VPN na Linuxie — konfiguracja i narzędzia (WireGuard, OpenVPN) 2025

Co będzie potrzebne

Dane od dostawcy: pliki .conf dla WireGuard lub .ovpn dla OpenVPN (czasem certyfikaty + login/hasło).
Uprawnienia sudo.
Aktualny kernel (WireGuard jest w jądrze) i zainstalowane pakiety: wireguard-tools, openvpn, network-manager + pluginy.

Wybór dostawcy i różnice między protokołami: WireGuard vs OpenVPN, ogólne podstawy: Co to jest VPN.

Zainstaluj pluginy:
- WireGuard: network-manager-wireguard (np. Ubuntu/Fedora przez repo dystrybucji).
- OpenVPN: network-manager-openvpn.
Otwórz „Ustawienia sieci” → „VPN” → Importuj z pliku i wskaż plik .conf (WG) lub .ovpn.
W zakładce IPv4/IPv6 ustaw DNS dostawcy (override) oraz „Tylko dla połączeń VPN” jeśli chcesz pełnego tunelu.
Włącz Auto-connect i zapisz. Ikona VPN w panelu powinna pozwolić łączyć/rozłączać jednym kliknięciem.

Jeśli chcesz kontrolować DNS dokładniej lub masz wycieki — zobacz sekcję DNS bez wycieków.

Zainstaluj: sudo apt install wireguard-tools (Ubuntu/Debian) lub odpowiednik w Twojej dystrybucji.
Skopiuj plik konfiguracyjny do /etc/wireguard/wg0.conf i ustaw prawa 600.
Testowo uruchom: sudo wg-quick up wg0. Sprawdź ip a (powinien pojawić się interfejs wg0).
Autostart: sudo systemctl enable wg-quick@wg0 i sudo systemctl start wg-quick@wg0.
DNS: w sekcji [Interface] dodaj DNS = x.x.x.x (serwery dostawcy) lub skonfiguruj systemd-resolved.

Trudniejsze przypadki (kilka peerów, ręczne trasy) też ogarnie wg-quick. W razie problemów zobacz Test VPN i prędkość/ping.

Zainstaluj: sudo apt install openvpn (+ resolvconf lub obsługę systemd-resolved).
Wrzuć plik .ovpn do /etc/openvpn/client/, nazwij np. pl.ovpn.
Start: sudo systemctl start openvpn-client@pl; autostart: enable.
DNS: użyj wbudowanych opcji dhcp-option DNS w .ovpn lub skonfiguruj resolved.

Jeśli masz problemy z wydajnością, spróbuj UDP i nowsze szyfry, albo rozważ przejście na WireGuard.

Wyciek DNS to najczęstszy powód wykrycia VPN (niespójny region). Szczegóły: Wycieki DNS.

systemd-resolved: w /etc/systemd/resolved.conf ustaw DNS= i Domains=~., włącz DNSStubListener=yes, a następnie wskaż 127.0.0.53 jako DNS dla interfejsu VPN.
NetworkManager: w profilu VPN zaznacz „Używaj tylko dla połączeń VPN” i ustaw DNS dostawcy jako override.
IPv6: jeśli dostawca nie tuneluje IPv6, tymczasowo je wyłącz (na interfejsie lub globalnie) albo wybierz dostawcę, który je obsługuje.

Kill switch ma zablokować ruch poza tunelem, gdy VPN padnie. Ogólne podstawy: Kill switch.

ufw (Ubuntu): zezwól tylko na ruch przez wg0/tun0; zablokuj wychodzące na wlan0/eth0 poza VPN.
nftables/iptables: reguły „drop” na OUTPUT z wyjątkiem interfejsu tunelu i koniecznych DNS/NTP.
Auto-connect + systemd: uruchamiaj tunel wcześnie, zanim wystartują aplikacje sieciowe.

Chcesz, by tylko część aplikacji/tras szła przez VPN? Użyj policy routing (znaczniki fwmark + tabele routingu). Wprowadzenie: Split tunneling.

Po PID/aplikacji: wrapper uruchamiający program z odpowiednim fwmark.
Po domenach: mapuj domeny na trasy (z ostrożnością, bo DNS może się zmieniać).
Po IP/portach: reguły nftables/iptables kierujące wybrane ruchy do tablicy routingu VPN.

Ping/jitter: porównaj kilka węzłów (PL/DE/NL); wybierz najmniej obciążony.
Przepustowość: testuj w różnych porach (szczyt wieczorny potrafi zwolnić). Zobacz: Test VPN i Prędkość i ping.
VOD: jeśli buforuje, spróbuj Smart TV + Smart DNS albo inny węzeł.

WireGuard czy OpenVPN na Linuxie?

Na desktopie zwykle WireGuard (mniej CPU, lepsza prędkość). OpenVPN jako kompatybilny plan B (np. sieci korporacyjne, starsze routery).

Czy muszę wyłączyć IPv6?

Nie, jeśli dostawca tuneluje IPv6. Jeśli nie — wyłącz tymczasowo lub wybierz dostawcę z pełnym wsparciem.

Dlaczego serwis VOD wykrywa VPN?

Często chodzi o reputację puli IP lub wyciek DNS. Zmień węzeł w tym samym kraju i sprawdź wycieki DNS.

Autor: Denys Shchur — praktyk VPN i SEO.

Ostatnia aktualizacja: 06.09.2025