Wie richte ich WireGuard auf dem iPhone ein?

Installieren Sie die offizielle WireGuard-App aus dem App Store, tippen Sie auf die Plus-Schaltfläche und fügen Sie einen Tunnel hinzu. Die einfachste Methode ist 'Aus QR-Code erstellen': Scannen Sie den QR, den Ihr Server generiert (PiVPNs 'pivpn -qr', NetBird oder qrencode bei einer manuellen Einrichtung) und die gesamte Konfiguration wird auf einmal importiert. Sie können auch eine .conf-Datei aus der Dateien-App importieren. Schalten Sie den Tunnel ein und erlauben Sie die VPN-Konfiguration, wenn iOS dazu auffordert. WireGuard benötigt einen Serverendpunkt, um sich zu verbinden — ein Raspberry Pi oder ein günstiger VPS.

Wie importiere ich eine WireGuard-Konfiguration auf iOS?

Im Plus-Menü der WireGuard-App haben Sie drei Optionen: 'Aus QR-Code erstellen' (einen QR scannen — am schnellsten), 'Aus Datei oder Archiv erstellen' (eine .conf importieren, die Sie in der Dateien-App gespeichert oder auf das Gerät per AirDrop übertragen haben), und 'Von Grund auf neu erstellen' (Schlüssel und den Peer-Endpunkt manuell einfügen). QR ist am wenigsten fehleranfällig. Nach dem Import überprüfen Sie die DNS- und Endpunktfelder des Tunnels und aktivieren ihn; iOS wird beim ersten Mal um Erlaubnis bitten, eine VPN-Konfiguration hinzuzufügen.

Hat iOS ein immer aktives VPN / einen Kill-Switch für WireGuard?

Ja, über die On-Demand-Funktion der WireGuard-App. Bearbeiten Sie den Tunnel, aktivieren Sie 'On-Demand' und wählen Sie, ob es bei Wi-Fi und/oder Mobilfunk aktiviert werden soll — iOS hält dann den Tunnel aufrecht und verbindet sich automatisch neu. In Kombination mit 'Private IPs ausschließen' nach Bedarf ist On-Demand das praktische iOS-Äquivalent zu einem immer aktiven VPN. Beachten Sie, dass ein echter systemweiter Kill-Switch auf iOS am besten mit einem Konfigurationsprofil (MDM) für verwaltete Geräte erreicht wird; für die meisten Benutzer ist On-Demand ausreichend.

Warum verbindet sich mein WireGuard-Tunnel nicht auf dem iPhone?

Die üblichen Ursachen: eine falsche Endpunkt-IP/Port oder der UDP-Port des Servers ist in seiner Firewall nicht geöffnet; ein nicht übereinstimmender öffentlicher Schlüssel zwischen Client und Server; oder eine Zeitabweichung. Wenn der letzte Handshake auf 'nie' bleibt, überprüfen Sie, ob der Server auf dem richtigen UDP-Port lauscht und von außen erreichbar ist. Wenn es sich verbindet, aber Seiten nicht laden, senken Sie die MTU (z.B. auf 1280) in der Schnittstellenkonfiguration — dies behebt viele MTU-Probleme bei Mobilfunknetzwerken auf iOS.

Ist WireGuard auf iOS akkuschonend?

Ja. WireGuard ist leichtgewichtig und darauf ausgelegt, Roaming und Schlaf effizient zu handhaben, sodass es spürbar weniger Akku verbraucht als ältere Protokolle wie OpenVPN auf iOS. Mit aktiviertem On-Demand bleibt es mit minimalem Verbrauch verbunden und stellt die Verbindung schnell wieder her, nachdem das Telefon aufwacht. Für die meisten Benutzer ist der Akkuverbrauch eines immer aktiven WireGuard-Tunnels gering.

WireGuard auf iPhone & iPad: Vollständige iOS-Einrichtung (2026)

WireGuard ist das sauberste VPN-Protokoll, das auf einem iPhone oder iPad läuft — schnell, akkuschonend und mit einem einzigen Schalter, sobald es eingerichtet ist. Diese Anleitung führt Sie Schritt für Schritt durch WireGuard auf iOS im Jahr 2026: App installieren, Serverkonfiguration importieren, On-Demand (immer aktiv) aktivieren und Handshake- sowie MTU-Probleme beheben. Es funktioniert mit jedem WireGuard-Server — PiVPN, NetBird oder einer manuellen Einrichtung. (Für Android siehe unseren WireGuard auf Android Leitfaden.)

Was Sie vor Beginn benötigen

Ein iPhone oder iPad mit iOS/iPadOS 15 oder höher (die WireGuard-App unterstützt auch ältere Versionen, aber On-Demand ist auf neueren Versionen am zuverlässigsten).
Ein laufender WireGuard-Server mit einem erreichbaren öffentlichen Endpunkt — ein Raspberry Pi zu Hause mit weitergeleitetem Port oder ein kleiner VPS. WireGuard auf iOS ist nur der Client; es funktioniert nicht eigenständig.
Die Client-Konfiguration, die der Server für dieses Gerät erstellt: entweder ein QR-Code auf dem Bildschirm oder eine .conf-Datei, die Sie auf das iPhone übertragen können. Jedes Gerät sollte seine eigene Konfiguration (eigenes Schlüsselpaar) erhalten — niemals eine Konfiguration auf mehreren Telefonen teilen, da doppelte Schlüssel den Handshake unterbrechen.

Schritt 1 — App installieren

Installieren Sie die offizielle WireGuard-App aus dem App Store, veröffentlicht vom WireGuard Development Team. Vermeiden Sie Drittanbieter-Klone — ein VPN-Client sieht all Ihren Datenverkehr, daher ist der Herausgeber wichtig.

Schritt 2 — Serverkonfiguration importieren

Tippen Sie auf + und wählen Sie:

Aus QR-Code erstellen — scannen Sie den QR, den Ihr Server generiert (pivpn -qr, NetBird oder qrencode). Schnellste und fehlerfreiste Methode.
Aus Datei oder Archiv erstellen — importieren Sie eine .conf aus der Dateien-App oder per AirDrop.
Von Grund auf neu erstellen — fügen Sie Schlüssel und den [Peer]-Endpunkt manuell ein.

WireGuard ist der Client; es benötigt einen Server. Ein Contabo VPS für 4,99 €/Monat betreibt bequem einen persönlichen WireGuard-Server.

Zeilen von Quellcode auf einem dunklen Bildschirm

Schritt 3 — Verbinden und überprüfen

Schalten Sie den Tunnel ein und erlauben Sie die VPN-Konfiguration, wenn iOS dazu auffordert. Überprüfen Sie die aktualisierten Handshake-Daten (nicht "nie") und dass sich Ihre öffentliche IP ändert. Für Hintergrundinformationen zum Protokoll siehe WireGuard vs OpenVPN.

Schritt 4 — On-Demand (immer aktiv)

Bearbeiten Sie den Tunnel → aktivieren Sie On-Demand → aktivieren Sie es bei Wi-Fi und/oder Mobilfunk. iOS hält den Tunnel aufrecht und verbindet sich automatisch neu — das praktische iOS-Äquivalent zu einem immer aktiven VPN. Ein echter systemweiter Kill-Switch auf iOS benötigt ein Konfigurationsprofil (MDM) für verwaltete Geräte; für die meisten Benutzer reicht On-Demand aus.

Erlaubte IPs: Volltunnel vs. Splittunnel

Das wichtigste Feld in einem WireGuard-Tunnel auf iOS ist AllowedIPs im [Peer]-Abschnitt — es entscheidet, welcher Verkehr durch das VPN geht:

0.0.0.0/0, ::/0 — Volltunnel. Jedes Paket (IPv4 und IPv6) wird über Ihren Server geleitet. Dies ist, was Sie für Privatsphäre in öffentlichen Wi-Fi-Netzwerken oder um Ihre Heim-IP ins Ausland zu nehmen, wollen.
Ein spezifischer Bereich, z.B. 10.0.0.0/24 — Splittunnel. Nur der Verkehr zu diesem Subnetz nutzt das VPN; alles andere geht über Ihre normale Verbindung. Dies ist ideal, wenn Sie nur Geräte in Ihrem Heim- oder Büronetzwerk erreichen möchten, ohne alles andere zu verlangsamen.

Wenn Sie einen Volltunnel gewählt haben, aber dennoch mit Druckern und lokalen Geräten kommunizieren möchten, aktivieren Sie "Private IPs ausschließen" beim Bearbeiten des Tunnels — iOS schreibt AllowedIPs um, um das Internet durch das VPN zu senden, während 192.168.x.x/10.x.x.x lokal bleibt. Das Vergessen dieser Einstellung ist der übliche Grund, warum AirPlay oder ein lokales NAS "verschwindet", sobald das VPN eingeschaltet ist.

Mehrere Server betreiben und zwischen ihnen wechseln

Die WireGuard-App kann so viele Tunnel speichern, wie Sie möchten — einen für zu Hause, einen für einen VPS im Ausland, einen für ein Firmennetzwerk. Nur einer ist gleichzeitig aktiv. Geben Sie jedem einen klaren Namen und Sie können in zwei Klicks von der App oder dem iOS-Einstellungen → VPN-Menü wechseln. Wenn Sie On-Demand auf mehr als einem Tunnel verwenden, aktivieren Sie es nur auf dem, den Sie als Standard möchten, oder iOS könnte unvorhersehbar zwischen ihnen wechseln.

Fehlerbehebung

Kein Handshake ("nie"): falsche Endpunkt-IP/Port, Server-UDP-Port nicht offen oder nicht übereinstimmender öffentlicher Schlüssel. Überprüfen Sie, ob der Server erreichbar ist.
Verbindet sich, aber kein Internet: senken Sie die MTU (z.B. 1280) in der Schnittstellenkonfiguration — behebt viele MTU-Probleme bei Mobilfunk.
DNS-Lecks: setzen Sie den DNS des Tunnels auf Ihren Server oder einen vertrauenswürdigen Resolver und testen Sie.
On-Demand hält das VPN aus: überprüfen Sie, ob es nicht für Ihr aktuelles Wi-Fi in der SSID-Liste deaktiviert ist und dass "Auf Anforderung trennen" nicht aktiviert ist — dieser Schalter sagt iOS, den Tunnel zu trennen, das Gegenteil von immer aktiv.
Tunnel lässt sich nicht aus QR importieren: stellen Sie sicher, dass die Bildschirmhelligkeit hoch ist und der gesamte Code im Rahmen ist; ein teilweise abgeschnittener QR schlägt stillschweigend fehl. Greifen Sie auf das Importieren der .conf aus der Dateien-App zurück.
Funktioniert im Wi-Fi, aber nicht im Mobilfunk (oder umgekehrt): dies ist fast immer die MTU oder ein IPv6-Mismatch — setzen Sie 1280 und stellen Sie sicher, dass der Server einen funktionierenden DNS-Resolver bereitstellt.

Für wiederverwendbare Client-/Server-Vorlagen siehe WireGuard-Konfigurationsvorlagen.

Fazit

WireGuard auf iOS ist eine Fünf-Minuten-Einrichtung: Installieren Sie die offizielle App, importieren Sie Ihre Serverkonfiguration per QR, erlauben Sie die VPN-Konfiguration und aktivieren Sie On-Demand für immer aktiv. Halten Sie den MTU-Trick für instabile Mobilfunknetze bereit. Sie benötigen nur einen WireGuard Server, auf den Sie es richten können — ein Contabo VPS oder ein Raspberry Pi zu Hause erledigt die Aufgabe.

Redaktionelle Anleitung basierend auf dem dokumentierten Verhalten des offiziellen WireGuard iOS-Clients und iOS On-Demand VPN. Die Sicherheit hängt von Ihrer Serverkonfiguration und der Schlüsselhygiene ab. Kommerzielle Links tragen das Attribut rel="sponsored nofollow"; eine Affiliate-Provision kann ohne zusätzliche Kosten für Sie anfallen.

★ Nürnberger DSGVO-Rechenzentrum · ✓ Dedizierte IPv4 inklusive · 200+ Mbps garantiert

Self-host your VPN on your own VPS → ContaboFull root access · public IPv4 · pick your region→