#IT-Tutorials · 4 Min. Lesezeit · Tim Rinkel

WireGuard VPN-Server einrichten — moderner als OpenVPN

WireGuard VPN Server einrichten: Schnelles, modernes VPN für dein Heimnetzwerk. Bessere Performance und einfachere Konfiguration als OpenVPN.

WireGuard VPN-Server einrichten — moderner als OpenVPN

VPN-HAMMER im Homelab! WireGuard ist das neue Standard-VPN-Protokoll – und macht OpenVPN und IPsec FERTIG! Schneller, einfacher, sicherer – alles auf einmal!

Hier der Mega-Guide, wie du deinen eigenen WireGuard-Server in 10 Minuten aufsetzt!

Warum WireGuard statt OpenVPN — die Kurzversion

WireGuard wurde KOMPLETT NEU entwickelt und überzeugt mit:

  • EINFACHHEIT: Nur ~4.000 Zeilen Code (OpenVPN hat ~100.000+)! Weniger Code = weniger Angriffsfläche!
  • GESCHWINDIGKEIT: Deutlich höherer Durchsatz, niedrigere Latenz!
  • MODERNE KRYPTO: ChaCha20, Curve25519, BLAKE2 – State-of-the-Art!
  • Im Linux-Kernel integriert: Ab Kernel 5.6 direkt dabeikein Modul nötig!
  • Einfache Konfiguration: Schlüsselpaar-System wie SSH!

Voraussetzungen — was du brauchst

  • Linux-Server mit öffentlicher IP (VPS oder Heimserver mit Port-Forwarding)!
  • Offener UDP-Port (Standard: 51820)!
  • Linux-Kernel 5.6+ (auf modernen Systemen Standard)!

Schritt 1: WireGuard installieren

Auf Debian/Ubuntu:

sudo apt update && sudo apt install wireguard -y

Schritt 2: Schlüssel generieren

# Server-Schlüsselpaar
wg genkey | tee /etc/wireguard/server_private.key | \
  wg pubkey > /etc/wireguard/server_public.key

# Client-Schlüsselpaar
wg genkey | tee /etc/wireguard/client1_private.key | \
  wg pubkey > /etc/wireguard/client1_public.key

# Schlüssel anzeigen
cat /etc/wireguard/server_private.key
cat /etc/wireguard/server_public.key
cat /etc/wireguard/client1_private.key
cat /etc/wireguard/client1_public.key

Alle vier Werte AUFSCHREIBEN – brauchst du für die Configs!

Schritt 3: Server konfigurieren

Erstelle /etc/wireguard/wg0.conf:

INI 
[Interface]
Address = 10.0.0.1/24
ListenPort = 51820
PrivateKey = SERVER_PRIVATE_KEY_HIER

# IP-Forwarding aktivieren
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

[Peer]
# Client 1
PublicKey = CLIENT1_PUBLIC_KEY_HIER
AllowedIPs = 10.0.0.2/32

Ersetze eth0 durch dein tatsächliches Interface! Check mit ip route get 1.1.1.1!

Schritt 4: IP-Forwarding aktivieren

echo "net.ipv4.ip_forward = 1" | sudo tee -a /etc/sysctl.conf
sudo sysctl -p

Schritt 5: WireGuard starten und testen

# Starten
sudo systemctl enable wg-quick@wg0
sudo systemctl start wg-quick@wg0

# Status prüfen
sudo wg show

LÄUFT? WUNDERBAR! Jetzt kommt der Client!

Schritt 6: Client konfigurieren

Erstelle auf dem Client wg0.conf:

INI 
[Interface]
PrivateKey = CLIENT1_PRIVATE_KEY_HIER
Address = 10.0.0.2/24
DNS = 1.1.1.1

[Peer]
PublicKey = SERVER_PUBLIC_KEY_HIER
Endpoint = DEINE_SERVER_IP:51820
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 25

AllowedIPs: 0.0.0.0/0 leitet ALLEN Traffic durch VPN! Für Split-Tunneling (nur Heimnetz) nutze 10.0.0.0/24!

Schritt 7: Client verbinden

Linux:

sudo wg-quick up wg0

Windows/macOS: Config in die offizielle WireGuard-App importieren (wireguard.com)!

iOS/Android: QR-Code auf Server generieren:

sudo apt install qrencode
qrencode -t ansiutf8 < /etc/wireguard/client1.conf

Scannen – FERTIG!

Performance-Tipps für den produktiven Einsatz

Für maximum Speed:

  • MTU anpassen: MTU = 1420 im Client (manchmal hilft’s bei flakeligen Verbindungen)!
  • Keepalive niedriger setzen: PersistentKeepalive = 15 bei instabilen Verbindungen!
  • DNS-Server eigen setzen: Pi-hole-IP statt 1.1.1.1!

Härtung — so wird dein VPN robust

Die 5 goldenen Regeln:

  1. Firewall-Regel: Nur UDP 51820 offen, alle anderen Ports dicht!
  2. Fail2Ban: Brute-Force-Versuche blockieren!
  3. Regelmäßige Key-Rotation alle 6 Monate!
  4. Multi-Client-Management mit Tools wie wg-easy (Web-GUI)!
  5. Logging aktivieren – wer verbindet wann?

Bonus: wg-easy als komfortabler Web-Manager

Wer mehrere Clients verwaltet, sollte wg-easy einsetzen:

docker run -d \
  --name=wg-easy \
  -e WG_HOST=<deine-domain.de> \
  -e PASSWORD=<dein-admin-passwort> \
  -p 51820:51820/udp \
  -p 51821:51821/tcp \
  --cap-add=NET_ADMIN \
  --cap-add=SYS_MODULE \
  --sysctl="net.ipv4.conf.all.src_valid_mark=1" \
  --sysctl="net.ipv4.ip_forward=1" \
  --restart unless-stopped \
  ghcr.io/wg-easy/wg-easy

ZACK, hübsche Web-GUI unter http://server-ip:51821!

Fazit — und welche Erweiterungen sich lohnen

Klare Ansage: WireGuard ist DIE Zukunft im VPN-Bereich! Schneller, sicherer, einfacherkeine Ausrede mehr!

Mein Tipp: HEUTE auf deinem VPS oder Pi installieren, morgen alle Handys einrichten, übermorgen Pi-hole integrieren!

Auf Lapalutschi.de kommt bald der wg-easy-Hardening-Guide – mit Authelia und Traefik! Bleib dran!

Verwandte Tutorials auf Lapalutschi.de

Mehr als ein Standort? Wer mehrere Heimlabs oder das Ferienhaus mit dem Heim-Server verbinden will, springt in den Spoke WireGuard Multi-Site — mit Tailscale, Headscale oder reinem WireGuard im Mesh.

Ein VPN gehört zum Homelab dazu: Wer den Komplett-Plan sucht, in den WireGuard sich einbettet, landet im Homelab-Anfänger-Komplettguide richtig.

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert