Пошаговая инструкция 2026 · WireGuard VPN на VPS

Как поднять свой VPN на VPSс WireGuard — инструкция 2026

Настройка WireGuard VPN на VPS за 7 шагов: Ubuntu 22.04, генерация ключей Curve25519, конфиг сервера wg0.conf, IP-форвардинг, NAT через iptables, открытие порта 51820 и подключение клиента на Windows, Android или iOS.

Арендовать VPS для WireGuardЧитать инструкцию
VPS от 409 ₽/месСтартовая конфигурация под WireGuard
1 vCPU / 1 GB RAMМинимум для личного VPN-сервера
Ubuntu 22.04 LTSРекомендуемая ОС для WireGuard

Пошаговая настройка WireGuard VPN на VPS Ubuntu 22.04

Инструкция проверена на Ubuntu 22.04 LTS и Debian 12. Все команды готовы к копированию — от SSH до подключения первого клиента.

01

Подключитесь к VPS по SSH и обновите систему

Арендуйте VPS на SpaceWeb, получите IP и пароль root. Подключитесь через терминал, затем обновите пакеты — это база перед любой установкой.

# Подключение к серверуssh root@ВАШ_IP_СЕРВЕРА# Обновление пакетовapt update && apt upgrade -y
02

Установите WireGuard на Ubuntu 22.04

В Ubuntu 22.04 и Debian 12 WireGuard доступен прямо из стандартного репозитория — никаких дополнительных PPA не нужно.

apt install -y wireguard# Проверяем установкуwg --version
⚠ На Ubuntu 20.04 и старше сначала выполните:add-apt-repository ppa:wireguard/wireguard
03

Сгенерируйте пару ключей сервера и клиента

WireGuard использует асимметричное шифрование Curve25519. Приватный ключ должен быть доступен только на сервере — никогда не передавайте его.

cd /etc/wireguard umask 077# Ключи сервераwg genkey | tee server_private.key | wg pubkey | tee server_public.key# Ключи клиентаwg genkey | tee client1_private.key | wg pubkey | tee client1_public.key# Записываем значения — понадобятся в конфигеcat server_private.key cat server_public.key
04

Создайте конфигурационный файл сервера wg0.conf

Главный конфиг WireGuard —/etc/wireguard/wg0.conf. Указывается IP туннеля, приватный ключ, порт и публичный ключ каждого клиента.

nano /etc/wireguard/wg0.conf
# Содержимое wg0.conf[Interface] PrivateKey = ПРИВАТНЫЙ_КЛЮЧ_СЕРВЕРА Address = 10.0.0.1/24 ListenPort = 51820# Блок [Peer] для каждого клиента[Peer] PublicKey = ПУБЛИЧНЫЙ_КЛЮЧ_КЛИЕНТА_1 AllowedIPs = 10.0.0.2/32
💡 Address 10.0.0.1/24 — внутренний IP туннеля. Клиенты получат 10.0.0.2, 10.0.0.3 и т.д.
05

Включите IP-форвардинг и настройте NAT через iptables

Чтобы VPS пропускал трафик клиентов в интернет — нужно разрешить форвардинг пакетов и настроить NAT. Заменитеeth0на имя своего сетевого интерфейса.

# Узнайте имя интерфейсаip -br a# Включаем форвардинг постоянноecho "net.ipv4.ip_forward=1" >> /etc/sysctl.conf sysctl -p
# Добавьте в wg0.conf в секцию [Interface]PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; \ iptables -A FORWARD -o wg0 -j ACCEPT; \ iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; \ iptables -D FORWARD -o wg0 -j ACCEPT; \ iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
06

Запустите WireGuard и откройте порт 51820 в UFW

Запускаем интерфейс wg0 и включаем автостарт через systemd. Перед включением UFW обязательно разрешите SSH — иначе можно потерять доступ к серверу.

# Запускаем WireGuardsystemctl start wg-quick@wg0 systemctl enable wg-quick@wg0# Открываем порты в UFWufw allow 51820/udp ufw allow OpenSSH ufw enable# Проверяем подключённых клиентовwg show
Арендовать VPS для WireGuard
07

Создайте конфиг клиента и подключитесь

На устройстве-клиенте нужен файлwg0.conf. На мобильных удобнее отсканировать QR-код, который генерируется прямо на сервере.

# Конфиг клиента (сохраните как client1.conf)[Interface] PrivateKey = ПРИВАТНЫЙ_КЛЮЧ_КЛИЕНТА_1 Address = 10.0.0.2/32 DNS = 1.1.1.1 [Peer] PublicKey = ПУБЛИЧНЫЙ_КЛЮЧ_СЕРВЕРА Endpoint = ВАШ_IP_СЕРВЕРА:51820 AllowedIPs = 0.0.0.0/0 PersistentKeepalive = 25
# QR-код для Android / iOSapt install -y qrencode qrencode -t ansiutf8< /etc/wireguard/client1.conf

Частые ошибки при настройке WireGuard

  • Неверное имя интерфейса в PostUp/PostDown — проверьте через ip -br a.
  • IP-форвардинг не включён — без net.ipv4.ip_forward=1 трафик не пойдёт.
  • UFW закрыл SSH — всегда открывайте OpenSSH перед ufw enable.
  • Не совпадают публичные и приватные ключи сервера и клиента.
Выбрать надёжный VPS

Что сделать после успешного запуска

  • Проверить IP командой curl ifconfig.me — должен показать IP вашего VPS.
  • Добавить второго клиента: новый блок [Peer] и перезапуск wg-quick.
  • Сделать резервную копию /etc/wireguard/ — здесь хранятся все ключи.
  • Сменить порт на 443/UDP, если провайдер блокирует 51820.
Подобрать конфигурацию

Клиент WireGuard: скачать на Windows, Android, iOS и macOS

Официальные клиенты бесплатны и с открытым исходным кодом. На мобильных — удобный импорт через QR-код с сервера.

Windows — скачать WireGuard

Официальный клиент с графическим интерфейсом. Импорт конфига через кнопку «+» → «Из файла или архива». Скачать:wireguard-installer.exe

Android — WireGuard в Google Play

Поддерживает импорт через QR-код. Скачать:Google Play

iOS / iPhone — WireGuard в App Store

QR-код — самый удобный способ добавить туннель на iPhone. Скачать:App Store

macOS — WireGuard в Mac App Store

Нативное приложение для macOS. Скачать:Mac App Store

Linux — встроенная поддержка

На Linux установите утилиты:apt install wireguard— и подключайтесь командойwg-quick up wg0

FAQ: частые вопросы о WireGuard VPN на VPS

Ответы на популярные вопросы по настройке, выбору VPS и работе WireGuard-сервера.

Какой VPS нужен для WireGuard VPN?

Для личного VPN на 1–3 устройства хватает VPS с 1 vCPU и 1 GB RAM от 409 ₽/мес. Для команды из 5–10 человек рекомендуется 2 GB RAM.

Чем WireGuard лучше OpenVPN и IPsec?

WireGuard работает в ядре Linux, даёт более высокую скорость и меньшую задержку. Кодовая база заметно меньше, чем у OpenVPN, поэтому аудит безопасности проще.

Как проверить, что WireGuard работает правильно?

После подключения клиента выполнитеcurl ifconfig.me— должен отображаться IP вашего VPS. На сервере командаwg showпокажет подключённых пиров.

Что делать, если WireGuard не подключается?

Проверьте порт 51820/UDP, статус wg-quick@wg0, IP-форвардинг, ключи и правила iptables. В большинстве случаев проблема в UFW или неверном интерфейсе в PostUp/PostDown.

Как добавить второго клиента в WireGuard?

Сгенерируйте новую пару ключей, добавьте блок [Peer] в wg0.conf с уникальным IP (10.0.0.3/32), затем перезапустите wg-quick@wg0.

Можно ли использовать WireGuard для обхода блокировок?

Да. WireGuard работает через UDP. Если порт 51820 блокируется, смените ListenPort на 443 или 53 и обновите Endpoint на клиенте.

Безопасно ли хранить приватные ключи WireGuard на VPS?

Да, если ключи лежат в /etc/wireguard/ с доступом только для root. Используйте umask 077 и не храните приватные ключи клиентов на сервере.

Арендуйте VPS и поднимите свой WireGuard VPN

Выберите конфигурацию на SpaceWeb — от минимального VPS за 409 ₽/мес для личного VPN до более мощного сервера для семьи или команды.

Арендовать VPS для WireGuard
Также:Сравнение всех тарифов VPS SpaceWeb·Сервер Minecraft на VPS·VPS для Telegram-бота

Инструкция по настройке WireGuard VPN на VPS: Ubuntu 22.04, генерация ключей, конфиг wg0.conf, IP-форвардинг, NAT, порт 51820, автозапуск через systemd.

Актуально для WireGuard 1.x и Ubuntu 22.04 / Debian 12 на апрель 2026 года.

Арендовать VPS для WireGuard
Конструктор сайтов от 
Т-Банк