Einrichtung & Praxis · VPN-Wissen
Wie richtet man ein VPN unter Linux ein?
Auch: Linux-VPN · WireGuard Linux · wg-quick
Kurzantwort
Unter Linux ist WireGuard Bürger erster Klasse: Seit Kernel 5.6 eingebaut, reicht das Paket wireguard-tools plus eine Konfigurationsdatei. Der Tunnel startet mit einem Befehl (wg-quick up) oder klickbar über den NetworkManager. Viele Anbieter liefern zusätzlich eigene Linux-Clients – oft als Kommandozeilen-Werkzeug.
Drei Wege, ein Tunnel
Der puristische Weg: Konfigurationsdatei nach /etc/wireguard/wg0.conf legen und mit wg-quick up wg0 starten – transparenter wird VPN nirgends, und systemd macht daraus mit einem enable-Befehl einen Autostart-Dienst. Der Desktop-Weg: Moderne NetworkManager-Oberflächen (GNOME, KDE) importieren WireGuard- und OpenVPN-Configs direkt in die Netzwerkeinstellungen, Umschalten inklusive. Der Anbieter-Weg: Die großen Dienste pflegen native Linux-Clients (teils CLI, teils GUI) mit Kill Switch und Serverliste. Eine Linux-Besonderheit verdient den Warnhinweis: Die DNS-Übernahme im Tunnel hängt vom Resolver-Setup ab (systemd-resolved vs. klassisch) – der Leak-Check ist hier keine Formalie, sondern Diagnose.
Kurz-Fakten
- WireGuard steckt seit Kernel 5.6 (2020) direkt im Linux-Kern – Pakete: wireguard-tools.
- Startvarianten: wg-quick up wg0, systemd-Dienst (wg-quick@wg0) oder NetworkManager-Import.
- Anbieter-Clients für Linux sind verbreitet – häufig als CLI, zunehmend mit GUI.
- DNS im Tunnel prüfen: Je nach Resolver (systemd-resolved) braucht die Config die richtige DNS-Zeile.
- Kill Switch selbstgebaut: Firewall-Regeln (nftables/ufw), die nur Tunnel-Verkehr erlauben – oder den Anbieter-Client nutzen.
WireGuard unter Linux einrichten – Schritt für Schritt
- Pakete installieren: sudo apt install wireguard (bzw. das Pendant der eigenen Distribution).
- Konfigurationsdatei besorgen – vom Anbieter, der FRITZ!Box oder dem eigenen VPS – und als /etc/wireguard/wg0.conf speichern (Rechte: nur root lesbar).
- Tunnel testweise starten: sudo wg-quick up wg0 – und mit sudo wg den Handshake-Status prüfen.
- DNS kontrollieren: Die DNS-Zeile der Config muss greifen – der Leak-Check zeigt, welcher Resolver antwortet.
- Autostart einrichten: sudo systemctl enable wg-quick@wg0 – oder die Config in den NetworkManager importieren.
- Vollständigen Leak-Check durchführen: IP, DNS, IPv6 – und nach Kernel-/Netzwerk-Updates wiederholen.
Für die Praxis
Linux ist die Heimspiel-Plattform des modernen VPN: WireGuard wurde hier geboren, und nirgends sieht man klarer, was ein Tunnel eigentlich tut. Der Preis der Transparenz ist Eigenverantwortung bei DNS und Kill Switch – wer beide Punkte mit dem Leak-Check abhakt, hat das sauberste Setup aller Systeme.
Verwandte Fragen
Stand: Juli 2026 · Geprüft von SEO NW