VPNSmith
self-host-vpnHOWTO

Configurer WireGuard sur Windows (étape par étape, 2026)

Configurer WireGuard sur Windows en 2026 : installer le client officiel, importer ou créer un tunnel, l'activer et vérifier le handshake. Comprendre chaque champ du .conf, corriger les soucis de « pas de handshake » et de DNS, et faire tourner le tunnel en service auto-démarré.

Par Eric Gerard · Fondateur · VPNSmith — Spécialiste self-host VPN & VPS GDPR7 min de lecturePhoto via Unsplash

WireGuard est le protocole VPN le plus rapide et le plus simple à faire tourner sur un ordinateur de bureau, et le client officiel WireGuard pour Windows réduit la connexion à un seul clic une fois configuré. Ce guide détaille WireGuard sur Windows de bout en bout en 2026 : installer le client officiel, importer ou créer un tunnel, l'activer, vérifier le handshake, et corriger les soucis propres à Windows.

Réponse rapide : installez le client officiel WireGuard depuis wireguard.com/install, puis soit importez un fichier .conf fourni par votre serveur (Import tunnel(s) from file), soit utilisez Add empty tunnel pour générer une paire de clés et coller les infos [Peer] du serveur. Cliquez sur Activate, vérifiez que le Dernier handshake se met à jour, et vous êtes connecté. WireGuard sur Windows n'est que le client — il lui faut un serveur WireGuard où pointer.

Ce qu'il vous faut avant de commencer

  • Windows 10 ou 11 (le client officiel gère les deux ; il tourne en service système).
  • Un serveur WireGuard en service avec un point d'accès public joignable. C'est la moitié que WireGuard sur Windows ne fournit pas — vous l'apportez avec un serveur auto-hébergé sur un VPS Contabo ou une Raspberry Pi maison avec un port UDP redirigé.
  • Les infos client de cet appareil : soit un fichier .conf complet généré par le serveur, soit — si vous faites « Add empty tunnel » — la clé publique et l'endpoint du serveur pour compléter la section [Peer]. Donnez à chaque appareil sa propre paire de clés ; réutiliser une config entre machines casse le handshake, car deux pairs partagent alors une clé publique.

Si le protocole est nouveau pour vous, notre explication qu'est-ce que WireGuard couvre la cryptographie et pourquoi il est plus rapide qu'OpenVPN.

Étape 1 — Installer le client officiel

Téléchargez l'installeur Windows depuis le site officiel, wireguard.com/install. Il installe l'interface WireGuard plus le service en arrière-plan qui fait réellement tourner les tunnels. Évitez les téléchargements « WireGuard » tiers — un client VPN voit tout votre trafic, l'éditeur compte. Après installation, lancez WireGuard ; vous verrez une liste de tunnels vide avec Add Tunnel en bas.

Une tour de PC de bureau noire avec des ventilateurs à éclairage bleu dans une pièce sombre
Une tour de PC de bureau noire avec des ventilateurs à éclairage bleu dans une pièce sombre

Étape 2 — Obtenir ou créer une config de tunnel

Deux vrais chemins dans le client, tous deux des fonctions réelles de l'appli Windows :

  • Importer un .conf créé par votre serveur. Si votre serveur a déjà généré une config par appareil, c'est la voie la plus simple — passez à l'étape 3.
  • Add empty tunnel. Cliquez sur la flèche à côté de Add Tunnel → Add empty tunnel…. Le client génère une nouvelle paire de clés et affiche la clé publique en haut. Copiez cette clé publique vers votre serveur (ajoutez-la comme [Peer]), puis remplissez le reste de la config ci-dessous.

Anatomie d'un .conf WireGuard

Une config a deux sections. Voici la forme, avec des marqueurs explicites — ne collez jamais de vraies clés tirées d'un guide ; votre serveur et votre client les génèrent eux-mêmes :

[Interface]
PrivateKey = <cle-privee-de-cet-appareil>
Address = 10.0.0.2/32
DNS = <ip-du-resolveur-dns>

[Peer]
PublicKey = <cle-publique-du-serveur>
Endpoint = <hote-ou-ip-du-serveur>:51820
AllowedIPs = 0.0.0.0/0, ::/0
PersistentKeepalive = 25

Ce que fait chaque champ :

  • [Interface] PrivateKey — la clé privée de cet appareil Windows (gardée localement ; jamais partagée). Avec « Add empty tunnel », le client la remplit pour vous.
  • Address — l'IP VPN que prend cet appareil à l'intérieur du tunnel, assignée par le plan d'adressage de votre serveur.
  • DNS — le résolveur utilisé une fois connecté ; mettez-y votre serveur ou un résolveur de confiance pour que les requêtes ne fuitent pas.
  • [Peer] PublicKey — la clé publique du serveur (pas la vôtre). Une non-concordance ici est la première cause d'échec silencieux.
  • Endpoint — l'hôte/IP joignable du serveur et son port UDP (souvent 51820). Pour un serveur maison, c'est votre IP publique et le port redirigé.
  • AllowedIPs — quelles destinations passent par le tunnel. 0.0.0.0/0, ::/0 est un tunnel complet (tout) ; une plage étroite comme 10.0.0.0/24 est un split-tunnel (ce sous-réseau seulement).
  • PersistentKeepalive = 25 — garde le chemin actif derrière un NAT ; utile quand la machine Windows est derrière un routeur maison.

Étape 3 — Importer le tunnel et l'activer

Si vous avez un fichier .conf : Add Tunnel → Import tunnel(s) from file…, choisissez le .conf, et il apparaît dans la liste. Sélectionnez le tunnel et cliquez sur Activate. Windows peut demander une autorisation administrateur la première fois, car le client installe un service en arrière-plan. Le statut passe à Active et vous voyez des compteurs de transfert en direct.

Étape 4 — Vérifier que ça marche

Un tunnel connecté ne prouve pas que le VPN fait son travail. Vérifiez trois choses :

  1. Dernier handshake — le panneau du tunnel affiche un handshake récent (il y a quelques secondes/minutes), pas un champ vide. Un handshake signifie que les deux pairs se sont réellement authentifiés.
  2. Votre IP publique a changé — visitez une page « quelle est mon IP » ; elle doit montrer l'IP du serveur, pas celle de votre FAI.
  3. Aucune fuite — lancez un test de fuite WebRTC et confirmez que le DNS passe par le tunnel avec notre guide prévention des fuites DNS WireGuard.

Un panneau de brassage réseau avec des câbles Ethernet bleus et gris branchés dans des ports numérotés
Un panneau de brassage réseau avec des câbles Ethernet bleus et gris branchés dans des ports numérotés

Dépannage sur Windows

  • Pas de handshake (reste vide) : mauvaise IP/port d'Endpoint, port UDP non ouvert côté serveur (ou pas de redirection de port routeur pour un serveur maison), ou clé publique non concordante. WireGuard reste silencieux face aux paquets non authentifiés, donc pas d'erreur — vérifiez que le serveur écoute et est joignable. Étapes détaillées dans notre guide de dépannage du handshake.
  • Le pare-feu Windows Defender bloque : autorisez la connexion UDP sortante de WireGuard si un pare-feu strict ou une suite de sécurité tierce la coupe.
  • Le DNS ne s'applique pas / fuites de requêtes : assurez-vous que la ligne [Interface] DNS est renseignée ; sans elle, Windows peut continuer d'utiliser le résolveur de votre FAI dans un tunnel complet.
  • Connecté mais pas d'internet : avec AllowedIPs = 0.0.0.0/0, le serveur doit forwarder et NAT votre trafic — sinon les pages ne chargent pas. Vérifiez le côté serveur, et baissez le MTU d'interface (ex. 1280) si certains sites se figent.
  • Tunnel complet vs split-tunnel : AllowedIPs = 0.0.0.0/0, ::/0 envoie tout par le serveur ; une plage étroite n'envoie que ce sous-réseau — choisissez selon que vous voulez la confidentialité totale ou seulement joindre un LAN maison.
  • Le « service WireGuard » : si un tunnel refuse de s'activer, vérifiez que le service existe et tourne dans services.msc (WireGuardTunnel$<nom-du-tunnel>).

Auto-démarrage : le tunnel comme service Windows

Il n'y a pas de bascule « always-on » façon mobile sur Windows — et vous n'en avez pas besoin. Activer un tunnel l'installe comme service Windows (WireGuardTunnel$<nom-du-tunnel>) qui se reconnecte automatiquement et démarre avec Windows : un tunnel actif remonte après un redémarrage. Vous pouvez l'inspecter ou l'arrêter depuis services.msc. Ce modèle de service est la façon dont WireGuard reste persistant sur Windows.

Les champs de config en un coup d'œil

ChampSectionRôle
PrivateKey[Interface]Clé secrète de cet appareil (gardée localement)
Address[Interface]L'IP VPN que cet appareil prend dans le tunnel
DNS[Interface]Résolveur utilisé une fois connecté (évite les fuites)
PublicKey[Peer]La clé publique du serveur
Endpoint[Peer]Hôte/IP + port UDP du serveur à joindre
AllowedIPs[Peer]Destinations routées par le tunnel (complet vs split)
PersistentKeepalive[Peer]Garde le chemin actif derrière un NAT

En résumé

WireGuard sur Windows se configure en quelques minutes : installez le client officiel depuis wireguard.com/install, importez un .conf (ou « Add empty tunnel » et complétez le [Peer]), cliquez sur Activate, puis confirmez le handshake et votre nouvelle IP. La seule chose que le client Windows ne peut pas vous fournir, c'est un serveur où vous connecter. Un VPS Contabo à 5,50 €/mois fait tourner un serveur WireGuard personnel confortablement, ou une Raspberry Pi maison fait l'affaire.

Guide éditorial fondé sur le comportement documenté du client officiel WireGuard pour Windows. La sécurité dépend de la configuration de votre serveur et de l'hygiène des clés. Les liens commerciaux portent l'attribut rel="sponsored nofollow" ; une commission d'affiliation peut s'appliquer sans surcoût pour vous.

★ Datacenter Nuremberg GDPR · ✓ IPv4 dédiée incluse · 200+ Mbps garantis

Héberge ton VPN sur ton propre VPS → ContaboAccès root complet · IPv4 publique · choisis ta région

Questions fréquentes

WireGuard est-il sûr sur Windows ?
Oui. Le client officiel WireGuard pour Windows est publié par le projet WireGuard et est open-source : son code peut être audité. WireGuard utilise une cryptographie moderne (Curve25519, ChaCha20-Poly1305, BLAKE2s) et une base de code réduite, ce qui limite la surface d'attaque. Le vrai risque sur Windows n'est pas le client mais votre configuration : gardez la clé privée sur l'appareil qui l'a générée, ne vous connectez qu'à un serveur que vous contrôlez ou en qui vous avez confiance, et téléchargez l'installeur depuis le site officiel wireguard.com/install plutôt qu'un miroir tiers.
Faut-il un serveur pour utiliser WireGuard sur Windows ?
Oui. Le client Windows n'est qu'un pair — il se connecte à un autre pair WireGuard (le serveur). Il vous faut un point d'accès joignable où pointer : un serveur auto-hébergé sur un VPS, une Raspberry Pi à la maison avec un port UDP redirigé, ou un routeur/NAS qui fait tourner WireGuard. Le client Windows ne crée pas de VPN à lui seul ; il a besoin de la PublicKey et de l'Endpoint de la section [Peer] pour faire le handshake. Sans serveur, vous pouvez en faire tourner un sur un VPS bon marché.
Pourquoi n'y a-t-il pas de handshake dans WireGuard sur Windows ?
Quand « Dernier handshake » reste vide, le client n'atteint pas le serveur. Causes habituelles : une mauvaise IP ou un mauvais port UDP d'Endpoint ; le port UDP du serveur non ouvert dans son pare-feu (ou pas de redirection de port côté routeur pour un serveur maison) ; une clé publique non concordante entre les deux pairs ; ou le pare-feu Windows Defender qui bloque l'UDP sortant. WireGuard est silencieux par conception — il ne répond pas aux paquets non authentifiés — donc vérifiez l'Endpoint, le port UDP ouvert côté serveur, et que les clés correspondent.
Comment faire démarrer WireGuard automatiquement sur Windows ?
Activer un tunnel dans le client WireGuard l'installe comme service Windows qui se reconnecte automatiquement et survit aux redémarrages : un tunnel actif démarre donc déjà avec Windows. Vous pouvez le confirmer ou le gérer dans services.msc (cherchez « WireGuardTunnel$<nom-du-tunnel> »). Il n'y a pas de bascule « always-on » séparée comme sur mobile — le modèle de service est la façon dont WireGuard reste actif sur Windows.
Articles liés

Pour aller plus loin