WireGuard Site-to-Site im Homelab: stabile Basis mit systemd und Checks

Schwierigkeit: Mittel · Dauer: 35–55 Min · Ziel: Zwei Netze per WireGuard stabil verbinden und den Betrieb mit systemd absichern.

Kurzproblem und Zielbild

Site-to-Site-Setups sind oft instabil durch fehlende Keepalive-/Routing-Checks. Ziel: stabiler Tunnel mit definierten AllowedIPs, sauberem Autostart und reproduzierbarer Prüfung.

Voraussetzungen

• Zwei Linux-Systeme mit WireGuard
• Öffentlich erreichbarer Endpoint auf mindestens einer Seite
• Firewall-Freigabe UDP 51820

Schnellstart (funktionierende Basis)

sudo systemctl enable wg-quick@wg0.service
sudo systemctl start wg-quick@wg0.service
sudo wg show

Schritt-für-Schritt Umsetzung

1) Schlüssel erstellen

umask 077
wg genkey | tee privatekey | wg pubkey > publickey

2) Minimal-Konfig setzen

[Interface]
Address = 10.10.10.1/24
PrivateKey = <PRIVATE_KEY>
ListenPort = 51820

[Peer]
PublicKey = <PEER_PUBLIC_KEY>
AllowedIPs = 10.10.10.0/24, 192.168.50.0/24
Endpoint = vpn.example.tld:51820
PersistentKeepalive = 25

3) Start + Persistenz

sudo systemctl daemon-reload
sudo systemctl enable wg-quick@wg0.service
sudo systemctl restart wg-quick@wg0.service

4) Routing/Erreichbarkeit prüfen

ip route
ping -c 3 10.10.10.2
wg show

Validierung / Checks

systemctl status wg-quick@wg0 --no-pager
wg show
journalctl -u wg-quick@wg0 -n 120 --no-pager

Troubleshooting

Kein Handshake

sudo ss -lunp | grep 51820
sudo wg show

Handshake da, aber keine Route

ip route
# AllowedIPs/Forwarding prüfen

Fazit

Mit klarer Minimal-Konfig + systemd + festen Checks wird Site-to-Site-WireGuard im Homelab deutlich stabiler. Nächster Schritt: Monitoring auf Handshake-Alter und Paketzähler.

Quellen

• WireGuard Quickstart
• wg(8)
• wg-quick(8)