Kill Switch in VPN: Einrichtung und Problemlösungen 2026

Wenn Sie VPN verwenden, um die Sperren von YouTube, Instagram oder Telegram zu umgehen, sind Sie wahrscheinlich schon einmal in die Situation geraten: Die Verbindung ist für eine Sekunde weg — und die Website ist wieder nicht verfügbar. Genau für solche Fälle gibt eskill switch. Dieser Artikel handelt von der VPN kill switch Einrichtung: Lösungen für spezifische Probleme auf Windows, Android, iPhone und Router, einschließlich Situationen, in denen nach Aktivierung die gesamte Internetverbindung wegfällt.

Was ist ein kill switch und warum ist er bei Sperren notwendig

Ein kill switch ist ein Mechanismus, der den Internetverkehr vollständig blockiert, wenn der VPN-Tunnel unerwartet abbricht. Ohne ihn beginnt Ihr Browser, Messenger und andere Anwendungen sofort über die reguläre Verbindung des Anbieters zu arbeiten — mit der echten IP und ohne Umgehung der Sperren.

Einfach ausgedrückt: Was macht ein kill switch

Stellen Sie sich vor, VPN ist eine Pipeline zwischen Ihnen und dem Internet. Der kill switch ist ein Notventil. Wenn die Pipeline platzt, schließt das Ventil den Fluss, bis das Rohr repariert ist. Nichts geht durch — weder Daten, noch Verkehr, noch Anfragen.

In der Praxis: Sie schauen YouTube über VPN. Der Tunnel bricht für 3 Sekunden aufgrund instabilen Wi-Fi ab. Ohne kill switch erhält YouTube in diesen 3 Sekunden eine Anfrage mit Ihrer echten IP. Mit kill switch — die Seite hört einfach auf zu laden, bis die Verbindung wiederhergestellt ist.

Warum ohne ihn die echte IP an den Anbieter und Roskomnadsor durchsickert

Bei einem Tunnelabbruch verwendet das Betriebssystem automatisch die Standardroute — das heißt, es geht direkt über den Anbieter ins Internet. Der Anbieter sieht sofort Ihren Verkehr und wendet DPI (Deep Packet Inspection) an. Roskomnadsor führt ein Register von Sperren, nach dem die DPI-Systeme Anfragen in Echtzeit filtern.

Ergebnis: Instagram ist wieder gesperrt, YouTube beginnt zu puffern oder öffnet sich nicht, Telegram fällt aus. Und das alles — buchstäblich innerhalb von Sekunden nach dem Tunnelabbruch.

Wenn VPN abbricht: instabiles Wi-Fi, Netzwerkwechsel, DPI-Resets

Der Tunnel bricht häufiger ab, als man denkt. Der Wechsel zwischen Wi-Fi und mobilem Netzwerk auf dem Telefon — sofortiger Abbruch. Das Einschlafen des Laptops und das Aufwachen — dasselbe. Störungen im Heimrouter — 1-2 Sekunden ohne Tunnel.

Eine eigene Geschichte sind die DPI-Resets. Einige russische Anbieter blockieren aktiv VPN-Verkehr, indem sie TCP RST-Pakete senden, um Verbindungen abzubrechen. Dabei kann der Tunnel alle paar Minuten abbrechen, und der kill switch wird ehrlich das Internet bei jedem Reset deaktivieren. Das ist kein Fehler des kill switch — das ist ein Fehler des Anbieters. Die Lösung — der Wechsel zu tarnenden Protokollen, dazu unten mehr.

System-kill switch gegen Blockierung auf Anwendungsebene

Der System-kill switch blockiert den gesamten Verkehr auf der Ebene der Firewall oder des Netzwerkstacks. Fällt der Tunnel — keine Anwendung geht ins Netz. Das ist maximaler Schutz.

App-level kill switch funktioniert nur für ausgewählte Anwendungen — zum Beispiel den Browser und Telegram. Andere arbeiten weiterhin über das reguläre Netzwerk. Das ist praktisch, lässt aber Lücken: Windows-Updates, Hintergrunddienste, andere Messenger — all das wird mit der echten IP gesendet.

Um Sperren zu umgehen, ist in den meisten Fällen genau der systemweite kill switch erforderlich. App-level — nur wenn Sie genau wissen, welche Anwendungen Sie schützen.

Einrichtung des kill switch auf verschiedenen Geräten

Die konkreten Schritte hängen von der Plattform ab. VPN kill switch Einrichtung: Die Lösung für jede von ihnen unterscheidet sich — irgendwo ist es ein Häkchen, irgendwo sind manuelle Firewall-Regeln erforderlich.

Windows: Einrichtung über den VPN-Client und die Firewall

Die meisten VPN-Clients unter Windows haben einen integrierten kill switch. Suchen Sie in den Einstellungen nach „Network Lock“, „Kill Switch“, „Traffic Block“ oder „Internet Block“. Aktivieren Sie es — der Client fügt automatisch Regeln in die Windows Defender Firewall ein.

Wenn der Client keinen kill switch unterstützt, kann man es manuell machen. Öffnen Sie die Windows Defender Firewall mit erweiterter Sicherheit (wf.msc), erstellen Sie eine Regel für ausgehenden Verkehr vom Typ „Block“ für alle Programme und fügen Sie dann eine erlaubende Regel nur für das TAP-Interface (OpenVPN) oder den WireGuard-Adapter hinzu. Die Reihenfolge der Regeln ist wichtig: Die erlaubende Regel muss über der blockierenden stehen.

Wichtiger Punkt: Antivirenprogramme wie Kaspersky Internet Security oder ESET können manchmal mit solchen Regeln in Konflikt geraten. Wenn der kill switch nicht funktioniert oder alles blockiert — deaktivieren Sie vorübergehend die Drittanbieter-Firewall und überprüfen Sie das Verhalten.

Android: Option „Immer-VPN“ und „Verbindungen ohne VPN blockieren“

Auf Android ist der integrierte kill switch über die Systemeinstellungen implementiert. Der Weg: Einstellungen → Netzwerk und Internet → VPN → das Zahnrad neben der gewünschten VPN-Verbindung drücken → „Immer-VPN“ und „Verbindungen ohne VPN blockieren“ aktivieren.

Das ist ein systemweiter kill switch auf der Ebene des Android-Kernels — funktioniert unabhängig davon, welchen Client Sie verwenden. Aber es gibt einen Haken: Die Funktion funktioniert nur mit VPN-Profilen, die über die Systemoberfläche oder über eine Anwendung, die das VpnService API verwendet, hinzugefügt wurden. Einige VPN-Anwendungen verwenden ihre eigene Implementierung und können mit der systemweiten Option in Konflikt geraten.

Beim Wechsel von Wi-Fi zu LTE kann es selbst mit aktiviertem „Immer-VPN“ eine Verzögerung von 1-3 Sekunden geben, während das System den Tunnel neu verbindet. In dieser Zeit kann ein Teil des Verkehrs durchgehen. Die Lösung — Protokolle mit schnellem Reconnect, WireGuard funktioniert am besten.

iPhone und iPad: Einschränkungen von iOS und Umgehung über Profil/On-Demand

Ehrlich gesagt: Auf iOS gibt es keinen vollständigen kill switch in normalen VPN-Clients aus dem App Store. Apple gewährt Anwendungen nicht so hohen Zugriff auf den Netzwerkstack.

Es gibt zwei Umgehungsmöglichkeiten. Der erste — Always-On VPN über ein MDM-Profil. Das ist eine Unternehmenslösung: Der Administrator erstellt ein MDM-Profil, das jeglichen Verkehr ohne aktiven VPN-Tunnel verbietet. Eignet sich für Organisationen, aber nicht für den normalen Benutzer — es ist Zugang zur MDM-Infrastruktur erforderlich. Wenn auf Ihrem iPhone bereits ein Unternehmens- oder Eltern-MDM-Profil installiert ist, kann es die Installation von Always-On eines anderen Anbieters blockieren.

Der zweite Weg — der On-Demand-Modus in der Konfiguration von WireGuard oder IKEv2. In der Konfiguration können Regeln angegeben werden: „VPN immer bei jeder Netzwerk-Anfrage verbinden“. Das ist kein idealer kill switch, reduziert aber die Fenster für Lecks erheblich. Die Konfiguration muss manuell über die WireGuard-Anwendung oder den offiziellen Client importiert werden.

Mac: Systemeinstellungen und Drittanbieter-Clients

Auf macOS gibt es keinen integrierten kill switch in den Systemeinstellungen. Funktionierende Optionen sind Drittanbieter-Clients mit Unterstützung für Network Extension (Tunnelblick für OpenVPN, offizieller WireGuard-Client aus dem Mac App Store) oder Little Snitch zur Erstellung von Firewall-Regeln.

In Tunnelblick gibt es eine experimentelle kill switch-Option über die Skripteinstellungen. In Clients wie Mullvad oder ProtonVPN für Mac ist der kill switch integriert und funktioniert über die macOS Network Extension API — das ist zuverlässiger als selbstgeschriebene Lösungen.

Router und Smart TV: kill switch auf Netzwerkebene

Der Kill Switch auf dem Router schützt sofort alle Geräte – Smart TV, Spielkonsolen, Apple TV, intelligente Lautsprecher – ohne Clients auf jedem einzelnen zu installieren. Dies ist die einzige echte Option für Geräte, für die es keinen normalen VPN-Client gibt.

Auf OpenWrt: Konfiguration über Firewall-Regeln oder ein Hotplug-Skript, das bei einem Ausfall des tun/wg-Interfaces die Standardroute blockiert. Auf Keenetic: Routing-Policies ermöglichen es, den Verkehr nur über das VPN-Interface zu leiten und alles bei dessen Abwesenheit zu blockieren.

Es gibt einen nicht offensichtlichen Nebeneffekt: Der Kill Switch auf dem Router kann den Zugriff auf die Web-Oberfläche des Routers selbst (192.168.1.1) blockieren, wenn die Regeln zu aggressiv formuliert sind. Die Lösung besteht darin, eine Ausnahme für das LAN-Subnetz vor der blockierenden Regel hinzuzufügen.

Lösungen für häufige Probleme mit dem Kill Switch

Das ist der wichtigste Teil. VPN Kill Switch Konfiguration: Problemlösungen – genau hier enden die meisten Anleitungen mit allgemeinen Phrasen. Ich werde konkrete Fälle durchgehen.

Nach dem Einschalten ist das gesamte Internet verschwunden – was tun?

Der Kill Switch funktioniert richtig – er sagt Ihnen ehrlich, dass VPN nicht verbunden ist. Das ist kein Bug, das ist ein Feature. Aber wenn VPN verbunden sein sollte und nicht verbindet – liegt das Problem in der Verbindung selbst.

Checkliste der Reihe nach: Überprüfen Sie, ob der Client den VPN-Server erreicht (versuchen Sie vorübergehend, den Kill Switch auszuschalten und die Verbindung zu überprüfen); wechseln Sie das Protokoll – wenn OpenVPN vom Anbieter blockiert wird, versuchen Sie WireGuard oder Amnezia WG; überprüfen Sie, ob der Port blockiert ist (der Standardport für OpenVPN 1194/UDP wird häufig blockiert, versuchen Sie TCP 443); wechseln Sie den Server – ein bestimmter Server kann aus Ihrem Netzwerk nicht erreichbar sein.

Wenn nach dem Wechsel des Protokolls auf WireGuard die Verbindung hergestellt wurde – bedeutet das, dass der Anbieter das vorherige Protokoll über DPI blockiert hat. Der Kill Switch hat in diesem Fall korrekt funktioniert.

Der Kill Switch wird nicht aktiviert und die IP leak trotzdem

Meistens ist der Grund, dass der App-Level Kill Switch anstelle des systemweiten aktiviert ist. Überprüfen Sie die Einstellungen des Clients: Gibt es die Option „Systemweit“ oder „All Traffic“ im Gegensatz zu „Ausgewählte Apps“? Schalten Sie auf systemweit um.

Der zweite Grund ist, dass der Kill Switch auf Client-Ebene implementiert ist, aber bei einem Absturz der Anwendung die Firewall-Regeln nicht greifen. Eine zuverlässigere Lösung ist ein systemweiter Kill Switch über die OS-Regeln (Windows Firewall, Android VpnService) und nicht über die Logik der Anwendung.

Konflikt mit dem lokalen Netzwerk, Drucker und DLNA

Der systemweite Kill Switch blockiert standardmäßig auch den Verkehr im lokalen Netzwerk. Der Drucker auf 192.168.1.100 wird nicht mehr erreichbar, der DLNA-Server kann keine Mediendateien mehr sehen, die Web-Oberfläche des Routers öffnet sich nicht.

Die Lösung ist Standard: Fügen Sie eine Ausnahme für das LAN-Subnetz hinzu. In den meisten Clients ist dies die Option „LAN erlauben“ oder „Umgehung des lokalen Netzwerks“. Wenn Sie manuell über die Firewall konfigurieren – erstellen Sie eine Erlaubensregel für die Adressen 192.168.0.0/16 und 10.0.0.0/8 vor der blockierenden Regel.

Ständige Unterbrechungen aufgrund von DPI und wie man sie verringert

Wenn der Tunnel alle 2-5 Minuten abbricht – ist es wahrscheinlich, dass der Anbieter aktiv VPN-Verkehr über DPI erkennt und zurücksetzt. Der Kill Switch trennt dabei ehrlich das Internet bei jedem Abbruch, was die Nutzung unerträglich macht.

DPI-Systeme, die von großen russischen Anbietern verwendet werden, können OpenVPN, IKEv2 und manchmal WireGuard anhand von Verkehrsmustern erkennen – charakteristischen Paketgrößen und Timing-Mustern.

Die Lösung sind maskierte Protokolle. Shadowsocks maskiert den Verkehr als normalen HTTPS. VLESS/XRay mit XTLS-Reality sieht aus wie ein Zugriff auf eine echte TLS-Website – selbst eine tiefgehende Analyse hilft nicht. Amnezia WireGuard fügt dem Standard-WireGuard Obfuskation hinzu. Nach dem Wechsel zu einem solchen Protokoll sinkt die Häufigkeit der Unterbrechungen in der Regel erheblich, und der Kill Switch hört auf, zu stören.

Der Kill Switch stört die Umgehung von Blockaden bei Telegram und WhatsApp

Wenn Telegram oder WhatsApp bei aktiviertem Kill Switch nicht funktioniert – liegt das Problem nicht am Kill Switch. Er zeigt einfach ehrlich an, dass VPN nicht verbunden ist oder die Blockade des bestimmten Dienstes nicht umgeht.

Eine Ausnahme besteht, wenn Sie Split Tunneling gleichzeitig mit dem Kill Switch verwenden. In dieser Konfiguration geht ein Teil des Verkehrs absichtlich am VPN vorbei. Der Kill Switch sollte dabei nur für den geschützten Verkehr angewendet werden, aber einige Implementierungen wenden ihn auf alle Verbindungen an, einschließlich der direkt tunnelierten. Überprüfen Sie die Einstellungen für Split Tunneling im Client – stellen Sie sicher, dass Telegram und WhatsApp entweder im VPN-Tunnel sind oder ausdrücklich unter Berücksichtigung der Risiken ausgeschlossen sind.

Wie man überprüft, ob der Kill Switch wirklich funktioniert

Es ist nicht ratsam, dem Client einfach zu glauben. Hier ist ein reproduzierbares Prüfverfahren – wiederholen Sie es selbst in 5 Minuten.

Test auf IP- und DNS-Lecks vor und nach dem Abbruch

Schritt 1: Verbinden Sie sich mit dem VPN und öffnen Sie ipleak.net oder browserleaks.com/ip. Merken Sie sich (oder fotografieren Sie) die angezeigte IP-Adresse und die DNS-Server – sie sollten Ihrem VPN-Anbieter gehören und nicht Ihrem tatsächlichen Internetanbieter.

Schritt 2: Schließen Sie die Seite nicht, simulieren Sie einen Tunnelabbruch (siehe unten). Aktualisieren Sie die Seite. Wenn der Kill Switch funktioniert – wird die Seite entweder gar nicht geladen oder zeigt einen Verbindungsfehler an. Wenn sie geladen wurde und Ihre echte IP angezeigt hat – funktioniert der Kill Switch nicht.

Erzwungener Tunnelabbruch zur Überprüfung

Auf Windows: Öffnen Sie den Task-Manager → Registerkarte „Dienste“, suchen Sie den Dienst Ihres VPN-Clients oder des WireGuard-Tunnels, klicken Sie auf „Stoppen“. Oder über PowerShell:Stop-Service WireGuardTunnel$name_des_tunnels.

Auf Android: Gehen Sie zu Einstellungen → Netzwerk und Internet → VPN und klicken Sie auf „Trennen“ neben dem aktiven VPN. Wenn „Immer aktives VPN“ aktiviert ist, fragt das System nach einer Bestätigung.

Auf dem Router: Trennen Sie das WAN-Kabel für 5 Sekunden oder starten Sie das VPN-Interface über SSH mit dem Befehlifdown vpn&& ifup vpn (OpenWrt).

Überprüfung auf WebRTC-Lecks im Browser

Der Kill Switch schützt nicht vor WebRTC-Lecks – das ist eine eigene Geschichte. WebRTC ist eine Browser-Technologie für Videoanrufe, die Ihre echte IP selbst bei aktivem VPN-Tunnel offenbaren kann.

Überprüfung: Öffnen Sie browserleaks.com/webrtc bei aktiviertem VPN. Wenn Sie im Abschnitt „Ihre IP-Adressen“ eine Adresse aus Ihrem lokalen Netzwerk (10.x.x.x, 192.168.x.x) sehen – ist das normal. Wenn Sie die echte öffentliche IP des Anbieters sehen – leckt WebRTC. Lösung: Deaktivieren Sie WebRTC im Browser (in Firefox über about:config → media.peerconnection.enabled → false) oder installieren Sie die Erweiterung WebRTC Network Limiter für Chrome.

Was ein korrekt konfigurierter Kill Switch zeigt

Bei einem erzwungenen Tunnelabbruch: Der Browser hört auf, Seiten zu laden, der Ping zu externen IPs funktioniert nicht, Anwendungen verlieren die Verbindung. Nichts sollte mit der realen IP geladen werden — weder Seiten noch Lecks in Hintergrunddiensten.

Bei der Wiederherstellung des Tunnels: Die Verbindung wird automatisch wiederhergestellt, ipleak.net zeigt wieder die VPN-IP an. Die Wiederherstellungszeit hängt vom Protokoll ab — WireGuard verbindet normalerweise in 1-3 Sekunden wieder, OpenVPN kann 10-30 Sekunden dauern.

Kill Switch und Protokollwahl: Worauf es ankommt

Kill Switch und Protokoll sind miteinander verbundene Dinge. Je stabiler der Tunnel, desto seltener wird der Kill Switch aktiviert und desto komfortabler ist die Nutzung.

WireGuard und Amnezia WG: Schnelle Wiederherstellung des Tunnels

WireGuard ist mit dem Ziel geschrieben, eine schnelle Wiederverbindung zu ermöglichen. Bei einem Netzwerkverlust trennt es die „Sitzung“ nicht — es wartet einfach, bis ein Weg zum Server verfügbar ist. Sobald das Netzwerk wiederhergestellt ist, wird der Tunnel in 1-2 Sekunden ohne erneuten Handshake wiederhergestellt.

Amnezia WG ist WireGuard mit Verkehrsoffuscierung. Es fügt zufällige Bytes zu den Paketen hinzu, ändert das Timing und macht den Verkehr weniger ähnlich wie das Standard-WireGuard. Für russische Anbieter, die speziell WireGuard blockieren — eine gute Lösung ohne Geschwindigkeitsverlust bei der Wiederverbindung.

OpenVPN und IKEv2: Verhalten bei Netzwerkverlust

OpenVPN unterstützt die Optionpersist-tun undping-restart, die das Verhalten bei einem Abbruch steuern. Ohne die richtige Konfiguration kann OpenVPN 30-60 Sekunden für die Wiederverbindung benötigen, währenddessen der Kill Switch das Internet blockiert hält.

IKEv2 implementiert das MOBIKE-Protokoll (RFC 4555), das es ermöglicht, die Sitzung bei einem IP-Wechsel zu erhalten — zum Beispiel beim Wechsel von Wi-Fi zu LTE. Dies macht IKEv2 zu einer der besten Optionen für mobile Geräte: Der Tunnel wird schneller wiederhergestellt, der Kill Switch wird seltener aktiviert.

VLESS/XRay und Shadowsocks: Maskierung gegen DPI

Wenn der Tunnel aufgrund von DPI abbricht — ist der Protokollwechsel wichtiger als alle Einstellungen des Kill Switch. VLESS mit dem Transport XTLS-Reality imitiert ein TLS-Handshake mit einem echten öffentlichen Server (zum Beispiel cloudflare.com). DPI sieht einen normalen HTTPS-Verkehr zu einer bekannten Domain und lässt den Verkehr passieren.

Shadowsocks funktioniert anders: Es verschlüsselt den Verkehr so, dass er wie ein zufälliger verschlüsselter Stream ohne charakteristische Muster aussieht. Es ist weniger resistent gegen aktives Probing als VLESS/Reality, aber deutlich einfacher einzurichten und wird weitgehend unterstützt.

Bei der Verwendung dieser Protokolle bleibt der Kill Switch notwendig — er schützt bei einem Absturz der Anwendung oder des Servers. Aber die Häufigkeit der Aktivierung sinkt erheblich.

Was wählen, wenn der Tunnel genau bei Ihrem Anbieter abbricht

Es gibt keine universelle Antwort — es hängt vom spezifischen Anbieter und der Art der Blockade ab. Praktischer Ansatz: Beginnen Sie mit WireGuard, wenn es stabil ist — großartig. Wenn es blockiert wird — versuchen Sie Amnezia WG. Wenn auch dieser abbricht — wechseln Sie zu VLESS/Reality oder Shadowsocks.

Einige Dienste, einschließlich NvoVPN, geben Konfigurationen für mehrere Protokolle gleichzeitig aus — das ist praktisch für Tests ohne Anbieterwechsel. Wichtig: VPN Kill Switch-Einstellungen: Die Lösung von Abbruchproblemen beginnt immer mit der Auswahl eines stabilen Protokolls und nicht mit dem Herumprobieren in den Einstellungen des Kill Switch selbst.