IKEv2/IPsec: Einrichtung und Verbindung von VPN im Jahr 2026

Wenn Sie IKEv2 benötigen: Einrichtung und Verbindung — dieses Handbuch ist für Sie. Hier gibt es keine Ausführungen darüber, „was VPN überhaupt ist“ — nur konkrete Schritte für jede Plattform, Fehleranalysen und ein ehrliches Gespräch darüber, warum IKEv2 bei russischen Anbietern manchmal einfach nicht funktioniert.

Was ist IKEv2/IPsec und für wen ist es geeignet

IKEv2 einfach erklärt

IKEv2 (Internet Key Exchange Version 2) — ein Protokoll zur Aushandlung einer sicheren Verbindung. Es verschlüsselt den Datenverkehr nicht selbst, sondern handelt die Schlüssel und Parameter aus. Die gesamte Verschlüsselung erfolgt durch IPsec — daher die Kombination IKEv2/IPsec, die Sie in den Einstellungen sehen.

Es wurde von Microsoft und Cisco entwickelt und in RFC 7296 standardisiert. Es ist in Windows, macOS, iOS und Android integriert — ohne Drittanbieteranwendungen. Für die grundlegende Einrichtung ist das ausreichend.

Die Kombination von IKEv2 und IPsec: wozu sie benötigt wird

IKEv2 ist für das „Handshake“ verantwortlich — die Authentifizierung und die Schlüsselgenerierung. IPsec nimmt diese Schlüssel und verschlüsselt den tatsächlichen Datenverkehr über den ESP-Modus (Encapsulating Security Payload). Ohne IPsec ist IKEv2 nur ein Steuerprotokoll ohne Datenschutz. Ohne IKEv2 weiß IPsec nicht, wie es die Parameter aushandeln soll.

Stärken: Geschwindigkeit, MOBIKE und Netzwerkwechsel

Das Hauptmerkmal, warum IKEv2 geschätzt wird, ist MOBIKE (RFC 4555). Das Protokoll unterstützt die sofortige Wiederherstellung der Verbindung beim Wechsel zwischen Wi-Fi und Mobilfunknetz, ohne die Sitzung zu unterbrechen. Wenn Sie von Ihrem Heimrouter auf 4G umschalten — VPN bleibt aktiv. Das ist entscheidend für Smartphones.

In Bezug auf die Geschwindigkeit arbeitet IKEv2/IPsec mit AES-256-GCM-Verschlüsselung schnell — die Overheadkosten sind minimal. Auf einem modernen Gerät mit Hardware-AES werden Sie kaum einen Unterschied zu einer ungeschützten Verbindung bemerken.

Wann IKEv2 nicht die beste Wahl ist

Ehrlich gesagt: Unter den Bedingungen der russischen Blockaden hat IKEv2 oft das Nachsehen. Das Protokoll funktioniert ausschließlich über UDP — Ports 500 und 4500. DPI-Systeme (Deep Packet Inspection) können es anhand der Paket-Signatur erkennen und die Verbindung kappen. IKEv2 hat keine Obfuskation.

Wenn Ihr Anbieter aktiv eine tiefgehende Verkehrsinspektion anwendet, schauen Sie in Richtung WireGuard mit Maskierung, Amnezia WG oder VLESS/XRay. Der Vergleich von Protokollen ist ein eigenes Thema, aber IKEv2 gewinnt dort nicht immer.

Einrichtung von IKEv2 auf Android, iPhone, Windows und Mac

Was Sie im Voraus vorbereiten müssen: Serveradresse, Login, Zertifikat

Bevor Sie beginnen, sollten Sie Folgendes zur Hand haben:

• Serveradresse — IP oder Domain (zum Beispiel,vpn.example.com)
• Remote ID — Server-ID, die oft mit der Adresse übereinstimmt, aber nicht immer
• Login und Passwort — wenn EAP-Authentifizierung verwendet wird
• CA-Zertifikat — wenn der Server mit Zertifikaten arbeitet (Datei mit der Erweiterung .cer, .crt oder .pem)
• Optional: Profil-Datei.mobileconfig für iOS/macOS

Der Unterschied zwischen EAP und Zertifikat ist grundlegend. EAP ist einfach ein Login/Passwort, das vom Server überprüft wird. Ein Zertifikat ist ein kryptografischer Schlüssel, der physisch auf dem Gerät gespeichert ist. Ein Zertifikat ist sicherer: Selbst wenn jemand den Datenverkehr abfängt, kann die Sitzung ohne Ihren Schlüssel nicht entschlüsselt werden. Aber es muss im System-Speicher installiert werden — etwas komplizierter.

Einrichtung von IKEv2 auf iPhone und iPad (integrierter Client)

1. Öffnen SieEinstellungen → Allgemein → VPN und Geräteverwaltung → VPN → VPN-Konfiguration hinzufügen
2. Protokolltyp:IKEv2
3. Beschreibung: beliebiger Name
4. Server: IP-Adresse oder Domain
5. Remote ID: stimmt normalerweise mit der Serveradresse überein — klären Sie dies mit dem Anbieter
6. Local ID: lassen Sie leer oder fügen Sie Ihre E-Mail ein (wenn der Server es verlangt)
7. Authentifizierung: wählen SieBenutzername (für EAP) oderZertifikat
8. Geben Sie Login und Passwort ein →Fertig

Wenn das Feld Remote ID falsch ausgefüllt ist — wird die Verbindung hergestellt, aber der Verkehr wird nicht fließen. Dies ist einer der häufigsten Fehler. Es sieht äußerlich so aus, als wäre „verbunden, aber kein Internet“.

Einrichtung von IKEv2 auf Android (strongSwan)

Der integrierte VPN-Client von Android für IKEv2 funktioniert auf einigen Firmware-Versionen instabil. Ich empfehle strongSwan — eine Open-Source-Anwendung, die im Google Play und F-Droid verfügbar ist.

1. Installieren SiestrongSwan VPN Client
2. Klicken SieAdd VPN Profile
3. Server: Adresse Ihres Servers
4. VPN-Typ:IKEv2 EAP (Benutzername/Passwort) oderIKEv2 Zertifikat
5. Benutzername / Passwort: geben Sie die Daten ein
6. CA-Zertifikat: wählen Sie die Datei oderSelect automatically
7. Klicken SieSpeichern, tippen Sie dann auf das Profil, um sich zu verbinden

Wenn der Server ein selbstsigniertes Zertifikat verwendet, gibt Android einen CA-Fehler aus. Sie müssen die .crt-Datei herunterladen, sie überEinstellungen → Sicherheit → Zertifikat installiereninstallieren und dann manuell in strongSwan auswählen. Überspringen Sie diesen Schritt — und die Anwendung wird sich einfach nicht verbinden.

Einrichtung von IKEv2 auf Windows 11 und 10

1. Einstellungen → Netzwerk und Internet → VPN → VPN-Verbindung hinzufügen
2. VPN-Anbieter:Windows (integriert)
3. VPN-Typ:IKEv2
4. Name oder Adresse des Servers: fügen Sie die Adresse ein
5. Art der Anmeldedaten:Benutzername und Passwort
6. Geben Sie Login/Passwort ein →Speichern

Hinweis: Windows bietet standardmäßig eine schwache Verschlüsselung (3DES). Wenn der Server nur auf AES-256 eingestellt ist, schlägt die Verbindung mit dem Fehler „Sicherheitsparameter sind inkompatibel“ fehl. Dies kann über die Registry behoben werden:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters

Nach der Änderung der Registry ist ein Neustart erforderlich.

IKEv2-Konfiguration auf macOS

1. Systemeinstellungen → Netzwerk → klicken Sie auf "+"
2. Schnittstelle:VPN, Typ:IKEv2
3. Serveradresse und Remote-ID: ausfüllen
4. Klicken Sie aufAuthentifizierungseinstellungen: wählen Sie Benutzername/Passwort oder Zertifikat
5. Verbinden

Import .mobileconfig und Zertifikate

Datei.mobileconfig — ist ein Konfigurationsprofil von Apple, das alle IKEv2-Einstellungen auf einmal enthält: Serveradresse, Remote-ID, Authentifizierungsparameter und CA-Zertifikat. Senden Sie es per AirDrop oder E-Mail an das iPhone, öffnen Sie es, bestätigen Sie die Installation in den Einstellungen — und alles ist bereit, ohne manuelle Dateneingabe.

Für macOS ist der Prozess ähnlich. Doppelklick auf .mobileconfig → Profil in den Systemeinstellungen installieren. Das ist schneller und zuverlässiger, als die Felder manuell auszufüllen.

Warum IKEv2 nicht verbindet: typische Fehler und DPI

Fehler bei der Server- oder Zertifikatsauthentifizierung

„Zertifikat des Servers ungültig“ oder „Authentifizierung fehlgeschlagen“ — die häufigsten Fehler bei der ersten Verbindung. Es gibt mehrere Gründe.

Erster Grund: falsche Remote-ID. Der Server identifiziert sich über einen bestimmten Namen (CN im Zertifikat), und wenn in den Client-Einstellungen eine andere Adresse angegeben ist — schlägt die Authentifizierung fehl. Klären Sie beim Anbieter die genaue Remote-ID — manchmal ist es eine Domain, manchmal eine IP, manchmal etwas wie@vpn.example.com.

Zweiter Grund: CA-Zertifikat nicht installiert. Wenn der Server ein selbstsigniertes Zertifikat verwendet, weiß das System nicht, wem es vertrauen soll. Es muss manuell das Root-Zertifikat zu den vertrauenswürdigen hinzugefügt werden.

Die Verbindung hängt bei „Verbindung...“

Der Indikator dreht sich, VPN verbindet sich nicht — das ist klassisch für blockierte UDP-Ports. IKEv2 beginnt mit UDP 500 (IKE_SA_INIT) und wechselt dann bei NAT (NAT-T) zu UDP 4500. Wenn einer dieser Ports vom Anbieter blockiert ist — wird die Verbindung nicht hergestellt.

Ein schneller Weg, um zu überprüfen: Trennen Sie sich vom WLAN und versuchen Sie, sich über mobile Daten zu verbinden. Wenn es über 4G funktioniert, zu Hause aber nicht — schneidet der Anbieter die Ports.

Anbieter blockiert UDP 500/4500 über DPI

Russische Anbieter mit installierter TSPU-Ausrüstung (technische Mittel zur Bekämpfung von Bedrohungen) können IKEv2 nicht nur nach Ports, sondern auch nach Paket-Signaturen blockieren. Der IKEv2-Handshake hat eine charakteristische Struktur, die von DPI problemlos erkannt wird.

Ergebnis: Die Verbindung wird entweder gar nicht hergestellt oder funktioniert einige Minuten und bricht dann ab. Das zweite Szenario ist besonders unangenehm — es scheint, als wäre alles richtig konfiguriert, aber das VPN ist instabil. Wenn Sie sich in dieser Situation befinden, hilft IKEv2 hier nicht. Es ist Obfuskation erforderlich.

Roskomnadsor und Drosselung: wann IKEv2 nicht mehr funktioniert

TSPU arbeitet nicht immer gleich intensiv. Zu Stoßzeiten — abends von 19:00 bis 23:00 Uhr — kann die Filterung zunehmen. Wenn IKEv2 bei Ihnen genau zu dieser Zeit instabil ist, es nachts aber normal funktioniert — ist das ein sicheres Zeichen dafür, dass die Ausrüstung des Anbieters dem Protokoll im Weg steht.

Einige Dienste, wie NvoVPN, bieten mehrere Protokolle in einer Anwendung an. Fällt IKEv2 aus — wechseln Sie zu WireGuard mit Maskierung oder Shadowsocks, ohne das Abonnement und die Einstellungen zu ändern. Das ist bequemer, als alles von Grund auf neu zu konfigurieren.

Unterbrechungen beim Wechsel zwischen WLAN und mobilem Netzwerk

Theoretisch sollte MOBIKE dieses Problem lösen. In der Praxis — wenn der Anbieter doppelte NAT verwendet (was in Russland bei der Verbindung über CGNAT verbreitet ist), kann NAT-T auf Port 4500 beim Wechsel des Netzwerks fehlerhaft werden.

Wenn die Verbindung genau beim Wechsel der Netzwerke abbricht — versuchen Sie, den Server zu wechseln. Manchmal ist das eine Frage der Konfiguration eines bestimmten VPN-Knotens und nicht des Protokolls insgesamt.

IKEv2 zum Umgehen von Blockaden bei YouTube, Instagram und Telegram

Funktioniert IKEv2 für den Zugriff auf YouTube ohne Verlangsamung?

Wenn der Anbieter IKEv2 nicht blockiert — ja, es funktioniert. Der Verkehr läuft über einen VPN-Server außerhalb der RF, und die Verlangsamung von YouTube, die von der TSPU auf AS-Ebene (autonomen System) von Google organisiert wird, wird umgangen.

Aber das ist ein „wenn“. In Regionen mit aktiver Filterung wird IKEv2 schnell erkannt und blockiert. Für eine stabile Umgehung der Verlangsamung von YouTube im Jahr 2026 sind obfuskierten Protokolle — WireGuard über Amnezia oder VLESS/XRay — zuverlässiger.

Instagram, Facebook und Twitter/X über IKEv2

Instagram und Facebook sind auf dem Gebiet der RF per Gerichtsbeschluss blockiert. IKEv2, wenn es funktioniert, entsperrt sie problemlos — der Verkehr läuft über einen ausländischen Server. Twitter/X — ähnlich.

Das Problem ist dasselbe: Wenn der Anbieter IKEv2 schneidet, geht der Zugang verloren. Und im Gegensatz zur Verlangsamung von YouTube (wo die Verbindung besteht, aber langsam ist), bricht hier die Verbindung einfach ab.

Telegram und WhatsApp: Nuancen bei Sprachanrufen

Textnachrichten über IKEv2 funktionieren normal. Sprach- und Videoanrufe sind komplizierter. WhatsApp und Telegram verwenden UDP für Medienströme, und bei bestimmten Konfigurationen von IKEv2 + UDP-Filterung auf Anbieterebene gehen Anrufe entweder nicht durch oder die Qualität sinkt auf null.

Wenn Sprachanrufe über VPN kritisch sind — testen Sie sie vor der dauerhaften Nutzung.

TikTok und regionale Einschränkungen

TikTok ist in der RF bisher nicht auf Ebene von Roskomnadzor blockiert, aber der regionale Inhalt unterscheidet sich von dem aus dem Ausland. IKEv2 mit einem Server im gewünschten Land ermöglicht den Zugriff auf eine andere Version des Inhalts. Technisch funktioniert es genauso wie bei jedem anderen Dienst — der Verkehr läuft über eine ausländische IP.

Wann man ein anderes Protokoll anstelle von IKEv2 wählen sollte

Das ehrliche Bild sieht so aus:

• IKEv2 — eine ausgezeichnete Wahl, wo der Anbieter das Protokoll nicht stört: Unternehmensnetzwerke, Länder mit milden Blockierungen, Situationen, in denen Mobilität wichtig ist MOBIKE
• WireGuard + Obfuskation (Amnezia WG) — die beste Option zur Umgehung der TSPU bei gleichzeitiger Beibehaltung der Geschwindigkeit
• VLESS/XRay — am widerstandsfähigsten gegen DPI, tarnt sich als HTTPS
• Shadowsocks — bewährte Obfuskation, funktioniert dort, wo andere nicht zurechtkommen
• OpenVPN über TCP/443 — langsamer, tarnt sich aber als HTTPS-Verkehr

IKEv2: Konfiguration und Verbindung sind sinnvoll, wenn die Bedingungen es zulassen. Wenn DPI aktiv ist — wechseln Sie ohne Bedauern.

IKEv2 auf dem Router, Smart TV und Apple TV

Konfiguration von IKEv2 auf dem Router (Keenetic, MikroTik, OpenWrt)

Keenetic unterstützt IKEv2/IPsec in der Standardoberfläche überInternet → Andere Verbindungen → VPN → IKEv2. Füllen Sie die Serveradresse, Remote ID, Authentifizierungsdaten aus — und VPN funktioniert für das gesamte Netzwerk.

MikroTik ermöglicht die Konfiguration von IKEv2 über WinBox oder CLI. Es ist ein leistungsstarkes Werkzeug, aber die Konfiguration ist komplizierter: IKE Proposal, IPsec Policy und Peer müssen separat konfiguriert werden. Für Anfänger — nicht der beste Start.

OpenWrt mit dem Paket strongSwan — die flexibelste Option. Konfiguration über die Dateien/etc/ipsec.conf und/etc/ipsec.secrets. Geeignet, wenn Sie verstehen, was Sie tun.

Warum Smart TV und Apple TV IKEv2 nicht direkt unterstützen

Samsung Smart TV, LG webOS, Apple TV und die meisten Spielkonsolen haben keinen integrierten VPN-Client. Android TV — eine Ausnahme, dort kann man strongSwan installieren. Aber tvOS, Tizen und webOS sind geschlossene Systeme ohne Möglichkeit zur Installation von Drittanbieter-Software für VPN.

VPN auf dem Router als Lösung für Fernseher und Konsolen

Wenn Sie IKEv2 auf dem Router konfiguriert haben, leiten Sie automatisch den gesamten Verkehr der verbundenen Geräte — Fernseher, PlayStation, Xbox, Apple TV — über VPN. Die Geräte benötigen keinen eigenen VPN-Client.

Das ist praktisch, aber es gibt einen Nachteil: Der Router verschlüsselt den gesamten Verkehr mit seiner CPU. Ein schwacher CPU — AES ohne Hardwarebeschleunigung — kann zu einem spürbaren Geschwindigkeitsverlust führen. Auf Keenetic Giga oder Ultra mit hardwarebeschleunigtem AES werden die Verluste minimal sein. Auf budgetfreundlichen Routern — möglicherweise erhebliche Verlangsamungen.

Geschwindigkeitstest nach der Einrichtung

Überprüfen Sie die Geschwindigkeit über Speedtest.net oder fast.com vor und nach dem Einschalten des VPN. Wenn der Rückgang mehr als 20–30% beträgt, wenn Sie sich mit dem nächstgelegenen Server verbinden, liegt das Problem entweder am Router (schwacher CPU) oder an der MTU-Konfiguration.

MTU-Konflikt ist eine eigene Geschichte. IKEv2/IPsec fügt den Paket-Headern Overhead hinzu, und die Standard-MTU von 1500 kann Fragmentierung und Geschwindigkeitsverlust verursachen. Versuchen Sie, die MTU auf 1400 auf dem VPN-Interface des Routers einzustellen — das hilft oft.