WireGuard VPN installieren: Eigenes VPN mit wg-easy in 5 Minuten 2026

NordVPN, Surfshark, ExpressVPN - alle versprechen "No Logs". Aber wer kontrolliert das? Niemand.

Die Rechnung: Kommerzielle VPNs kosten 3-12€/Monat. Ein VPS (Virtual Private Server - dein eigener Server in der Cloud) kostet ab 4€/Monat - mit voller Kontrolle über Logging, unbegrenzte Geräte, und ohne fragwürdige Versprechen. WireGuard braucht nur minimale Ressourcen, der kleinste Server reicht.

Warum ein eigenes VPN?

Ein Self-Hosted VPN ist perfekt für: Sicherer Zugang zu deinem Heimnetzwerk, verschlüsseltes Surfen in öffentlichen WLANs, und Zugriff auf Self-Hosted Services wie Immich oder Paperless.

Voraussetzungen

Du brauchst:

• Einen VPS mit Root-Zugang – der kleinste Plan reicht. Achte auf Traffic-Limits! VPS-Angebote vergleichen →
• Ubuntu 22.04 oder 24.04
• Docker installiert

VPS-Empfehlung: Achte auf Traffic-Limits! Für VPN brauchst du unbegrenzten oder hohen Traffic.

Hetzner bietet 20 TB Traffic, Netcup und IONOS unbegrenzten Traffic - wichtig für VPN-Nutzung.

Schritt 1: Docker installieren (falls nötig)

Falls Docker noch nicht installiert ist:

curl -fsSL https://get.docker.com | sh
sudo usermod -aG docker $USER
# Neu einloggen oder: newgrp docker

Schritt 2: wg-easy installieren

wg-easy ist WireGuard mit Web-Interface - perfekt für einfaches Client-Management:

docker run -d \
  --name wg-easy \
  --restart unless-stopped \
  -e WG_HOST=DEINE-SERVER-IP \
  -e PASSWORD=dein-sicheres-passwort \
  -e WG_DEFAULT_DNS=1.1.1.1 \
  -v ~/.wg-easy:/etc/wireguard \
  -p 51820:51820/udp \
  -p 51821:51821/tcp \
  --cap-add NET_ADMIN \
  --cap-add SYS_MODULE \
  --sysctl net.ipv4.ip_forward=1 \
  --sysctl net.ipv4.conf.all.src_valid_mark=1 \
  ghcr.io/wg-easy/wg-easy

Wichtig:

• Ersetze DEINE-SERVER-IP mit der öffentlichen IP deines VPS
• Ersetze PASSWORD mit einem sicheren Passwort für die Web-UI
• Port 51820/UDP ist der WireGuard-Port - muss in der Firewall offen sein
• Port 51821/TCP ist die Web-UI

Schritt 3: Firewall konfigurieren

Öffne die benötigten Ports:

sudo ufw allow 51820/udp  # WireGuard
sudo ufw allow 51821/tcp  # Web-UI (optional: nur von bestimmten IPs)
sudo ufw enable

Tipp: Für mehr Sicherheit: Erlaube Port 51821 nur von deiner IP: sudo ufw allow from DEINE-IP to any port 51821

Schritt 4: Web-Interface öffnen

Öffne http://DEINE-SERVER-IP:51821 im Browser:

1. Mit dem Passwort aus Schritt 2 einloggen
2. Du siehst ein leeres Dashboard - noch keine Clients konfiguriert

Schritt 5: Ersten Client erstellen

Klicke auf "New Client" und vergib einen Namen (z.B. "iPhone", "Laptop", etc.):

1. Name eingeben (z.B. "Handy")
2. Client wird erstellt - du siehst einen QR-Code
3. Dieser QR-Code enthält die komplette Konfiguration

Schritt 6: Mobile Client einrichten (iOS/Android)

Die einfachste Methode - QR-Code scannen:

1. WireGuard App aus App Store / Play Store installieren
2. App öffnen → "+" → "QR-Code scannen"
3. QR-Code aus dem wg-easy Dashboard scannen
4. Tunnel aktivieren - fertig!

Tipp: Aktiviere "On Demand" für automatische VPN-Verbindung bei unbekannten WLANs.

Schritt 7: Desktop Client einrichten

Windows/macOS

1. WireGuard von wireguard.com/install herunterladen
2. In wg-easy: Client → Download-Icon klicken (.conf Datei)
3. WireGuard App öffnen → Import tunnel from file
4. Verbinden

Linux

# wg-quick ist bei modernen Distros vorinstalliert
# Config-Datei nach /etc/wireguard/wg0.conf kopieren

sudo wg-quick up wg0

# Für Auto-Start:
sudo systemctl enable wg-quick@wg0

Schritt 8: Verbindung testen

Prüfe ob das VPN funktioniert:

curl ifconfig.me
# Sollte die IP deines VPS zeigen, nicht deine Heim-IP!

Tipp: Websites wie whatismyip.com oder ipleak.net zeigen dir auch DNS-Leaks an.

Optional: Pi-hole als DNS (Werbeblocker)

Kombiniere WireGuard mit Pi-hole für Werbeblocker im VPN:

# Bei docker run ändern:
-e WG_DEFAULT_DNS=10.8.0.1  # Pi-hole im WireGuard-Netzwerk

# Oder externe DNS:
-e WG_DEFAULT_DNS=1.1.1.1,8.8.8.8

Häufige Probleme

Client verbindet nicht

• Port 51820/UDP in Firewall offen?
• WG_HOST ist die öffentliche IP (nicht localhost)?
• Provider blockt UDP? (selten, aber möglich)

Verbunden, aber kein Internet

• IP-Forwarding aktiv? cat /proc/sys/net/ipv4/ip_forward sollte 1 sein
• NAT-Regel fehlt (wg-easy macht das automatisch)
• DNS-Problem: Anderen DNS in Client-Config probieren

Langsame Geschwindigkeit

• VPS-Bandbreite zu gering?
• MTU anpassen: In Config MTU = 1280 setzen

Web-UI nicht erreichbar

• Port 51821/TCP in Firewall offen?
• Container läuft? docker ps
• Logs prüfen: docker logs wg-easy

Advanced: Split-Tunneling & Multi-Server

Split-Tunneling

Nur bestimmten Traffic durch VPN leiten: In AllowedIPs nur bestimmte IPs/Netze statt 0.0.0.0/0 eintragen.

VPN für ganzes Heimnetzwerk

Router als WireGuard-Client: OpenWrt, pfSense, oder moderne FritzBox unterstützen WireGuard nativ.

Multi-Server Setup

Mehrere VPS-Standorte (z.B. DE + US): wg-easy auf jedem Server, unterschiedliche Ports/IPs in Clients konfigurieren.

Sicherheits-Tipps

• Web-UI nur über VPN erreichbar machen (Port 51821 in Firewall schließen nach Setup)
• Starkes Passwort für Web-UI (>20 Zeichen)
• SSH nur mit Key, kein Passwort
• Automatische Updates aktivieren: unattended-upgrades
• Fail2ban für SSH installieren

Fazit

Du hast jetzt dein eigenes VPN - schnell, sicher, und unter deiner Kontrolle.

Kosten im Vergleich: NordVPN kostet 72-144€/Jahr je nach Plan. Ein VPS mit WireGuard kostet ~48€/Jahr - und du kannst darauf noch Vaultwarden als Passwort-Manager, Immich für Fotos oder Ollama für KI-Chats laufen lassen.

Weitere Self-Hosting Guides

Vaultwarden Setup

Bitwarden auf eigenem Server

Lesen

Immich Self-Hosting Guide

Google Photos Alternative

Lesen

n8n Self-Hosting Guide

Docker Setup Schritt für Schritt

Lesen