WireGuard Modernes Kernel-schnelles VPN, ~4.000 Codezeilen
Ein VPN-Protokoll klein genug, um in einem Nachmittag auditiert zu werden, und schnell genug, um einen Gigabit-Link zu sättigen.
Ein modernes VPN-Protokoll, entworfen von Jason Donenfeld, in den Mainline-Linux-Kernel in Version 5.6 (2020) gemergt. Nutzt eine feste, meinungsstarke kryptografische Suite — Curve25519, ChaCha20, Poly1305, BLAKE2s —, läuft vollständig über UDP und authentifiziert Peers durch statische Public-Keys. Die Referenzimplementierung ist unter 4.000 Codezeilen, eine Größenordnung kleiner als OpenVPN oder IPsec.
Ein „persönliches VPN auf einem VPS" ist unser häufigster Einstiegs-Anwendungsfall.
Ein bedeutsamer Anteil neuer Kunden kauft einen 1-GB-Einstiegs-VPS für genau einen Job: WireGuard starten, Laptop und Telefon darauf richten und aufhören, der Verbraucher-VPN-Marke zu vertrauen, der sie €12 im Monat zahlten. Die Mathematik ist unbeantwortbar — ein VPS zu €4/Monat routet den Kundenverkehr von einer IP, die ihm gehört, nicht aus einem Pool, der mit Tausenden Fremden geteilt und auf jeder Captcha-Hürde im Web vorab markiert ist.
WireGuard ist das richtige Protokoll für diesen Job, weil es schnell, einfach ist und im Kernel jeder modernen Linux-Distribution mitgeliefert wird. Es gibt keine PKI zu verwalten, keine Zertifizierungsstelle zu betreuen, keine obskure Cipher-Verhandlung. Zwei Public-Keys, zwei Endpunkte, eine allowed-IPs-Zeile, und der Tunnel steht. Die Konfigurationsdatei ist kurz genug, um sie ohne Verlegenheit in ein Git-Repo zu committen.
Operativ empfehlen wir WireGuard für: persönliche Browsing-Privatsphäre, Remote-Zugriff auf Heim- oder Büronetzwerke, sichere Verbindungen zwischen VPSen in verschiedenen Regionen und Split-Tunnel-Setups, in denen nur bestimmte Ziele das VPN transitieren. Die Anwendungsfall-Seite und die Schritt-für-Schritt-Anleitung decken die Palette gängiger Muster ab.
Die Seiten, die sich auf diesen Begriff stützen.
- Startseite — WireGuard erscheint im „was Leute tatsächlich mit einem VPS tun"-Strip.
- Anleitung: WireGuard-VPN auf einem VPS — fünfzehnminütige Schritt-für-Schritt-Anleitung vom Root-Passwort zum funktionierenden Tunnel.
- Anwendungsfall: WireGuard-VPN-Server — der empfohlene Tarif, Peering-Optionen und Dimensionierungshinweise.
Die Fragen, die Leute wirklich stellen.
Wie unterscheidet sich WireGuard von OpenVPN?
WireGuard läuft im Kernel-Space, nutzt eine feste moderne kryptografische Suite und hat eine Codebasis, die etwa zehnmal kleiner ist als OpenVPN. Das praktische Ergebnis ist Durchsatz, der einen Gigabit-Link mit moderater CPU sättigt, einstellige Millisekunden-Handshake-Latenz und eine Konfigurationsdatei, die Sie in einer Sitzung lesen können. OpenVPN bleibt nützlich für Umgebungen, die zertifikatsbasierte PKI oder TCP-Fallback über Port 443 verlangen; WireGuard gewinnt bei roher Performance, Audit-Oberfläche und operativer Einfachheit.
Ist WireGuard privat?
WireGuard verschlüsselt und authentifiziert allen Verkehr zwischen Peers mit moderner Kryptografie (Curve25519 für Key-Austausch, ChaCha20-Poly1305 für den Datenkanal). Ein passiver Beobachter auf der Leitung sieht nur UDP-Pakete zwischen zwei IPs und kann die Inhalte nicht lesen. WireGuard verbirgt jedoch nicht, dass zwei spezifische Peers sprechen; Tooling wie obfsproxy oder Tor ist für diese Schicht der Privatsphäre erforderlich.
Kann ich meinen eigenen WireGuard-Server auf einem NordBastion-VPS betreiben?
Ja — das ist einer der beliebtesten Anwendungsfälle für Einstiegs-VPS-Tarife auf der Seite. Ein 1-GB-RAM-, Einzel-vCPU-Knoten terminiert WireGuard komfortabel für ein kleines Team oder einen Haushalt. Die Schritt-für-Schritt-Anleitung dauert etwa fünfzehn Minuten von „Ich habe gerade mein Root-Passwort erhalten" bis „mein Telefon browst durch den VPS".
Funktioniert WireGuard auf Mobilgeräten?
Ja. Offizielle WireGuard-Apps werden für iOS und Android veröffentlicht, beide gut gewartet und frei von Trackern. Das Roaming-Verhalten — den Tunnel über WLAN-/Mobilfunk-Übergänge und IP-Wechsel hinweg am Leben zu halten — ist eine der herausragenden Eigenschaften des Protokolls und funktioniert auf modernen Telefonen im Wesentlichen transparent.