WireGuard Android – die App im Detail (kann mehr als Du denkst)

7 Kommentare Autor: Jürgen (jdo)

WireGuard ist ein VPN-Protokoll, das es in den Linux-Kernel geschafft hat. Es ist schlank, schnell und funktioniert hervorragend. Ich benutze es bereits eine ganze Weile. Mullvad bietet viele Server mit WireGuard-Unterstützung an, aber auch NordVPN und andere VPN Provider tun das in der Zwischenzeit – bei NordVPN* ist es sogar Standard. Surfshark* bietet nicht nur WireGuard als Protokoll an, sondern Du bekommst auch Konfigurationsdateien (Schlüsselpaare), für eine manuelle Konfiguration. WireGuard Android einrichten ist dann individuell möglich.

WireGuard Clients stehen derzeit offiziell für eigentlich alle Betriebssysteme außer Windows zur Verfügung. Es gibt einen Client für Windows, aber die Entwickler des VPN-Protokolls raten davon ab, wenn Du zwischen den Zeilen liest. Für Linux Mint und Ubuntu gab es eine Weile ein PPA, aber mittlerweile ist WireGuard in den Linux-Kernel eingezogen. Deswegen ist eine Installation unter Debian, Ubuntu, Linux Mint und anderen Distributionen wie Red Hat, Fedora und openSUSE sowie Arch nicht problematisch. Sogar auf dem Raspberry Pi läuft die Technologie problemlos. Unter macOS und iOS lässt sich das VPN-Protokoll ebenfalls aktivieren.

Für Android gibt es ebenfalls einen Android-Client und Du bekommst ihn entweder via F-Droid oder Google Play. Bisher tauchte die neueste Version immer etwas schneller bei Google Play auf, muss ich allerdings gestehen. Oft ist es aber nur ein Tag Verzögerung, also verschmerzbar.

Eine Installation unter Android muss ich Dir wahrscheinlich nicht erklären, weil Du schließlich nur das Paket einspielen musst. Die App ist keine 10 MByte groß und Du benötigst nur eine einigermaßen aktuelle Android-Version.

WireGuard App für Android ist schnell eingerichtet

Die Installation von Android WireGuard ist nicht kompliziert. Hier eine kurze Zusammenfassung.

Time needed: 10 minutes.

Mit wenigen Schritten kannst Du WireGuard Android einrichten.

  1. Besuche den App Store

    Besuche mit Deinem Smartphone die entsprechende Store-Seite – entweder Google Play Store oder F-Droid und installiere die App.

  2. Hole Dir eine Konfigurationsdatei für Android WireGuard

    Damit WireGuard Android einrichten kannst, benötigst Du eine Konfigurationsdatei. Entweder betreibst Du selbst einen Server oder Du benutzt einen VPN-Anbieter, der solche Dateien zur Verfügung stellt – Surfshark* tut das.

  3. Optional: Installiere die App eines VPN-Anbieters

    Möchtest Du die Konfiguration nicht selbst vornehmen, sondern nur das schlanke VPN-Protokoll unter Android nutzen, dann hole Dir ein entsprechendes VPN. Bei NordVPN* ist WireGuard zwischenzeitlich Standard und der Client ist äußerst benutzerfreundlich. Damit wechselst Du das Land viel schneller als mit manuellen Konfigurationen (die Du alle separat einrichten müsstest).

  4. WireGuard Android einrichten: importiere die Konfigurationsdatei

    Entscheidest Du Dich für eine manuelle Konfiguration, musst Du die entsprechende Datei im WireGuard Client Android importieren. Möchtest Du eine von Surfshark erstellte Datei importieren, musst Du den Dateinamen vereinfachen. Die WireGuard App Android kommt nicht mit langen Dateinamen und mehreren Punkten darin zurecht.

  5. Verbinde Dich

    Nachdem die Datei oder das Schlüsselpaar importiert wurde, kannst Du Dich verbinden. Das sollte schnell gehen und das VPN-Protokoll ist Roaming-fähig. Das sind tolle Eigenschaften.

Die Installation der WireGuard App für Android ist nicht kompliziert. Das gilt auch für das Importieren einer entsprechenden Konfigurationsdatei. Der Knackpunkt ist, eine WireGuard-Konfigurationsdatei zu bekommen.

Android WireGuard – etwas ausführlicher erklärt

Nachdem Du die App installiert hast, siehst Du eigentlich nicht viel. Es gibt ein großes Plus-Zeichen und die 3 Punkte, über die Du die Einstellungen erreichst. Die Einstellungen sind sehr übersichtlich. Du kannst vorhandene Tunnel als Zip-Datei exportieren. Das wäre sozusagen ein Backup Deiner Konfiguration. Überdies darfst Du die Log-Datei exportieren und Du kannst ein dunkles Thema wählen. Das habe ich gemacht, da es mir besser liegt.

WireGuard Client für Android: Die Einstellungen
WireGuard Client für Android: Die Einstellungen

WireGuard-Verbindungen einrichten

Zurück im Hauptbildschirm darfst Du mit einer Berührung des Plus-Zeichens einen neuen VPN-Tunnel einrichten. Dafür gibt es drei Optionen:

  • Aus Datei oder Archiv importieren: Hier könntest Du eine Zip-Datei importieren oder eine Conf-Datei, die Du vorher als Backup exportiert oder generiert hast. Das ist ganz praktisch, wenn Du ein neues Smartphone bekommst und nicht wieder alles manuell konfigurieren möchtest. Weiterhin wählst Du die Option, wenn Du eine einzelne Konfigurationsdatei hast. Im Anschluss mehr zu dieser Option.
  • Von QR-Code scannen: Das muss man nicht weiter erklären. Als ich den WireGuard-Testzugang von NordVPN bekommen habe, schickte mir die Firma auch die entsprechenden QR-Codes. Damit war eine Konfiguration sehr schnell erledigt. Das ist sehr angenehm, muss ich gestehen.
  • Neu erstellen: Mit dieser Option könntest Du wirklich Deinen Tunnel manuell eintippen. Dazu musst Du nicht nur die Einstellungen wissen, sondern das ist auch mühsam.
Optionen, um einen WireGuard-Tunnel zu erzeugen
Optionen, um einen WireGuard-Tunnel zu erzeugen

Surfshark bietet einen WireGuard-Konfigurator. Nachdem Du Dich bei dem VPN-Provider angemeldet hast, findest Du ihn hier (https://my.surfshark.com/vpn/manual-setup/main/wireguard). Damit kannst Du Dir schnell eine Konfigurationsdatei zu einem bestimmten Server erstellen. Die Methode erklärt sich von selbst. Du erstellst einfach ein neues Schlüsselpaar und wählst danach das Land aus. Im Anschluss bekommst Du eine Zusammenfassung und die Option, die .conf-Datei herunterzuladen.

WireGuard-Konfigurator von Surfshark
WireGuard-Konfigurator von Surfshark

Wie Du die Konfiguration auf Deinen Android-Client bekommst – dafür gibt es mehrere Möglichkeiten. Vielleicht über einen Cloud-Service oder Du erstellst die Konfiguration gleich mit Deinem Android-Browser.

Einen VPN-Tunnel herstellen – er ist Roaming-fähig!

Sobald Du ein paar VPN-Tunnels eingerichtet hast, könnte der Client zum Beispiel so aussehen.

VPN-Tunnel ist eingerichtet
VPN-Tunnel ist eingerichtet

Wie Du in meinem Screenshot siehst, kann ich mich nun mit einem Surfshark-Server in der Schweiz verbinden. Du musst einfach nur den Hebel umlegen und die Verbindung steht sofort.

Es ist auch egal, wenn sich Deine Verbindungen ins Internet ändern. Ob Du vom WLAN über 4G zu einem Wi-Fi Hotspot springst, macht nichts aus. Die Verbindung oder der Tunnel bleibt bestehen. Das ist sehr angenehm. Anders gesagt: WireGuard kann Roaming!

Weitere Funktionen, die weniger offensichtlich sind

So, nun geht es etwas ans Eingemachte. Keine Sorge, so schlimm wird es nicht. Tippst Du auf einen Tunnel, bekommst Du allgemeine Informationen dazu. Das sind Adressen, öffentliche Schlüssel und die erlaubten IP-Adressen. Darauf komme ich etwas später zurück. Rechts oben siehst Du ein Stift-Symbol, mit dem Du die WireGuard-Konfiguration noch manuell ändern kannst.

Einstellung des VPN-Tunnels aufrufen
Einstellung des VPN-Tunnels aufrufen

Das sieht dann wie im nächsten Screenshot aus und hier findest Du auch den so wichtigen privaten Schlüssel. Lass den auf jeden Fall, wie er ist und generiere keinen neuen. Sonst funktioniert die Verbindung zu Surfshark nicht mehr. Das kannst Du machen, wenn Du mit eigenen privaten Schlüsseln hantieren willst, ich nehme aber den Schlüssel, der mir vom VPN Provider zugewiesen wurde.

Wichtig: Die App speichert keine Einstellungen automatisch. Du musst bei allen Änderungen immer das Speichern-Symbol rechts oben benutzen. Das ist nichts Tragisches, aber eine kleine Stolperfalle, die mich auch erwischt hat. 🙂

WireGuard App Android: Einstellungen des VPN-Tunnels
WireGuard App Android: Einstellungen des VPN-Tunnels

Im Screenshot oben siehst Du, dass Du gewisse Anwendungen vom Tunnel ausnehmen darfst (Alle Anwendungen erlaubt).

Split Tunneling

Die eben angesprochene Funktion wird gerne auch als Split Tunneling bezeichnet. Konfigurierst Du hier Ausnahmen für gewisse Anwendungen, läuft der Datenverkehr davon nicht durch das VPN. Vielleicht erklären wir das an einem Beispiel:

Per Standard würde sämtlicher Traffic durch das VPN laufen und Du erreichst keine Computer, Drucker und dergleichen mehr im gleichen Netzwerk. Benutzt Du aber Dein Telefon gleichzeitig Fernbedienung für LibreELEC und Kodi, würdest Du Deinen Raspberry Pi vielleicht nicht mehr erreichen. Nun darfst Du Kore als Ausnahme setzen. Das bedeutet in meinem Beispiel, dass sämtlicher Traffic außer der von Kore durch das VPN fließt.

Kore als Ausnahme
Kore als Ausnahme

Komplette Netzwerke als Ausnahme

Es gibt noch eine weitere Möglichkeit, wie Du Maschinen im gleichen Netzwerk erreichst. Du kannst in den Einstellungen die Option Exclude private IPs auswählen. Damit konfiguriert der Client einen Standard-Satz an privaten IP-Adressen, die nicht durch den VPN-Tunnel laufen. Das ist auch eine Art Split Tunneling, allerdings nicht auf Anwendungs- sondern auf Netzwerk-Ebene.

Private IP-Adressen als Ausnahme
Private IP-Adressen als Ausnahme

Welche privaten IP-Adressen ausgenommen sind, siehst Du in den Einstellungen. Du hast übrigens auch die Möglichkeit, selbst IP-Adressbereiche zu bestimmen.

WireGuard Android: Private IP-Adressen, die per Standard ausgenommen sind
WireGuard Android: Private IP-Adressen, die per Standard ausgenommen sind

Pass aber bei dieser Methode auf! Natürlich ist es bequem, gleich einen kompletten IP-Adressbereich als Ausnahme hinzuzufügen. Allerdings haben viele Heim-Router gleichen IP-Adressbereiche. Der Klassiker ist wohl 192.168.x.x. Somit würde Dein Android-Gerät auch in anderen WLANs mit den privaten IP-Adressen erreichbar sein.

Ein VPN benutzt Du aber unter anderem auch, in öffentlichen WLANs wie einer Ferienwohnung, im ICE oder im Bus von den anderen Geräten abgeschottet zu sein. Deswegen wäre ich mit der Einstellung vorsichtig.

Vielleicht legst Du Dir wie ich einfach mehrere Konfigurationen an. Eine davon ist komplett strikt und die anderen sind Deinen Anforderungen entsprechend etwas offener. Das Split Tunneling wird nicht global konfiguriert, sondern pro Tunnel. Du darfst also für jede einzelne Verbindung festlegen, wie strikt Du Dich abschotten willst.

Ich habe WireGuard Android immer aktiv

Auf meinem Smartphone deaktiviere ich WireGuard gar nicht mehr. Ich erreiche im LAN, was ich will und sobald ich das Haus verlasse und ein fremdes Netzwerk benutze, ist mein Gerät gleich geschützt. Da muss ich mir keine Gedanken mehr machen.

Was ich allerdings nicht sagen kann, wie viel mehr Akku das verbraucht. Ich hatte bisher noch keine Probleme, dass mir der Saft ausgegangen ist. Vielleicht hat jemand da genauere Kenntnisse und möchte sie mir verraten.

Ansonsten braucht die App wirklich nicht viel Platz. Hast Du ohnehin einen der besten VPN-Anbieter im Einsatz, der WireGuard anbietet, würde ich dessen Android-App auf jeden Fall installieren. Das ist unkomplizierter und benutzerfreundlicher. Gerade Einsteiger dürften sich damit leichter tun. Zudem ist es einfacher, das Land schnell zu wechseln.

Als Alternative und Ausweichoption kannst Du einen Tunnel auch manuell einrichten. Klar, die Konfiguration ist etwas mehr manueller Aufwand, aber Du musst das eigentlich nur einmal machen. Danach ziehst Du ein Backup und hast Deine Ruhe. WireGuard für Android möchte ich nicht mehr missen, da es schnell und insbesondere Roaming-fähig ist.




 Alle Kommentare als Feed abonnieren

7 Kommentare zu “WireGuard Android – die App im Detail (kann mehr als Du denkst)”

  1. Stefan says:

    Wie erreichst Du, dass Wireguard unter Android dauerhaft aktiv ist?

  2. stefan says:

    Danke!

  3. […] Dafür kontaktierte ich F-Droid. Zu der Client-Konfiguration war das Netz recht wortkarg. Bitblokes war aber auch hier sehr hilfreich. Zu dem empfohlenen dnsforge DNS-Server packte ich noch den von […]

  4. Bernd says:

    Kann ich einen von mehreren Tunnel wieder entfernen ohne die App zu löschen ?

    • jdo says:

      Klar ... Einfach lange berühren, bis der Tunnel ausgewählt ist und dann erscheint rechts oben ein Papierkorb

  5. Bernd says:

    Danke! War so nirgends beschrieben.