Alle Systeme betriebsbereit Amsterdam · Paris · Reykjavík +5 Zahlen mit Kryptowährung
Netzwerk & Self-HostingFortgeschritten10 Min. LesezeitAktualisiert: 2026-07-14

So richten Sie ein WireGuard-VPN auf einem VPS ein

Richten Sie ein WireGuard-VPN auf einem VPS in etwa zehn Minuten ein: Paket installieren, Schlüssel generieren, wg0.conf schreiben, UDP 51820 öffnen und Client verbinden. Schritt für Schritt auf einem no-KYC, krypto-bezahlten Server.

So richten Sie ein WireGuard-VPN auf einem VPS ein
Auf dieser Seite
  1. Warum WireGuard selbst hosten statt ein kommerzielles VPN zu kaufen
  2. Welchen Tarif Sie für ein persönliches VPN wählen sollten
  3. Schritt 1 — WireGuard installieren
  4. Schritt 2 — Server- und Client-Schlüssel generieren
  5. Schritt 3 — /etc/wireguard/wg0.conf schreiben
  6. Schritt 4 — IP-Weiterleitung aktivieren und Firewall öffnen
  7. Schritt 5 — Tunnel starten und beim Booten aktivieren
  8. Schritt 6 — Ihr Client-Gerät konfigurieren
  9. Härtungstipps
  10. VPS vs. kommerzielles VPN — wann Self-Hosting sinnvoll ist
  11. Häufige Fragen

WireGuard ist der schnellste und schlankste Weg, ein eigenes VPN zu betreiben. Es läuft im Linux-Kernel, nutzt moderne Kryptografie, und ein funktionierender Tunnel besteht lediglich aus einer kurzen Konfigurationsdatei auf jeder Seite. Wenn Sie es selbst auf einem VPS hosten, kontrollieren Sie den Ausgangspunkt von Anfang bis Ende: Es gibt keinen gemeinsam genutzten kommerziellen Server, der Ihren Datenverkehr protokolliert, und die einzige Partei, die Ihre echte IP-Adresse sieht, ist der von Ihnen gewählte Anbieter.

Diese Anleitung führt Sie in etwa zehn Minuten durch einen vollständigen Server mit realen Befehlen, die Sie kopieren können. Wir setzen einen frischen Debian- oder Ubuntu-LTS-Server mit Root-Zugang voraus. Wenn Sie noch keinen eingerichtet haben, passt ein no-KYC-VPS, der mit Krypto bezahlt wird, hervorragend zu einem selbst gehosteten VPN — unser Einstiegstarif ist mehr als ausreichend. Am Ende haben Sie einen Tunnel, der bei jedem Neustart wieder aktiv wird, sowie eine Client-Konfiguration, die Sie als QR-Code auf Ihrem Smartphone einscannen können.

Warum WireGuard selbst hosten statt ein kommerzielles VPN zu kaufen

Ein kommerzielles VPN bietet Komfort und eine große Auswahl an Ausgangs-IPs, aber Sie vertrauen dabei einem Dritten, dass er keine Protokolle führt und seine Datenschutzerklärung ernst meint. Ein selbst gehosteter WireGuard-Endpunkt kehrt das um: Sie besitzen den Server, Sie schreiben die Konfiguration, und Sie entscheiden, ob überhaupt etwas protokolliert wird. Es gibt keine gemeinsam genutzte Ausgangsadresse mit Tausenden von Fremden, was auch bedeutet, dass Sie nicht für deren Missbrauchshistorie haften.

Der Kompromiss ist ehrlich: Der VPS-Anbieter kann weiterhin sehen, dass eine IP existiert und Datenverkehr leitet. Self-Hosting verlagert also das Vertrauen von einer VPN-Marke auf Ihren Anbieter. Genau deshalb lohnt es sich, es auf einem Offshore-no-KYC-VPS in einer datenschutzfreundlichen Rechtsprechung zu betreiben, bezahlt ohne Weitergabe Ihrer Identität. Deshalb sagen wir auch privat, nicht anonym: Ein selbst gehosteter Tunnel verbessert Ihre Datenschutzsituation, ist aber keine Garantie für Anonymität. Einen umfassenderen Überblick finden Sie in unserer Darstellung zum Betrieb eines VPS als VPN.

Welchen Tarif Sie für ein persönliches VPN wählen sollten

WireGuard ist bemerkenswert ressourcenschonend. Ein einzelner CPU-Kern und 1 GB RAM sind ausreichend, um die meisten Heimverbindungen auszulasten, und die Verschlüsselung findet im Kernel statt, nicht in einem ressourcenintensiven Userspace-Daemon. Für eine Person oder ein paar Geräte ist der Pup-Tarif (1 vCPU, 1 GB RAM, 25 GB NVMe) völlig ausreichend, und wie jeder Tarif kommt er mit unbegrenztem Datenvolumen, sodass ein VPN kein Datenkontingent aufbraucht.

Wechseln Sie nur dann zu einem höheren Tarif, wenn Sie mehr Last hinzufügen. Einige Familienmitglieder im selben Tunnel kommen mit Pup oder Cub aus; wenn Sie andere Dienste mithosten, einige Container betreiben oder mehrere gleichzeitige ressourcenintensive Streams verwalten möchten, wechseln Sie zu Scout oder Runner für die zusätzlichen Kerne und den zusätzlichen RAM. Der Standort ist für ein VPN genauso wichtig wie die Größe: Wählen Sie nach Latenz und Rechtsprechung, was wir weiter unten behandeln. Sie können in Monero oder jeder unterstützten Kryptowährung zahlen, und ein Server ist in etwa sechzig Sekunden ohne Einrichtungsgebühr einsatzbereit.

Schritt 1 — WireGuard installieren

WireGuard ist im Kernel moderner Linux-Versionen enthalten, daher ist lediglich das Userspace-Tooling zu installieren. Auf Debian oder Ubuntu LTS aktualisieren Sie den Paketindex und installieren das Paket als Root:

apt update && apt install -y wireguard

Damit werden wg und wg-quick installiert, die beiden Befehle, mit denen Sie den Tunnel verwalten werden. Auf AlmaLinux, Rocky oder Fedora lautet der entsprechende Befehl dnf install -y wireguard-tools. Überprüfen Sie die Installation mit wg --version, bevor Sie fortfahren.

Schritt 2 — Server- und Client-Schlüssel generieren

WireGuard authentifiziert Peers mit Curve25519-Schlüsselpaaren, nicht mit Passwörtern. Sichern Sie zunächst das Verzeichnis, dann generieren Sie ein Schlüsselpaar für den Server und eines für jedes Client-Gerät. Als Root ausführen:

umask 077; cd /etc/wireguard

wg genkey | tee server_private.key | wg pubkey > server_public.key

wg genkey | tee client_private.key | wg pubkey > client_public.key

Sie haben jetzt vier Dateien. Die beiden öffentlichen Schlüssel werden zwischen den Peers ausgetauscht; die beiden privaten Schlüssel verlassen niemals die Maschine, zu der sie gehören. Geben Sie sie mit cat server_private.key usw. aus, wenn Sie die Konfiguration im nächsten Schritt ausfüllen. Generieren Sie pro Gerät ein neues Client-Schlüsselpaar, anstatt dasselbe für Telefon und Laptop zu verwenden.

Schritt 3 — /etc/wireguard/wg0.conf schreiben

Erstellen Sie die Server-Interface-Konfiguration unter /etc/wireguard/wg0.conf. Diese definiert das Tunnel-Subnetz (hier 10.0.0.0/24), den Listen-Port und eine NAT-Regel, damit der Client-Datenverkehr über das öffentliche Interface des Servers maskiert wird. Ersetzen Sie SERVER_PRIVATE_KEY und CLIENT_PUBLIC_KEY durch die Werte aus Schritt 2, und ermitteln Sie Ihren öffentlichen NIC-Namen mit ip route get 1.1.1.1 (häufig eth0 oder ens3):

[Interface]
Address = 10.0.0.1/24
ListenPort = 51820
PrivateKey = SERVER_PRIVATE_KEY
PostUp = iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

[Peer]
PublicKey = CLIENT_PUBLIC_KEY
AllowedIPs = 10.0.0.2/32

Der Server ist 10.0.0.1; der erste Client wird 10.0.0.2 sein. Jedes weitere Gerät erhält seinen eigenen [Peer]-Block und die nächste Adresse im Bereich.

Schritt 4 — IP-Weiterleitung aktivieren und Firewall öffnen

Damit der Server den Client-Datenverkehr ins Internet weiterleiten kann, muss der Kernel Pakete weiterleiten. Aktivieren Sie dies dauerhaft und wenden Sie es sofort an:

echo 'net.ipv4.ip_forward=1' >> /etc/sysctl.conf && sysctl -p

Öffnen Sie dann den WireGuard-Port. WireGuard lauscht standardmäßig auf UDP 51820. Bei Verwendung von UFW:

ufw allow 51820/udp && ufw allow OpenSSH

Erlauben Sie immer gleichzeitig Ihren SSH-Port, damit Sie sich nicht selbst aussperren, wenn Sie die Firewall aktivieren. Jeder VPSCrypto-VPS wird mit einer dedizierten sauberen IPv4 und einem IPv6 /64 ausgeliefert, sodass diese einzige UDP-Regel die gesamte eingehende Exposition Ihres VPN darstellt.

Schritt 5 — Tunnel starten und beim Booten aktivieren

Starten Sie das Interface mit dem Helfer, der Ihre Konfiguration liest, und aktivieren Sie dann die systemd-Unit, damit der Tunnel Neustarts übersteht:

wg-quick up wg0

systemctl enable wg-quick@wg0

Bestätigen Sie, dass das Interface aktiv ist und lauscht, mit wg show, das das Interface, seinen öffentlichen Schlüssel und den Listening-Port anzeigt. An diesem Punkt ist die Serverseite fertig; es bleibt nur noch, einen Client darauf zu verweisen. Wenn Sie wg0.conf später ändern, wenden Sie die Änderungen sauber an mit wg-quick down wg0 && wg-quick up wg0.

Schritt 6 — Ihr Client-Gerät konfigurieren

Installieren Sie auf Ihrem Laptop oder Smartphone die offizielle WireGuard-App oder das Paket und erstellen Sie einen Tunnel aus dieser Konfiguration. Verwenden Sie den Client-Private-Key aus Schritt 2 und den öffentlichen Schlüssel des Servers. Der Client-Endpoint ist einfach die öffentliche IP Ihres Servers gefolgt vom WireGuard-UDP-Port, zum Beispiel 203.0.113.10:51820:

[Interface]
PrivateKey = CLIENT_PRIVATE_KEY
Address = 10.0.0.2/32
DNS = 1.1.1.1

[Peer]
PublicKey = SERVER_PUBLIC_KEY
Endpoint = 203.0.113.10:51820
AllowedIPs = 0.0.0.0/0, ::/0
PersistentKeepalive = 25

Wenn Sie AllowedIPs auf 0.0.0.0/0, ::/0 setzen, wird der gesamte Datenverkehr durch den Tunnel geleitet. Auf Mobilgeräten generieren Sie einen QR-Code aus dieser Datei mit qrencode -t ansiutf8 < client.conf auf dem Server und scannen ihn in der App. Aktivieren Sie den Tunnel und prüfen Sie Ihre sichtbare IP — sie sollte jetzt die des Servers sein. Die Zeile PersistentKeepalive hält die Verbindung hinter NAT aufrecht.

Härtungstipps

Ein funktionierender Tunnel ist der Anfang, nicht das Ende. Rotieren Sie Schlüssel regelmäßig, indem Sie ein Client-Schlüsselpaar neu generieren und den öffentlichen Schlüssel im [Peer]-Block des Servers austauschen. Verwenden Sie ein separates Schlüsselpaar pro Gerät, damit Sie eines widerrufen können, ohne die anderen zu beeinträchtigen — zum Widerrufen löschen Sie einfach den Block des Peers und wenden die Konfiguration erneut an.

  • Protokollierung deaktivieren, die Sie nicht benötigen. WireGuard selbst ist standardmäßig ruhig; überprüfen Sie Ihre SSH- und Systemprotokolle und kürzen Sie die Aufbewahrungsdauer, wenn ein minimaler Fußabdruck für Sie wichtig ist.
  • SSH absichern mit Nur-Schlüssel-Authentifizierung und erwägen Sie, es vom Port 22 zu verschieben; lassen Sie diesen Port in UFW offen, bevor Sie die Firewall aktivieren.
  • Wählen Sie die Rechtsprechung bewusst. Der Serverstandort ist jetzt die Datenschutzhaltung Ihres VPN. Die Schweiz unter dem FADP und Island mit seiner Pressefreiheitstradition sind starke Optionen; die Niederlande und Frankreich tauschen etwas davon gegen geringere EU-Latenz.

Für laufende Betrieb und Verwaltung von Zugangsdaten deckt unsere Dokumentation Reverse-DNS, IPv6 und Panel-Funktionen im Detail ab.

VPS vs. kommerzielles VPN — wann Self-Hosting sinnvoll ist

Self-Hosting gewinnt, wenn Sie eine dedizierte IP, vollständige Kontrolle über die Protokollierung und einen Tunnel wünschen, den kein Anbieter an Tausende von Benutzern vermarktet. Es ist ideal für den Zugriff auf eigene Dienste, für eine stabile Adresse für Allowlists oder schlicht weil Sie dem No-Logs-Versprechen eines VPN-Unternehmens nicht vertrauen. Der Nachteil ist, dass Sie es selbst warten müssen, und eine einzelne selbst gehostete Ausgangs-IP ist nicht dafür ausgelegt, in einer Menge aufzugehen, wie es der gemeinsame Pool eines kommerziellen VPN tut.

Kommerzielle VPNs gewinnen bei Komfort, Länderwechsel und der Plausible-Deniability durch geteilte IPs. Für die meisten datenschutzbewussten Nutzer, die einen vertrauenswürdigen Endpunkt wünschen, den sie wirklich besitzen, ist ein kleiner VPS mit WireGuard die bessere Lösung — und die Bezahlung über einen Krypto-, no-KYC-Checkout macht das Setup von Anfang bis Ende konsistent. Wenn Sie den Ansatz noch abwägen, vergleicht unser VPS-für-VPN-Überblick beide Optionen ausführlicher.

Häufige Fragen

Wie viel VPS-Leistung benötige ich für ein persönliches WireGuard-VPN?

Sehr wenig. WireGuard läuft im Kernel und beansprucht wenig CPU und Arbeitsspeicher, sodass unser Pup-Tarif (1 vCPU, 1 GB RAM, 25 GB NVMe) mit unbegrenztem Datenvolumen ein persönliches VPN problemlos verwaltet. Wechseln Sie nur zu Scout oder Runner, wenn Sie mehrere Benutzer hinzufügen oder andere Dienste mithosten möchten.

Welchen Port verwendet WireGuard?

Standardmäßig lauscht es auf UDP 51820. Öffnen Sie es in Ihrer Firewall mit ufw allow 51820/udp, und Sie sind fertig. Sie können ListenPort in wg0.conf ändern, wenn Sie einen anderen Port bevorzugen, aber denken Sie daran, die entsprechende Regel zu öffnen und den Endpoint des Clients zu aktualisieren.

Ist ein selbst gehostetes WireGuard-VPN privater als ein kommerzielles VPN?

Es kann sein, denn Sie allein kontrollieren den Endpunkt und ob überhaupt etwas protokolliert wird — es gibt keinen gemeinsamen Ausgang und kein No-Logs-Versprechen eines Anbieters, das Sie auf Treu und Glauben akzeptieren müssen. Der Kompromiss ist, dass Ihr VPS-Anbieter die IP sieht, sodass der Datenschutzgewinn davon abhängt, einen no-KYC-Anbieter in einer starken Rechtsprechung zu wählen und privat zu zahlen. Es ist eine echte Verbesserung, keine Garantie für Anonymität.

Kann ich WireGuard und andere Dienste auf demselben VPS betreiben?

Ja. WireGuard ist leichtgewichtig und koexistiert problemlos mit anderen Workloads. Für ein persönliches VPN plus eine kleine Website oder ein paar Container reichen Pup oder Cub aus; für schwerere Dienste neben dem Tunnel wechseln Sie zum Scout- oder Runner-Tarif für zusätzliche Kerne und RAM.

Welcher Standort ist am besten für einen VPN-VPS?

Wählen Sie nach Latenz und Rechtsprechung. Die Niederlande oder Frankreich bieten geringe EU-Latenz von einem gut vernetzten Hub aus; die Schweiz unter dem FADP und Islands Pressefreiheitstradition bieten eine stärkere Datenschutzhaltung gegen einen kleinen Aufpreis. Da Sie den Endpunkt kontrollieren, wird die Rechtsprechung des Servers faktisch die Ihres VPN.

Offshore-VPS in rund einer Minute bereitstellen

No-KYC, Krypto-Zahlung, komplett NVMe. Tarif wählen, mit Monero oder einem anderen großen Coin zahlen — Root in rund 60 Sekunden.

Fenrir auf Wache