Rexoma IT· Rexoma Team · IT-Sicherheit · 5 min read
WireGuard VPN für Homeoffice: Sicher ins Firmennetz
WireGuard ist das schnellste und sicherste VPN-Protokoll für Homeoffice. So richten KMU einen eigenen VPN-Server Schritt für Schritt ein.
Homeoffice ist für viele KMU längst kein Ausnahmefall mehr – und damit steigt der Bedarf an sicheren Fernzugriffen ins Firmennetz. WireGuard VPN hat sich dabei als klarer Favorit gegenüber älteren Lösungen wie OpenVPN etabliert: schneller, schlanker, einfacher zu betreiben. Dieser Artikel erklärt, wie mittelständische Unternehmen WireGuard VPN konkret einrichten und worauf sie achten sollten.
Was ist WireGuard und warum ist es besser als OpenVPN?
WireGuard ist ein modernes Open-Source-VPN-Protokoll, das 2020 offiziell in den Linux-Kernel aufgenommen wurde. Mit rund 4.000 Zeilen Code ist es deutlich schlanker als OpenVPN (~100.000 Zeilen) oder IPsec – das reduziert die Angriffsfläche erheblich und vereinfacht Audits.
Die wichtigsten Vorteile für KMU
- Geschwindigkeit: WireGuard erreicht in der Praxis deutlich höhere Durchsatzraten als OpenVPN, da es direkt im Kernel-Space läuft
- Einfache Konfiguration: Aufsetzen dauert Minuten statt Stunden
- Modernes Kryptographie-Fundament: ChaCha20 für Verschlüsselung, Poly1305 für Authentifizierung, Curve25519 für Schlüsselaustausch
- Nahtloses Roaming: Wechsel zwischen WLAN und Mobilfunk unterbricht die VPN-Verbindung nicht
- Geringer Ressourcenverbrauch: Ideal für kleines VPS oder vorhandene Server
Für Unternehmen in Dresden und Sachsen, die Mitarbeitern flexibles Arbeiten ermöglichen wollen, ohne teure Hardware-Lösungen einzusetzen, ist WireGuard VPN oft die wirtschaftlichste Option.
Voraussetzungen für die Einrichtung
Bevor Sie beginnen, benötigen Sie:
- Einen Linux-Server (Ubuntu 22.04 LTS oder Debian 12 empfohlen) mit fester öffentlicher IP-Adresse oder dynamischem DNS
- Root-Zugriff auf diesen Server
- UDP-Port 51820 in Ihrer Firewall freigegeben
- Clients: Windows, macOS, Linux, Android oder iOS
Ein einfacher VPS für 5–10 € pro Monat reicht für die meisten KMU mit 10–50 Mitarbeitern aus.
Schritt für Schritt: WireGuard VPN Server einrichten
Schritt 1 – Installation
apt update && apt install wireguard -ySchlüsselpaar für den Server generieren:
wg genkey | tee /etc/wireguard/server_private.key | wg pubkey > /etc/wireguard/server_public.key
chmod 600 /etc/wireguard/server_private.keySchritt 2 – Server-Konfiguration
Erstellen Sie /etc/wireguard/wg0.conf:
[Interface]
Address = 10.0.0.1/24
ListenPort = 51820
PrivateKey = <SERVER_PRIVATE_KEY>
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADEIP-Forwarding dauerhaft aktivieren:
echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf && sysctl -pSchritt 3 – Clients anlegen
Für jeden Mitarbeiter ein eigenes Schlüsselpaar:
wg genkey | tee client_private.key | wg pubkey > client_public.keyDen Client in die Server-Konfiguration eintragen:
[Peer]
PublicKey = <CLIENT_PUBLIC_KEY>
AllowedIPs = 10.0.0.2/32Die Client-Konfigurationsdatei (.conf) für den Mitarbeiter:
[Interface]
Address = 10.0.0.2/24
PrivateKey = <CLIENT_PRIVATE_KEY>
DNS = 10.0.0.1
[Peer]
PublicKey = <SERVER_PUBLIC_KEY>
Endpoint = vpn.ihre-firma.de:51820
AllowedIPs = 192.168.1.0/24
PersistentKeepalive = 25Jeder weitere Mitarbeiter erhält eine eindeutige IP-Adresse im VPN-Subnetz (10.0.0.3, 10.0.0.4 usw.) und ein eigenes Schlüsselpaar.
Schritt 4 – WireGuard starten
systemctl enable wg-quick@wg0
systemctl start wg-quick@wg0
wg showSchritt 5 – Client-Software installieren
Auf Windows und macOS laden Sie den offiziellen WireGuard-Client herunter und importieren einfach die .conf-Datei des jeweiligen Mitarbeiters. Auf Android und iOS gibt es ebenfalls offizielle Apps – der QR-Code-Import macht die Einrichtung besonders einfach.
Split-Tunnel vs. Full-Tunnel: Was passt für KMU?
Eine wichtige Entscheidung bei der WireGuard-Einrichtung ist das Routing-Modell:
Full-Tunnel (AllowedIPs = 0.0.0.0/0): Gesamter Internetverkehr läuft durch das VPN. Maximale Kontrolle und Filterung, aber höhere Serverlast und Latenzen für den Mitarbeiter.
Split-Tunnel (AllowedIPs = 192.168.1.0/24): Nur Unternehmens-Traffic wird über VPN geroutet, privates Surfen läuft direkt über den ISP des Mitarbeiters.
Für die meisten ostdeutschen KMU mit Homeoffice-Mitarbeitern empfiehlt sich Split-Tunneling: Der VPN-Server wird entlastet, die Verbindungsqualität für den Mitarbeiter bleibt hoch, und Firmendaten sind trotzdem sicher geschützt.
WireGuard direkt in OPNsense nutzen
Wenn Ihr Unternehmen bereits eine OPNsense Firewall betreibt, können Sie WireGuard als Plugin direkt dort aktivieren – ohne separaten VPN-Server. Unter VPN → WireGuard legen Sie Server und Peers grafisch an, und die nahtlose Integration mit dem OPNsense Firewall-Regelwerk erlaubt feingranulare Zugriffskontrollen: Welcher Mitarbeiter darf welche internen Systeme erreichen?
Diese Lösung ist für KMU, die bereits OPNsense einsetzen, besonders elegant, da Konfiguration, Monitoring und Firewall-Regeln zentral an einer Stelle verwaltet werden.
Sicherheitshinweise für den Produktiveinsatz
- Sofortiger Key-Widerruf bei Austritt: Entfernen Sie den Peer-Eintrag des ausgeschiedenen Mitarbeiters unmittelbar aus der Server-Konfiguration
- Optional: Pre-Shared Key (PSK): Für zusätzliche Sicherheit kann pro Peer ein symmetrischer Zusatzschlüssel konfiguriert werden
- Regelmäßige Key-Rotation: Alle 6–12 Monate neue Schlüsselpaare generieren
- Firewall-Regeln: Schränken Sie ein, welche internen Ressourcen VPN-Clients tatsächlich erreichen dürfen
- Kernel aktuell halten: WireGuard ist im Linux-Kernel integriert – Kernel-Updates schließen auch potenzielle WireGuard-Lücken
Wie viele Mitarbeiter kann ein WireGuard-Server bedienen?
Ein einfacher VPS mit 2 vCPU und 2 GB RAM verarbeitet problemlos 50–100 gleichzeitige WireGuard VPN-Verbindungen. Der Engpass ist fast immer die Netzwerkbandbreite des Servers, nicht die CPU. WireGuard ist extrem ressourceneffizient – ein deutlicher Vorteil gegenüber OpenVPN-basierten Lösungen.
Unterstützung in Dresden: Rexoma IT richtet Ihr WireGuard VPN ein
Sie möchten WireGuard VPN für Ihr Unternehmen einrichten, haben aber keine eigene IT-Abteilung? Rexoma IT aus Dresden übernimmt die komplette Einrichtung: Server-Setup, Client-Konfiguration für alle Mitarbeiter, Integration mit bestehender Netzwerkinfrastruktur und auf Wunsch direkte OPNsense-Integration. Wir betreuen KMU und Startups in Dresden, Sachsen und ganz Ostdeutschland – remote und vor Ort. Kontaktieren Sie uns für eine kostenlose Ersteinschätzung.
FAQ: WireGuard VPN für KMU
Ist WireGuard sicherer als OpenVPN? WireGuard verwendet ausschließlich moderne Kryptographie-Primitive (ChaCha20, Poly1305, Curve25519) ohne veraltete Fallback-Optionen. Die geringe Codebasis macht Audits einfacher. Für Neuprojekte ist WireGuard VPN die empfohlene Wahl – OpenVPN bleibt aber für bestehende Installationen weiterhin akzeptabel.
Kann ich WireGuard auch ohne feste IP-Adresse nutzen? Ja. Mit einem dynamischen DNS-Dienst (z. B. DuckDNS, Cloudflare DDNS) und entsprechender Router-Konfiguration funktioniert WireGuard auch mit wechselnden IP-Adressen. Der Endpoint-Wert in der Client-Konfiguration wird einfach auf den DDNS-Hostnamen gesetzt.
Funktioniert WireGuard auf allen Betriebssystemen? WireGuard hat offizielle Clients für Windows, macOS, Linux, Android und iOS. Die Konfigurationsstruktur ist auf allen Plattformen identisch – eine .conf-Datei genügt für alle.
Wie lange dauert die Einrichtung für ein KMU mit 20 Mitarbeitern? Mit Linux-Erfahrung ist der Server in 30–60 Minuten betriebsbereit. Die Client-Konfiguration pro Mitarbeiter dauert 5–10 Minuten. Ein erfahrener IT-Dienstleister wie Rexoma IT richtet das System inklusive Tests, Dokumentation und Einweisung in einem halben Arbeitstag ein.
Was kostet WireGuard? WireGuard selbst ist kostenlos und Open Source. Kosten entstehen für den Server (VPS ab ca. 5 €/Monat oder eigene Hardware) sowie optional für die professionelle Einrichtung durch einen IT-Dienstleister.
