VPNSmith
self-host-vpnHOWTO

Cómo configurar WireGuard en Windows (paso a paso, 2026)

Configurar WireGuard en Windows en 2026: instalar el cliente oficial, importar o crear un túnel, activarlo y verificar el handshake. Entiende cada campo del .conf, corrige los problemas de « sin handshake » y de DNS, y ejecuta el túnel como servicio de autoarranque.

Por Eric Gerard · Fundador · VPNSmith — Especialista en VPN self-host y VPS GDPR7 min de lecturaPhoto via Unsplash

WireGuard es el protocolo VPN más rápido y sencillo de ejecutar en un equipo de escritorio, y el cliente oficial de WireGuard para Windows reduce la conexión a un solo clic una vez configurado. Esta guía recorre WireGuard en Windows de principio a fin en 2026: instalar el cliente oficial, importar o crear un túnel, activarlo, verificar el handshake y corregir los problemas propios de Windows.

Respuesta rápida: instala el cliente oficial de WireGuard desde wireguard.com/install, luego importa un archivo .conf que te dé tu servidor (Import tunnel(s) from file) o usa Add empty tunnel para generar un par de claves y pegar los datos [Peer] del servidor. Haz clic en Activate, confirma que el Latest handshake se actualiza, y estarás conectado. WireGuard en Windows es solo el cliente — necesita un servidor WireGuard al que apuntar.

Lo que necesitas antes de empezar

  • Windows 10 u 11 (el cliente oficial soporta ambos; se ejecuta como servicio del sistema).
  • Un servidor WireGuard en marcha con un punto de acceso público alcanzable. Esta es la mitad que WireGuard en Windows no aporta — la pones tú con un servidor autoalojado en un VPS Contabo o una Raspberry Pi casera con un puerto UDP redirigido.
  • Los datos de cliente de este dispositivo: o bien un archivo .conf completo que generó el servidor, o bien — si haces « Add empty tunnel » — la clave pública y el endpoint del servidor para completar la sección [Peer]. Da a cada dispositivo su propio par de claves; reutilizar una config entre máquinas rompe el handshake, porque dos pares comparten entonces una clave pública.

Si el protocolo es nuevo para ti, nuestra explicación qué es WireGuard cubre la criptografía y por qué es más rápido que OpenVPN.

Paso 1 — Instalar el cliente oficial

Descarga el instalador de Windows desde el sitio oficial, wireguard.com/install. Instala la interfaz de WireGuard más el servicio en segundo plano que realmente ejecuta los túneles. Evita descargas « WireGuard » de terceros — un cliente VPN ve todo tu tráfico, así que el editor importa. Tras instalar, abre WireGuard; verás una lista de túneles vacía con Add Tunnel abajo.

Una torre de PC de sobremesa negra con ventiladores iluminados en azul en una habitación oscura
Una torre de PC de sobremesa negra con ventiladores iluminados en azul en una habitación oscura

Paso 2 — Obtener o crear una config de túnel

Tienes dos vías reales en el cliente, ambas funciones genuinas de la app de Windows:

  • Importar un .conf creado por tu servidor. Si tu servidor ya generó una config por dispositivo, esta es la ruta más simple — salta al paso 3.
  • Add empty tunnel. Haz clic en la flecha junto a Add Tunnel → Add empty tunnel…. El cliente genera un par de claves nuevo y muestra la clave pública arriba. Copia esa clave pública a tu servidor (añádela como [Peer]), luego rellena el resto de la config de abajo.

Anatomía de un .conf de WireGuard

Una config tiene dos secciones. Esta es la forma, con marcadores explícitos — nunca pegues claves reales sacadas de una guía; tu propio servidor y cliente las generan:

[Interface]
PrivateKey = <clave-privada-de-este-dispositivo>
Address = 10.0.0.2/32
DNS = <ip-del-resolvedor-dns>

[Peer]
PublicKey = <clave-publica-del-servidor>
Endpoint = <host-o-ip-del-servidor>:51820
AllowedIPs = 0.0.0.0/0, ::/0
PersistentKeepalive = 25

Qué hace cada campo:

  • [Interface] PrivateKey — la clave privada de este dispositivo Windows (guardada localmente; nunca compartida). Con « Add empty tunnel » el cliente la rellena por ti.
  • Address — la IP de VPN que toma este dispositivo dentro del túnel, asignada por el plan de direccionamiento de tu servidor.
  • DNS — el resolvedor usado mientras estás conectado; ponlo en tu servidor o un resolvedor de confianza para que las consultas no se filtren.
  • [Peer] PublicKey — la clave pública del servidor (no la tuya). Una discordancia aquí es la causa número uno de un fallo silencioso.
  • Endpoint — el host/IP alcanzable del servidor y su puerto UDP (a menudo 51820). Para un servidor casero es tu IP pública y el puerto redirigido.
  • AllowedIPs — qué destinos se enrutan por el túnel. 0.0.0.0/0, ::/0 es un túnel completo (todo); un rango estrecho como 10.0.0.0/24 es split-tunnel (solo esa subred).
  • PersistentKeepalive = 25 — mantiene la ruta viva detrás de un NAT; útil cuando la máquina Windows está detrás de un router casero.

Paso 3 — Importar el túnel y activarlo

Si tienes un archivo .conf: Add Tunnel → Import tunnel(s) from file…, elige el .conf, y aparece en la lista. Selecciona el túnel y haz clic en Activate. Windows puede pedir permiso de administrador la primera vez, porque el cliente instala un servicio en segundo plano. El estado cambia a Active y verás contadores de transferencia en vivo.

Paso 4 — Verificar que funciona

Un túnel conectado no prueba que la VPN esté haciendo su trabajo. Comprueba tres cosas:

  1. Latest handshake — el panel del túnel muestra un handshake reciente (hace unos segundos/minutos), no en blanco. Un handshake significa que los dos pares se autenticaron de verdad.
  2. Tu IP pública cambió — visita cualquier página « cuál es mi IP »; debe mostrar la IP del servidor, no la de tu ISP.
  3. Sin fugas — ejecuta un test de fuga WebRTC y confirma que el DNS pasa por el túnel con nuestra guía de prevención de fugas DNS de WireGuard.

Un panel de parcheo de red con cables Ethernet azules y grises conectados en puertos numerados
Un panel de parcheo de red con cables Ethernet azules y grises conectados en puertos numerados

Solución de problemas en Windows

  • Sin handshake (queda en blanco): IP/puerto de Endpoint incorrectos, puerto UDP no abierto del lado del servidor (o sin redirección de puerto en el router para un servidor casero), o clave pública que no coincide. WireGuard permanece silencioso ante paquetes no autenticados, así que no hay error — verifica que el servidor escucha y es alcanzable. Pasos más detallados en nuestra guía de solución de problemas del handshake.
  • El Firewall de Windows Defender lo bloquea: permite la conexión UDP saliente de WireGuard si un firewall estricto o una suite de seguridad de terceros la corta.
  • El DNS no se aplica / las consultas se filtran: asegúrate de que la línea [Interface] DNS esté puesta; sin ella, Windows puede seguir usando el resolvedor de tu ISP dentro de un túnel completo.
  • Conectado pero sin internet: con AllowedIPs = 0.0.0.0/0, el servidor debe reenviar y hacer NAT de tu tráfico — si no lo hace, las páginas no cargan. Revisa el lado del servidor, y baja el MTU de interfaz (p. ej. 1280) si algunos sitios se quedan colgados.
  • Túnel completo vs split-tunnel: AllowedIPs = 0.0.0.0/0, ::/0 envía todo por el servidor; un rango estrecho solo envía esa subred — elige según quieras privacidad total o solo alcanzar una LAN casera.
  • El « servicio WireGuard »: si un túnel no se activa, comprueba que el servicio existe y se ejecuta en services.msc (WireGuardTunnel$<nombre-del-tunel>).

Autoarranque: el túnel como servicio de Windows

No hay un interruptor « always-on » al estilo móvil en Windows — y no lo necesitas. Activar un túnel lo instala como servicio de Windows (WireGuardTunnel$<nombre-del-tunel>) que se reconecta automáticamente y arranca con Windows, así que un túnel activo vuelve a subir tras un reinicio. Puedes inspeccionarlo o detenerlo desde services.msc. Ese modelo de servicio es la forma en que WireGuard se mantiene persistente en Windows.

Los campos de config de un vistazo

CampoSecciónFunción
PrivateKey[Interface]Clave secreta de este dispositivo (guardada localmente)
Address[Interface]La IP de VPN que toma este dispositivo en el túnel
DNS[Interface]Resolvedor usado mientras conectado (evita fugas)
PublicKey[Peer]La clave pública del servidor
Endpoint[Peer]Host/IP + puerto UDP del servidor a alcanzar
AllowedIPs[Peer]Destinos enrutados por el túnel (completo vs split)
PersistentKeepalive[Peer]Mantiene la ruta viva detrás de un NAT

En resumen

WireGuard en Windows se configura en unos minutos: instala el cliente oficial desde wireguard.com/install, importa un .conf (o « Add empty tunnel » y completa el [Peer]), haz clic en Activate, y luego confirma el handshake y tu nueva IP. Lo único que el cliente de Windows no puede darte es un servidor al que conectarte. Un VPS Contabo a 5,50 €/mes ejecuta un servidor WireGuard personal con holgura, o una Raspberry Pi casera hace el trabajo.

Guía editorial basada en el comportamiento documentado del cliente oficial de WireGuard para Windows. La seguridad depende de la configuración de tu servidor y de la higiene de las claves. Los enlaces comerciales llevan el atributo rel="sponsored nofollow"; puede aplicarse una comisión de afiliación sin coste extra para ti.

★ Datacenter Núremberg GDPR · ✓ IPv4 dedicada incluida · 200+ Mbps garantizados

Aloja tu VPN en tu propio VPS → ContaboAcceso root completo · IPv4 pública · elige tu región

Preguntas frecuentes

¿Es seguro WireGuard en Windows?
Sí. El cliente oficial de WireGuard para Windows lo publica el proyecto WireGuard y es de código abierto, por lo que su código puede auditarse. WireGuard usa criptografía moderna (Curve25519, ChaCha20-Poly1305, BLAKE2s) y una base de código pequeña, lo que limita la superficie de ataque. El riesgo real en Windows no es el cliente sino tu configuración: guarda la clave privada en el dispositivo que la generó, conéctate solo a un servidor que controles o en el que confíes, y descarga el instalador desde el sitio oficial wireguard.com/install y no de un espejo de terceros.
¿Necesito un servidor para usar WireGuard en Windows?
Sí. El cliente de Windows es solo un par (peer): se conecta a otro par WireGuard (el servidor). Necesitas un punto de acceso alcanzable al que apuntar: un servidor autoalojado en un VPS, una Raspberry Pi en casa con un puerto UDP redirigido, o un router/NAS que ejecute WireGuard. El cliente de Windows no crea una VPN por sí solo; necesita la PublicKey y el Endpoint de la sección [Peer] para hacer el handshake. Si aún no tienes servidor, puedes ejecutar uno en un VPS económico.
¿Por qué no hay handshake en WireGuard en Windows?
Cuando « Latest handshake » queda vacío, el cliente no alcanza el servidor. Las causas habituales son: una IP o un puerto UDP de Endpoint incorrectos; el puerto UDP del servidor no abierto en su firewall (o sin redirección de puerto en el router para un servidor casero); una clave pública que no coincide entre los dos pares; o el Firewall de Windows Defender bloqueando el UDP saliente. WireGuard es silencioso por diseño — no responde a paquetes no autenticados —, así que revisa el Endpoint, el puerto UDP abierto del lado del servidor y que las claves coincidan.
¿Cómo hago que WireGuard arranque automáticamente en Windows?
Activar un túnel en el cliente WireGuard lo instala como un servicio de Windows que se reconecta automáticamente y sobrevive a los reinicios, así que un túnel activo ya arranca con Windows. Puedes confirmarlo o gestionarlo en services.msc (busca « WireGuardTunnel$<nombre-del-tunel> »). No hay un interruptor « always-on » separado como en móvil — el modelo de servicio es la forma en que WireGuard se mantiene activo en Windows.
Artículos relacionados

Para profundizar