VPNSmith
self-host-vpnHOWTO

WireGuard unter Windows einrichten (Schritt für Schritt, 2026)

WireGuard unter Windows einrichten (2026): den offiziellen Client installieren, einen Tunnel importieren oder erstellen, ihn aktivieren und den Handshake prüfen. Jedes .conf-Feld verstehen, die häufigen 'kein Handshake'- und DNS-Probleme beheben und den Tunnel als autostartenden Dienst betreiben.

Von Eric Gerard · Gründer · VPNSmith - Spezialist für selbstgehostete VPNs & DSGVO-VPS7 Min. LesezeitPhoto via Unsplash

WireGuard ist das schnellste und einfachste VPN-Protokoll für den Desktop, und der offizielle WireGuard-Client für Windows macht eine Verbindung nach der Einrichtung zu einem einzigen Klick. Diese Anleitung führt WireGuard unter Windows 2026 von Anfang bis Ende durch: den offiziellen Client installieren, einen Tunnel importieren oder erstellen, ihn aktivieren, den Handshake prüfen und die Probleme beheben, auf die man unter Windows stößt.

Kurze Antwort: Installiere den offiziellen WireGuard-Client von wireguard.com/install, dann entweder importiere eine .conf-Datei, die dir dein Server gegeben hat (Import tunnel(s) from file), oder nutze Add empty tunnel, um ein Schlüsselpaar zu erzeugen und die [Peer]-Details des Servers einzufügen. Klicke auf Activate, bestätige, dass sich der Latest handshake aktualisiert, und du bist verbunden. WireGuard unter Windows ist nur der Client - es braucht einen WireGuard-Server, auf den es zeigt.

Was du brauchst, bevor du anfängst

  • Windows 10 oder 11 (der offizielle Client unterstützt beide; er läuft als Systemdienst).
  • Einen laufenden WireGuard-Server mit einem erreichbaren öffentlichen Endpoint. Das ist die Hälfte, die WireGuard unter Windows nicht bereitstellt - du lieferst sie mit einem selbst gehosteten Server auf einem Contabo VPS oder einem Raspberry Pi zu Hause mit einem weitergeleiteten UDP-Port.
  • Die Client-Details für dieses Gerät: entweder eine vollständige .conf-Datei, die der Server erzeugt hat, oder - wenn du "Add empty tunnel" nutzt - den öffentlichen Schlüssel und Endpoint des Servers, um den [Peer]-Abschnitt fertigzustellen. Gib jedem Gerät sein eigenes Schlüsselpaar; eine Konfiguration auf mehreren Rechnern wiederzuverwenden bricht den Handshake, weil sich dann zwei Peers einen öffentlichen Schlüssel teilen.

Wenn dir das Protokoll neu ist, deckt unser Erklärartikel Was ist WireGuard die Kryptografie ab und warum es schneller als OpenVPN ist.

Schritt 1 - Den offiziellen Client installieren

Lade den Windows-Installer von der offiziellen Seite wireguard.com/install herunter. Er installiert die WireGuard-Oberfläche plus den Hintergrunddienst, der die Tunnel tatsächlich betreibt. Vermeide "WireGuard"-Downloads von Drittanbietern - ein VPN-Client sieht deinen gesamten Verkehr, der Herausgeber zählt also. Starte nach der Installation WireGuard; du siehst eine leere Tunnelliste mit Add Tunnel unten.

Ein schwarzer Desktop-PC-Tower mit blau leuchtenden Gehäuselüftern in einem dunklen Raum
Ein schwarzer Desktop-PC-Tower mit blau leuchtenden Gehäuselüftern in einem dunklen Raum

Schritt 2 - Eine Tunnel-Konfiguration holen oder erstellen

Du hast zwei echte Wege im Client, beides echte Funktionen der Windows-App:

  • Importiere eine .conf, die dein Server erstellt hat. Wenn dein Server bereits eine Konfiguration pro Gerät erzeugt hat, ist das der einfachste Weg - springe zu Schritt 3.
  • Add empty tunnel. Klicke auf den Pfeil neben Add Tunnel -> Add empty tunnel…. Der Client erzeugt ein frisches Schlüsselpaar und zeigt oben den neuen öffentlichen Schlüssel an. Kopiere diesen öffentlichen Schlüssel zu deinem Server (füge ihn als [Peer] hinzu) und fülle dann den Rest der Konfiguration darunter aus.

Anatomie einer WireGuard-.conf

Eine Konfiguration hat zwei Abschnitte. Hier ist die Form mit expliziten Platzhaltern - füge niemals echte Schlüssel aus einer Anleitung ein; dein eigener Server und Client erzeugen diese:

[Interface]
PrivateKey = <this-device-private-key>
Address = 10.0.0.2/32
DNS = <dns-resolver-ip>

[Peer]
PublicKey = <server-public-key>
Endpoint = <server-host-or-ip>:51820
AllowedIPs = 0.0.0.0/0, ::/0
PersistentKeepalive = 25

Was jedes Feld tut:

  • [Interface] PrivateKey - der private Schlüssel dieses Windows-Geräts (lokal gehalten; nie geteilt). Mit "Add empty tunnel" füllt der Client das für dich aus.
  • Address - die VPN-IP, die dieses Gerät innerhalb des Tunnels einnimmt, zugewiesen vom Adressierungsplan deines Servers.
  • DNS - der Resolver, der während der Verbindung genutzt wird; setze ihn auf deinen Server oder einen vertrauenswürdigen Resolver, damit Anfragen nicht leaken.
  • [Peer] PublicKey - der öffentliche Schlüssel des Servers (nicht deiner). Eine Nichtübereinstimmung hier ist die Hauptursache für einen stillen Fehler.
  • Endpoint - der erreichbare Host/die IP des Servers und der UDP-Port (üblich ist 51820). Bei einem Heimserver ist das deine öffentliche IP und der weitergeleitete Port.
  • AllowedIPs - welche Ziele durch den Tunnel geroutet werden. 0.0.0.0/0, ::/0 ist ein Full-Tunnel (alles); ein enger Bereich wie 10.0.0.0/24 ist Split-Tunnel (nur dieses Subnetz).
  • PersistentKeepalive = 25 - hält den Pfad hinter NAT aktiv; nützlich, wenn die Windows-Maschine hinter einem Heimrouter sitzt.

Schritt 3 - Den Tunnel importieren und aktivieren

Wenn du eine .conf-Datei hast: Add Tunnel -> Import tunnel(s) from file…, wähle die .conf, und sie erscheint in der Liste. Wähle den Tunnel und klicke auf Activate. Windows fragt beim ersten Mal möglicherweise nach Administratorrechten, weil der Client einen Hintergrunddienst installiert. Der Status wechselt zu Active, und du siehst Live-Transferzähler.

Schritt 4 - Prüfen, ob es funktioniert

Ein verbundener Tunnel ist noch kein Beweis, dass das VPN seine Arbeit tut. Prüfe drei Dinge:

  1. Latest handshake - das Tunnelpanel zeigt einen aktuellen Handshake-Zeitpunkt (vor ein paar Sekunden/Minuten), nicht leer. Ein Handshake bedeutet, dass sich die beiden Peers tatsächlich authentifiziert haben.
  2. Deine öffentliche IP hat sich geändert - besuche eine beliebige "Was ist meine IP"-Seite; sie sollte die IP des Servers zeigen, nicht die deines Providers.
  3. Keine Leaks - führe einen WebRTC-Leaktest durch und bestätige mit unserer Anleitung zur WireGuard-DNS-Leak-Vermeidung, dass das DNS durch den Tunnel läuft.

Ein Netzwerk-Patchpanel mit blauen und grauen Ethernet-Kabeln, die in nummerierte Ports eingesteckt sind
Ein Netzwerk-Patchpanel mit blauen und grauen Ethernet-Kabeln, die in nummerierte Ports eingesteckt sind

Fehlerbehebung unter Windows

  • Kein Handshake (bleibt leer): falsche Endpoint-IP/-Port, der UDP-Port des Servers nicht offen (oder keine Router-Portweiterleitung für einen Heimserver) oder ein nicht passender öffentlicher Schlüssel. WireGuard bleibt gegenüber nicht authentifizierten Paketen still, es gibt also keine Fehlermeldung - prüfe, ob der Server lauscht und erreichbar ist. Tiefere Schritte in unserem Leitfaden zur Handshake-Fehlerbehebung.
  • Die Windows-Defender-Firewall blockiert es: erlaube die ausgehende UDP-Verbindung von WireGuard, falls eine strenge Firewall oder eine Drittanbieter-Sicherheitssuite sie verwirft.
  • DNS greift nicht / Anfragen leaken: stelle sicher, dass die Zeile [Interface] DNS gesetzt ist; ohne sie nutzt Windows in einem Full-Tunnel womöglich weiter den Resolver deines Providers.
  • Verbunden, aber kein Internet: mit AllowedIPs = 0.0.0.0/0 muss der Server deinen Verkehr weiterleiten und per NAT verarbeiten - tut er das nicht, laden keine Seiten. Prüfe die Serverseite und senke die Schnittstellen-MTU (z. B. 1280), wenn manche Seiten hängen.
  • Full-Tunnel vs. Split-Tunnel: AllowedIPs = 0.0.0.0/0, ::/0 schickt alles durch den Server; ein enger Bereich schickt nur dieses Subnetz - wähle danach, ob du volle Privatsphäre willst oder nur ein Heim-LAN erreichen musst.
  • Der "WireGuard-Dienst": wenn sich ein Tunnel nicht aktivieren lässt, prüfe, ob der Dienst existiert und in services.msc läuft (WireGuardTunnel$<Tunnelname>).

Autostart: der Tunnel als Windows-Dienst

Es gibt unter Windows keinen "Always-on"-Schalter wie auf dem Mobilgerät - und du brauchst keinen. Einen Tunnel zu aktivieren installiert ihn als Windows-Dienst (WireGuardTunnel$<Tunnelname>), der sich automatisch neu verbindet und mit Windows startet, sodass ein aktiver Tunnel nach einem Neustart wieder hochkommt. Du kannst ihn über services.msc inspizieren oder stoppen. Dieses Dienstmodell ist die Art, wie WireGuard unter Windows beständig bleibt.

Konfigurationsfelder auf einen Blick

FeldAbschnittRolle
PrivateKey[Interface]Geheimer Schlüssel dieses Geräts (lokal gehalten)
Address[Interface]Die VPN-IP, die dieses Gerät im Tunnel nutzt
DNS[Interface]Resolver während der Verbindung (verhindert Leaks)
PublicKey[Peer]Der öffentliche Schlüssel des Servers
Endpoint[Peer]Host/IP + UDP-Port des Servers zum Erreichen
AllowedIPs[Peer]Durch den Tunnel geroutete Ziele (Full vs. Split)
PersistentKeepalive[Peer]Hält den Pfad hinter NAT aktiv

Fazit

WireGuard unter Windows ist eine Sache von wenigen Minuten: installiere den offiziellen Client von wireguard.com/install, importiere eine .conf (oder "Add empty tunnel" und vervollständige den [Peer]), klicke auf Activate und bestätige dann den Handshake und deine neue IP. Das Einzige, was der Windows-Client dir nicht geben kann, ist ein Server, mit dem du dich verbindest. Ein Contabo VPS für 5,50 EUR/Monat betreibt bequem einen persönlichen WireGuard-Server, oder ein Raspberry Pi zu Hause erledigt die Aufgabe.

Redaktioneller Leitfaden auf Basis des dokumentierten Verhaltens des offiziellen WireGuard-Clients für Windows. Die Sicherheit hängt von deiner Serverkonfiguration und der Schlüsselhygiene ab. Kommerzielle Links tragen das Attribut rel="sponsored nofollow"; eine Affiliate-Provision kann anfallen, ohne Mehrkosten für dich.

★ Nürnberger DSGVO-Rechenzentrum · ✓ Dedizierte IPv4 inklusive · 200+ Mbps garantiert

Hoste dein VPN auf deinem eigenen VPS → ContaboVoller Root-Zugriff · öffentliche IPv4 · wähle deine Region

Häufig gestellte Fragen

Ist WireGuard unter Windows sicher?
Ja. Der offizielle WireGuard-Client für Windows wird vom WireGuard-Projekt veröffentlicht und ist Open Source, sein Code kann also geprüft werden. WireGuard nutzt moderne Kryptografie (Curve25519, ChaCha20-Poly1305, BLAKE2s) und hat eine kleine Codebasis, was die Angriffsfläche begrenzt. Das praktische Risiko unter Windows ist nicht der Client, sondern deine Einrichtung: Behalte den privaten Schlüssel auf dem Gerät, das ihn erzeugt hat, verbinde dich nur mit einem Server, den du kontrollierst oder dem du vertraust, und lade den Installer von der offiziellen Seite wireguard.com/install statt von einem Drittanbieter-Spiegel herunter.
Brauche ich einen Server, um WireGuard unter Windows zu nutzen?
Ja. Der Windows-Client ist nur ein Peer - er verbindet sich mit einem anderen WireGuard-Peer (dem Server). Du brauchst einen erreichbaren Endpoint, auf den du ihn richtest: einen selbst gehosteten Server auf einem VPS, einen Raspberry Pi zu Hause mit weitergeleitetem UDP-Port oder einen Router/NAS, der WireGuard betreibt. Der Windows-Client kann kein VPN allein erstellen; er braucht PublicKey und Endpoint des [Peer]-Abschnitts, um einen Handshake durchzuführen. Wenn du noch keinen Server hast, kannst du einen auf einem günstigen VPS betreiben.
Warum gibt es keinen Handshake in WireGuard unter Windows?
Wenn 'Latest handshake' leer bleibt, erreicht der Client den Server nicht. Die üblichen Ursachen sind: eine falsche Endpoint-IP oder ein falscher UDP-Port; der UDP-Port des Servers ist in dessen Firewall nicht offen (oder keine Router-Portweiterleitung für einen Heimserver); ein nicht passender öffentlicher Schlüssel zwischen den beiden Peers; oder die Windows-Defender-Firewall blockiert ausgehendes UDP. WireGuard ist von Natur aus still - es antwortet nicht auf nicht authentifizierte Pakete - also prüfe den Endpoint, den offenen UDP-Port auf der Serverseite und dass die Schlüssel übereinstimmen.
Wie starte ich WireGuard unter Windows automatisch?
Das Aktivieren eines Tunnels im WireGuard-Client installiert ihn als Windows-Dienst, der sich automatisch neu verbindet und Neustarts übersteht, sodass ein aktiver Tunnel bereits mit Windows startet. Du kannst das in services.msc bestätigen oder verwalten (suche nach 'WireGuardTunnel$<Tunnelname>'). Es gibt keinen separaten 'Always-on'-Schalter wie auf dem Mobilgerät - das Dienstmodell ist die Art, wie WireGuard unter Windows aktiv bleibt.