Wie man VPN auf dem Keenetic-Router 2026 installiert: Schritt für Schritt

Wenn Sie herausfinden möchten, wie man VPN auf Keenetic installiert, sodass der gesamte Verkehr im Haus durch einen Tunnel läuft — ohne separate Anwendungen auf jedem Telefon, Smart TV und PlayStation — sind Sie auf der richtigen Seite. Keenetic ermöglicht dies, aber es gibt mehrere Methoden, und sie unterscheiden sich stark in Komplexität und Möglichkeiten.

Die Hauptfrage gleich zu Beginn: Müssen Sie einfach blockierte Websites umgehen oder auch den VPN-Verkehr vor dem DPI-Anbieter verstecken? Das bestimmt alles. Wir werden beide Szenarien durchgehen.

Welche Möglichkeiten gibt es, VPN auf Keenetic zu installieren

KeeneticOS — die Firmware, die Keenetic selbst entwickelt — enthält bereits VPN-Clients direkt ab Werk. Sie sind über die Web-Oberfläche my.keenetic.net in den Bereichen „Andere Verbindungen“ und „Internetfilter“ verfügbar. Dies ist der einfachste Weg, und für die meisten Aufgaben reicht er aus.

Aber es gibt auch einen fortgeschrittenen Weg: die Installation von Entware (Paketmanager für Router) und zusätzlichen Paketen wie XKeen oder Shadowsocks. Das ist bereits für diejenigen, deren Anbieter WireGuard über DPI drosselt.

Integrierte VPN-Clients von KeeneticOS

KeeneticOS unterstützt WireGuard, OpenVPN, IKEv2/IPsec, SSTP, L2TP/IPsec und PPTP. PPTP — vergessen Sie es, es ist unsicher und verschlüsselt die Daten praktisch nicht. Die anderen funktionieren gut, aber die Wahl hängt von der Aufgabe und dem Modell des Routers ab.

Die Komponenten werden im Bereich „Allgemeine Einstellungen“ → „Komponenten-Set ändern“ installiert. Wenn WireGuard dort nicht vorhanden ist — die Firmware-Version ist alt, Sie müssen mindestens auf KeeneticOS 3.7 aktualisieren.

Komponente „Cloudflare DNS über HTTPS Proxy“ und Umgehung von DPI

Das ist kein VPN, hilft aber manchmal bei bestimmten Blockaden. DoH verschlüsselt DNS-Anfragen, sodass der Anbieter nicht sieht, auf welche Domains Sie zugreifen. Die IP-Adresse des Ziels bleibt jedoch sichtbar. Für YouTube, das auf IP-Ebene verlangsamt wird, ist das keine Lösung.

Installation über Entware und Drittanbieter-Pakete

Entware ist ein Paket-Repository, das auf einem USB-Laufwerk installiert werden kann, das mit dem Router verbunden ist. Darüber wird XKeen (eine Wrapper über XRay mit Unterstützung für VLESS/XTLS), Shadowsocks-libev, AmneziaWG und andere Tools installiert. Es ist leistungsstark, erfordert jedoch ein grundlegendes Verständnis von Linux-Befehlen und Zeit für die Einrichtung.

Wann der integrierte Client ausreicht und wann Entware benötigt wird

Der integrierte WireGuard funktioniert, wenn Ihr Anbieter einfach Websites nach IP oder Domain blockiert – das ist die Mehrheit der Fälle im Jahr 2026. Wenn der Anbieter aktiv den Verkehr über DPI filtert und das WireGuard-Protokoll selbst blockiert (das kommt bei einigen regionalen ISPs vor) – benötigen Sie AmneziaWG oder XKeen/VLESS. Wenn Sie sich nicht sicher sind – beginnen Sie mit dem integrierten WireGuard und sehen Sie, ob es funktioniert.

WireGuard auf Keenetic Schritt für Schritt einrichten

WireGuard ist die beste Wahl für die meisten Heimnetzwerke. Schnell, CPU-sparend und in 10 Minuten eingerichtet. So installieren Sie VPN auf Keenetic genau über WireGuard.

Schritt 1. Installation der WireGuard-Komponente in KeeneticOS

Gehen Sie zu my.keenetic.net → „Allgemeine Einstellungen“ → „Komponenten-Set ändern“. Finden Sie „WireGuard VPN-Client“ im Abschnitt „Netzwerk“ und setzen Sie ein Häkchen. Der Router lädt die Komponente herunter und startet neu. Das dauert etwa 2–3 Minuten.

Wenn die Komponente nicht in der Liste ist – aktualisieren Sie zuerst die Firmware über „Allgemeine Einstellungen“ → „KeeneticOS-Update“. Ohne die WireGuard-Komponente macht es keinen Sinn, weiterzumachen.

Schritt 2. Import der Konfiguration (Datei .conf oder manuelle Eingabe der Schlüssel)

Gehen Sie zu „Weitere Verbindungen“ → „VPN-Verbindungen“ → Schaltfläche „Hinzufügen“. Wählen Sie „WireGuard“. Hier gibt es zwei Optionen: eine fertige .conf-Datei importieren (einfacher) oder die Parameter manuell eingeben.

Die fertige .conf wird vom VPN-Anbieter bereitgestellt – NvoVPN, Mullvad, ProtonVPN und andere geben sie in ihrem persönlichen Bereich aus. Die Datei sieht so aus:

Klicken Sie auf „Konfiguration importieren“, laden Sie die Datei hoch – alle Felder werden automatisch ausgefüllt. Bei manueller Eingabe füllen Sie jedes Feld einzeln aus: PrivateKey, PublicKey, Endpoint (Serveradresse und Port durch einen Doppelpunkt), AllowedIPs.

Schritt 3. Einrichtung der Routing-Tabelle und Priorität der Verbindung

Nach der Erstellung der Verbindung finden Sie den Schalter „Für Internetzugang verwenden“ – aktivieren Sie ihn. Ohne dies wird das VPN zwar hochgefahren, der Verkehr wird jedoch nicht darüber geleitet. Der Router denkt, dass dies ein zusätzlicher Tunnel und nicht der Hauptweg ist.

Im Abschnitt „Priorität der Verbindungen“ stellen Sie sicher, dass WireGuard über der Haupt-WAN-Verbindung steht. Andernfalls kann der Router nach einem Neustart wieder direkt ins Internet gehen.

Wenn eine selektive Routenführung erforderlich ist (einige Websites über VPN, andere direkt) – deaktivieren Sie „Für Internetzugang verwenden“ und richten Sie Zugriffsrichtlinien für die gewünschten Geräte oder Domains im Abschnitt „Zugriffsrichtlinien für das Internet“ ein.

Schritt 4. Überprüfung der Verbindung und DNS-Lecks

Gehen Sie auf ipleak.net oder dnsleaktest.com von einem beliebigen Gerät im Netzwerk. Die IP des VPN-Servers sollte angezeigt werden, nicht Ihre echte. Die DNS-Server sollten ebenfalls vom VPN-Anbieter stammen, nicht von Ihrem ISP. Wenn Sie Ihre echte IP im DNS sehen – ist im Konfigurationsfile der DNS falsch oder gar nicht angegeben.

Einrichtung von OpenVPN und IKEv2 auf Keenetic

OpenVPN und IKEv2 sind Alternativen zu WireGuard, jede mit ihren eigenen Vor- und Nachteilen. Es macht nur Sinn, zwischen ihnen zu wählen, wenn WireGuard aus irgendeinem Grund nicht geeignet ist.

Import der .ovpn-Datei über den Abschnitt OpenVPN

Das Prinzip ist dasselbe: „Weitere Verbindungen“ → „VPN-Verbindungen“ → „Hinzufügen“ → „OpenVPN“. Laden Sie die .ovpn-Datei hoch, die der Anbieter bereitstellt. In der Datei sind Zertifikate, Schlüssel und Einstellungen eingebettet – manuell muss fast nichts eingegeben werden.

Das Problem ist ein anderes: OpenVPN ist ressourcenintensiv für den Routerprozessor. Auf Keenetic Giga oder Ultra ist das nicht spürbar. Auf Keenetic Lite oder Start sinkt die Geschwindigkeit auf 20–40 Mbit/s, selbst bei einer Verbindung von 100+ Mbit – der Prozessor kann die Verschlüsselung einfach nicht bewältigen. Das ist kein Bug, das ist eine physikalische Einschränkung.

Einrichtung von IKEv2/IPsec für eine stabile Verbindung

IKEv2 wird über dasselbe Interface hinzugefügt. Sie müssen die Serveradresse, die ID, den Benutzernamen und das Passwort oder das Zertifikat angeben – je nachdem, was der Anbieter bereitstellt. IKEv2 kann sich bei einem Netzwerkwechsel (von WLAN zu mobilem Internet und zurück) ohne Unterbrechung der Sitzung neu verbinden. Für mobile Geräte ist das praktisch, aber die Einrichtung ist etwas komplizierter als bei WireGuard.

Wann OpenVPN wählen und wann IKEv2 oder WireGuard

WireGuard ist fast immer die erste Wahl. Schneller, leichter, einfacher. OpenVPN – wenn der VPN-Anbieter WireGuard nicht unterstützt oder maximale Kompatibilität mit älterer Hardware erforderlich ist. IKEv2 – wenn die Hauptlast von mobilen Geräten kommt und Stabilität beim Wechsel der Netzwerke wichtig ist.

Typische Fehler in den Protokollen und wie man sie liest

Die Protokolle finden Sie unter „Diagnose“ → „Systemprotokoll“. Filtern Sie nach Schlüsselwörtern: „WireGuard“, „OpenVPN“, „IPsec“. Häufige Fehler: „Handshake-Timeout“ bei WireGuard – falscher PublicKey oder Endpoint nicht erreichbar; „TLS-Fehler“ bei OpenVPN – abgelaufenes Zertifikat oder falscher CA; „Kein Vorschlag gewählt“ bei IKEv2 – Nichtübereinstimmung der Verschlüsselungsalgorithmen zwischen Client und Server.

Umgehung von DPI und Blockaden von YouTube, Instagram, Telegram auf Keenetic

Dies ist der wichtigste Abschnitt für diejenigen, die in Russland leben. Standard-WireGuard umgeht die Blockaden von Websites – YouTube, Instagram, Twitter/X, Telegram, TikTok öffnen sich normal. Aber Roskomnadzor und Anbieter können im Jahr 2026 nicht nur Websites, sondern auch die VPN-Protokolle selbst über DPI (Deep Packet Inspection) blockieren. Wenn der Anbieter ein WireGuard-Muster im Verkehr sieht – schneidet er es ab.

Warum normales WireGuard nicht immer die DPI des Anbieters umgeht

WireGuard hat eine charakteristische Signatur – ein spezifisches Format von Handshake-Paketen über UDP. Moderne DPI-Systeme erkennen dies und blockieren die Verbindung, noch bevor der Tunnel hochgefahren ist. Wenn Sie sehen, dass WireGuard ständig versucht, sich zu verbinden, es aber nicht kann, während der Ping zum Server funktioniert – ist es wahrscheinlich genau die DPI.

Einfach zu überprüfen: Versuchen Sie, sich über das mobile Internet eines anderen Anbieters zu verbinden. Wenn es dort funktioniert, zu Hause aber nicht – filtert Ihr Heimprovider das Protokoll.

Installation von XKeen (XRay/VLESS) über Entware auf einem USB-Laufwerk

XKeen ist ein Paket für Keenetic, das XRay mit Unterstützung für VLESS+XTLS-Reality installiert. VLESS-Verkehr ist praktisch nicht von normalem HTTPS zu unterscheiden – DPI sieht ihn nicht. Aber für die Installation wird ein USB-Laufwerk benötigt (mindestens 1 GB, formatiert in ext4) und ein Router mit USB-Anschluss.

Ablauf: Stecken Sie den USB-Stick ein → in KeeneticOS im Abschnitt „Verwaltung“ → „USB-Speicher“ stellen Sie sicher, dass er erkannt wurde → installieren Sie das Modul „OPKG Paketmanager“ → starten Sie die Installation von Entware über SSH oder das Web-Terminal mit dem Befehlopkg install entware. Danach überopkg install xkeen wird XKeen selbst installiert.

Wenn der USB-Stick nicht erkannt wird, ist er wahrscheinlich im NTFS- oder FAT32-Format formatiert. KeeneticOS für Entware benötigt ext2/ext3/ext4. Formatieren Sie ihn mit GParted oder unter Linux mit dem Befehlmkfs.ext4 /dev/sdX.

Shadowsocks und Amnezia WG (AmneziaWG) als Schutz gegen Protokollsperren

AmneziaWG ist ein Fork von WireGuard mit zusätzlicher Obfuskation. Der Datenverkehr wird als zufälliges Rauschen maskiert, DPI erkennt ihn nicht als WireGuard. Im Jahr 2026 wird es von mehreren VPN-Diensten unterstützt, und es ist der einfachste Weg, die Protokollsperre zu umgehen – die Konfiguration ist fast die gleiche wie bei normalem WireGuard, nur die Konfiguration ist anders.

Shadowsocks ist ein bewährtes Werkzeug, das besonders beliebt ist, um die chinesische Firewall zu umgehen. Es funktioniert stabil, erfordert jedoch die Installation über Entware. Die Geschwindigkeit ist normalerweise niedriger als bei WireGuard, aber höher als bei OpenVPN.

Selektive Routenführung: nur die benötigten Websites über VPN leiten

Wenn VPN für den gesamten Datenverkehr aktiviert ist, verweigern russische Banken und staatliche Dienste manchmal den Zugriff – sie können IP-Adressen aus dem Ausland blockieren. Die Lösung ist die selektive Routenführung.

In KeeneticOS wird dies als „Zugriffsrichtlinien für das Internet“ bezeichnet. Sie können eine Richtlinie „Über VPN“ erstellen und diese bestimmten Geräten (Smart TV, Telefon) zuweisen oder die Routenführung nach Domains über XKeen konfigurieren, wobei die Listen der Websites in der XRay-Konfiguration festgelegt werden. Russische Ressourcen (Sberbank, staatliche Dienste, VKontakte) gehen direkt, blockierte (YouTube, Instagram, Telegram) – über den Tunnel.

Überprüfung der VPN-Funktionalität und Problemlösung

Nachdem Sie herausgefunden haben, wie man VPN auf Keenetic installiert und die Konfiguration abgeschlossen ist, müssen Sie sicherstellen, dass alles richtig funktioniert und nicht nur „verbunden“ ist.

Wie man überprüft, dass der gesamte Datenverkehr über VPN läuft (IP- und DNS-Lecktest)

Der zuverlässigste Weg ist, mit Ihrem Telefon oder Computer in Ihrem Netzwerk auf ipleak.net zu gehen. Der Dienst zeigt die IP-Adresse, den Standort und die DNS-Server an. Das richtige Bild: Die IP gehört dem VPN-Server, die DNS-Server stammen ebenfalls vom VPN-Anbieter, nicht von Ihrem ISP.

Das zweite Werkzeug ist dnsleaktest.com, Extended Test. Es führt mehrere DNS-Anfragen durch und zeigt, über welche Server sie geleitet wurden. Wenn Sie Server Ihres Anbieters sehen, haben Sie ein DNS-Leck. Dies kann behoben werden, indem Sie DNS manuell in der WireGuard-Konfiguration oder in den DHCP-Einstellungen des Routers eintragen.

Geschwindigkeitstest vor und nach der VPN-Verbindung

Methode: Führen Sie einen Test auf fast.com oder speedtest.net ohne VPN durch und notieren Sie das Ergebnis. Dann verbinden Sie sich mit VPN und wiederholen Sie den Test. Der Geschwindigkeitsunterschied hängt vom Routermodell und dem Protokoll ab. Orientieren Sie sich nicht an den Zahlen anderer – sie wurden auf anderer Hardware und in einem anderen Kanal gemessen. Nur Ihre eigenen Tests geben ein realistisches Bild.

Wenn die Geschwindigkeit stark gesunken ist, überprüfen Sie zuerst, ob OpenVPN auf dem Budget-Router ausgewählt wurde. Versuchen Sie einen anderen Server des VPN-Anbieters, vorzugsweise einen geografisch näheren.

Was tun, wenn VPN verbunden ist, aber kein Internet vorhanden ist

Das ist das häufigste Problem. Checkliste der Reihenfolge:

• Ist der Schalter „Für Internetzugang verwenden“ in den VPN-Verbindungseinstellungen aktiviert?
• Steht in der Konfiguration AllowedIPs0.0.0.0/0und nicht ein bestimmtes Subnetz?
• Ist DNS in der Konfiguration eingetragen – ist das DNS-Feld nicht leer?
• Gibt es keinen Konflikt mit Double NAT – steht der Router nicht hinter dem Router des Anbieters?
• Hat die VPN-Verbindung eine höhere Priorität als das Haupt-WAN im Prioritätenbereich?

Double NAT ist eine eigene Geschichte. Wenn Ihr Router mit dem Router des Anbieters verbunden ist (und nicht direkt mit der Leitung), kann es manchmal schwierig sein, WireGuard aufgrund von blockierten UDP-Ports zu aktivieren. Die Lösung ist, den Anbieter um eine öffentliche IP zu bitten oder den Routerport in die DMZ des Anbieters zu verschieben.

Warum sinkt die Geschwindigkeit und wie kann man sie erhöhen

Bei budgetfreundlichen Keenetic (Lite, Start) ist der Engpass der MIPS-Prozessor ohne Hardwarebeschleunigung für die Verschlüsselung. OpenVPN belastet ihn bis zu 100 % bei Geschwindigkeiten ab 50 Mbit/s. WireGuard ist effizienter – auf derselben Hardware verarbeitet es 2–3 Mal mehr Datenverkehr. AmneziaWG ist etwas langsamer als das normale WireGuard aufgrund der Obfuskation, aber der Unterschied ist gering.

Wenn die Geschwindigkeit trotzdem niedrig ist, aktivieren Sie die selektive Routenführung. Lassen Sie nur die blockierten Dienste über VPN laufen, während der restliche Datenverkehr direkt geht. Die Belastung des Prozessors wird proportional zum Volumen des Datenverkehrs sinken, der tatsächlich durch den Tunnel geht.