{"id":72,"date":"2026-06-13T16:57:01","date_gmt":"2026-06-13T16:57:01","guid":{"rendered":"https:\/\/shattered.io\/fi\/2026\/06\/13\/wireguard-vpn-palvelin-linux\/"},"modified":"2026-06-13T20:40:42","modified_gmt":"2026-06-13T20:40:42","slug":"wireguard-vpn-palvelin-linux","status":"publish","type":"post","link":"https:\/\/shattered.io\/fi\/2026\/06\/13\/wireguard-vpn-palvelin-linux\/","title":{"rendered":"WireGuard VPN Linuxille: oma palvelin 12 vaiheessa [2026]"},"content":{"rendered":"\n

WireGuard on noussut muutamassa vuodessa Linuxin oletusvalinnaksi VPN-yhteyksille, ja syy on yksinkertainen: se on nopeampi, kevyempi ja helpompi pystytt\u00e4\u00e4 kuin vanhat vaihtoehdot. T\u00e4m\u00e4 opas vie sinut tyhj\u00e4st\u00e4 toimivaan WireGuard-palvelimeen 12 vaiheessa. Aikaa kuluu noin 30 minuuttia. Lopuksi sinulla on oma salattu tunneli, jonka l\u00e4pi kannettava, puhelin ja muut laitteet p\u00e4\u00e4sev\u00e4t verkkoon turvallisesti, esimerkiksi avoimesta kahvila-WiFist\u00e4 tai ulkomailta k\u00e4sin.<\/p>\n\n\n\n

K\u00e4ymme l\u00e4pi jokaisen komennon, palvelimen ja asiakkaan konfiguraatiot, palomuuris\u00e4\u00e4nn\u00f6t sek\u00e4 yleisimm\u00e4t virheet ja niiden korjaukset. Esimerkit on testattu Ubuntu 24.04 LTS -palvelimella, mutta samat periaatteet toimivat my\u00f6s Debianissa ja muissa Linux-jakeluissa. P\u00e4iv\u00e4m\u00e4\u00e4r\u00e4: 13. kes\u00e4kuuta 2026.<\/p>\n\n\n\n

Miksi WireGuard? Nopeus, kryptografia ja 4 000 rivi\u00e4 koodia<\/h2>\n\n\n\n

WireGuardin loi Jason A. Donenfeld, ja projekti alkoi vuonna 2016. Ratkaiseva hetki tuli 29. maaliskuuta 2020, kun WireGuard sulautettiin Linux-ytimen versioon 5.6. T\u00e4m\u00e4n j\u00e4lkeen sit\u00e4 ei tarvitse asentaa erillisen\u00e4 ydinmoduulina, vaan se on osa ytimen verkkopinoa. K\u00e4yt\u00e4nn\u00f6ss\u00e4 t\u00e4m\u00e4 tarkoittaa pienemp\u00e4\u00e4 viivett\u00e4 ja parempaa suorituskyky\u00e4, koska liikennett\u00e4 ei tarvitse siirt\u00e4\u00e4 k\u00e4ytt\u00e4j\u00e4tilan ja ytimen v\u00e4lill\u00e4.<\/p>\n\n\n\n

Suorituskykyero vanhaan OpenVPN-protokollaan on selv\u00e4. RTINGSin julkaisemassa testiss\u00e4 WireGuard ylsi 353,6 Mbit\/s latausnopeuteen ja 366,0 Mbit\/s l\u00e4hetysnopeuteen 90,1 ms viiveell\u00e4, kun OpenVPN TCP j\u00e4i 44,1 Mbit\/s lataukseen ja 39,2 Mbit\/s l\u00e4hetykseen. Toisessa NordVPN-palvelimilla tehdyss\u00e4 mittauksessa WireGuard saavutti 903 Mbit\/s ja OpenVPN vain 222 Mbit\/s. Useat riippumattomat testit raportoivat WireGuardin olevan tyypillisesti 3\u20134 kertaa nopeampi kuin OpenVPN.<\/p>\n\n\n\n

Nopeuden lis\u00e4ksi WireGuardin valtti on yksinkertaisuus. Sen Linux-ytimen toteutus on alle 4 000 rivi\u00e4 koodia, kun OpenVPN ja IPsec koostuvat sadoista tuhansista riveist\u00e4. Pienempi koodikanta tarkoittaa pienemp\u00e4\u00e4 hy\u00f6kk\u00e4yspintaa ja helpompaa tarkastusta. Salaus perustuu nykyaikaisiin algoritmeihin: ChaCha20-Poly1305 liikenteen salaukseen, Curve25519 avaintenvaihtoon, BLAKE2s tiivisteisiin, SipHash24 hajautustauluihin ja HKDF avainten johtamiseen. K\u00e4ttely valmistuu noin 1,5 edestakaisessa kierroksessa (RTT), eli yhteys muodostuu l\u00e4hes v\u00e4litt\u00f6m\u00e4sti.<\/p>\n\n\n\n

WireGuard k\u00e4ytt\u00e4\u00e4 julkisen avaimen kryptografiaa samaan tapaan kuin SSH. Jokaisella laitteella on yksityinen ja julkinen avain. Palvelin tuntee asiakkaiden julkiset avaimet ja asiakkaat palvelimen julkisen avaimen. Mit\u00e4\u00e4n salasanoja, varmenteita tai monimutkaisia PKI-rakenteita ei tarvita. Jos haluat verrata eri VPN-palveluita ennen oman palvelimen pystytt\u00e4mist\u00e4, lue my\u00f6s vertailumme NordVPN vs ProtonVPN vs Mullvad<\/a>.<\/p>\n\n\n\n

WireGuardin k\u00e4ytt\u00f6tapaukset Suomessa ja Pohjoismaissa<\/h2>\n\n\n\n

Oma WireGuard-palvelin ratkaisee monta arkista ongelmaa. Yleisin on suojautuminen julkisissa verkoissa. Kun yhdist\u00e4t kannettavan tai puhelimen avoimeen WiFiin esimerkiksi lentokent\u00e4ll\u00e4, kahvilassa tai hotellissa, kaikki liikenne kulkee salaamattomana, ellei k\u00e4yt\u00e4 VPN:\u00e4\u00e4. WireGuard-tunneli salaa liikenteen p\u00e4\u00e4st\u00e4 p\u00e4\u00e4h\u00e4n palvelimellesi asti, joten samassa verkossa olevat eiv\u00e4t pysty nuuskimaan istuntojasi.<\/p>\n\n\n\n

Toinen yleinen tarve on p\u00e4\u00e4sy kotiverkkoon ulkomailta. Jos matkustat ja haluat k\u00e4ytt\u00e4\u00e4 kotipalvelintasi, NAS-laitettasi tai kotiautomaatiotasi turvallisesti, WireGuard tarjoaa siihen kevyen ja vakaan tunnelin. Pohjoismaissa, joissa et\u00e4ty\u00f6 on yleist\u00e4, sama ratkaisu sopii my\u00f6s pienyrityksen sis\u00e4verkon suojattuun et\u00e4k\u00e4ytt\u00f6\u00f6n ilman raskasta yrityks-VPN-laitteistoa. Koska WireGuard kuormittaa konetta v\u00e4h\u00e4n ja muodostaa yhteyden l\u00e4hes v\u00e4litt\u00f6m\u00e4sti, se sopii erityisen hyvin mobiilik\u00e4ytt\u00f6\u00f6n, jossa yhteys katkeilee ja muodostuu uudelleen.<\/p>\n\n\n\n

Kolmas k\u00e4ytt\u00f6tapaus on liikenteen reititt\u00e4minen tietyn maan kautta. Jos haluat n\u00e4ytt\u00e4\u00e4 internetille suomalaisen IP-osoitteen ollessasi ulkomailla, voit ajaa WireGuard-palvelinta suomalaisella konesalipalvelimella ja reititt\u00e4\u00e4 liikenteesi sen kautta. T\u00e4m\u00e4 on hy\u00f6dyllist\u00e4 esimerkiksi kotimaisten verkkopankki- ja viranomaispalveluiden k\u00e4ytt\u00f6\u00f6n ulkomailta. Erona kaupalliseen VPN-palveluun on, ett\u00e4 hallitset itse koko ketjua: tied\u00e4t tarkalleen, kuka palvelimen omistaa ja mit\u00e4 lokitietoja siit\u00e4 j\u00e4\u00e4.<\/p>\n\n\n\n

Esitiedot ja vaaditut versiot<\/h2>\n\n\n\n

Ennen kuin aloitat, tarvitset muutaman asian. T\u00e4rkeint\u00e4 on palvelin, jolla on julkinen IP-osoite, jotta asiakkaat l\u00f6yt\u00e4v\u00e4t sen internetist\u00e4. Edullisin tapa on vuokrata virtuaalipalvelin (VPS) esimerkiksi Hetznerilt\u00e4, UpCloudilta tai DigitalOceanilta. Jo halvin, muutaman euron kuukausihintainen palvelin riitt\u00e4\u00e4 helposti kotik\u00e4ytt\u00f6\u00f6n, koska WireGuard kuormittaa konetta hyvin v\u00e4h\u00e4n.<\/p>\n\n\n\n

Komponentti<\/th>Suositeltu versio<\/th>Huomiot<\/th><\/tr><\/thead>
K\u00e4ytt\u00f6j\u00e4rjestelm\u00e4 (palvelin)<\/td>Ubuntu 24.04 LTS<\/td>My\u00f6s Debian 12 ja uudemmat toimivat<\/td><\/tr>
Linux-ydin<\/td>5.6 tai uudempi<\/td>WireGuard on mukana ytimess\u00e4<\/td><\/tr>
wireguard-tools<\/td>Jakelun uusin versio<\/td>Sis\u00e4lt\u00e4\u00e4 wg- ja wg-quick-komennot<\/td><\/tr>
Julkinen IP-osoite<\/td>Pakollinen palvelimella<\/td>Staattinen tai dynaaminen (DDNS)<\/td><\/tr>
Avoin portti<\/td>UDP 51820<\/td>Avataan palomuurissa ja pilvess\u00e4<\/td><\/tr>
P\u00e4\u00e4syoikeudet<\/td>sudo \/ root<\/td>Asennus vaatii p\u00e4\u00e4k\u00e4ytt\u00e4j\u00e4n oikeudet<\/td><\/tr>
Asiakasohjelma<\/td>WireGuard-sovellus<\/td>Windows, macOS, Linux, Android, iOS<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Tarvitset my\u00f6s perustaidot komentorivin k\u00e4yt\u00f6st\u00e4 ja SSH-yhteyden palvelimellesi. Varmista, ett\u00e4 palvelimesi k\u00e4ytt\u00f6j\u00e4rjestelm\u00e4 on ajan tasalla ennen aloittamista. Jos k\u00e4yt\u00e4t kotipalvelinta dynaamisella IP-osoitteella, harkitse dynaamista DNS-palvelua (DDNS), jotta osoite pysyy tavoitettavissa my\u00f6s IP:n vaihtuessa. Asiakaslaitteille asennetaan virallinen WireGuard-sovellus, joka on saatavilla kaikille yleisimmille alustoille osoitteesta wireguard.com<\/a>.<\/p>\n\n\n\n

Resurssitarpeet ovat pienet. WireGuard ei vaadi tehokasta palvelinta, vaan jopa kevyt yhden ytimen ja 512 megatavun muistin virtuaalipalvelin riitt\u00e4\u00e4 useille asiakkaille. Suurin pullonkaula on yleens\u00e4 palvelimen verkkoyhteyden nopeus, ei laskentateho, koska ChaCha20-Poly1305-salaus on suunniteltu nopeaksi my\u00f6s ilman erillist\u00e4 laitteistokiihdytyst\u00e4. Jos suunnittelet palvelimen ajamista vanhalla Raspberry Pi -laitteella kotona, sekin p\u00e4rj\u00e4\u00e4 helposti tavallisessa kotik\u00e4yt\u00f6ss\u00e4. Varmista vain, ett\u00e4 reitittimesi palomuurissa on avattu UDP-portti 51820 ja ohjattu se palvelimelle (port forwarding), jos palvelin on kotiverkon takana.<\/p>\n\n\n\n

Vaihe 1: P\u00e4ivit\u00e4 j\u00e4rjestelm\u00e4 ja asenna WireGuard<\/h2>\n\n\n\n

Aloita kirjautumalla palvelimelle SSH:lla ja p\u00e4ivitt\u00e4m\u00e4ll\u00e4 pakettiluettelo sek\u00e4 asennetut paketit. Asenna sen j\u00e4lkeen WireGuard ja sen ty\u00f6kalut sek\u00e4 ufw-palomuuri, jota k\u00e4yt\u00e4mme my\u00f6hemmin.<\/p>\n\n\n\n

sudo apt update && sudo apt upgrade -y\nsudo apt install wireguard wireguard-tools ufw -y<\/code><\/pre>\n\n\n\n
Paketti wireguard<\/code> tuo mukanaan ytimen kanssa toimivan moduulin metatiedot, ja wireguard-tools<\/code> sis\u00e4lt\u00e4\u00e4 t\u00e4rke\u00e4t wg<\/code>– ja wg-quick<\/code>-komennot. Voit varmistaa asennuksen onnistumisen tarkistamalla version:<\/p>\n\n\n\n
wg --version<\/code><\/pre>\n\n\n\n
Komento tulostaa asennetun version, esimerkiksi wireguard-tools v1.0.x<\/code>. Jos saat virheen “command not found”, asennus ei onnistunut, ja sinun kannattaa tarkistaa, ett\u00e4 k\u00e4yt\u00e4t tuettua Ubuntu- tai Debian-versiota. Koska WireGuard on osa Linux-ydint\u00e4 versiosta 5.6 alkaen, erillist\u00e4 ydinmoduulia ei tarvitse k\u00e4\u00e4nt\u00e4\u00e4 nykyaikaisilla jakeluilla.<\/p>\n\n\n\n
Vaihe 2: Luo palvelimen avainpari (Curve25519)<\/h2>\n\n\n\n
WireGuard tunnistaa laitteet julkisen avaimen kryptografialla. Luo ensin hakemisto ja aseta sille tiukat oikeudet, jotta vain p\u00e4\u00e4k\u00e4ytt\u00e4j\u00e4 voi lukea avaimet.<\/p>\n\n\n\n
sudo mkdir -p \/etc\/wireguard\nsudo chmod 700 \/etc\/wireguard\ncd \/etc\/wireguard<\/code><\/pre>\n\n\n\n
Luo seuraavaksi palvelimen yksityinen ja julkinen avain. Komento wg genkey<\/code> luo yksityisen avaimen, joka sy\u00f6tet\u00e4\u00e4n putkella wg pubkey<\/code> -komennolle julkisen avaimen muodostamiseksi.<\/p>\n\n\n\n
wg genkey | sudo tee \/etc\/wireguard\/server_private.key | wg pubkey | sudo tee \/etc\/wireguard\/server_public.key\nsudo chmod 600 \/etc\/wireguard\/server_private.key \/etc\/wireguard\/server_public.key<\/code><\/pre>\n\n\n\n
Avaimet ovat Curve25519-pohjaisia, ja ne tulostuvat Base64-muodossa, esimerkiksi oK7p...=<\/code>. Tulosta yksityinen avain n\u00e4kyviin, koska tarvitset sen seuraavassa vaiheessa palvelimen konfiguraatiotiedostoon:<\/p>\n\n\n\n
sudo cat \/etc\/wireguard\/server_private.key<\/code><\/pre>\n\n\n\n
\u00c4l\u00e4 koskaan jaa yksityist\u00e4 avainta tai kopioi sit\u00e4 ep\u00e4luotettaviin paikkoihin, kuten chat-viesteihin tai tukij\u00e4rjestelm\u00e4n tiketteihin. Yksityinen avain on koko j\u00e4rjestelm\u00e4n turvallisuuden perusta. Jos haluat syventy\u00e4 siihen, miten julkiset ja yksityiset avaimet toimivat, lue digitaaliset allekirjoitukset<\/a> -artikkelimme.<\/p>\n\n\n\n
Vaihe 3: Kirjoita palvelimen wg0.conf<\/h2>\n\n\n\n
Nyt luodaan palvelimen p\u00e4\u00e4rakennuskivi eli liit\u00e4nt\u00e4tiedosto \/etc\/wireguard\/wg0.conf<\/code>. Tunneliverkoksi valitaan yksityinen RFC1918-osoiteavaruus 10.8.0.0\/24, jossa palvelin saa osoitteen 10.8.0.1. Avaa tiedosto editorissa:<\/p>\n\n\n\n
sudo nano \/etc\/wireguard\/wg0.conf<\/code><\/pre>\n\n\n\n
Liit\u00e4 seuraava sis\u00e4lt\u00f6. Korvaa SERVER_PRIVATE_KEY<\/code> edellisess\u00e4 vaiheessa tulostamallasi yksityisell\u00e4 avaimella. Tarkista my\u00f6s verkkoliit\u00e4nn\u00e4n nimi (alla eth0<\/code>); selvit\u00e4 se komennolla ip route list default<\/code> ja korvaa tarvittaessa nimell\u00e4 kuten ens3<\/code> tai enp1s0<\/code>.<\/p>\n\n\n\n
[Interface]\nPrivateKey = SERVER_PRIVATE_KEY\nAddress = 10.8.0.1\/24\nListenPort = 51820\nSaveConfig = false\n\nPostUp = iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE\nPostUp = iptables -A FORWARD -i wg0 -j ACCEPT\nPostUp = iptables -A FORWARD -o wg0 -j ACCEPT\n\nPostDown = iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE\nPostDown = iptables -D FORWARD -i wg0 -j ACCEPT\nPostDown = iptables -D FORWARD -o wg0 -j ACCEPT<\/code><\/pre>\n\n\n\n
Kohta [Interface]<\/code> m\u00e4\u00e4ritt\u00e4\u00e4 palvelimen oman liit\u00e4nn\u00e4n. ListenPort = 51820<\/code> on WireGuardin oletusportti UDP-protokollalla. PostUp<\/code>– ja PostDown<\/code>-rivit lis\u00e4\u00e4v\u00e4t ja poistavat NAT-s\u00e4\u00e4nn\u00f6t automaattisesti, kun tunneli k\u00e4ynnistet\u00e4\u00e4n tai sammutetaan. Asetus SaveConfig = false<\/code> est\u00e4\u00e4 wg-quickia kirjoittamasta tiedostoa uudelleen, mik\u00e4 pit\u00e4\u00e4 k\u00e4sin tekem\u00e4si muutokset tallessa. Tallenna tiedosto n\u00e4pp\u00e4inyhdistelm\u00e4ll\u00e4 Ctrl+O ja poistu Ctrl+X.<\/p>\n\n\n\n
Osoiteavaruuden valinnalla on merkityst\u00e4. K\u00e4yt\u00e4 yksityist\u00e4 RFC1918-aluetta, joka ei ole jo k\u00e4yt\u00f6ss\u00e4 kotiverkossasi. Jos kotiverkkosi on tyypillinen 192.168.1.0\/24, \u00e4l\u00e4 valitse tunnelille samaa aluetta, koska reititys menisi sekaisin. T\u00e4st\u00e4 syyst\u00e4 esimerkki k\u00e4ytt\u00e4\u00e4 harvemmin t\u00f6rm\u00e4\u00e4v\u00e4\u00e4 10.8.0.0\/24-aluetta. ListenPort<\/code> voidaan my\u00f6s vaihtaa toiseen UDP-porttiin, jos haluat v\u00e4ltt\u00e4\u00e4 porttiskannauksia, mutta muista silloin p\u00e4ivitt\u00e4\u00e4 sek\u00e4 palomuurin s\u00e4\u00e4nt\u00f6 ett\u00e4 asiakkaiden Endpoint<\/code>-rivi vastaamaan uutta porttia. Pid\u00e4 portti UDP-protokollassa, koska WireGuard ei tue TCP:t\u00e4 natiivisti.<\/p>\n\n\n\n
Vaihe 4: Ota IP-edelleenl\u00e4hetys ja NAT k\u00e4ytt\u00f6\u00f6n<\/h2>\n\n\n\n
Jotta palvelin osaa reititt\u00e4\u00e4 asiakkaiden liikenteen internetiin, Linuxin ytimen IP-edelleenl\u00e4hetys (IP forwarding) on otettava k\u00e4ytt\u00f6\u00f6n. Ilman t\u00e4t\u00e4 asetusta asiakas saa tunnelin pystyyn mutta ei p\u00e4\u00e4se verkkoon. Ota asetus k\u00e4ytt\u00f6\u00f6n heti ja tee siit\u00e4 pysyv\u00e4:<\/p>\n\n\n\n
sudo sysctl -w net.ipv4.ip_forward=1\necho 'net.ipv4.ip_forward=1' | sudo tee \/etc\/sysctl.d\/99-wireguard.conf\nsudo sysctl --system<\/code><\/pre>\n\n\n\n
Ensimm\u00e4inen komento ottaa edelleenl\u00e4hetyksen k\u00e4ytt\u00f6\u00f6n v\u00e4litt\u00f6m\u00e4sti. Toinen komento kirjoittaa asetuksen tiedostoon, joka luetaan jokaisella k\u00e4ynnistyksell\u00e4, joten asetus s\u00e4ilyy my\u00f6s palvelimen uudelleenk\u00e4ynnistyksen j\u00e4lkeen. Voit varmistaa, ett\u00e4 arvo on 1:<\/p>\n\n\n\n
cat \/proc\/sys\/net\/ipv4\/ip_forward<\/code><\/pre>\n\n\n\n
Komennon pit\u00e4isi tulostaa 1<\/code>. NAT-osuuden (Network Address Translation) hoitavat jo edellisess\u00e4 vaiheessa lis\u00e4tyt iptables ... MASQUERADE<\/code> -s\u00e4\u00e4nn\u00f6t, jotka k\u00e4\u00e4nt\u00e4v\u00e4t asiakkaiden yksityiset osoitteet palvelimen julkiseen osoitteeseen. Jos haluat ohjata my\u00f6s IPv6-liikenteen, lis\u00e4\u00e4 vastaava rivi net.ipv6.conf.all.forwarding=1<\/code> ja IPv6-osoiteavaruus konfiguraatioon.<\/p>\n\n\n\n
Edelleenl\u00e4hetys ja NAT muodostavat yhdess\u00e4 reitityksen perustan. Ilman edelleenl\u00e4hetyst\u00e4 ydin hylk\u00e4\u00e4 paketit, jotka eiv\u00e4t ole osoitettu suoraan palvelimelle. Ilman NAT-s\u00e4\u00e4nt\u00f6\u00e4 taas vastausliikenne ei l\u00f6yd\u00e4 takaisin asiakkaalle, koska internetin reitittimet eiv\u00e4t tunne yksityist\u00e4 10.8.0.0\/24-aluetta. N\u00e4m\u00e4 kaksi asetusta selitt\u00e4v\u00e4t valtaosan “tunneli toimii mutta netti\u00e4 ei ole” -ongelmista, joten kannattaa varmistaa molemmat heti, jos liikenne ei kulje.<\/p>\n\n\n\n
Vaihe 5: Avaa palomuuri ja k\u00e4ynnist\u00e4 WireGuard<\/h2>\n\n\n\n
Avaa ufw-palomuurissa WireGuardin UDP-portti 51820 ja varmista, ett\u00e4 SSH pysyy auki, jottet lukitse itse\u00e4si ulos palvelimelta. Ota palomuuri sitten k\u00e4ytt\u00f6\u00f6n.<\/p>\n\n\n\n
sudo ufw allow 51820\/udp\nsudo ufw allow OpenSSH\nsudo ufw enable\nsudo ufw status verbose<\/code><\/pre>\n\n\n\n
Jos k\u00e4yt\u00e4t pilvipalvelua, kuten Hetzneri\u00e4 tai AWS:\u00e4\u00e4, muista avata UDP-portti 51820 my\u00f6s pilven omassa palomuurissa tai security groupissa. Pelkk\u00e4 palvelimen sis\u00e4inen ufw ei riit\u00e4, jos pilvi suodattaa liikenteen jo aiemmin. K\u00e4ynnist\u00e4 nyt WireGuard-liit\u00e4nt\u00e4 ja aseta se k\u00e4ynnistym\u00e4\u00e4n automaattisesti palvelimen k\u00e4ynnistyess\u00e4:<\/p>\n\n\n\n
sudo wg-quick up wg0\nsudo systemctl enable wg-quick@wg0<\/code><\/pre>\n\n\n\n
Tarkista tunnelin tila komennolla sudo wg show<\/code>. Tulosteen pit\u00e4isi n\u00e4ytt\u00e4\u00e4 t\u00e4lt\u00e4:<\/p>\n\n\n\n
interface: wg0\n  public key: oK7p9Hh...=\n  private key: (hidden)\n  listening port: 51820<\/code><\/pre>\n\n\n\n
Palvelin on nyt pystyss\u00e4 ja kuuntelee yhteyksi\u00e4. Vertaillaksesi salatun yhteyden merkityst\u00e4 yleisemmin, katso my\u00f6s HTTPS ja TLS<\/a> -oppaamme.<\/p>\n\n\n\n
Vaihe 6: Luo ensimm\u00e4inen asiakas (peer)<\/h2>\n\n\n\n
Jokaiselle asiakaslaitteelle luodaan oma avainpari. T\u00e4m\u00e4 on t\u00e4rke\u00e4 turvallisuusperiaate: jos jokin laite katoaa, voit poistaa vain sen avaimen ilman, ett\u00e4 muiden laitteiden tarvitsee vaihtaa avaimia. Luo asiakkaan avaimet palvelimella (tai suoraan asiakaslaitteella):<\/p>\n\n\n\n
wg genkey | tee client1_private.key | wg pubkey | tee client1_public.key<\/code><\/pre>\n\n\n\n
Luo seuraavaksi asiakkaan konfiguraatiotiedosto, esimerkiksi client1.conf<\/code>. Korvaa CLIENT_PRIVATE_KEY<\/code> asiakkaan yksityisell\u00e4 avaimella, SERVER_PUBLIC_KEY<\/code> palvelimen julkisella avaimella ja PALVELIMEN_JULKINEN_IP<\/code> palvelimesi todellisella osoitteella.<\/p>\n\n\n\n
[Interface]\nPrivateKey = CLIENT_PRIVATE_KEY\nAddress = 10.8.0.2\/32\nDNS = 1.1.1.1\n\n[Peer]\nPublicKey = SERVER_PUBLIC_KEY\nEndpoint = PALVELIMEN_JULKINEN_IP:51820\nAllowedIPs = 0.0.0.0\/0\nPersistentKeepalive = 25<\/code><\/pre>\n\n\n\n
Asetus AllowedIPs = 0.0.0.0\/0<\/code> ohjaa kaiken asiakkaan liikenteen tunnelin l\u00e4pi, mik\u00e4 on oikea valinta t\u00e4ydelle VPN-suojalle esimerkiksi julkisessa verkossa. Jos haluat vain p\u00e4\u00e4syn palvelimen l\u00e4hiverkkoon (split tunnel), korvaa arvo esimerkiksi 10.8.0.0\/24<\/code>. PersistentKeepalive = 25<\/code> pit\u00e4\u00e4 yhteyden auki NAT-palomuurien l\u00e4pi l\u00e4hett\u00e4m\u00e4ll\u00e4 paketin 25 sekunnin v\u00e4lein, mik\u00e4 on hy\u00f6dyllist\u00e4 mobiililaitteille.<\/p>\n\n\n\n
Vaihe 7: Lis\u00e4\u00e4 asiakas palvelimelle<\/h2>\n\n\n\n
Palvelimen pit\u00e4\u00e4 tuntea asiakkaan julkinen avain ennen kuin yhteys onnistuu. Lis\u00e4\u00e4 asiakas peer-merkint\u00e4n\u00e4 palvelimen wg0.conf<\/code> -tiedostoon. Avaa tiedosto ja lis\u00e4\u00e4 loppuun:<\/p>\n\n\n\n
[Peer]\n# client1 (kannettava)\nPublicKey = CLIENT_PUBLIC_KEY\nAllowedIPs = 10.8.0.2\/32<\/code><\/pre>\n\n\n\n
Huomaa ero asiakas- ja palvelinkonfiguraatioiden v\u00e4lill\u00e4: palvelimella AllowedIPs<\/code> kertoo, mist\u00e4 osoitteesta t\u00e4m\u00e4 asiakas saa l\u00e4hett\u00e4\u00e4 liikennett\u00e4 (t\u00e4ss\u00e4 10.8.0.2\/32, eli vain yksi osoite). Lis\u00e4\u00e4 sen j\u00e4lkeen muutos ilman, ett\u00e4 koko tunneli katkeaa, k\u00e4ytt\u00e4m\u00e4ll\u00e4 komentoa, joka lukee konfiguraation uudelleen:<\/p>\n\n\n\n
sudo wg syncconf wg0 <(wg-quick strip wg0)<\/code><\/pre>\n\n\n\n
T\u00e4m\u00e4 komento p\u00e4ivitt\u00e4\u00e4 peerit ilman olemassa olevien yhteyksien katkaisua, toisin kuin wg-quick down<\/code> ja up<\/code>. Vaihtoehtoisesti voit k\u00e4ynnist\u00e4\u00e4 tunnelin uudelleen, jos et ole huolissasi katkoksesta. Tarkista, ett\u00e4 uusi peer n\u00e4kyy komennolla sudo wg show<\/code>.<\/p>\n\n\n\n
Vaihe 8: Yhdist\u00e4 ty\u00f6p\u00f6yt\u00e4 ja mobiili (QR-koodi)<\/h2>\n\n\n\n
Ty\u00f6p\u00f6yt\u00e4koneella (Windows, macOS, Linux) asenna virallinen WireGuard-sovellus, valitse “Import tunnel from file” ja osoita siihen luomaasi client1.conf<\/code> -tiedostoon. Aktivoi tunneli yhdell\u00e4 napsautuksella. Linux-asiakkaalla voit my\u00f6s kopioida tiedoston \/etc\/wireguard\/<\/code> -hakemistoon ja k\u00e4ynnist\u00e4\u00e4 sen komennolla sudo wg-quick up client1<\/code>.<\/p>\n\n\n\n
Puhelimelle helpoin tapa on QR-koodi. Asenna palvelimelle qrencode<\/code> ja luo koodi suoraan asiakaskonfiguraatiosta:<\/p>\n\n\n\n
sudo apt install qrencode -y\nqrencode -t ansiutf8 < client1.conf<\/code><\/pre>\n\n\n\n
Terminaaliin ilmestyy QR-koodi. Avaa Androidin tai iOS:n WireGuard-sovellus, valitse “Lis\u00e4\u00e4 tunneli” ja “Skannaa QR-koodista”. Suuntaa kamera koodiin, ja konfiguraatio siirtyy puhelimeen sekunneissa. Anna tunnelille selke\u00e4 nimi, kuten “Koti-VPN”. Muista, ett\u00e4 jokaiselle puhelimelle pit\u00e4\u00e4 luoda oma avainpari ja oma peer-merkint\u00e4 palvelimelle, ei k\u00e4ytt\u00e4\u00e4 samaa avainta usealla laitteella.<\/p>\n\n\n\n
Vaihe 9: Testaa yhteys ja est\u00e4 DNS-vuodot<\/h2>\n\n\n\n
Kun olet aktivoinut tunnelin asiakaslaitteella, testaa ett\u00e4 yhteys toimii ja ett\u00e4 liikenne kulkee palvelimen kautta. Tarkista ensin julkinen IP-osoitteesi. Sen pit\u00e4isi n\u00e4ytt\u00e4\u00e4 palvelimesi osoite, ei oman internetyhteytesi osoitetta:<\/p>\n\n\n\n
curl ifconfig.me\nping -c 4 1.1.1.1<\/code><\/pre>\n\n\n\n
Jos curl ifconfig.me<\/code> palauttaa palvelimesi julkisen IP:n, tunneli toimii oikein. Komento ping<\/code> taas kertoo, kulkeeko liikenne tunnelin l\u00e4pi ja mill\u00e4 viiveell\u00e4. Jos ping vastaa mutta selain ei avaa sivuja, kyse on l\u00e4hes aina DNS-asetuksesta tai MTU-arvosta, ei itse tunnelista. Tarkista viel\u00e4 k\u00e4ttelyn tila palvelimelta komennolla sudo wg show<\/code>. Toimivassa yhteydess\u00e4 n\u00e4et rivin latest handshake<\/code> ja siirretyt tavut:<\/p>\n\n\n\n
peer: 9Hh3K...=\n  endpoint: 84.123.45.67:51820\n  allowed ips: 10.8.0.2\/32\n  latest handshake: 18 seconds ago\n  transfer: 1.24 MiB received, 845.32 KiB sent<\/code><\/pre>\n\n\n\n
DNS-vuoto tarkoittaa, ett\u00e4 nimipalvelukyselysi vuotavat tunnelin ohi internet-operaattorillesi, vaikka muu liikenne kulkee VPN:n l\u00e4pi. Est\u00e4 t\u00e4m\u00e4 varmistamalla, ett\u00e4 asiakaskonfiguraation [Interface]<\/code>-osiossa on rivi DNS = 1.1.1.1<\/code> (tai oma luotettu resolverisi). Voit testata mahdolliset vuodot palveluilla kuten dnsleaktest.com. Hyv\u00e4 yksityisyys edellytt\u00e4\u00e4 my\u00f6s vahvoja salasanoja; kertaa periaatteet salasanaturvallisuus<\/a>-oppaastamme.<\/p>\n\n\n\n
Vaihe 10: Lis\u00e4\u00e4 asiakkaita ja automatisoi luonti<\/h2>\n\n\n\n
Useamman laitteen lis\u00e4\u00e4minen sujuu nopeasti pienell\u00e4 skriptill\u00e4. Jokainen uusi asiakas tarvitsee oman avainparin, oman IP-osoitteen tunneliverkosta (10.8.0.3, 10.8.0.4 ja niin edelleen) ja oman peer-merkinn\u00e4n palvelimelle. T\u00e4ss\u00e4 yksinkertainen skripti, joka luo uuden asiakkaan:<\/p>\n\n\n\n
#!\/bin\/bash\n# Kaytto: sudo .\/add-client.sh nimi 3\nNAME=$1\nIP_LAST=$2\ncd \/etc\/wireguard\n\nwg genkey | tee ${NAME}_private.key | wg pubkey | tee ${NAME}_public.key\nSERVER_PUB=$(cat server_public.key)\nCLIENT_PRIV=$(cat ${NAME}_private.key)\nCLIENT_PUB=$(cat ${NAME}_public.key)\n\ncat > ${NAME}.conf <<EOF\n[Interface]\nPrivateKey = ${CLIENT_PRIV}\nAddress = 10.8.0.${IP_LAST}\/32\nDNS = 1.1.1.1\n\n[Peer]\nPublicKey = ${SERVER_PUB}\nEndpoint = PALVELIMEN_JULKINEN_IP:51820\nAllowedIPs = 0.0.0.0\/0\nPersistentKeepalive = 25\nEOF\n\necho \"[Peer]\" >> wg0.conf\necho \"# ${NAME}\" >> wg0.conf\necho \"PublicKey = ${CLIENT_PUB}\" >> wg0.conf\necho \"AllowedIPs = 10.8.0.${IP_LAST}\/32\" >> wg0.conf\n\nwg syncconf wg0 <(wg-quick strip wg0)\necho \"Asiakas ${NAME} luotu: ${NAME}.conf\"<\/code><\/pre>\n\n\n\n
Tallenna skripti nimell\u00e4 add-client.sh<\/code>, anna sille suoritusoikeudet komennolla chmod +x add-client.sh<\/code> ja muista korvata PALVELIMEN_JULKINEN_IP<\/code> palvelimesi osoitteella. T\u00e4m\u00e4n j\u00e4lkeen uusi asiakas syntyy yhdell\u00e4 komennolla, esimerkiksi sudo .\/add-client.sh puhelin 3<\/code>.<\/p>\n\n\n\n
Vaihe 11: Edistyneet vinkit (kill switch, split tunnel)<\/h2>\n\n\n\n
Kun perusasetukset ovat kunnossa, voit parantaa turvallisuutta ja joustavuutta muutamalla lis\u00e4asetuksella. Kill switch<\/strong> est\u00e4\u00e4 liikenteen vuotamisen, jos VPN-yhteys katkeaa. Lis\u00e4\u00e4 asiakaskonfiguraation [Interface]<\/code>-osioon rivit, jotka katkaisevat verkon, jos tunneli sammuu:<\/p>\n\n\n\n
PostUp = iptables -I OUTPUT ! -o %i -m mark ! --mark $(wg show %i fwmark) -m addrtype ! --dst-type LOCAL -j REJECT\nPreDown = iptables -D OUTPUT ! -o %i -m mark ! --mark $(wg show %i fwmark) -m addrtype ! --dst-type LOCAL -j REJECT<\/code><\/pre>\n\n\n\n
Split tunnel<\/strong> taas reititt\u00e4\u00e4 vain valitun liikenteen tunnelin l\u00e4pi. Esimerkiksi jos haluat ohjata vain yrityksen sis\u00e4verkon liikenteen VPN:\u00e4\u00e4n ja j\u00e4tt\u00e4\u00e4 muun suoraan internetiin, aseta asiakkaalle AllowedIPs = 10.8.0.0\/24, 192.168.1.0\/24<\/code>. Avainten kierto<\/strong> kannattaa tehd\u00e4 s\u00e4\u00e4nn\u00f6llisesti: luo uudet avaimet, p\u00e4ivit\u00e4 peer-merkinn\u00e4t ja poista vanhat. S\u00e4ilyt\u00e4 my\u00f6s palvelimen ohjelmistot ajan tasalla, koska tietoturvap\u00e4ivitykset tulevat ytimen mukana.<\/p>\n\n\n\n
Voit my\u00f6s yhdist\u00e4\u00e4 WireGuardin DNS-suodatukseen ajamalla palvelimella esimerkiksi Pi-holen, jolloin koko VPN-liikenteesi suodattuu mainoksista ja seurantadomaineista. Toinen hy\u00f6dyllinen lis\u00e4 on monivaiheinen tunnistautuminen hallintapaneeleihin; tutustu aiheeseen vertailussamme kaksivaiheinen tunnistautuminen<\/a>.<\/p>\n\n\n\n
Vaihe 12: 6 yleist\u00e4 sudenkuoppaa<\/h2>\n\n\n\n
Useimmat WireGuard-ongelmat johtuvat samoista perusvirheist\u00e4. T\u00e4ss\u00e4 kuusi yleisint\u00e4 sudenkuoppaa, jotka kannattaa tarkistaa ennen kuin alkaa ep\u00e4ill\u00e4 monimutkaisempia syit\u00e4.<\/p>\n\n\n\n