WireGuard Windows-Einrichtung

Stellen Sie vor der Ausführung der beschriebenen Befehle sicher, dass Sie die neueste Version von WireGuard verwenden und über Administratorrechte auf Ihrem Gerät verfügen.

Einrichtung

1) Laden Sie die aktuelle Version für Windows herunter: https://www.wireguard.com/install/ und installieren Sie sie.
2) Führen Sie C:\Programme\WireGuard\wireguard.exe aus und fügen Sie einen leeren Tunnel hinzu (wir werden die Server-Seite konfigurieren):
Tunnel hinzufügen → Leeren Tunnel hinzufügen ...

Wir registrieren die Einstellungen:
Name - der Name der Netzwerkverbindung
Öffentlicher Schlüssel - öffentlicher Schlüssel des WireGuard-Servers (wird für die Konfiguration der Client-Seite benötigt)

[Interface]
PrivateKey = # private key of WireGuard server 
ListenPort = # port that WireGuard will listen to 
Address = # desired IP address of WireGuard server

Konfigurieren Sie die Netzwerkschnittstellen-Einstellungen für den WireGuard-Server. Im Tunnel-Editor-Fenster (unterhalb des Konfigurationstextfelds) können Sie optional aktivieren:

– Block untunneled traffic (kill-switch) — verhindert, dass Datenverkehr den VPN-Tunnel umgeht
– Pre-shared key — eine zusätzliche Sicherheitsebene (optional)

Diese Einstellungen sind optional, werden jedoch für erhöhte Sicherheit empfohlen.

3) Fügen Sie einen weiteren leeren Tunnel hinzu (wir werden die Client-Seite konfigurieren): Tunnel hinzufügen → Leeren Tunnel hinzufügen
Wir registrieren die Einstellungen:
Name - der Name der Netzwerkverbindung
Öffentlicher Schlüssel - der öffentliche Schlüssel des WireGuard-Clients (wird für die Konfiguration der Server-Seite benötigt)

[Interface]
PrivateKey = # WireGuard client private key
Address = # desired IP address of WireGuard client
[Peer]
PublicKey = # public key of the WireGuard server (from step 2)
AllowedIPs = # specify the IP addresses for which you want to use the created WG tunnel (specifying the subnet 0.0.0.0/0 will allow you to route all traffic to the WG tunnel)
Endpoint = # Server IP address (real, not WireGuard) and port that WireGuard server listens on (configured in step 2)

4) Nun müssen wir unseren Client zum WireGuard-Server-Teil hinzufügen, dazu gehen wir zurück zu Schritt 2 und fügen seine Konfiguration hinzu:

...
[Peer]
PublicKey = #WireGuard client public key (from step 3)
AllowedIPs = #IP user address

5) Konfigurieren wir die Windows-Firewall für WireGuard. Dafür:

Erstellen Sie eine neue eingehende Regel:
- Öffnen Sie "Windows Defender Firewall mit erweiterter Sicherheit."
- Wählen Sie im linken Bereich "Eingehende Regeln" aus.
- Klicken Sie auf "Neue Regel...".
Geben Sie das Protokoll (UDP) und die Ports an (z. B. 51820):
- Wählen Sie im Fenster "Assistent für neue eingehende Regel" die Option "Port" und klicken Sie auf "Weiter."
- Wählen Sie im Abschnitt "Protokoll und Ports" den Protokolltyp aus:
  - Wählen Sie "UDP."
- Geben Sie die spezifischen lokalen Ports an:
  - Zum Beispiel ist der Standardport für WireGuard 51820.
  - Wenn mehrere Ports verwendet werden, listen Sie sie durch Kommas getrennt auf (z. B. 51820, 51821).
- Klicken Sie auf "Weiter."
Verbindung zulassen:
- Wählen Sie im Abschnitt "Aktion" die Option "Verbindung zulassen."
- Klicken Sie auf "Weiter."
Regel speichern:
- Geben Sie die Profile an, auf die die Regel angewendet werden soll:
  - Domäne;
  - Privat;
  - Öffentlich.
- Klicken Sie auf "Weiter."
- Geben Sie einen aussagekräftigen Namen für die neue Regel ein, z. B. "WireGuard UDP 51820."
- Klicken Sie auf "Fertig stellen."

Nun ist Ihre Firewall so konfiguriert, dass sie den Datenverkehr über die angegebenen WireGuard-Ports zulässt.

6) Nun reicht es, die Konfigurationsdateien zu exportieren Alle Tunnel in zip exportieren→Speicherort für den Export angeben→Speichern

Öffnen Sie nun das gespeicherte Archiv, in dem sich die Konfigurationen aller Tunnel befinden.
Geben Sie dem Client seine Konfigurationsdatei.
7) Wählen Sie auf dem Server die Serverkonfiguration aus und starten Sie das Programm.

8) Auf dem Client fügen Sie die Konfigurationsdatei zum WireGuard hinzu: Tunnel hinzufügen→Client-Konfigurationsdatei auswählen->Öffnen

Client-Konfiguration auswählen und ausführen

Damit ist die Konfiguration des ersten Clients abgeschlossen. Die anderen Clients werden auf ähnliche Weise konfiguriert, indem ihre Daten zur Serverkonfiguration hinzugefügt werden (Schritt 4).

Überprüfung der Verbindung

Nach der Aktivierung des Tunnels zeigt Windows möglicherweise den Status des WireGuard-Netzwerkadapters im Netzwerk- und Freigabecenter als „Kein Netzwerkzugriff" oder „Kein Internetzugriff" an. Dies ist ein normales und erwartetes Verhalten — Windows erkennt VPN-Tunneladapter nicht als Standard-Internetverbindungen. Dieser Status beeinträchtigt die Funktionalität des Tunnels nicht.

So bestätigen Sie, dass der WireGuard-Tunnel korrekt funktioniert:

1) Überprüfen Sie den Verbindungsstatus im WireGuard-Client. Ein aktiver Tunnel sollte den Status „Aktiv" mit Datenübertragungszählern anzeigen. Wenn die Paketzähler steigen, funktioniert der Tunnel.

2) Öffnen Sie die Eingabeaufforderung (cmd) und pingen Sie die interne IP-Adresse des WireGuard-Servers an:

ping 10.0.0.1

Ersetzen Sie 10.0.0.1 durch die tatsächliche WireGuard-Server-IP, die in Schritt 2 konfiguriert wurde. Wenn Sie Antworten erhalten, funktioniert der Tunnel korrekt.

3) Wenn Sie AllowedIPs = 0.0.0.0/0 konfiguriert haben (gesamter Datenverkehr wird durch den Tunnel geleitet), können Sie das Routing überprüfen mit:

tracert 8.8.8.8

Der erste Hop sollte die IP-Adresse Ihres WireGuard-Servers sein.

AllowedIPs verstehen

Der Parameter AllowedIPs in der Client-Konfiguration (Schritt 3) bestimmt, welcher Datenverkehr durch den WireGuard-Tunnel geleitet wird.

AllowedIPs = 0.0.0.0/0 — leitet den gesamten Datenverkehr durch den Tunnel. Alle Verbindungen, einschließlich des Internetsurfens, werden über das VPN geleitet. Verwenden Sie diese Option für vollständigen Datenverkehrsschutz.

AllowedIPs = 10.0.0.0/24 — leitet nur den internen Netzwerkverkehr durch den Tunnel. Der reguläre Internetverkehr umgeht das VPN und nutzt die Standardverbindung. Verwenden Sie diese Option für den Zugriff auf bestimmte Netzwerkressourcen.

Sie können auch mehrere Subnetze durch Kommas getrennt angeben, zum Beispiel: AllowedIPs = 10.0.0.0/24, 192.168.1.0/24

Fehlerbehebung

Der Tunnel ist aktiv, aber es besteht keine Verbindung zum Server

– Überprüfen Sie, ob der WireGuard-Port (z. B. 51820) in der Firewall sowohl auf der Server- als auch auf der Client-Seite geöffnet ist.
– Stellen Sie sicher, dass die öffentlichen Schlüssel korrekt zwischen den Server- und Client-Konfigurationen kopiert wurden.
– Bestätigen Sie, dass der Endpoint in der Client-Konfiguration auf die echte IP-Adresse des Servers verweist, nicht auf die WireGuard-Tunnel-IP.

DNS funktioniert nach der Verbindung nicht

Fügen Sie einen DNS-Server zur Client-Konfiguration hinzu:

[Interface]
PrivateKey = ...
Address = ...
DNS = 8.8.8.8, 8.8.4.4

Paketzähler steigen nicht an

Dies bedeutet, dass der Tunnel keine Daten überträgt. Überprüfen Sie Folgendes:

– AllowedIPs ist auf beiden Seiten (Server und Client) korrekt konfiguriert.
– Die WireGuard-IP-Adressen stehen nicht im Konflikt mit dem vorhandenen lokalen Netzwerk.
– Der ListenPort wird nicht von einer anderen Anwendung belegt.

Automatischer Start von WireGuard nach einem Server-Neustart.

1) Fügen Sie die Startdatei zum Windows Scheduler Autorun hinzu: Start→taskschd.msc

Klicken Sie auf "Einfache Aufgabe erstellen" → Geben Sie einen Namen für die Aufgabe ein (z.B. wireguard) → Weiter

Wählen Sie "Beim Start des Computers"→ Weiter

Wählen Sie "Programm starten"→ Weiter

Wählen Sie im Feld "Programm oder Skript" die Datei aus, die WireGuard ausführen soll (Standard ist "C:\Programme\WireGuard\wireguard.exe")
Fügen Sie Argumente hinzu:

/installtunnelservice "C:\Program Files\WireGuard\wg_server.conf"

wo:

C:\Programme\WireGuard\wg_server.conf - Speicherort der Konfigurationsdatei *.conf