VPNSmith
self-host-vpnHOWTO

Como configurar o WireGuard no Windows (passo a passo, 2026)

Configura o WireGuard no Windows em 2026: instala o cliente oficial, importa ou cria um túnel, ativa-o e verifica o handshake. Percebe cada campo do .conf, corrige os problemas comuns de 'sem handshake' e de DNS, e corre o túnel como serviço de arranque automático.

Por Eric Gerard · Fundador · VPNSmith - Especialista em VPN auto-hospedada e VPS RGPD7 min de leituraPhoto via Unsplash

O WireGuard é o protocolo VPN mais rápido e simples para correr num computador de secretária, e o cliente oficial do WireGuard para Windows transforma uma ligação num único clique depois de configurado. Este guia percorre o WireGuard no Windows de ponta a ponta em 2026: instalar o cliente oficial, importar ou criar um túnel, ativá-lo, verificar o handshake e corrigir os problemas com que as pessoas se deparam no Windows.

Resposta rápida: instala o cliente oficial do WireGuard a partir de wireguard.com/install e depois importa um ficheiro .conf que o teu servidor te deu (Import tunnel(s) from file) ou usa Add empty tunnel para gerar um par de chaves e colar os detalhes [Peer] do servidor. Clica em Activate, confirma que o Latest handshake se atualiza, e estás ligado. O WireGuard no Windows é apenas o cliente - precisa de um servidor WireGuard para onde apontar.

O que precisas antes de começar

  • Windows 10 ou 11 (o cliente oficial suporta ambos; corre como serviço de sistema).
  • Um servidor WireGuard em funcionamento com um endpoint público alcançável. É esta a metade que o WireGuard no Windows não fornece - forneces tu com um servidor auto-hospedado num VPS Contabo ou um Raspberry Pi em casa com uma porta UDP encaminhada.
  • Os detalhes de cliente para este dispositivo: ou um ficheiro .conf completo gerado pelo servidor, ou - se fizeres "Add empty tunnel" - a chave pública e o endpoint do servidor para completares a secção [Peer]. Dá a cada dispositivo o seu próprio par de chaves; reutilizar uma configuração entre máquinas quebra o handshake, porque dois peers passam então a partilhar uma chave pública.

Se és novo no protocolo, a nossa explicação o que é o WireGuard cobre a criptografia e porque é mais rápido do que o OpenVPN.

Passo 1 - Instalar o cliente oficial

Descarrega o instalador para Windows a partir do site oficial, wireguard.com/install. Instala a interface gráfica do WireGuard mais o serviço em segundo plano que realmente corre os túneis. Evita descargas "WireGuard" de terceiros - um cliente VPN vê todo o teu tráfego, por isso o editor importa. Depois de instalar, abre o WireGuard; vais ver uma lista de túneis vazia com Add Tunnel em baixo.

Uma torre de PC de secretária preta com ventoinhas de caixa iluminadas a azul num quarto escuro
Uma torre de PC de secretária preta com ventoinhas de caixa iluminadas a azul num quarto escuro

Passo 2 - Obter ou criar uma configuração de túnel

Tens dois caminhos reais no cliente, ambos funcionalidades genuínas da aplicação Windows:

  • Importa um .conf criado pelo teu servidor. Se o teu servidor já gerou uma configuração por dispositivo, é a via mais simples - avança para o Passo 3.
  • Add empty tunnel. Clica na seta ao lado de Add Tunnel -> Add empty tunnel…. O cliente gera um novo par de chaves e mostra em cima a nova chave pública. Copia essa chave pública para o teu servidor (adiciona-a como [Peer]), depois preenche o resto da configuração abaixo.

Anatomia de um .conf do WireGuard

Uma configuração tem duas secções. Eis a forma, com marcadores explícitos - nunca coles chaves reais tiradas de um guia; o teu próprio servidor e cliente geram-nas:

[Interface]
PrivateKey = <this-device-private-key>
Address = 10.0.0.2/32
DNS = <dns-resolver-ip>

[Peer]
PublicKey = <server-public-key>
Endpoint = <server-host-or-ip>:51820
AllowedIPs = 0.0.0.0/0, ::/0
PersistentKeepalive = 25

O que cada campo faz:

  • [Interface] PrivateKey - a chave privada deste dispositivo Windows (mantida local; nunca partilhada). Com "Add empty tunnel" o cliente preenche-a por ti.
  • Address - o IP VPN que este dispositivo assume dentro do túnel, atribuído pelo plano de endereçamento do teu servidor.
  • DNS - o resolver usado enquanto estás ligado; define-o para o teu servidor ou um resolver de confiança para que as consultas não vazem.
  • [Peer] PublicKey - a chave pública do servidor (não a tua). Uma não correspondência aqui é a principal causa de uma falha silenciosa.
  • Endpoint - o host/IP alcançável do servidor e a sua porta UDP (habitualmente 51820). Para um servidor de casa é o teu IP público e a porta encaminhada.
  • AllowedIPs - que destinos são encaminhados pelo túnel. 0.0.0.0/0, ::/0 é um túnel completo (tudo); um intervalo estreito como 10.0.0.0/24 é um split-tunnel (apenas essa sub-rede).
  • PersistentKeepalive = 25 - mantém o caminho ativo atrás de NAT; útil quando a máquina Windows está atrás de um router de casa.

Passo 3 - Importar o túnel e ativar

Se tens um ficheiro .conf: Add Tunnel -> Import tunnel(s) from file…, escolhe o .conf e ele aparece na lista. Seleciona o túnel e clica em Activate. O Windows pode pedir permissão de administrador na primeira vez, porque o cliente instala um serviço em segundo plano. O estado muda para Active e vais ver contadores de transferência em direto.

Passo 4 - Verificar que funciona

Um túnel ligado não é prova de que a VPN está a fazer o seu trabalho. Verifica três coisas:

  1. Latest handshake - o painel do túnel mostra uma hora de handshake recente (há alguns segundos/minutos), não em branco. Um handshake significa que os dois peers se autenticaram mesmo.
  2. O teu IP público mudou - visita qualquer página "qual é o meu IP"; deve mostrar o IP do servidor, não o do teu fornecedor.
  3. Sem fugas - executa um teste de fuga WebRTC e confirma que o DNS passa pelo túnel com a nossa orientação de prevenção de fugas de DNS no WireGuard.

Um painel de patch de rede com cabos Ethernet azuis e cinzentos ligados a portas numeradas
Um painel de patch de rede com cabos Ethernet azuis e cinzentos ligados a portas numeradas

Resolução de problemas no Windows

  • Sem handshake (fica em branco): IP/porta de Endpoint errados, a porta UDP do servidor não aberta (ou sem encaminhamento de porta no router para um servidor de casa), ou uma chave pública não correspondente. O WireGuard permanece silencioso perante pacotes não autenticados, por isso não há erro - confirma que o servidor está a escutar e alcançável. Passos mais aprofundados no nosso guia de resolução de problemas de handshake.
  • A firewall do Windows Defender bloqueia: permite a ligação UDP de saída do WireGuard se uma firewall rigorosa ou uma suite de segurança de terceiros a descartar.
  • O DNS não se aplica / as consultas vazam: certifica-te de que a linha [Interface] DNS está definida; sem ela o Windows pode continuar a usar o resolver do teu fornecedor dentro de um túnel completo.
  • Ligado mas sem internet: com AllowedIPs = 0.0.0.0/0 o servidor tem de encaminhar e fazer NAT do teu tráfego - se não o fizer, as páginas não carregam. Verifica o lado do servidor e baixa a MTU da interface (ex. 1280) se alguns sites ficarem bloqueados.
  • Túnel completo vs split-tunnel: AllowedIPs = 0.0.0.0/0, ::/0 envia tudo pelo servidor; um intervalo estreito envia apenas essa sub-rede - escolhe consoante queiras privacidade total ou apenas alcançar uma LAN de casa.
  • O "serviço WireGuard": se um túnel não ativar, verifica que o serviço existe e está a correr em services.msc (WireGuardTunnel$<nome-do-tunel>).

Arranque automático: o túnel como serviço Windows

Não há um interruptor "always-on" ao estilo móvel no Windows - e não precisas de um. Ativar um túnel instala-o como serviço Windows (WireGuardTunnel$<nome-do-tunel>) que se religa automaticamente e arranca com o Windows, por isso um túnel ativo volta a subir após um reinício. Podes inspecioná-lo ou pará-lo a partir de services.msc. Esse modelo de serviço é a forma como o WireGuard se mantém persistente no Windows.

Campos de configuração num relance

CampoSecçãoPapel
PrivateKey[Interface]Chave secreta deste dispositivo (mantida local)
Address[Interface]O IP VPN que este dispositivo usa dentro do túnel
DNS[Interface]Resolver usado enquanto ligado (evita fugas)
PublicKey[Peer]A chave pública do servidor
Endpoint[Peer]Host/IP + porta UDP do servidor a alcançar
AllowedIPs[Peer]Destinos encaminhados pelo túnel (completo vs split)
PersistentKeepalive[Peer]Mantém o caminho ativo atrás de NAT

Conclusão

O WireGuard no Windows configura-se em poucos minutos: instala o cliente oficial a partir de wireguard.com/install, importa um .conf (ou "Add empty tunnel" e completa o [Peer]), clica em Activate e depois confirma o handshake e o teu novo IP. A única coisa que o cliente Windows não te pode dar é um servidor ao qual te ligares. Um VPS Contabo a 5,50 EUR/mês corre confortavelmente um servidor WireGuard pessoal, ou um Raspberry Pi em casa faz o serviço.

Guia editorial baseado no comportamento documentado do cliente oficial do WireGuard para Windows. A segurança depende da configuração do teu servidor e da higiene das chaves. Os links comerciais levam o atributo rel="sponsored nofollow"; uma comissão de afiliação pode aplicar-se sem custo adicional para ti.

★ Datacenter GDPR em Nuremberg · ✓ IPv4 dedicado incluído · 200+ Mbps garantidos

Aloje a sua VPN no seu próprio VPS → ContaboAcesso root completo · IPv4 público · escolha a sua região

Perguntas frequentes

O WireGuard é seguro no Windows?
Sim. O cliente oficial do WireGuard para Windows é publicado pelo projeto WireGuard e é de código aberto, por isso o seu código pode ser auditado. O WireGuard usa criptografia moderna (Curve25519, ChaCha20-Poly1305, BLAKE2s) e tem uma base de código pequena, o que limita a superfície de ataque. O risco prático no Windows não é o cliente mas a tua configuração: mantém a chave privada no dispositivo que a gerou, liga-te apenas a um servidor que controlas ou em que confias, e descarrega o instalador do site oficial wireguard.com/install em vez de um espelho de terceiros.
Preciso de um servidor para usar o WireGuard no Windows?
Sim. O cliente Windows é apenas um peer - liga-se a outro peer WireGuard (o servidor). Precisas de um endpoint alcançável para onde o apontar: um servidor auto-hospedado num VPS, um Raspberry Pi em casa com uma porta UDP encaminhada, ou um router/NAS a correr WireGuard. O cliente Windows não consegue criar uma VPN sozinho; precisa da PublicKey e do Endpoint da secção [Peer] para fazer o handshake. Se ainda não tens um servidor, podes correr um num VPS barato.
Porque não há handshake no WireGuard no Windows?
Quando 'Latest handshake' fica vazio, o cliente não consegue alcançar o servidor. As causas habituais são: um IP ou porta UDP de Endpoint errados; a porta UDP do servidor não aberta na sua firewall (ou sem encaminhamento de porta no router para um servidor de casa); uma chave pública que não corresponde entre os dois peers; ou a firewall do Windows Defender a bloquear o UDP de saída. O WireGuard é silencioso por conceção - não responde a pacotes não autenticados - por isso verifica o Endpoint, a porta UDP aberta do lado do servidor, e que as chaves correspondem.
Como faço o WireGuard arrancar automaticamente no Windows?
Ativar um túnel no cliente WireGuard instala-o como serviço Windows que se religa automaticamente e sobrevive a reinícios, por isso um túnel ativo já arranca com o Windows. Podes confirmá-lo ou geri-lo em services.msc (procura 'WireGuardTunnel$<nome-do-tunel>'). Não há um interruptor 'always-on' separado como no móvel - o modelo de serviço é a forma como o WireGuard se mantém ativo no Windows.