Betriebsbereit Anmelden
Startseite VPS Dediziert RDP GPU Domains .com $4.99 Serverstatus
English Русский 简体中文 Español Français Deutsch Português العربية 日本語 한국어 हिन्दी Bahasa Indonesia Italiano Türkçe
Anmelden
Startseite / Datenschutz-Hosting-Leitfäden / WireGuard VPN auf einem VPS einrichten — Schritt-für-Schritt-Anleitung
Betrieb

WireGuard VPN auf einem VPS einrichten

Eine vollständige Anleitung zum Betrieb eines eigenen WireGuard VPN auf einem VPS — warum Selbst-Hosting kommerziellen VPN-Diensten in Sachen Datenschutz überlegen ist, jeder Schritt von der Server-Installation bis zum verbundenen Gerät und die wesentlichen Härtungsmaßnahmen.

Anleitung lesen FAQ

Auf dieser Seite

Kein KYC
Nur Krypto
Keine Logs
DMCA ignoriert
Voller Root-Zugriff
NVMe SSD

Warum ein eigenes WireGuard VPN betreiben

Ein kommerzieller VPN-Anbieter verlangt, dass Sie einem Unternehmen vertrauen, das Sie nicht prüfen können. Sie bezahlen ihn, leiten Ihren gesamten Datenverkehr über seine Server und müssen glauben, dass er keine Protokolle führt. Ein selbst gehostetes VPN kehrt dieses Verhältnis um: Sie mieten einen Server, installieren das VPN selbst, und die einzige Partei, die Ihren Datenverkehr sieht, sind Sie selbst. Es gibt keinen Anbieter dazwischen, der ihn protokollieren, verkaufen oder auf behördlichen Druck herausgeben könnte.

WireGuard macht das praktikabel. Es ist ein modernes VPN-Protokoll — klein, schnell und einfach. Ein paar tausend Zeilen Code statt der Hunderttausenden älterer Lösungen, was die Überprüfung erleichtert und Fehlkonfigurationen nahezu ausschließt. Auf einem bescheidenen VPS sättigt es die Verbindung bei vernachlässigbarer CPU-Auslastung. In Kombination mit einem KYC-freien Offshore-VPS bietet ein selbst gehosteter WireGuard-Tunnel einen privaten Ausgangspunkt, der niemandem außer Ihnen gehört — und diese Anleitung zeigt, wie Sie ihn von Grund auf aufbauen.

WireGuard VPN auf einem VPS einrichten
WireGuard umfasst nur wenige tausend Zeilen Code — klein genug zum Prüfen, leicht genug, um einen VPS bei kaum messbarer CPU-Last auszulasten.

Was Sie benötigen

Die gesamte Einrichtung erfordert einen Server und etwa fünfzehn Minuten:

  • Einen VPS. Selbst der kleinste Tarif reicht aus — WireGuard ist extrem ressourcenschonend. Wählen Sie den Standort, von dem aus Ihr Datenverkehr erscheinen soll. Ein ServPrivacy VPS ab 7,50 $/Monat mit vollem Root-Zugriff ist mehr als ausreichend.
  • Eine frische Linux-Installation. Jedes aktuelle Debian oder Ubuntu eignet sich gut; die nachfolgenden Befehle setzen eines dieser Systeme voraus. Bei anderen Distributionen unterscheidet sich lediglich der Installationsschritt.
  • Root- oder sudo-Zugriff und ein paar Minuten an der Kommandozeile.

Sie benötigen weder eine Domain noch ein Kontrollpanel oder externe VPN-Software. WireGuard ist bereits im modernen Linux-Kernel enthalten.

Schritt 1 — WireGuard auf dem Server installieren

Verbinden Sie sich per SSH mit Ihrem VPS und installieren Sie die WireGuard-Tools. Auf Debian oder Ubuntu genügt ein einziger Befehl: apt update && apt install -y wireguard. Das Kernel-Modul ist auf jedem modernen Kernel bereits vorhanden; installiert werden nur die Userspace-Tools — wg und wg-quick — mit denen Sie Tunnel verwalten.

Das ist die gesamte Installation. Es gibt keinen separaten Daemon zu konfigurieren, kein Konto anzulegen und nichts zusätzlich zu pflegen, abgesehen von den normalen System-Updates.

Schritt 2 — Schlüssel generieren und Server-Konfiguration erstellen

WireGuard authentifiziert Peers mittels Public-Key-Kryptografie. Die erste Aufgabe besteht daher im Erstellen eines Schlüsselpaars für den Server: wg genkey | tee server_private.key | wg pubkey > server_public.key. Der private Schlüssel verbleibt auf dem Server und wird nie weitergegeben; der öffentliche Schlüssel wird jedem Client übergeben.

Erstellen Sie anschließend die Tunnel-Konfiguration unter /etc/wireguard/wg0.conf. Der Server-Abschnitt definiert den privaten Adressbereich des Tunnels, den Port, auf dem WireGuard lauscht (standardmäßig 51820), und den privaten Schlüssel des Servers. Jedes später hinzugefügte Gerät wird als [Peer]-Block eingetragen, der den öffentlichen Schlüssel des Clients sowie dessen Adresse im Tunnel enthält. Beschränken Sie den Zugriff auf die Datei auf Root — sie enthält den privaten Schlüssel des Servers.

Die Konfiguration ist bewusst kompakt. Eine funktionierende Server-Konfiguration umfasst deutlich weniger als zwanzig Zeilen — das ist ein wesentlicher Grund, warum WireGuard kaum gefährlich falsch konfiguriert werden kann.

Schritt 3 — Weiterleitung aktivieren und Port öffnen

Damit das VPN Ihren Datenverkehr ins Internet weiterleiten kann, muss der Server Pakete forwarden. Aktivieren Sie IP-Weiterleitung, indem Sie net.ipv4.ip_forward=1 in /etc/sysctl.conf eintragen und mit sysctl -p anwenden. Die Tunnel-Konfiguration benötigt außerdem eine Firewall-Regel, die ausgehenden Datenverkehr maskiert, sodass er mit der eigenen Server-Adresse erscheint — üblicherweise als PostUp-Zeile in wg0.conf, damit sie beim Tunnelstart automatisch greift.

Stellen Sie sicher, dass der WireGuard-Port erreichbar ist. Falls auf dem VPS eine Firewall läuft, erlauben Sie UDP auf dem gewählten Port (standardmäßig 51820). WireGuard verwendet ausschließlich UDP und antwortet — für den Datenschutz vorteilhaft — überhaupt nicht auf unaufgeforderte Pakete, sodass ein Port-Scan nicht einmal bestätigen kann, dass der Dienst aktiv ist.

Starten Sie den Tunnel mit wg-quick up wg0 und aktivieren Sie ihn beim Systemstart mit systemctl enable [redacted-user]@[redacted-host]. Die Server-Seite ist nun aktiv.

Schritt 4 — Client hinzufügen und verbinden

Jedes Gerät, das das VPN nutzen soll — ein Laptop, ein Smartphone — benötigt ein eigenes Schlüsselpaar und eine kleine Client-Konfiguration. Generieren Sie ein Schlüsselpaar für den Client wie für den Server, und erstellen Sie eine Client-Konfiguration mit dem privaten Schlüssel des Clients, seiner Tunnel-Adresse, dem öffentlichen Schlüssel des Servers, der öffentlichen IP und dem Port des Servers als Endpoint sowie AllowedIPs [redacted-ip]/0, damit der gesamte Datenverkehr durch den Tunnel geleitet wird.

Fügen Sie den entsprechenden [Peer]-Block — mit dem öffentlichen Schlüssel des Clients — zur wg0.conf des Servers hinzu und laden Sie die Konfiguration neu. Installieren Sie auf dem Client die WireGuard-App (verfügbar für alle Desktop- und mobilen Plattformen), importieren Sie die Konfiguration — die meisten Apps akzeptieren einen QR-Code, was für Smartphones am einfachsten ist — und aktivieren Sie den Tunnel. Innerhalb einer Sekunde verlässt der Datenverkehr Ihres Geräts über Ihren VPS. Überprüfen Sie dies, indem Sie Ihre öffentliche IP-Adresse abrufen: Sie sollte nun die des Servers sein.

Schritt 5 — Absichern und pflegen

Ein funktionierender Tunnel erledigt den Großteil der Arbeit; einige abschließende Maßnahmen machen ihn robust:

  • SSH absichern. Verwenden Sie schlüsselbasierte Anmeldung, deaktivieren Sie Passwort-Authentifizierung und ziehen Sie in Betracht, SSH von Port 22 zu verlegen. Das VPN ist nur so privat wie der Server, auf dem es läuft.
  • System aktuell halten. WireGuard selbst erfordert wenig Aufmerksamkeit, aber das zugrunde liegende OS sollte Sicherheitsupdates erhalten — aktivieren Sie automatische Updates.
  • Ein Schlüsselpaar pro Gerät. Teilen Sie niemals eine einzige Client-Konfiguration auf mehrere Geräte. Geht ein Gerät verloren, entfernen Sie lediglich dessen Peer-Block, ohne alles neu konfigurieren zu müssen.
  • DNS in der Client-Konfiguration festlegen. Verweisen Sie den Client auf einen datenschutzfreundlichen Resolver, damit DNS-Anfragen ebenfalls durch den Tunnel laufen und nicht ins lokale Netzwerk durchsickern.
  • Den Protokoll-Standardeinstellungen vertrauen. WireGuard speichert nichts über den von ihm transportierten Datenverkehr; es werden schlicht keine Protokolle darüber geführt, was durchläuft — es gibt also nichts zusätzlich zu deaktivieren.

So gepflegt benötigt der Server kaum laufende Aufmerksamkeit — WireGuard ist nahezu wartungsfrei.

Wann ein selbst gehostetes VPN die richtige Wahl ist

Ein selbst gehostetes WireGuard VPN ist die richtige Wahl, wenn Sie einen privaten Ausgangspunkt wünschen, der nur Ihnen antwortet — um Ihre Verbindung in nicht vertrauenswürdigen Netzwerken abzusichern, Ihren Browserverlauf vor einem Internetanbieter zu verbergen oder aus einer bestimmten Jurisdiktion zu erscheinen. Da es Ihr Server ist, gibt es keine IP-Adresse, die mit Tausenden Fremden geteilt wird, und keine Protokollierungsrichtlinie eines Anbieters, der Sie auf Vertrauen angewiesen sind.

Es lohnt sich, eines klarzustellen, was es nicht leistet: Ein Single-Server-VPN schützt Sie vor Ihrem Internetanbieter und den besuchten Websites, doch der VPS-Anbieter könnte den Datenverkehr am Ausgang theoretisch beobachten. Genau deshalb ist die Wahl des Hosts entscheidend — ein KYC-freier, protokollloser Offshore-VPS bedeutet, dass der Ausgangspunkt von einem Anbieter betrieben wird, der keine Identität erfasst und keine Aufzeichnungen führt. Selbst gehostetes WireGuard kombiniert mit dem richtigen VPS ist für die meisten Menschen das ehrlichste verfügbare Datenschutz-Setup: kein Vertrauen erforderlich außer in die Infrastruktur, die Sie selbst kontrollieren.

FAQ

Selbst gehostetes WireGuard — häufige Fragen

01 Ist ein selbst gehostetes WireGuard VPN besser als ein kommerzielles VPN?

In puncto Datenschutz meistens ja. Ein kommerzieller VPN verlangt, dass Sie seiner No-Logs-Aussage vertrauen; ein selbst gehostetes VPN eliminiert den Dritten vollständig — der einzige Betreiber des Ausgangspunkts sind Sie selbst. Der Kompromiss besteht darin, dass Sie einen einzigen Server betreiben und keinen rotierenden Pool gemeinsamer IP-Adressen erhalten. Für einen privaten Ausgangspunkt, den Sie kontrollieren, gewinnt die Selbst-Hosting-Lösung.

02 Wie leistungsfähig muss ein VPS für WireGuard sein?

Der kleinste verfügbare Tarif genügt. WireGuard ist extrem ressourcenschonend und sättigt eine typische VPS-Verbindung bei vernachlässigbarer CPU-Auslastung. Ein ServPrivacy VPS ab 7,50 $/Monat ist für den persönlichen Einsatz, auch auf mehreren Geräten, mehr als ausreichend.

03 Wie lange dauert die Einrichtung?

Etwa fünfzehn Minuten für jemanden, der mit der Linux-Kommandozeile vertraut ist. WireGuard zu installieren ist ein einziger Befehl, die Server-Konfiguration umfasst weniger als zwanzig Zeilen, und einen Client hinzuzufügen bedeutet eine kleine Konfigurationsdatei plus einen QR-Code-Import auf dem Gerät.

04 Protokolliert WireGuard meinen Datenverkehr?

Nein. WireGuard führt konstruktionsbedingt keine Datenverkehrsprotokolle — es leitet lediglich Pakete weiter. Auf einem selbst gehosteten Server existiert nur das Logging, das Sie auf dem OS ausdrücklich aktivieren. Eine saubere Installation zeichnet daher nichts auf.

05 Können andere erkennen, dass ich ein VPN betreibe?

Es ist schwer festzustellen. WireGuard verwendet UDP und antwortet überhaupt nicht auf unaufgeforderte Pakete, sodass ein Port-Scan nicht einmal bestätigen kann, dass der Dienst überhaupt vorhanden ist. Der Tunnel-Datenverkehr ist verschlüsselt; ein Beobachter sieht UDP-Pakete zu einem Server, nicht deren Inhalt.

06 Kann der VPS-Anbieter meinen Datenverkehr einsehen?

Ein Single-Server-VPN schützt Sie vor Ihrem Internetanbieter und den besuchten Websites, doch der Host betreibt den Ausgangspunkt. Genau deshalb ist die Wahl des Hosts entscheidend: Ein KYC-freier, protokollloser Offshore-VPS bedeutet, dass der Ausgang von einem Anbieter betrieben wird, der keine Identität erfasst und keine Aufzeichnungen darüber führt, was durchläuft.

Starten Sie den VPS für Ihr privates VPN

Ein ServPrivacy VPS ab 7,50 $/Monat — kein KYC, keine Protokolle, Offshore, voller Root-Zugriff. Der saubere Ausgangspunkt, den ein selbst gehostetes WireGuard VPN verdient.

VPN-Hosting VPS-Tarife ansehen No-KYC Hosting