WireGuard è il protocollo VPN più veloce e semplice da far girare su un computer desktop, e il client ufficiale WireGuard per Windows riduce una connessione a un solo clic una volta configurato. Questa guida illustra WireGuard su Windows dall'inizio alla fine nel 2026: installare il client ufficiale, importare o creare un tunnel, attivarlo, verificare l'handshake e risolvere i problemi che si incontrano su Windows.
Risposta rapida: installa il client ufficiale WireGuard da wireguard.com/install, poi o importa un file .conf fornito dal tuo server (Import tunnel(s) from file) o usa Add empty tunnel per generare una coppia di chiavi e incollare i dettagli [Peer] del server. Clicca su Activate, conferma che il Latest handshake si aggiorna, e sei connesso. WireGuard su Windows è solo il client - ha bisogno di un server WireGuard a cui puntare.
Cosa ti serve prima di iniziare
- Windows 10 o 11 (il client ufficiale supporta entrambi; gira come servizio di sistema).
- Un server WireGuard attivo con un endpoint pubblico raggiungibile. È questa la metà che WireGuard su Windows non fornisce - la porti tu con un server autogestito su un VPS Contabo o un Raspberry Pi di casa con una porta UDP inoltrata.
- I dettagli client per questo dispositivo: o un file
.confcompleto generato dal server, o - se fai "Add empty tunnel" - la chiave pubblica e l'endpoint del server per completare la sezione[Peer]. Dai a ogni dispositivo la propria coppia di chiavi; riutilizzare una configurazione tra più macchine rompe l'handshake, perché due peer condividono allora una chiave pubblica.
Se sei nuovo al protocollo, la nostra spiegazione cos'è WireGuard copre la crittografia e perché è più veloce di OpenVPN.
Passo 1 - Installare il client ufficiale
Scarica l'installer per Windows dal sito ufficiale, wireguard.com/install. Installa la GUI di WireGuard più il servizio in background che fa effettivamente girare i tunnel. Evita i download "WireGuard" di terze parti - un client VPN vede tutto il tuo traffico, quindi l'editore conta. Dopo l'installazione, avvia WireGuard; vedrai un elenco di tunnel vuoto con Add Tunnel in basso.
Passo 2 - Ottenere o creare una configurazione di tunnel
Hai due percorsi reali nel client, entrambi funzioni autentiche dell'app Windows:
- Importa un
.confcreato dal tuo server. Se il tuo server ha già generato una configurazione per dispositivo, è la via più semplice - passa al Passo 3. - Add empty tunnel. Clicca sulla freccia accanto a Add Tunnel -> Add empty tunnel…. Il client genera una nuova coppia di chiavi e mostra in alto la nuova chiave pubblica. Copia quella chiave pubblica sul tuo server (aggiungila come
[Peer]), poi compila il resto della configurazione qui sotto.
Anatomia di un .conf WireGuard
Una configurazione ha due sezioni. Ecco la forma, con segnaposto espliciti - non incollare mai chiavi vere prese da una guida; il tuo server e il tuo client le generano da soli:
[Interface]
PrivateKey = <this-device-private-key>
Address = 10.0.0.2/32
DNS = <dns-resolver-ip>
[Peer]
PublicKey = <server-public-key>
Endpoint = <server-host-or-ip>:51820
AllowedIPs = 0.0.0.0/0, ::/0
PersistentKeepalive = 25
Cosa fa ciascun campo:
[Interface] PrivateKey- la chiave privata di questo dispositivo Windows (tenuta in locale; mai condivisa). Con "Add empty tunnel" il client la compila per te.Address- l'IP VPN che questo dispositivo assume dentro il tunnel, assegnato dal piano di indirizzamento del tuo server.DNS- il resolver usato mentre sei connesso; impostalo sul tuo server o su un resolver fidato affinché le richieste non trapelino.[Peer] PublicKey- la chiave pubblica del server (non la tua). Una mancata corrispondenza qui è la causa principale di un fallimento silenzioso.Endpoint- l'host/IP raggiungibile del server e la sua porta UDP (di solito51820). Per un server di casa è il tuo IP pubblico e la porta inoltrata.AllowedIPs- quali destinazioni passano attraverso il tunnel.0.0.0.0/0, ::/0è un tunnel completo (tutto); un intervallo stretto come10.0.0.0/24è uno split-tunnel (solo quella subnet).PersistentKeepalive = 25- mantiene il percorso attivo dietro il NAT; utile quando la macchina Windows è dietro un router di casa.
Passo 3 - Importare il tunnel e attivarlo
Se hai un file .conf: Add Tunnel -> Import tunnel(s) from file…, scegli il .conf e comparirà nell'elenco. Seleziona il tunnel e clicca su Activate. Windows potrebbe chiedere l'autorizzazione di amministratore la prima volta, perché il client installa un servizio in background. Lo stato passa ad Active e vedrai contatori di trasferimento in tempo reale.
Passo 4 - Verificare che funzioni
Un tunnel connesso non è la prova che la VPN stia facendo il suo lavoro. Controlla tre cose:
- Latest handshake - il pannello del tunnel mostra un handshake recente (qualche secondo/minuto fa), non vuoto. Un handshake significa che i due peer si sono davvero autenticati.
- Il tuo IP pubblico è cambiato - visita una qualsiasi pagina "qual è il mio IP"; dovrebbe mostrare l'IP del server, non quello del tuo provider.
- Nessuna perdita - esegui un test di perdita WebRTC e conferma che il DNS passa attraverso il tunnel con la nostra guida alla prevenzione delle fughe DNS in WireGuard.
Risoluzione dei problemi su Windows
- Nessun handshake (resta vuoto): IP/porta di Endpoint sbagliati, porta UDP non aperta lato server (o nessun port-forward del router per un server di casa), o chiave pubblica non corrispondente. WireGuard resta silenzioso davanti ai pacchetti non autenticati, quindi non c'è errore - verifica che il server sia in ascolto e raggiungibile. Passi più approfonditi nella nostra guida alla risoluzione dei problemi di handshake.
- Il firewall di Windows Defender lo blocca: consenti la connessione UDP in uscita di WireGuard se un firewall rigido o una suite di sicurezza di terze parti la scarta.
- Il DNS non si applica / le richieste trapelano: assicurati che la riga
[Interface] DNSsia impostata; senza di essa Windows potrebbe continuare a usare il resolver del tuo provider dentro un tunnel completo. - Connesso ma niente internet: con
AllowedIPs = 0.0.0.0/0il server deve inoltrare e fare il NAT del tuo traffico - se non lo fa, le pagine non caricano. Controlla il lato server e abbassa la MTU dell'interfaccia (es.1280) se alcuni siti si bloccano. - Tunnel completo vs split-tunnel:
AllowedIPs = 0.0.0.0/0, ::/0invia tutto attraverso il server; un intervallo stretto invia solo quella subnet - scegli in base al fatto che tu voglia privacy totale o solo raggiungere una LAN di casa. - Il "servizio WireGuard": se un tunnel non si attiva, controlla che il servizio esista e sia in esecuzione in
services.msc(WireGuardTunnel$<nome-tunnel>).
Avvio automatico: il tunnel come servizio Windows
Su Windows non c'è un interruttore "always-on" in stile mobile - e non ti serve. Attivare un tunnel lo installa come servizio Windows (WireGuardTunnel$<nome-tunnel>) che si riconnette automaticamente e si avvia con Windows, quindi un tunnel attivo torna su dopo un riavvio. Puoi ispezionarlo o fermarlo da services.msc. Quel modello a servizio è il modo in cui WireGuard resta persistente su Windows.
Campi di configurazione a colpo d'occhio
| Campo | Sezione | Ruolo |
|---|---|---|
PrivateKey | [Interface] | Chiave segreta di questo dispositivo (tenuta in locale) |
Address | [Interface] | L'IP VPN che questo dispositivo usa dentro il tunnel |
DNS | [Interface] | Resolver usato mentre si è connessi (previene le fughe) |
PublicKey | [Peer] | La chiave pubblica del server |
Endpoint | [Peer] | Host/IP + porta UDP del server da raggiungere |
AllowedIPs | [Peer] | Destinazioni instradate attraverso il tunnel (completo vs split) |
PersistentKeepalive | [Peer] | Mantiene il percorso attivo dietro il NAT |
In conclusione
WireGuard su Windows si configura in pochi minuti: installa il client ufficiale da wireguard.com/install, importa un .conf (o "Add empty tunnel" e completa il [Peer]), clicca su Activate, poi conferma l'handshake e il tuo nuovo IP. L'unica cosa che il client Windows non può darti è un server a cui connetterti. Un VPS Contabo a 5,50 EUR/mese fa girare comodamente un server WireGuard personale, oppure un Raspberry Pi di casa fa il suo lavoro.
Guida editoriale basata sul comportamento documentato del client ufficiale WireGuard per Windows. La sicurezza dipende dalla configurazione del tuo server e dall'igiene delle chiavi. I link commerciali portano l'attributo rel="sponsored nofollow"; una commissione di affiliazione può applicarsi senza costi aggiuntivi per te.
★ Datacenter GDPR di Norimberga · ✓ IPv4 dedicato incluso · 200+ Mbps garantiti
Ospita la tua VPN sul tuo VPS → ContaboAccesso root completo · IPv4 pubblico · scegli la tua regione→
