O WireGuard é o protocolo VPN mais rápido e simples para correr num computador de secretária, e o cliente oficial do WireGuard para Windows transforma uma ligação num único clique depois de configurado. Este guia percorre o WireGuard no Windows de ponta a ponta em 2026: instalar o cliente oficial, importar ou criar um túnel, ativá-lo, verificar o handshake e corrigir os problemas com que as pessoas se deparam no Windows.
Resposta rápida: instala o cliente oficial do WireGuard a partir de wireguard.com/install e depois importa um ficheiro .conf que o teu servidor te deu (Import tunnel(s) from file) ou usa Add empty tunnel para gerar um par de chaves e colar os detalhes [Peer] do servidor. Clica em Activate, confirma que o Latest handshake se atualiza, e estás ligado. O WireGuard no Windows é apenas o cliente - precisa de um servidor WireGuard para onde apontar.
O que precisas antes de começar
- Windows 10 ou 11 (o cliente oficial suporta ambos; corre como serviço de sistema).
- Um servidor WireGuard em funcionamento com um endpoint público alcançável. É esta a metade que o WireGuard no Windows não fornece - forneces tu com um servidor auto-hospedado num VPS Contabo ou um Raspberry Pi em casa com uma porta UDP encaminhada.
- Os detalhes de cliente para este dispositivo: ou um ficheiro
.confcompleto gerado pelo servidor, ou - se fizeres "Add empty tunnel" - a chave pública e o endpoint do servidor para completares a secção[Peer]. Dá a cada dispositivo o seu próprio par de chaves; reutilizar uma configuração entre máquinas quebra o handshake, porque dois peers passam então a partilhar uma chave pública.
Se és novo no protocolo, a nossa explicação o que é o WireGuard cobre a criptografia e porque é mais rápido do que o OpenVPN.
Passo 1 - Instalar o cliente oficial
Descarrega o instalador para Windows a partir do site oficial, wireguard.com/install. Instala a interface gráfica do WireGuard mais o serviço em segundo plano que realmente corre os túneis. Evita descargas "WireGuard" de terceiros - um cliente VPN vê todo o teu tráfego, por isso o editor importa. Depois de instalar, abre o WireGuard; vais ver uma lista de túneis vazia com Add Tunnel em baixo.
Passo 2 - Obter ou criar uma configuração de túnel
Tens dois caminhos reais no cliente, ambos funcionalidades genuínas da aplicação Windows:
- Importa um
.confcriado pelo teu servidor. Se o teu servidor já gerou uma configuração por dispositivo, é a via mais simples - avança para o Passo 3. - Add empty tunnel. Clica na seta ao lado de Add Tunnel -> Add empty tunnel…. O cliente gera um novo par de chaves e mostra em cima a nova chave pública. Copia essa chave pública para o teu servidor (adiciona-a como
[Peer]), depois preenche o resto da configuração abaixo.
Anatomia de um .conf do WireGuard
Uma configuração tem duas secções. Eis a forma, com marcadores explícitos - nunca coles chaves reais tiradas de um guia; o teu próprio servidor e cliente geram-nas:
[Interface]
PrivateKey = <this-device-private-key>
Address = 10.0.0.2/32
DNS = <dns-resolver-ip>
[Peer]
PublicKey = <server-public-key>
Endpoint = <server-host-or-ip>:51820
AllowedIPs = 0.0.0.0/0, ::/0
PersistentKeepalive = 25
O que cada campo faz:
[Interface] PrivateKey- a chave privada deste dispositivo Windows (mantida local; nunca partilhada). Com "Add empty tunnel" o cliente preenche-a por ti.Address- o IP VPN que este dispositivo assume dentro do túnel, atribuído pelo plano de endereçamento do teu servidor.DNS- o resolver usado enquanto estás ligado; define-o para o teu servidor ou um resolver de confiança para que as consultas não vazem.[Peer] PublicKey- a chave pública do servidor (não a tua). Uma não correspondência aqui é a principal causa de uma falha silenciosa.Endpoint- o host/IP alcançável do servidor e a sua porta UDP (habitualmente51820). Para um servidor de casa é o teu IP público e a porta encaminhada.AllowedIPs- que destinos são encaminhados pelo túnel.0.0.0.0/0, ::/0é um túnel completo (tudo); um intervalo estreito como10.0.0.0/24é um split-tunnel (apenas essa sub-rede).PersistentKeepalive = 25- mantém o caminho ativo atrás de NAT; útil quando a máquina Windows está atrás de um router de casa.
Passo 3 - Importar o túnel e ativar
Se tens um ficheiro .conf: Add Tunnel -> Import tunnel(s) from file…, escolhe o .conf e ele aparece na lista. Seleciona o túnel e clica em Activate. O Windows pode pedir permissão de administrador na primeira vez, porque o cliente instala um serviço em segundo plano. O estado muda para Active e vais ver contadores de transferência em direto.
Passo 4 - Verificar que funciona
Um túnel ligado não é prova de que a VPN está a fazer o seu trabalho. Verifica três coisas:
- Latest handshake - o painel do túnel mostra uma hora de handshake recente (há alguns segundos/minutos), não em branco. Um handshake significa que os dois peers se autenticaram mesmo.
- O teu IP público mudou - visita qualquer página "qual é o meu IP"; deve mostrar o IP do servidor, não o do teu fornecedor.
- Sem fugas - executa um teste de fuga WebRTC e confirma que o DNS passa pelo túnel com a nossa orientação de prevenção de fugas de DNS no WireGuard.
Resolução de problemas no Windows
- Sem handshake (fica em branco): IP/porta de Endpoint errados, a porta UDP do servidor não aberta (ou sem encaminhamento de porta no router para um servidor de casa), ou uma chave pública não correspondente. O WireGuard permanece silencioso perante pacotes não autenticados, por isso não há erro - confirma que o servidor está a escutar e alcançável. Passos mais aprofundados no nosso guia de resolução de problemas de handshake.
- A firewall do Windows Defender bloqueia: permite a ligação UDP de saída do WireGuard se uma firewall rigorosa ou uma suite de segurança de terceiros a descartar.
- O DNS não se aplica / as consultas vazam: certifica-te de que a linha
[Interface] DNSestá definida; sem ela o Windows pode continuar a usar o resolver do teu fornecedor dentro de um túnel completo. - Ligado mas sem internet: com
AllowedIPs = 0.0.0.0/0o servidor tem de encaminhar e fazer NAT do teu tráfego - se não o fizer, as páginas não carregam. Verifica o lado do servidor e baixa a MTU da interface (ex.1280) se alguns sites ficarem bloqueados. - Túnel completo vs split-tunnel:
AllowedIPs = 0.0.0.0/0, ::/0envia tudo pelo servidor; um intervalo estreito envia apenas essa sub-rede - escolhe consoante queiras privacidade total ou apenas alcançar uma LAN de casa. - O "serviço WireGuard": se um túnel não ativar, verifica que o serviço existe e está a correr em
services.msc(WireGuardTunnel$<nome-do-tunel>).
Arranque automático: o túnel como serviço Windows
Não há um interruptor "always-on" ao estilo móvel no Windows - e não precisas de um. Ativar um túnel instala-o como serviço Windows (WireGuardTunnel$<nome-do-tunel>) que se religa automaticamente e arranca com o Windows, por isso um túnel ativo volta a subir após um reinício. Podes inspecioná-lo ou pará-lo a partir de services.msc. Esse modelo de serviço é a forma como o WireGuard se mantém persistente no Windows.
Campos de configuração num relance
| Campo | Secção | Papel |
|---|---|---|
PrivateKey | [Interface] | Chave secreta deste dispositivo (mantida local) |
Address | [Interface] | O IP VPN que este dispositivo usa dentro do túnel |
DNS | [Interface] | Resolver usado enquanto ligado (evita fugas) |
PublicKey | [Peer] | A chave pública do servidor |
Endpoint | [Peer] | Host/IP + porta UDP do servidor a alcançar |
AllowedIPs | [Peer] | Destinos encaminhados pelo túnel (completo vs split) |
PersistentKeepalive | [Peer] | Mantém o caminho ativo atrás de NAT |
Conclusão
O WireGuard no Windows configura-se em poucos minutos: instala o cliente oficial a partir de wireguard.com/install, importa um .conf (ou "Add empty tunnel" e completa o [Peer]), clica em Activate e depois confirma o handshake e o teu novo IP. A única coisa que o cliente Windows não te pode dar é um servidor ao qual te ligares. Um VPS Contabo a 5,50 EUR/mês corre confortavelmente um servidor WireGuard pessoal, ou um Raspberry Pi em casa faz o serviço.
Guia editorial baseado no comportamento documentado do cliente oficial do WireGuard para Windows. A segurança depende da configuração do teu servidor e da higiene das chaves. Os links comerciais levam o atributo rel="sponsored nofollow"; uma comissão de afiliação pode aplicar-se sem custo adicional para ti.
★ Datacenter GDPR em Nuremberg · ✓ IPv4 dedicado incluído · 200+ Mbps garantidos
Aloje a sua VPN no seu próprio VPS → ContaboAcesso root completo · IPv4 público · escolha a sua região→
