Kendi AmneziaWG2 sunucunuzu VPS üzerinde hızlıca nasıl kurarsınız?

Konsolda her şeyi elle kurmakla uğraşmadan kendi VPN sunucunuza ulaşmanın en hızlı yolunu istiyorsanız, Amnezia içindeki self-hosted akışı en pratik seçeneklerden biridir. Bir VPS oluşturursunuz, uygulamaya SSH erişimi verirsiniz, protokolü seçersiniz ve istemci sunucuya bağlanıp gereken her şeyi kendi başına kurar.

Bu rehberde ana senaryo DigitalOcean üzerinden gösteriliyor, çünkü orada süreç en düz ve en anlaşılır şekilde ilerliyor. Ama aşağıda AWS, Azure veya Google Cloud Platform kullanıyorsanız ne yapmanız gerektiğini de ayrıca anlatıyorum — özellikle SSH anahtarları ve doğru portu açma tarafında.

Baştan önemli bir not: Amnezia arayüzünde bazı adımlarda yalnızca Amnezia WireGuard yazabilir ve sürüm vurgulanmayabilir. Ancak desteklenen istemci sürümlerindeki güncel self-hosted akışta sonunda kurulan şey AmneziaWG 2.0 olur.

Hızlı rota

Detaylara ihtiyacınız yoksa tüm süreç şöyle görünür:

1. bir VPS oluşturun;
2. bir SSH anahtarı hazırlayın;
3. public key’i sağlayıcınıza ekleyin;
4. private key, IP ve username bilgisini alın;
5. Amnezia’yı kurun;
6. Self-hosted VPN seçeneğini seçin;
7. IP, username ve private key’i yapıştırın;
8. Manual → Amnezia WireGuard seçin;
9. portu belirleyin;
10. kurulumun tamamlanmasını bekleyin;
11. bağlanın ve IP’nin değiştiğini doğrulayın.

Aşağıda bunun tam adım adım anlatımı var.

Gerekli olanlar

• genel IP’ye sahip bir VPS
• sunucuya SSH erişimi
• bir SSH anahtarı
• kurulu Amnezia uygulaması
• 3–5 dakika

Public key ve private key: karıştırmayın

En sık hata burada yapılır.

Bir SSH anahtarı oluşturduğunuzda iki dosya elde edersiniz:

• private key — sadece sizde kalan gizli anahtar;
• public key — sağlayıcının paneline eklediğiniz açık anahtar.

Tipik durumda:

• .pub uzantılı dosya public key’dir;
• .pub olmayan dosya private key’dir.

Pratikte bu şu anlama gelir:

• DigitalOcean’da ve çoğu zaman Google Cloud’da public key yüklenir;
• Amnezia içine private key yapıştırılır;
• AWS ve Azure tarafında portal anahtarları sizin yerinize oluşturabilir, bu yüzden akış biraz farklıdır — aşağıda ayrıca anlatıyorum.

DigitalOcean: en kolay senaryo

Bu tür bir rehber için DigitalOcean gerçekten en rahat seçeneklerden biridir.

Adım 1. Bir SSH anahtarı oluşturun

Bu sunucu için zaten ayrı bir SSH anahtarınız varsa harika, onu kullanın. Yoksa yeni bir tane oluşturun.

Temel komut:

ssh-keygen

Bundan sonra sistem anahtarları nereye kaydettiğini gösterecektir. Bundan sonraki aşamada ihtiyacınız olan şey public key, yani .pub ile biten dosyadır.

Terminalde görüntülemek ve kopyalamak için:

cat ~/.ssh/ANAHTAR_ADI.pub

Varsayılan adı kullandıysanız yol genelde şöyle olur:

cat ~/.ssh/id_ed25519.pub

Adım 2. Public key’i DigitalOcean’a ekleyin

DigitalOcean’da public key hesabınıza yüklenir ve ardından yeni droplet oluşturulurken bağlanır.

Resmî yol: DigitalOcean Control Panel → Settings → Security → Add SSH Key

Resmî talimatlar:

• Add SSH keys to a team: https://docs.digitalocean.com/platform/teams/how-to/upload-ssh-keys/
• Create a Droplet: https://docs.digitalocean.com/products/droplets/how-to/create/
• Add SSH keys to new or existing Droplets: https://docs.digitalocean.com/products/droplets/how-to/add-ssh-keys/

Droplet oluşturma sayfasından çıkmanıza bile gerek yoktur: orada aynı işi yapan bir New SSH Key düğmesi bulunur.

Adım 3. Droplet oluşturun

İlk kurulum için şu kadarı yeterlidir:

• Ubuntu
• herhangi bir temel plan
• SSH key authentication
• oluşturduğunuz public key

Droplet hazır olduktan sonra şunlara ihtiyacınız olacak:

• public IP
• username
• sizin private key’iniz

DigitalOcean’da tipik bir Ubuntu droplet için varsayılan username çoğunlukla root olur.

Amnezia’yı kurun

VPS oluşturulurken istemciyi hemen indirebilirsiniz.

İndirme sayfası: https://amnezia.org/

Amnezia’nın şu sürümleri vardır:

• Windows
• macOS
• Linux
• Android
• iOS

Uygulamayı kurun, açın ve Let’s get started düğmesine basın.

Self-hosted AmneziaWG2 kurulumu

Adım 1. Self-hosted VPN seçin

Uygulama içinde şunu seçin:

Self-hosted VPN

Sonrasında üç şeye ihtiyacınız olacak:

• sunucunun IP’si
• username
• private SSH key

Adım 2. Private key’i yapıştırın

Burada ihtiyacınız olan dosya .pub olan değil, private key’dir.

Örneğin public key’iniz şuysa:

~/.ssh/id_ed25519.pub

private key genellikle şu olur:

~/.ssh/id_ed25519

İçeriğini şöyle görüntüleyebilirsiniz:

cat ~/.ssh/id_ed25519

Tüm içeriği kopyalayıp Amnezia’ya yapıştırın.

Adım 3. Username girin

DigitalOcean’da bu genelde şöyledir:

root

Diğer sağlayıcılarda username farklı olabilir, bu yüzden her yere otomatik olarak root yazmayın.

Adım 4. IP’yi girin

Sağlayıcınızın panelinden VPS’in public IP bilgisini kopyalayın ve Amnezia’ya yapıştırın.

Adım 5. Manual → Amnezia WireGuard seçin

Sonraki adımda uygulama sizden kurulum türünü isteyecek. Şunu seçin:

• Manual
• ardından Amnezia WireGuard

Birçok kişi isimlendirme yüzünden burada karışıklık yaşıyor: arayüz “version 2” ibaresini özellikle göstermeyebilir, ancak güncel self-hosted akışta bu, istemci yeni sürümü destekliyorsa AWG 2.0 anlamına gelir.

Self-hosted AmneziaWG 2.0 için resmî talimat: https://docs.amnezia.org/ru/documentation/instructions/new-amneziawg-selfhosted/

Adım 6. Portu belirleyin

Videoda 8080 portu kullanılıyor ve ilk pratik kurulum için bu gayet mantıklı bir seçimdir.

Burada önemli olan şudur:

• bu, VPN sunucusunun portudur, SSH portu değildir;
• protokol ayağa kalkmıyorsa sorun çoğu zaman protokolün kendisi değil, portun kapalı olmasıdır;
• belirli bir port çalışmıyorsa, doğrudan karmaşık ağ nedenleri aramaya başlamadan önce başka bir port denemek genelde daha hızlıdır.

Self-hosted AmneziaWG için resmî troubleshooting: https://docs.amnezia.org/troubleshooting/self-hosted-amneziawg-not-working/

Orada sorun yaşarsanız 9999’un altında başka bir port denemenizi açıkça öneriyorlar; örneğin 585 veya 1234.

Adım 7. Otomatik kurulumun bitmesini bekleyin

Bundan sonra Amnezia şunları kendi yapar:

• SSH üzerinden sunucuya bağlanır;
• gerekli her şeyi kurar;
• yapılandırmayı hazırlar;
• bağlantıyı uygulamanın içine ekler.

Self-hosted akışın asıl avantajı budur: her şeyi konsoldan elle kurmanız gerekmez.

Adım 8. Bağlanın ve IP’yi doğrulayın

Kurulum tamamlandığında Connect düğmesini göreceksiniz.

Sonrasında:

1. Connect’e basın;
2. tünelin ayağa kalkmasını bekleyin;
3. herhangi bir IP kontrol servisini açın;
4. sayfayı yenileyin ve IP’nin artık VPS’inizle eşleştiğini doğrulayın.

IP sunucunuzun IP’sine döndüyse temel kurulum tamamdır.

DigitalOcean kullanmıyorsanız ne yapmalısınız?

Aşağıda diğer yaygın sağlayıcılar için kısa ve pratik bir özet var.

AWS: SSH anahtarları ve port

AWS EC2 tarafında süreç DigitalOcean’dan farklıdır.

AWS üzerinde SSH anahtarları

AWS’te SSH anahtarını önceden kendi bilgisayarınızda oluşturmanız zorunlu değildir. Bir EC2 instance oluştururken şunlardan birini yapabilirsiniz:

• var olan bir key pair seçmek;
• veya konsol içinde yeni bir key pair oluşturmak.

Yeni bir key pair oluşturduğunuzda AWS size private key’i (örneğin .pem dosyası) bir kez indirmenize izin verir. Public key ise instance’a otomatik olarak bağlanır.

Resmî dokümantasyon:

• EC2 key pairs: https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-key-pairs.html

Yani AWS’te en kolay yol şöyledir:

1. EC2 başlatma akışında key pair oluşturun;
2. private key’i indirin;
3. bu private key’i Amnezia’da kullanın.

AWS üzerinde port nerede açılır?

AWS’te gerekli UDP portu için inbound rule içeren bir Security Group gerekir.

Yol: EC2 → Instance → bağlı Security Group → Edit inbound rules

Resmî dokümantasyon:

• Change security groups: https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/changing-security-group.html
• Security group rules reference: https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules-reference.html

Inbound UDP kuralı eklenmemişse sunucu kurulabilir, ancak dışarıdan bağlantılar çalışmaz.

Azure: SSH anahtarları ve port

Azure tarafında da süreç oldukça rahattır.

Azure üzerinde SSH anahtarları

Azure, SSH anahtarlarını doğrudan portal içinde oluşturup saklayabilir. Bu, anahtarı önce yerelde üretmek istemiyorsanız kullanışlıdır.

Resmî dokümantasyon:

• Generate and store SSH keys in Azure portal: https://learn.microsoft.com/en-us/azure/virtual-machines/ssh-keys-portal
• Connect to a Linux VM: https://learn.microsoft.com/en-us/azure/virtual-machines/linux-vm-connect

Yani Azure’da iki seçeneğiniz vardır:

1. mevcut public key’inizi kullanmak;
2. VM oluşturulurken Azure’nun anahtarları üretmesine izin vermek.

Her iki durumda da Amnezia’nın en sonunda isteyeceği şey private key olacaktır.

Azure üzerinde port nerede açılır?

Azure’da port açma işlemi genelde şu katmanlarda yapılır:

• Networking
• ve/veya Network Security Group (NSG)

Resmî dokümantasyon:

• Network security groups overview/tutorial: https://learn.microsoft.com/en-us/azure/virtual-network/tutorial-filter-network-traffic
• NSG management: https://learn.microsoft.com/en-us/azure/virtual-network/manage-network-security-group

Pratikte ihtiyacınız olan şey, kendi UDP portunuz için bir inbound rule’dur.

Google Cloud Platform: en çok kafa karışıklığının yaşandığı yer

En az sezgisel kısım genelde burasıdır.

GCP üzerinde SSH anahtarları

Google Cloud iki farklı SSH erişim modeli sunar:

1. OS Login
2. metadata-based SSH keys

GCP’de “anahtarlar bir yerde gizli” hissinin oluşmasının nedeni tam olarak budur.

Eğer OS Login kullanılmıyorsa, public SSH key şu yerlere eklenebilir:

• ya project metadata içine,
• ya da belirli bir VM için instance metadata içine.

Resmî dokümantasyon:

• Add SSH keys / access overview: https://docs.cloud.google.com/compute/docs/access
• Troubleshooting SSH errors: https://docs.cloud.google.com/compute/docs/troubleshooting/troubleshooting-ssh-errors

SSH’ye yalnızca tek bir VM için ihtiyacınız varsa, anahtarı proje seviyesinde eklemek yerine çoğu zaman instance metadata kullanmak daha pratiktir.

GCP üzerinde port nerede açılır?

Google Cloud’da portu temel olarak “VM’in içinde” açmazsınız. Asıl kontrol noktası VPC firewall rules tarafıdır.

Resmî dokümantasyon:

• Firewall rules overview: https://docs.cloud.google.com/firewall/docs/firewalls
• Using firewall rules: https://docs.cloud.google.com/firewall/docs/using-firewalls

Pratik akış şöyle görünür:

1. VPC firewall’u açın;
2. bir kural oluşturun;
3. gerekli UDP portuna izin verin;
4. kuralı doğru VM / target tags / ağa uygulayın.

GCP’de “her şey kurulmuş gibi görünüyor ama dışarıdan bağlanmıyor” durumunun en yaygın nedenlerinden biri budur.

Hangi portları seçmelisiniz?

Burada evrensel bir “en iyi” port yoktur.

Pratik yaklaşım şudur:

İlk kurulum için

• net bir UDP portu seçin;
• bunu cloud firewall / security group / NSG / VPC firewall seviyesinde açın;
• aynı portu kurulumda kullanın ve ilk deploy’u gereksiz yere karmaşıklaştırmayın.

Çalışmıyorsa

Şunları bu sırayla kontrol edin:

1. port sağlayıcı seviyesinde açık mı;
2. doğru protokolü seçtiniz mi;
3. doğru anahtarı yapıştırdınız mı;
4. username doğru mu;
5. iç IP yerine public IP mi kullanıyorsunuz;
6. portu değiştirmek daha hızlı olmaz mı?

Ağ seviyesindeki bir sorunu en hızlı biçimde elemek istiyorsanız, genelde en faydalı adım farklı bir UDP portu denemektir.

Yaygın hatalar

Public key ile private key’i karıştırmak

En yaygın hata budur.

Basit kural:

• .pub → sağlayıcının paneline gider
• .pub olmayan → Amnezia’ya gider

Yanlış username

DigitalOcean’da bu genelde root olur, ama AWS, Azure, GCP ve farklı imajlarda durum değişebilir.

UDP portunun açık olmaması

Sunucu doğru şekilde kurulabilir, ancak dış trafik içeri giremez.

Yanlış IP kullanmak

Amnezia’nın ihtiyacı olan şey VM’in iç adresi değil, public IP’dir.

Ayarlarla çok erken oynamaya başlamak

Temel bağlantı hâlâ çalışmıyorsa her şeyi bir anda ince ayar yapmaya kalkmayın. Önce normal bir bağlantının çalıştığından emin olun.

Sonra ne yapmalı?

İlk çalışan AWG2 sunucunuzu kurduktan sonra mantıklı sonraki başlıklar şunlardır:

1. AmneziaWG2 ayarları
2. AWG2 vs WireGuard vs VLESS Reality karşılaştırması
3. hızlı VLESS Reality kurulumu
4. Cloudflare WARP üzerinden yönlendirme
5. daha ileri düzey server-side senaryolar

Yani bu içerik bir giriş noktasıdır: çalışan bir self-hosted AWG2 kurulumu nasıl hızlıca ayağa kaldırılır, yoksa VPN sunucu yönetimi üzerine tam bir kurs değildir.

Kısa özet

En hızlı pratik yol şudur:

• bir VPS oluşturun;
• SSH erişimini alın;
• sağlayıcı tarafına public key ekleyin;
• private key, IP ve username’i Amnezia’ya yapıştırın;
• Manual → Amnezia WireGuard seçin;
• portu belirleyin;
• kurulumun bitmesini bekleyin;
• bağlanın;
• IP’yi doğrulayın.

DigitalOcean üzerinde bu, en doğrudan ve en görsel yoldur. AWS ve Azure tarafında portal, anahtar oluşturma işini kolaylaştırabilir. Google Cloud tarafında ise kafa karışıklığı genelde SSH modeli ve VPC firewall kuralları etrafında olur.

Ama aklınızda üç şeyi tutarsanız — doğru anahtar, doğru username ve açık bir UDP portu — ilk self-hosted kurulum oldukça basit hale gelir.