel generieren: Tippe: wg genkey | tee handy_private.key | wg pubkey > handy_public.key

  2. Schlüssel aufschreiben:

    • cat handy_private.key -> Handy Private Key.

    • cat handy_public.key -> Handy Public Key.

  3. Handy am VPS anmelden: Öffne nochmal die Datei: nano /etc/wireguard/wg_home.conf Füge ganz unten diesen neuen Block hinzu:

    Ini, TOML
     
    [Peer]
PublicKey = [DEIN HANDY PUBLIC KEY]
AllowedIPs = 10.0.0.3/32

  4. QR-Code für das Handy erzeugen: Tippe: nano /etc/wireguard/handy_scan.conf Kopiere dies hinein:

    Ini, TOML
     
    [Interface]
Address = 10.0.0.3/24
PrivateKey = [DEIN HANDY PRIVATE KEY]
DNS = 1.1.1.1
[Peer]
PublicKey = [DEIN VPS PUBLIC KEY]
Endpoint = [DEINE-HETZNER-IP]:51821
AllowedIPs = 0.0.0.0/0, 192.168.2.0/24

    (Speichern & Schließen). Tippe jetzt: qrencode -t ansiutf8 < /etc/wireguard/handy_scan.conf -> QR-Code mit der Handy-App scannen!

Schritt 5: Alles einschalten

Führe diesen Befehl sowohl auf dem VPS als auch im LXC aus:

  1. Starten: wg-quick up wg_home

  2. Autostart: systemctl enable wg-quick@wg_home (Damit es nach einem Neustart von alleine angeht).

  3. Prüfen: wg show (Wenn dort “handshake” steht, hast du es geschafft!)