VPNSmith
self-host-vpnHOWTO

Come configurare WireGuard su Windows (passo dopo passo, 2026)

Configura WireGuard su Windows nel 2026: installa il client ufficiale, importa o crea un tunnel, attivalo e verifica l'handshake. Capisci ogni campo del .conf, risolvi i tipici problemi di 'nessun handshake' e DNS, e fai girare il tunnel come servizio ad avvio automatico.

Di Eric Gerard · Fondatore · VPNSmith - Specialista in VPN autogestite e VPS GDPR7 min letturaPhoto via Unsplash

WireGuard è il protocollo VPN più veloce e semplice da far girare su un computer desktop, e il client ufficiale WireGuard per Windows riduce una connessione a un solo clic una volta configurato. Questa guida illustra WireGuard su Windows dall'inizio alla fine nel 2026: installare il client ufficiale, importare o creare un tunnel, attivarlo, verificare l'handshake e risolvere i problemi che si incontrano su Windows.

Risposta rapida: installa il client ufficiale WireGuard da wireguard.com/install, poi o importa un file .conf fornito dal tuo server (Import tunnel(s) from file) o usa Add empty tunnel per generare una coppia di chiavi e incollare i dettagli [Peer] del server. Clicca su Activate, conferma che il Latest handshake si aggiorna, e sei connesso. WireGuard su Windows è solo il client - ha bisogno di un server WireGuard a cui puntare.

Cosa ti serve prima di iniziare

  • Windows 10 o 11 (il client ufficiale supporta entrambi; gira come servizio di sistema).
  • Un server WireGuard attivo con un endpoint pubblico raggiungibile. È questa la metà che WireGuard su Windows non fornisce - la porti tu con un server autogestito su un VPS Contabo o un Raspberry Pi di casa con una porta UDP inoltrata.
  • I dettagli client per questo dispositivo: o un file .conf completo generato dal server, o - se fai "Add empty tunnel" - la chiave pubblica e l'endpoint del server per completare la sezione [Peer]. Dai a ogni dispositivo la propria coppia di chiavi; riutilizzare una configurazione tra più macchine rompe l'handshake, perché due peer condividono allora una chiave pubblica.

Se sei nuovo al protocollo, la nostra spiegazione cos'è WireGuard copre la crittografia e perché è più veloce di OpenVPN.

Passo 1 - Installare il client ufficiale

Scarica l'installer per Windows dal sito ufficiale, wireguard.com/install. Installa la GUI di WireGuard più il servizio in background che fa effettivamente girare i tunnel. Evita i download "WireGuard" di terze parti - un client VPN vede tutto il tuo traffico, quindi l'editore conta. Dopo l'installazione, avvia WireGuard; vedrai un elenco di tunnel vuoto con Add Tunnel in basso.

Un case tower per PC desktop nero con ventole illuminate di blu in una stanza buia
Un case tower per PC desktop nero con ventole illuminate di blu in una stanza buia

Passo 2 - Ottenere o creare una configurazione di tunnel

Hai due percorsi reali nel client, entrambi funzioni autentiche dell'app Windows:

  • Importa un .conf creato dal tuo server. Se il tuo server ha già generato una configurazione per dispositivo, è la via più semplice - passa al Passo 3.
  • Add empty tunnel. Clicca sulla freccia accanto a Add Tunnel -> Add empty tunnel…. Il client genera una nuova coppia di chiavi e mostra in alto la nuova chiave pubblica. Copia quella chiave pubblica sul tuo server (aggiungila come [Peer]), poi compila il resto della configurazione qui sotto.

Anatomia di un .conf WireGuard

Una configurazione ha due sezioni. Ecco la forma, con segnaposto espliciti - non incollare mai chiavi vere prese da una guida; il tuo server e il tuo client le generano da soli:

[Interface]
PrivateKey = <this-device-private-key>
Address = 10.0.0.2/32
DNS = <dns-resolver-ip>

[Peer]
PublicKey = <server-public-key>
Endpoint = <server-host-or-ip>:51820
AllowedIPs = 0.0.0.0/0, ::/0
PersistentKeepalive = 25

Cosa fa ciascun campo:

  • [Interface] PrivateKey - la chiave privata di questo dispositivo Windows (tenuta in locale; mai condivisa). Con "Add empty tunnel" il client la compila per te.
  • Address - l'IP VPN che questo dispositivo assume dentro il tunnel, assegnato dal piano di indirizzamento del tuo server.
  • DNS - il resolver usato mentre sei connesso; impostalo sul tuo server o su un resolver fidato affinché le richieste non trapelino.
  • [Peer] PublicKey - la chiave pubblica del server (non la tua). Una mancata corrispondenza qui è la causa principale di un fallimento silenzioso.
  • Endpoint - l'host/IP raggiungibile del server e la sua porta UDP (di solito 51820). Per un server di casa è il tuo IP pubblico e la porta inoltrata.
  • AllowedIPs - quali destinazioni passano attraverso il tunnel. 0.0.0.0/0, ::/0 è un tunnel completo (tutto); un intervallo stretto come 10.0.0.0/24 è uno split-tunnel (solo quella subnet).
  • PersistentKeepalive = 25 - mantiene il percorso attivo dietro il NAT; utile quando la macchina Windows è dietro un router di casa.

Passo 3 - Importare il tunnel e attivarlo

Se hai un file .conf: Add Tunnel -> Import tunnel(s) from file…, scegli il .conf e comparirà nell'elenco. Seleziona il tunnel e clicca su Activate. Windows potrebbe chiedere l'autorizzazione di amministratore la prima volta, perché il client installa un servizio in background. Lo stato passa ad Active e vedrai contatori di trasferimento in tempo reale.

Passo 4 - Verificare che funzioni

Un tunnel connesso non è la prova che la VPN stia facendo il suo lavoro. Controlla tre cose:

  1. Latest handshake - il pannello del tunnel mostra un handshake recente (qualche secondo/minuto fa), non vuoto. Un handshake significa che i due peer si sono davvero autenticati.
  2. Il tuo IP pubblico è cambiato - visita una qualsiasi pagina "qual è il mio IP"; dovrebbe mostrare l'IP del server, non quello del tuo provider.
  3. Nessuna perdita - esegui un test di perdita WebRTC e conferma che il DNS passa attraverso il tunnel con la nostra guida alla prevenzione delle fughe DNS in WireGuard.

Un pannello patch di rete con cavi Ethernet blu e grigi collegati a porte numerate
Un pannello patch di rete con cavi Ethernet blu e grigi collegati a porte numerate

Risoluzione dei problemi su Windows

  • Nessun handshake (resta vuoto): IP/porta di Endpoint sbagliati, porta UDP non aperta lato server (o nessun port-forward del router per un server di casa), o chiave pubblica non corrispondente. WireGuard resta silenzioso davanti ai pacchetti non autenticati, quindi non c'è errore - verifica che il server sia in ascolto e raggiungibile. Passi più approfonditi nella nostra guida alla risoluzione dei problemi di handshake.
  • Il firewall di Windows Defender lo blocca: consenti la connessione UDP in uscita di WireGuard se un firewall rigido o una suite di sicurezza di terze parti la scarta.
  • Il DNS non si applica / le richieste trapelano: assicurati che la riga [Interface] DNS sia impostata; senza di essa Windows potrebbe continuare a usare il resolver del tuo provider dentro un tunnel completo.
  • Connesso ma niente internet: con AllowedIPs = 0.0.0.0/0 il server deve inoltrare e fare il NAT del tuo traffico - se non lo fa, le pagine non caricano. Controlla il lato server e abbassa la MTU dell'interfaccia (es. 1280) se alcuni siti si bloccano.
  • Tunnel completo vs split-tunnel: AllowedIPs = 0.0.0.0/0, ::/0 invia tutto attraverso il server; un intervallo stretto invia solo quella subnet - scegli in base al fatto che tu voglia privacy totale o solo raggiungere una LAN di casa.
  • Il "servizio WireGuard": se un tunnel non si attiva, controlla che il servizio esista e sia in esecuzione in services.msc (WireGuardTunnel$<nome-tunnel>).

Avvio automatico: il tunnel come servizio Windows

Su Windows non c'è un interruttore "always-on" in stile mobile - e non ti serve. Attivare un tunnel lo installa come servizio Windows (WireGuardTunnel$<nome-tunnel>) che si riconnette automaticamente e si avvia con Windows, quindi un tunnel attivo torna su dopo un riavvio. Puoi ispezionarlo o fermarlo da services.msc. Quel modello a servizio è il modo in cui WireGuard resta persistente su Windows.

Campi di configurazione a colpo d'occhio

CampoSezioneRuolo
PrivateKey[Interface]Chiave segreta di questo dispositivo (tenuta in locale)
Address[Interface]L'IP VPN che questo dispositivo usa dentro il tunnel
DNS[Interface]Resolver usato mentre si è connessi (previene le fughe)
PublicKey[Peer]La chiave pubblica del server
Endpoint[Peer]Host/IP + porta UDP del server da raggiungere
AllowedIPs[Peer]Destinazioni instradate attraverso il tunnel (completo vs split)
PersistentKeepalive[Peer]Mantiene il percorso attivo dietro il NAT

In conclusione

WireGuard su Windows si configura in pochi minuti: installa il client ufficiale da wireguard.com/install, importa un .conf (o "Add empty tunnel" e completa il [Peer]), clicca su Activate, poi conferma l'handshake e il tuo nuovo IP. L'unica cosa che il client Windows non può darti è un server a cui connetterti. Un VPS Contabo a 5,50 EUR/mese fa girare comodamente un server WireGuard personale, oppure un Raspberry Pi di casa fa il suo lavoro.

Guida editoriale basata sul comportamento documentato del client ufficiale WireGuard per Windows. La sicurezza dipende dalla configurazione del tuo server e dall'igiene delle chiavi. I link commerciali portano l'attributo rel="sponsored nofollow"; una commissione di affiliazione può applicarsi senza costi aggiuntivi per te.

★ Datacenter GDPR di Norimberga · ✓ IPv4 dedicato incluso · 200+ Mbps garantiti

Ospita la tua VPN sul tuo VPS → ContaboAccesso root completo · IPv4 pubblico · scegli la tua regione

Domande frequenti

WireGuard è sicuro su Windows?
Sì. Il client ufficiale WireGuard per Windows è pubblicato dal progetto WireGuard ed è open-source, quindi il suo codice può essere verificato. WireGuard usa crittografia moderna (Curve25519, ChaCha20-Poly1305, BLAKE2s) e ha una base di codice ridotta, il che limita la superficie di attacco. Il rischio pratico su Windows non è il client ma la tua configurazione: tieni la chiave privata sul dispositivo che l'ha generata, connettiti solo a un server che controlli o di cui ti fidi, e scarica l'installer dal sito ufficiale wireguard.com/install invece che da un mirror di terze parti.
Mi serve un server per usare WireGuard su Windows?
Sì. Il client Windows è solo un peer - si connette a un altro peer WireGuard (il server). Ti serve un endpoint raggiungibile a cui puntarlo: un server autogestito su un VPS, un Raspberry Pi di casa con una porta UDP inoltrata, o un router/NAS che fa girare WireGuard. Il client Windows non può creare una VPN da solo; ha bisogno della PublicKey e dell'Endpoint della sezione [Peer] per fare l'handshake. Se non hai ancora un server, puoi farne girare uno su un VPS economico.
Perché non c'è handshake in WireGuard su Windows?
Quando 'Latest handshake' resta vuoto, il client non riesce a raggiungere il server. Le cause abituali sono: un IP o una porta UDP di Endpoint sbagliati; la porta UDP del server non aperta nel suo firewall (o nessun port-forward del router per un server di casa); una chiave pubblica non corrispondente tra i due peer; o il firewall di Windows Defender che blocca l'UDP in uscita. WireGuard è silenzioso per progettazione - non risponde ai pacchetti non autenticati - quindi controlla l'Endpoint, la porta UDP aperta lato server e che le chiavi corrispondano.
Come faccio ad avviare WireGuard automaticamente su Windows?
Attivare un tunnel nel client WireGuard lo installa come servizio Windows che si riconnette automaticamente e sopravvive ai riavvii, quindi un tunnel attivo si avvia già con Windows. Puoi confermarlo o gestirlo in services.msc (cerca 'WireGuardTunnel$<nome-tunnel>'). Non c'è un interruttore 'always-on' separato come sul mobile - il modello a servizio è il modo in cui WireGuard resta attivo su Windows.