Vollautomatisches Setup für einen privaten, werbefreien und verschlüsselten Internet-Zugang auf Basis von Debian 12/13.
Ein produktionsreifes Installations-Script, das einen vollständigen VPN- und DNS-Server auf einem beliebigen Debian-Server aufbaut – vollautomatisch, server-agnostisch und idempotent (kann nach Fehlern neu gestartet werden).
| Dienst | Funktion | Port |
|---|---|---|
| WireGuard | VPN-Protokoll (schnell, modern, sicher) | 51820/udp |
| wg-easy v15 | Web-UI für WireGuard Clients & QR-Codes | /wg/ |
| AdGuard Home | DNS-basierter Ad- & Tracking-Blocker | :8443 |
| Unbound | Rekursiver DNS-Resolver (kein Drittanbieter) | :5353 |
| Caddy | Reverse Proxy mit automatischem SSL | :443 |
| Caddy Manager | Web-UI für Caddy – Multi-Server Verwaltung | :9091 |
| wg6-Manager | IPv6-Peer-Verwaltung & Client-Converter | /wg6/ |
| Fail2Ban | Schutz vor Brute-Force-Angriffen | – |
| Dashboard | Zentrales Übersichts-Panel | / |
Internet
│
├── :443 Caddy (SSL/TLS automatisch)
│ ├── / → Dashboard
│ ├── /wg/* → wg-easy v15 (WireGuard UI)
│ ├── /wg6/* → IPv6 Manager
│ └── :8443 → AdGuard Home
│
└── :51820/udp WireGuard VPN
│
└── VPN-Netz 10.x.0.0/24
├── DNS → AdGuard → Unbound → Root-DNS
└── Alle Management-Dienste nur via VPNDas Script beinhaltet ein gestuftes Firewall-System (tunnel.sh):
| Stufe | Name | Beschreibung |
|---|---|---|
| 1 | DNS-Lockdown | DNS Port 53 nur für VPN-Clients |
| 2 | SSH über VPN | SSH nur noch über VPN + Key-Only Auth |
| 3 | Full Lockdown | Alle Management-Ports nur via VPN |
| 4 | Unlock | Für Wartung & Debugging |
Das Script ist vollständig server-agnostisch – Domain, IP, VPN-Subnetz werden beim Start abgefragt. Beliebig viele Server können unabhängig installiert werden. Der Caddy Manager ermöglicht die zentrale Verwaltung aller Caddy-Instanzen über eine einzige Web-UI.
Vollständige IPv6-Unterstützung nach dem Schema:
10.A.B.C → fd00:A:B::C
Beispiel: 10.9.0.1 → fd00:10:9::1vpn-dns-server-setup-v4.6.sh # Haupt-Setup (vollautomatisch)
wg6-setup.sh # IPv6-Manager Installation
tunnel.sh # Firewall-Management (Stufe 1–4)Installation in 3 Schritten:
scp vpn-dns-server-setup-v4.6.sh wg6-setup.sh tunnel.sh root@SERVER_IP:/root/
bash /root/vpn-dns-server-setup-v4.6.sh
# Danach: bash /root/tunnel.sh| Server | Domain | Status |
|---|---|---|
| Server 1 | meinvpn.eu | ✅ Production, Stufe 4 |
| Server 2 | macosdns.de | ✅ v4.6, in Test |
Projekt-Version: v4.6 · Stand: März 2026