WireGuard ist das schnellste und einfachste VPN-Protokoll für den Desktop, und der offizielle WireGuard-Client für Windows macht eine Verbindung nach der Einrichtung zu einem einzigen Klick. Diese Anleitung führt WireGuard unter Windows 2026 von Anfang bis Ende durch: den offiziellen Client installieren, einen Tunnel importieren oder erstellen, ihn aktivieren, den Handshake prüfen und die Probleme beheben, auf die man unter Windows stößt.
Kurze Antwort: Installiere den offiziellen WireGuard-Client von wireguard.com/install, dann entweder importiere eine .conf-Datei, die dir dein Server gegeben hat (Import tunnel(s) from file), oder nutze Add empty tunnel, um ein Schlüsselpaar zu erzeugen und die [Peer]-Details des Servers einzufügen. Klicke auf Activate, bestätige, dass sich der Latest handshake aktualisiert, und du bist verbunden. WireGuard unter Windows ist nur der Client - es braucht einen WireGuard-Server, auf den es zeigt.
Was du brauchst, bevor du anfängst
- Windows 10 oder 11 (der offizielle Client unterstützt beide; er läuft als Systemdienst).
- Einen laufenden WireGuard-Server mit einem erreichbaren öffentlichen Endpoint. Das ist die Hälfte, die WireGuard unter Windows nicht bereitstellt - du lieferst sie mit einem selbst gehosteten Server auf einem Contabo VPS oder einem Raspberry Pi zu Hause mit einem weitergeleiteten UDP-Port.
- Die Client-Details für dieses Gerät: entweder eine vollständige
.conf-Datei, die der Server erzeugt hat, oder - wenn du "Add empty tunnel" nutzt - den öffentlichen Schlüssel und Endpoint des Servers, um den[Peer]-Abschnitt fertigzustellen. Gib jedem Gerät sein eigenes Schlüsselpaar; eine Konfiguration auf mehreren Rechnern wiederzuverwenden bricht den Handshake, weil sich dann zwei Peers einen öffentlichen Schlüssel teilen.
Wenn dir das Protokoll neu ist, deckt unser Erklärartikel Was ist WireGuard die Kryptografie ab und warum es schneller als OpenVPN ist.
Schritt 1 - Den offiziellen Client installieren
Lade den Windows-Installer von der offiziellen Seite wireguard.com/install herunter. Er installiert die WireGuard-Oberfläche plus den Hintergrunddienst, der die Tunnel tatsächlich betreibt. Vermeide "WireGuard"-Downloads von Drittanbietern - ein VPN-Client sieht deinen gesamten Verkehr, der Herausgeber zählt also. Starte nach der Installation WireGuard; du siehst eine leere Tunnelliste mit Add Tunnel unten.
Schritt 2 - Eine Tunnel-Konfiguration holen oder erstellen
Du hast zwei echte Wege im Client, beides echte Funktionen der Windows-App:
- Importiere eine
.conf, die dein Server erstellt hat. Wenn dein Server bereits eine Konfiguration pro Gerät erzeugt hat, ist das der einfachste Weg - springe zu Schritt 3. - Add empty tunnel. Klicke auf den Pfeil neben Add Tunnel -> Add empty tunnel…. Der Client erzeugt ein frisches Schlüsselpaar und zeigt oben den neuen öffentlichen Schlüssel an. Kopiere diesen öffentlichen Schlüssel zu deinem Server (füge ihn als
[Peer]hinzu) und fülle dann den Rest der Konfiguration darunter aus.
Anatomie einer WireGuard-.conf
Eine Konfiguration hat zwei Abschnitte. Hier ist die Form mit expliziten Platzhaltern - füge niemals echte Schlüssel aus einer Anleitung ein; dein eigener Server und Client erzeugen diese:
[Interface]
PrivateKey = <this-device-private-key>
Address = 10.0.0.2/32
DNS = <dns-resolver-ip>
[Peer]
PublicKey = <server-public-key>
Endpoint = <server-host-or-ip>:51820
AllowedIPs = 0.0.0.0/0, ::/0
PersistentKeepalive = 25
Was jedes Feld tut:
[Interface] PrivateKey- der private Schlüssel dieses Windows-Geräts (lokal gehalten; nie geteilt). Mit "Add empty tunnel" füllt der Client das für dich aus.Address- die VPN-IP, die dieses Gerät innerhalb des Tunnels einnimmt, zugewiesen vom Adressierungsplan deines Servers.DNS- der Resolver, der während der Verbindung genutzt wird; setze ihn auf deinen Server oder einen vertrauenswürdigen Resolver, damit Anfragen nicht leaken.[Peer] PublicKey- der öffentliche Schlüssel des Servers (nicht deiner). Eine Nichtübereinstimmung hier ist die Hauptursache für einen stillen Fehler.Endpoint- der erreichbare Host/die IP des Servers und der UDP-Port (üblich ist51820). Bei einem Heimserver ist das deine öffentliche IP und der weitergeleitete Port.AllowedIPs- welche Ziele durch den Tunnel geroutet werden.0.0.0.0/0, ::/0ist ein Full-Tunnel (alles); ein enger Bereich wie10.0.0.0/24ist Split-Tunnel (nur dieses Subnetz).PersistentKeepalive = 25- hält den Pfad hinter NAT aktiv; nützlich, wenn die Windows-Maschine hinter einem Heimrouter sitzt.
Schritt 3 - Den Tunnel importieren und aktivieren
Wenn du eine .conf-Datei hast: Add Tunnel -> Import tunnel(s) from file…, wähle die .conf, und sie erscheint in der Liste. Wähle den Tunnel und klicke auf Activate. Windows fragt beim ersten Mal möglicherweise nach Administratorrechten, weil der Client einen Hintergrunddienst installiert. Der Status wechselt zu Active, und du siehst Live-Transferzähler.
Schritt 4 - Prüfen, ob es funktioniert
Ein verbundener Tunnel ist noch kein Beweis, dass das VPN seine Arbeit tut. Prüfe drei Dinge:
- Latest handshake - das Tunnelpanel zeigt einen aktuellen Handshake-Zeitpunkt (vor ein paar Sekunden/Minuten), nicht leer. Ein Handshake bedeutet, dass sich die beiden Peers tatsächlich authentifiziert haben.
- Deine öffentliche IP hat sich geändert - besuche eine beliebige "Was ist meine IP"-Seite; sie sollte die IP des Servers zeigen, nicht die deines Providers.
- Keine Leaks - führe einen WebRTC-Leaktest durch und bestätige mit unserer Anleitung zur WireGuard-DNS-Leak-Vermeidung, dass das DNS durch den Tunnel läuft.
Fehlerbehebung unter Windows
- Kein Handshake (bleibt leer): falsche Endpoint-IP/-Port, der UDP-Port des Servers nicht offen (oder keine Router-Portweiterleitung für einen Heimserver) oder ein nicht passender öffentlicher Schlüssel. WireGuard bleibt gegenüber nicht authentifizierten Paketen still, es gibt also keine Fehlermeldung - prüfe, ob der Server lauscht und erreichbar ist. Tiefere Schritte in unserem Leitfaden zur Handshake-Fehlerbehebung.
- Die Windows-Defender-Firewall blockiert es: erlaube die ausgehende UDP-Verbindung von WireGuard, falls eine strenge Firewall oder eine Drittanbieter-Sicherheitssuite sie verwirft.
- DNS greift nicht / Anfragen leaken: stelle sicher, dass die Zeile
[Interface] DNSgesetzt ist; ohne sie nutzt Windows in einem Full-Tunnel womöglich weiter den Resolver deines Providers. - Verbunden, aber kein Internet: mit
AllowedIPs = 0.0.0.0/0muss der Server deinen Verkehr weiterleiten und per NAT verarbeiten - tut er das nicht, laden keine Seiten. Prüfe die Serverseite und senke die Schnittstellen-MTU (z. B.1280), wenn manche Seiten hängen. - Full-Tunnel vs. Split-Tunnel:
AllowedIPs = 0.0.0.0/0, ::/0schickt alles durch den Server; ein enger Bereich schickt nur dieses Subnetz - wähle danach, ob du volle Privatsphäre willst oder nur ein Heim-LAN erreichen musst. - Der "WireGuard-Dienst": wenn sich ein Tunnel nicht aktivieren lässt, prüfe, ob der Dienst existiert und in
services.mscläuft (WireGuardTunnel$<Tunnelname>).
Autostart: der Tunnel als Windows-Dienst
Es gibt unter Windows keinen "Always-on"-Schalter wie auf dem Mobilgerät - und du brauchst keinen. Einen Tunnel zu aktivieren installiert ihn als Windows-Dienst (WireGuardTunnel$<Tunnelname>), der sich automatisch neu verbindet und mit Windows startet, sodass ein aktiver Tunnel nach einem Neustart wieder hochkommt. Du kannst ihn über services.msc inspizieren oder stoppen. Dieses Dienstmodell ist die Art, wie WireGuard unter Windows beständig bleibt.
Konfigurationsfelder auf einen Blick
| Feld | Abschnitt | Rolle |
|---|---|---|
PrivateKey | [Interface] | Geheimer Schlüssel dieses Geräts (lokal gehalten) |
Address | [Interface] | Die VPN-IP, die dieses Gerät im Tunnel nutzt |
DNS | [Interface] | Resolver während der Verbindung (verhindert Leaks) |
PublicKey | [Peer] | Der öffentliche Schlüssel des Servers |
Endpoint | [Peer] | Host/IP + UDP-Port des Servers zum Erreichen |
AllowedIPs | [Peer] | Durch den Tunnel geroutete Ziele (Full vs. Split) |
PersistentKeepalive | [Peer] | Hält den Pfad hinter NAT aktiv |
Fazit
WireGuard unter Windows ist eine Sache von wenigen Minuten: installiere den offiziellen Client von wireguard.com/install, importiere eine .conf (oder "Add empty tunnel" und vervollständige den [Peer]), klicke auf Activate und bestätige dann den Handshake und deine neue IP. Das Einzige, was der Windows-Client dir nicht geben kann, ist ein Server, mit dem du dich verbindest. Ein Contabo VPS für 5,50 EUR/Monat betreibt bequem einen persönlichen WireGuard-Server, oder ein Raspberry Pi zu Hause erledigt die Aufgabe.
Redaktioneller Leitfaden auf Basis des dokumentierten Verhaltens des offiziellen WireGuard-Clients für Windows. Die Sicherheit hängt von deiner Serverkonfiguration und der Schlüsselhygiene ab. Kommerzielle Links tragen das Attribut rel="sponsored nofollow"; eine Affiliate-Provision kann anfallen, ohne Mehrkosten für dich.
★ Nürnberger DSGVO-Rechenzentrum · ✓ Dedizierte IPv4 inklusive · 200+ Mbps garantiert
Hoste dein VPN auf deinem eigenen VPS → ContaboVoller Root-Zugriff · öffentliche IPv4 · wähle deine Region→
