Wie richte ich WireGuard auf Android ein?

Installieren Sie die offizielle WireGuard-App aus dem Play Store oder F-Droid und fügen Sie dann einen Tunnel hinzu. Der einfachste Weg ist, einen von Ihrem Server generierten QR-Code zu scannen (PiVPNs 'pivpn -qr', NetBird oder eine manuelle Einrichtung mit qrencode), der die gesamte Konfiguration in einem Schritt importiert. Alternativ importieren Sie eine .conf-Datei. Schalten Sie den Tunnel ein und Sie sind verbunden. WireGuard benötigt einen Server-Endpunkt, um sich zu verbinden — ein Raspberry Pi oder ein günstiger VPS — es ist die Client-Hälfte eines selbst gehosteten VPNs.

Wie importiere ich eine WireGuard-Konfiguration auf Android?

Drei Wege im '+'-Menü der App: (1) Von QR-Code scannen — am schnellsten; Ihr Server kann die Client-Konfiguration als QR rendern. (2) Aus Datei importieren — kopieren Sie die .conf auf das Telefon und wählen Sie sie aus. (3) Von Grund auf neu erstellen — Schlüssel und den [Peer]-Endpunkt manuell einfügen. QR ist bei weitem am wenigsten fehleranfällig. Nach dem Import überprüfen Sie, ob die DNS- und Endpunktfelder des Tunnels korrekt sind, bevor Sie sich verbinden.

Hat Android einen Kill-Switch für WireGuard?

Ja, über Androids integrierte 'Always-on VPN'- und 'Verbindungen ohne VPN blockieren'-Funktionen in Einstellungen > Netzwerk & Internet > VPN > (Zahnrad-Symbol neben WireGuard). Aktivieren Sie beide, damit das Gerät keinen Datenverkehr außerhalb des Tunnels sendet, wenn WireGuard ausfällt. Die WireGuard-App selbst ermöglicht es Ihnen auch, Optionen pro Tunnel festzulegen. Die Kombination von Always-on mit Blockieren-ohne-VPN ist das Android-Äquivalent eines Kill-Switches.

Wie verwende ich Split-Tunneling in WireGuard auf Android?

Öffnen Sie den Tunnel in der WireGuard-App, bearbeiten Sie ihn und wählen Sie unter 'Anwendungen' aus, bestimmte Apps einzuschließen oder auszuschließen. 'Ausschließen' leitet alles durch den Tunnel außer den von Ihnen ausgewählten Apps (praktisch für eine Banking-App, die VPNs nicht mag); 'einschließen' leitet nur die ausgewählten Apps. Dieses Split-Tunneling pro App ist in den Android-Client integriert und benötigt keine zusätzliche Software.

Warum verbindet sich mein WireGuard-Tunnel auf Android nicht (kein Handshake)?

Die häufigsten Ursachen: eine falsche Endpunkt-IP/Port oder der UDP-Port des Servers ist in seiner Firewall nicht geöffnet; ein nicht übereinstimmender öffentlicher Schlüssel zwischen Client und Server; oder eine große Uhrzeitabweichung. Überprüfen Sie, ob das neueste Handshake-Feld auf 'nie' bleibt — wenn ja, vergewissern Sie sich, dass der Server auf dem richtigen UDP-Port lauscht und erreichbar ist. Wenn es sich verbindet, aber Seiten nicht geladen werden, senken Sie die MTU (z.B. auf 1280) in der Schnittstellenkonfiguration, was viele MTU-Probleme im Mobilfunknetz behebt.

WireGuard auf Android: Vollständige Einrichtungsanleitung (2026)

WireGuard ist das schnellste und einfachste VPN-Protokoll, das auf einem Telefon läuft – einmal eingerichtet, ist die Verbindung mit einem einzigen Schalter hergestellt und es verbraucht im Vergleich zu älteren Protokollen weniger Akku. Diese Anleitung führt Sie Schritt für Schritt durch WireGuard auf Android im Jahr 2026: Installation der App, Import Ihrer Serverkonfiguration, Aktivierung eines Kill-Switches, Split-Tunneling pro App und Behebung von Handshake- und MTU-Problemen. Es funktioniert mit jedem WireGuard-Server — PiVPN, NetBird oder einer manuellen Einrichtung.

Was Sie vor dem Start benötigen

Ein Android-Telefon oder -Tablet mit Android 10 oder höher (ältere Versionen funktionieren, aber die Always-on/Kill-Switch-Schalter sind in neueren Versionen am saubersten).
Ein laufender WireGuard-Server mit einem erreichbaren öffentlichen Endpunkt — ein Raspberry Pi zu Hause mit weitergeleitetem UDP-Port oder ein kleiner VPS. Die Android-App ist nur der Client.
Die Client-Konfiguration für dieses Gerät — ein QR-Code auf dem Bildschirm oder eine .conf-Datei. Geben Sie jedem Gerät sein eigenes Schlüsselpaar; die Wiederverwendung einer Konfiguration auf mehreren Telefonen führt zu Handshake-Problemen, da zwei Peers dann denselben öffentlichen Schlüssel teilen.

Schritt 1 — App installieren

Installieren Sie die offizielle WireGuard-App aus dem Play Store oder F-Droid (Open-Source-Build). Vermeiden Sie Drittanbieter-„WireGuard“-Kopien.

Play Store oder F-Droid?

Beide bieten denselben offiziellen Client. Die Play Store-Version aktualisiert sich automatisch und ist für die meisten Nutzer geeignet. Die F-Droid-Version wird von F-Droid aus dem Quellcode kompiliert, enthält keine Google-Abhängigkeiten und eignet sich für ein de-googeltes Telefon — der Kompromiss ist, dass Updates etwas langsamer eintreffen. Beide sind vertrauenswürdig; vermeiden Sie einfach Apps, die ähnlich aussehen, von unbekannten Herausgebern, da ein VPN-Client Ihren gesamten Datenverkehr verarbeitet.

Schritt 2 — Serverkonfiguration importieren

Tippen Sie in der App auf + und wählen Sie eine der folgenden Optionen:

Von QR-Code scannen — am schnellsten und am wenigsten fehleranfällig. Ihr Server rendert die Client-Konfiguration als QR (pivpn -qr, NetBirds App oder qrencode bei einer manuellen Einrichtung).
Aus Datei importieren — kopieren Sie die .conf auf das Telefon und wählen Sie sie aus.
Von Grund auf neu erstellen — Schlüssel und den [Peer]-Endpunkt manuell einfügen.

WireGuard ist die Client-Hälfte; es benötigt einen Server-Endpunkt. Wenn Sie keinen haben, ein Contabo VPS für 4,99 €/Monat betreibt bequem einen persönlichen WireGuard-Server.

Zeilen von Quellcode auf einem dunklen Bildschirm

Schritt 3 — Verbinden und überprüfen

Schalten Sie den Tunnel ein. Überprüfen Sie, ob das neueste Handshake aktualisiert wird (nicht „nie“) und ob sich Ihre öffentliche IP ändert. Für Hintergrundinformationen zum Protokoll siehe WireGuard vs OpenVPN.

Schritt 4 — Kill-Switch aktivieren (Always-on)

Android hat dies eingebaut: Einstellungen > Netzwerk & Internet > VPN > (Zahnrad neben WireGuard) → Always-on VPN und Verbindungen ohne VPN blockieren aktivieren. Jetzt leitet das Telefon keinen Datenverkehr außerhalb des Tunnels, wenn WireGuard ausfällt — das Android-Äquivalent eines Kill-Switches.

Schritt 5 — Split-Tunneling pro App

Bearbeiten Sie den Tunnel → Anwendungen → Apps ausschließen (alles wird getunnelt außer diesen — nützlich für eine Banking-App) oder nur ausgewählte Apps einschließen. In den Client integriert, keine zusätzliche Software erforderlich.

Netzwerkebene-Routing: Erlaubte IPs

Das Split-Tunneling pro App (Schritt 5) entscheidet, welche Apps den Tunnel nutzen. AllowedIPs in der [Peer]-Konfiguration entscheidet, welche Ziele dies tun — und die beiden kombinieren sich:

0.0.0.0/0, ::/0 leitet den gesamten IPv4- und IPv6-Verkehr über Ihren Server — der Full-Tunnel-Standard, den Sie für Privatsphäre in öffentlichen WLANs wünschen.
Ein enger Bereich wie 10.0.0.0/24 sendet nur Ihr Heim-/Büro-Subnetz durch den Tunnel, während der Rest Ihres Datenverkehrs über die normale Verbindung läuft — perfekt, um ein Heim-NAS oder Pi-hole zu erreichen, ohne alles zu verlangsamen.

Wenn Sie einen Full-Tunnel betreiben, aber dennoch zu Hause drucken oder streamen möchten, ist der sauberste Weg, diese Geräte im LAN zu belassen und die App für das Streaming aus dem Tunnel auszuschließen, da der Android-Client nicht über die iOS-Option „private IPs ausschließen“ verfügt.

Fehlerbehebung

Kein Handshake (bleibt „nie“): falsche Endpunkt-IP/Port, Server-UDP-Port nicht offen in seiner Firewall oder ein nicht übereinstimmender öffentlicher Schlüssel. Überprüfen Sie, ob der Server zuhört und erreichbar ist.
Verbindet sich, aber kein Internet: senken Sie die MTU (z.B. 1280) in der Schnittstellenkonfiguration — behebt viele MTU-Probleme im Mobilfunknetz.
Verbindung bricht bei Bildschirmabschaltung ab: deaktivieren Sie die Akkuoptimierung für die WireGuard-App (Einstellungen → Apps → WireGuard → Akku → Unbeschränkt).
DNS-Lecks: setzen Sie den DNS des Tunnels auf Ihren Server oder einen vertrauenswürdigen Resolver und testen Sie dann mit unserer DNS-Leak-Anleitung.
„Always-on“ ausgegraut: Android erlaubt Always-on nur, wenn ein Tunnel sauber importiert und mindestens einmal verbunden wurde — verbinden Sie sich zuerst manuell, dann stellen Sie es ein.
Langsame Wiederverbindung nach Wechsel von Wi-Fi↔Mobil: fügen Sie PersistentKeepalive = 25 zum [Peer] hinzu, damit der Tunnel den Pfad über Netzwerkänderungen und hinter NAT hinweg aufrechterhält.

Für wiederverwendbare Client-/Server-Vorlagen siehe WireGuard-Konfigurationsvorlagen.

Fazit

WireGuard auf Android ist in fünf Minuten eingerichtet: Installieren Sie die offizielle App, importieren Sie Ihre Serverkonfiguration per QR, schalten Sie ein und aktivieren Sie Always-on + Blockieren-ohne-VPN für einen Kill-Switch. Fügen Sie bei Bedarf Split-Tunneling pro App hinzu und behalten Sie den MTU-Trick für instabile Mobilfunknetze im Hinterkopf. Sie benötigen nur einen WireGuard-Server, auf den Sie verweisen können — ein Contabo VPS oder ein Raspberry Pi zu Hause erledigt den Job.

Redaktionelle Anleitung basierend auf dem dokumentierten Verhalten des offiziellen WireGuard Android-Clients und den Always-on VPN-Funktionen von Android. Die Sicherheit hängt von Ihrer Serverkonfiguration und der Schlüsselhygiene ab. Kommerzielle Links tragen das Attribut rel="sponsored nofollow"; eine Affiliate-Provision kann ohne zusätzliche Kosten für Sie anfallen.

★ Nürnberger DSGVO-Rechenzentrum · ✓ Dedizierte IPv4 inklusive · 200+ Mbps garantiert

Self-host your VPN on your own VPS → ContaboFull root access · public IPv4 · pick your region→