WireGuard-Anleitung: Schrittweise Installation und Konfiguration

Einfache Architektur und moderne Verschlüsselung: Schlüssel pro Peer und AllowedIPs für das Routing.
Schnelle Installation unter Linux und offizielle Apps für Desktop und Mobilgeräte.
Überlegene Leistung gegenüber IPsec/OpenVPN, mit Roaming und geringer Latenz.

Wenn Sie nach einem suchen VPN das schnell, sicher und einfach zu implementieren ist, WireGuard Es ist das Beste, was Sie heute nutzen können. Mit minimalistischem Design und moderner Kryptografie ist es ideal für Heimanwender, Profis und Unternehmensumgebungen, sowohl auf Computern als auch auf Mobilgeräten und Routern.

In diesem praktischen Leitfaden finden Sie alles von den Grundlagen bis hin zu erweiterte Konfiguration: Installation unter Linux (Ubuntu/Debian/CentOS), Schlüssel, Server- und Clientdateien, IP-Weiterleitung, NAT/Firewall, Anwendungen unter Windows/macOS/Android/iOS, Split Tunneling, Leistung, Fehlerbehebung und Kompatibilität mit Plattformen wie OPNsense, pfSense, QNAP, Mikrotik oder Teltonika.

Was ist WireGuard und warum sollte man sich dafür entscheiden?

WireGuard ist ein Open-Source-VPN-Protokoll und eine Software, die zum Erstellen L3-verschlüsselte Tunnel über UDP. Es zeichnet sich im Vergleich zu OpenVPN oder IPsec durch seine Einfachheit, Leistung und geringere Latenz aus und basiert auf modernen Algorithmen wie Curve25519, ChaCha20-Poly1305, BLAKE2, SipHash24 und HKDF.

Die Codebasis ist sehr klein (ca. Tausende von Zeilen), was Audits erleichtert, die Angriffsfläche reduziert und die Wartung verbessert. Es ist außerdem in den Linux-Kernel integriert und ermöglicht hohe Übertragungsraten und agile Reaktion selbst auf einfacher Hardware.

Es ist plattformübergreifend: Es gibt offizielle Apps für Windows, macOS, Linux, Android und iOSund Unterstützung für Router-/Firewall-orientierte Systeme wie OPNsense. Es ist auch für Umgebungen wie FreeBSD, OpenBSD sowie NAS- und Virtualisierungsplattformen verfügbar.

So funktioniert es im Inneren

WireGuard stellt einen verschlüsselten Tunnel zwischen Peers her (Peers) durch Schlüssel identifiziert. Jedes Gerät generiert ein Schlüsselpaar (privat/öffentlich) und teilt nur seine öffentlicher Schlüssel mit dem anderen Ende; von dort aus wird der gesamte Datenverkehr verschlüsselt und authentifiziert.

Richtlinie Zulässige IPs Definiert sowohl das ausgehende Routing (welcher Verkehr durch den Tunnel geleitet werden soll) als auch die Liste der gültigen Quellen, die der Remote-Peer nach erfolgreicher Entschlüsselung eines Pakets akzeptiert. Dieser Ansatz wird als Kryptoschlüssel-Routing und vereinfacht die Verkehrspolitik erheblich.

WireGuard ist hervorragend mit der Roaming- Wenn sich die IP Ihres Clients ändert (z. B. wenn Sie von WLAN auf 4G/5G wechseln), wird die Sitzung transparent und sehr schnell wiederhergestellt. Es unterstützt auch Notausschalter um den Verkehr aus dem Tunnel zu blockieren, wenn das VPN ausfällt.

Installation unter Linux: Ubuntu/Debian/CentOS

Unter Ubuntu ist WireGuard in den offiziellen Repos verfügbar. Aktualisieren Sie die Pakete und installieren Sie anschließend die Software, um das Modul und die Tools zu erhalten. wg und wg-quick.

apt update && apt upgrade -y
apt install wireguard -y
modprobe wireguard

In Debian Stable können Sie bei Bedarf auf Repos aus instabilen Zweigen zurückgreifen, indem Sie der empfohlenen Methode folgen und mit Sorgfalt in der Produktion:

sudo sh -c 'echo deb https://deb.debian.org/debian/ unstable main > /etc/apt/sources.list.d/unstable.list'
sudo sh -c 'printf "Package: *\nPin: release a=unstable\nPin-Priority: 90\n" > /etc/apt/preferences.d/limit-unstable'
sudo apt update
sudo apt install wireguard

In CentOS 8.3 ist der Ablauf ähnlich: Sie aktivieren EPEL/ElRepo-Repos, falls erforderlich, und installieren dann das Paket WireGuard und entsprechende Module.

Exklusiver Inhalt – Klicken Sie hier So stellen Sie mein Hsbc-Token wieder her

Schlüsselgenerierung

Jeder Peer muss seine eigene privates/öffentliches Schlüsselpaar. Wenden Sie umask an, um Berechtigungen einzuschränken und Schlüssel für den Server und die Clients zu generieren.

umask 077
wg genkey | tee privatekey | wg pubkey > publickey

Wiederholen Sie dies auf jedem Gerät. Geben Sie niemals die Privat Schlüssel und speichern Sie beide sicher. Wenn Sie möchten, erstellen Sie Dateien mit unterschiedlichen Namen, zum Beispiel privater Schlüsselserver y öffentlicher Serverschlüssel.

Serverkonfiguration

Erstellen Sie die Hauptdatei in /etc/wireguard/wg0.conf. Weisen Sie ein VPN-Subnetz (nicht in Ihrem realen LAN verwendet), den UDP-Port zu und fügen Sie einen Block hinzu [Peer] pro autorisiertem Kunden.

[Interface]
Address = 10.0.0.1/24
ListenPort = 51820
PrivateKey = <clave_privada_servidor>

# Cliente 1
[Peer]
PublicKey = <clave_publica_cliente1>
AllowedIPs = 10.0.0.2/32

Sie können auch ein anderes Subnetz verwenden, zum Beispiel 192.168.2.0/24und mit mehreren Peers wachsen. Für schnelle Bereitstellungen ist es üblich, wg-schnell mit wgN.conf-Dateien.

Client-Konfiguration

Erstellen Sie auf dem Client eine Datei, zum Beispiel wg0-client.conf, mit seinem privaten Schlüssel, der Tunneladresse, optionalem DNS und dem Peer des Servers mit seinem öffentlichen Endpunkt und Port.

[Interface]
PrivateKey = <clave_privada_cliente>
Address = 10.0.0.2/24
DNS = 8.8.8.8

[Peer]
PublicKey = <clave_publica_servidor>
Endpoint = <ip_publica_servidor>:51820
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 25

Wenn Sie Zulässige IPs = 0.0.0.0/0 Der gesamte Datenverkehr wird über das VPN geleitet. Wenn Sie nur bestimmte Servernetzwerke erreichen möchten, beschränken Sie ihn auf die erforderlichen Subnetze und Sie reduzieren Latenz und Konsum.

IP-Weiterleitung und NAT auf dem Server

Aktivieren Sie die Weiterleitung, damit Clients über den Server auf das Internet zugreifen können. Nehmen Sie Änderungen direkt vor mit sysctl.

echo 'net.ipv4.ip_forward=1' >> /etc/sysctl.conf
echo 'net.ipv6.conf.all.forwarding=1' >> /etc/sysctl.conf
sysctl -p

Konfigurieren Sie NAT mit iptables für das VPN-Subnetz und legen Sie die WAN-Schnittstelle fest (z. B. eth0):

iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o eth0 -j MASQUERADE

Machen Sie es dauerhaft mit den entsprechenden Paketen und Speicherregeln, die beim Systemneustart angewendet werden sollen.

apt install -y iptables-persistent netfilter-persistent
netfilter-persistent save

Inbetriebnahme und Überprüfung

Rufen Sie die Schnittstelle auf und aktivieren Sie den Dienst, um mit dem System zu starten. Dieser Schritt erstellt die virtuelle Schnittstelle und fügt hinzu Routen notwendig.

systemctl start wg-quick@wg0
systemctl enable wg-quick@wg0
wg

Mit wg Sie sehen die Peers, Schlüssel, Übertragungen und letzten Handshake-Zeiten. Wenn Ihre Firewall-Richtlinie restriktiv ist, erlauben Sie den Zugriff über die Schnittstelle. wg0 und der UDP-Port des Dienstes:

iptables -I INPUT 1 -i wg0 -j ACCEPT

Offizielle Apps: Windows, macOS, Android und iOS

Auf dem Desktop können Sie eine .conf-Datei. Auf mobilen Geräten ermöglicht die App die Erstellung der Schnittstelle aus einem QR-Code enthält die Konfiguration; es ist sehr praktisch für nicht-technische Kunden.

Wenn Ihr Ziel darin besteht, selbst gehostete Dienste bereitzustellen, wie z. B. Plex/Radarr/Sonarr Weisen Sie über Ihr VPN einfach IPs im WireGuard-Subnetz zu und passen Sie AllowedIPs so an, dass der Client dieses Netzwerk erreichen kann. Sie müssen keine zusätzlichen Ports nach außen öffnen, wenn der gesamte Zugriff über das Tunnel.

Vor- und Nachteile

WireGuard ist sehr schnell und einfach, aber es ist wichtig, seine Einschränkungen und Besonderheiten je nach Anwendungsfall zu berücksichtigen. Hier ist ein ausgewogener Überblick über die wichtigsten relevant.

Exklusiver Inhalt – Klicken Sie hier So bezahlen Sie bei Uber mit Bargeld: eine detaillierte und praktische Anleitung

Vorteil	Nachteile
Übersichtliche und kurze Konfiguration, ideal für die Automatisierung	Enthält keine native Verkehrsverschleierung
Hohe Leistung und geringe Latenz auch in Mobil	In einigen Legacy-Umgebungen gibt es weniger erweiterte Optionen
Moderne Kryptografie und kleiner Code, der es einfach macht Prüfung	Datenschutz: Die IP/öffentliche Schlüsselzuordnung kann je nach Richtlinien sensibel sein
Nahtloses Roaming und Kill-Switch auf Clients verfügbar	Drittanbieterkompatibilität ist nicht immer homogen

Split-Tunneling: Nur das Nötigste leiten

Split-Tunneling ermöglicht es Ihnen, nur den benötigten Datenverkehr über das VPN zu senden. Mit Zulässige IPs Sie entscheiden, ob eine vollständige oder selektive Umleitung auf ein oder mehrere Subnetze erfolgen soll.

# Redirección completa de Internet
[Peer]
AllowedIPs = 0.0.0.0/0

# Solo acceder a recursos de la LAN 192.168.1.0/24 por la VPN
[Peer]
AllowedIPs = 192.168.1.0/24

Es gibt Varianten wie Reverse Split Tunneling, gefiltert nach URL oder per Anwendung (über bestimmte Erweiterungen/Clients), obwohl die native Grundlage in WireGuard die Steuerung per IP und Präfixen ist.

Kompatibilität und Ökosystem

WireGuard wurde für den Linux-Kernel entwickelt, ist heute aber Plattform überquerenOPNsense integriert es nativ; pfSense wurde für Audits vorübergehend eingestellt und anschließend je nach Version als optionales Paket angeboten.

Auf NAS wie QNAP können Sie es über QVPN oder virtuelle Maschinen mounten und dabei die Vorteile von 10GbE NICs nutzen, um hohe GeschwindigkeitenMikroTik-Routerboards verfügen seit RouterOS 7.x über integrierte WireGuard-Unterstützung. In den frühen Versionen befand es sich in der Betaphase und wurde nicht für die Produktion empfohlen, ermöglicht jedoch P2P-Tunnel zwischen Geräten und sogar Endclients.

Hersteller wie Teltonika bieten ein Paket an, mit dem Sie WireGuard zu ihren Routern hinzufügen können. Wenn Sie die Ausrüstung benötigen, können Sie diese bei shop.davantel.com und befolgen Sie die Installationsrichtlinien des Herstellers Pakete extra.

Leistung und Latenz

Dank seines minimalistischen Designs und der Auswahl effizienter Algorithmen erreicht WireGuard sehr hohe Geschwindigkeiten und geringe Latenzen, im Allgemeinen besser als L2TP/IPsec und OpenVPN. In lokalen Tests mit leistungsstarker Hardware ist die tatsächliche Rate oft doppelt so hoch wie bei den Alternativen, was es ideal macht für Streaming, Gaming oder VoIP.

Unternehmensimplementierung und Telearbeit

Im Unternehmen eignet sich WireGuard zum Erstellen von Tunneln zwischen Büros, zum Remote-Zugriff von Mitarbeitern und für sichere Verbindungen zwischen CPD und Cloud (z. B. für Backups). Seine prägnante Syntax erleichtert die Versionierung und Automatisierung.

Es lässt sich über Zwischenlösungen in Verzeichnisse wie LDAP/AD integrieren und kann mit IDS/IPS- oder NAC-Plattformen koexistieren. Eine beliebte Option ist PaketZaun (Open Source), mit dem Sie den Status der Geräte überprüfen können, bevor Sie Zugriff gewähren, und BYOD steuern können.

Windows/macOS: Hinweise und Tipps

Die offizielle Windows-App funktioniert normalerweise ohne Probleme, aber in einigen Versionen von Windows 10 gab es Probleme bei der Verwendung Zulässige IPs = 0.0.0.0/0 aufgrund von Routenkonflikten. Als vorübergehende Alternative entscheiden sich einige Benutzer für WireGuard-basierte Clients wie TunSafe oder beschränken AllowedIPs auf bestimmte Subnetze.

Debian-Kurzanleitung mit Beispielschlüsseln

Schlüssel für Server und Client generieren in /etc/wireguard/ und erstellen Sie die Schnittstelle wg0. Stellen Sie sicher, dass die VPN-IPs nicht mit anderen IPs in Ihrem lokalen Netzwerk oder auf Ihren Clients übereinstimmen.

cd /etc/wireguard/
wg genkey | tee claveprivadaservidor | wg pubkey > clavepublicaservidor
wg genkey | tee claveprivadacliente1 | wg pubkey > clavepublicacliente1

wg0.conf-Server mit Subnetz 192.168.2.0/24 und Port 51820. Aktivieren Sie PostUp/PostDown, wenn Sie automatisieren möchten NAT mit iptables beim Hoch-/Herunterfahren der Schnittstelle.

[Interface]
Address = 192.168.2.1/24
PrivateKey = <clave_privada_servidor>
ListenPort = 51820
#PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
#PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

[Peer]
PublicKey = <clave_publica_cliente1>
AllowedIPs = 0.0.0.0/0

Client mit der Adresse 192.168.2.2, der auf den öffentlichen Endpunkt des Servers zeigt und mit Keep-Alive optional, wenn ein Zwischen-NAT vorhanden ist.

[Interface]
PrivateKey = <clave_privada_cliente1>
Address = 192.168.2.2/32

[Peer]
PublicKey = <clave_publica_servidor>
AllowedIPs = 0.0.0.0/0
Endpoint = <ip_publica_servidor>:51820
#PersistentKeepalive = 25

Rufen Sie die Schnittstelle auf und beobachten Sie, wie die MTU, Routenmarkierungen und fwmark und Routing-Richtlinienregeln. Überprüfen Sie die wg‑quick‑Ausgabe und den Status mit WG-Show.

Exklusiver Inhalt – Klicken Sie hier Wie kann verhindert werden, dass Malware mit AVG Antivirus installiert wird?

Mikrotik: Tunnel zwischen RouterOS 7.x

MikroTik unterstützt WireGuard seit RouterOS 7.x. Erstellen Sie auf jedem Router eine WireGuard-Schnittstelle, wenden Sie sie an und sie wird automatisch generiert. Claves. Weisen Sie Ether2 als WAN und Wireguard1 als Tunnelschnittstelle IPs zu.

Konfigurieren Sie die Peers, indem Sie den öffentlichen Schlüssel des Servers auf der Clientseite und umgekehrt kreuzen, definieren Sie zulässige Adressen/Zulässige IPs (zum Beispiel 0.0.0.0/0 wenn Sie jede Quelle/Ziel durch den Tunnel zulassen möchten) und legen Sie den Remote-Endpunkt mit seinem Port fest. Ein Ping an die Remote-Tunnel-IP bestätigt die Handschlag.

Wenn Sie Mobiltelefone oder Computer mit dem Mikrotik-Tunnel verbinden, optimieren Sie die erlaubten Netzwerke, um nicht mehr als nötig zu öffnen. WireGuard entscheidet über den Paketfluss basierend auf Ihrem Kryptoschlüssel-Routing, daher ist es wichtig, dass Ursprungs- und Zielorte übereinstimmen.

Verwendete Kryptographie

WireGuard verwendet einen modernen Satz von: Lärm als Framework, Curve25519 für ECDH, ChaCha20 für authentifizierte symmetrische Verschlüsselung mit Poly1305, BLAKE2 für Hashing, SipHash24 für Hash-Tabellen und HKDF für die Ableitung von ClavesWenn ein Algorithmus veraltet ist, kann das Protokoll versioniert werden, um eine nahtlose Migration zu ermöglichen.

Vor- und Nachteile auf Mobilgeräten

Die Nutzung auf Smartphones ermöglicht Ihnen sicheres Surfen auf Öffentliches WLAN, verbergen Sie den Datenverkehr vor Ihrem ISP und stellen Sie eine Verbindung zu Ihrem Heimnetzwerk her, um auf NAS, Heimautomatisierung oder Spiele zuzugreifen. Unter iOS/Android wird der Tunnel beim Wechseln des Netzwerks nicht unterbrochen, was das Erlebnis verbessert.

Als Nachteile ziehen Sie einige Geschwindigkeitsverluste und höhere Latenz im Vergleich zur direkten Ausgabe nach sich und sind darauf angewiesen, dass der Server immer disponibleIm Vergleich zu IPsec/OpenVPN ist die Strafe jedoch normalerweise geringer.

WireGuard kombiniert Einfachheit, Geschwindigkeit und echte Sicherheit mit einer sanften Lernkurve: Installieren, Schlüssel generieren, AllowedIPs definieren – und schon kann es losgehen. IP-Weiterleitung, gut implementiertes NAT, offizielle Apps mit QR-Codes und Kompatibilität mit Ökosystemen wie OPNsense, Mikrotik oder Teltonika ergänzen das Paket. ein modernes VPN für nahezu jedes Szenario, von der Sicherung öffentlicher Netzwerke bis hin zur Verbindung der Zentrale und dem problemlosen Zugriff auf Ihre Heimdienste.

Daniel Terrasa

Auf Technologie- und Internetthemen spezialisierter Redakteur mit mehr als zehn Jahren Erfahrung in verschiedenen digitalen Medien. Ich habe als Redakteur und Content-Ersteller für E-Commerce-, Kommunikations-, Online-Marketing- und Werbeunternehmen gearbeitet. Ich habe auch auf Websites aus den Bereichen Wirtschaft, Finanzen und anderen Sektoren geschrieben. Meine Arbeit ist auch meine Leidenschaft. Nun, durch meine Artikel in TecnobitsIch versuche, alle Neuigkeiten und neuen Möglichkeiten zu erkunden, die uns die Welt der Technologie jeden Tag bietet, um unser Leben zu verbessern.