Bester VPN für F-Droid: kostenlose Open-Source-Clients 2026

Wenn Sie nach dem besten VPN für F-Droid suchen, wissen Sie bereits, dass es eine schlechte Idee ist, einen VPN aus dem Google Play Store mit geschlossenem Code und eingebauten Trackern zu installieren. F-Droid löst dieses Problem: Hier gibt es nur freie Software, die aus offenen Quellen zusammengestellt ist. Aber ein wichtiger Punkt, der ständig verwechselt wird: F-Droid gibt Ihneneinen Clientund nicht den VPN selbst. Server und Abonnement müssen separat bezogen werden.

In diesem Artikel werde ich spezifische Anwendungen aus F-Droid — WireGuard, OpenVPN für Android, Amnezia — durchgehen und ehrlich sagen, welche von ihnen tatsächlich mit den russischen Blockaden und DPI zurechtkommt und was in der Theorie gut aussieht, aber im Jahr 2026 nicht mehr funktioniert.

Was ist F-Droid und warum ist ein VPN von dort eine Frage der Privatsphäre

F-Droid ist ein Katalog von Android-Anwendungen mit offenem Quellcode. Der Hauptunterschied zu jedem anderen Store: Das F-Droid-Team nimmt den Quellcode der Anwendung, überprüft ihn undstellt selbstAPK zusammen. Sie sind nicht davon abhängig, was der Entwickler in das Binärpaket gelegt hat — Sie erhalten das, was im Code geschrieben steht.

Wie sich F-Droid von Google Play unterscheidet

Google Play akzeptiert kompilierte APKs von Entwicklern auf Wort. Niemand überprüft, ob der Code auf GitHub mit dem übereinstimmt, was Sie heruntergeladen haben. F-Droid stellt die Anwendung selbst aus einem öffentlichen Repository zusammen — das nennt man reproduzierbare Builds. Für einen VPN-Client ist das entscheidend: Sie sehen, was die Anwendung tatsächlich mit Ihrem Datenverkehr macht.

Ein weiterer Vorteil — funktioniert ohne Google-Konto und ohne Google-Dienste (GMS). Auf GrapheneOS, benutzerdefinierten ROMs wie LineageOS oder chinesischen Telefonen ohne Play Market — F-Droid ist die einzige bequeme Quelle für geprüfte Software.

Warum Open-Source gerade für VPN wichtig ist

Eine VPN-Anwendung sieht per Definition Ihren gesamten Datenverkehr. Geschlossener Code ist eine Black Box: Sie glauben auf Wort, dass Daten nicht protokolliert und nicht an Dritte weitergegeben werden. Mit offenem Code kann dies überprüft werden. Oder warten, bis es jemand anderes überprüft — Audits von WireGuard und OpenVPN wurden dutzende Male durchgeführt.

Viele beliebte VPNs aus Google Play enthalten Facebook SDK, Firebase Crashlytics, Adjust und andere Werbetracker direkt in der Anwendung. Das widerspricht dem Grundgedanken der Privatsphäre. In den Hauptrepositories von F-Droid wird so etwas nicht durchkommen.

Was bedeutet „ohne proprietäre Tracker“

F-Droid kennzeichnet Anwendungen mit speziellen Anti-Features. Wenn eine Anwendung einen proprietären Tracker, Werbung oder Abhängigkeiten von geschlossenen Diensten enthält — wird dies deutlich angegeben. Suchen Sie für einen VPN-Client nach Anwendungen ohne die Kennzeichnungen Ads, Tracking und NonFreeNet. WireGuard und OpenVPN für Android von Arne Schwabe erfüllen diese Anforderungen vollständig.

Die besten VPN-Clients aus F-Droid: objektiver Vergleich

Unten ist ein realistisches Bild dessen, was in F-Droid verfügbar ist und was davon installiert werden sollte. Ich habe von einem Kriterium ausgegangen: Funktioniert es in Russland im Jahr 2026, wenn die meisten Anbieter bereits gelernt haben, die Standard-Signaturen zu erkennen.

WireGuard — offizieller Client

Die offizielle WireGuard-App von wireguard.com ist in F-Droid verfügbar und wird aus denselben Quellen gebaut wie überall. Das Protokoll ist schnell, modern, verbraucht wenig Batterie — auf dem Papier ideal. In der Praxis kann in Russland im Jahr 2026 bei großen Anbietern (Rostelecom, MTS, Beeline) DPI bereits die Standard-WireGuard-Signatur anhand des charakteristischen Handshakes über UDP erkennen.

Wenn Ihr Anbieter WireGuard nicht nach Protokoll blockiert — greifen Sie ruhig zu. Die Einrichtung ist einfach: QR-Code scannen oder .conf-Datei importieren. Aber überprüfen Sie das, bevor Sie für ein Abonnement bezahlen.

OpenVPN für Android (Arne Schwabe) — Flexibilität und Kompatibilität

Dies ist kein offizieller Client von OpenVPN Inc., sondern ein Fork des Entwicklers Arne Schwabe — genau den sollten Sie aus F-Droid installieren. Das originale OpenVPN Connect ist in F-Droid nicht verfügbar, während der Fork von Schwabe aktiv aktualisiert wird und korrekt funktioniert.

OpenVPN über TCP/443 wird von DPI schlechter erkannt als WireGuard über UDP, da der Verkehr ähnlich wie HTTPS aussieht. Aber das ist kein absoluter Schutz — fortgeschrittene DPI kommen damit zurecht. Dafür ist die Kompatibilität maximal: fast alle VPN-Anbieter stellen .ovpn-Dateien zur Verfügung.

Amnezia VPN und AmneziaWG — Umgehung von DPI und Roskomnadzor

Amnezia ist ein russisches Open-Source-Projekt, das speziell für die Umgehung russischer Blockaden entwickelt wurde. In F-Droid gibt es sowohl den vollständigen Client Amnezia VPN als auch AmneziaWG — einen Fork von WireGuard mit Unterstützung für die Parameter Jc, Jmin, Jmax, S1, S2 und H1-H4, die die Standard-Signatur des Protokolls „brechen“.

AmneziaWG ist derzeit die beste Option für diejenigen, die die Geschwindigkeit von WireGuard plus die Umgehung von DPI wünschen. Aber es gibt einen Haken: Wenn Sie eine alte Version des Clients aus F-Droid (vor 2.1.0) haben, unterstützt sie möglicherweise nicht die neuen Konfigurationsfelder. Aktualisieren Sie, bevor Sie sich beschweren, dass die Konfiguration nicht funktioniert.

Shadowsocks und Maskierungsprotokolle

Shadowsocks maskiert den Verkehr als zufälligen verschlüsselten Stream, ohne charakteristische TLS-Header. Clients für Android sind in F-Droid verfügbar — zum Beispiel Shadowsocks vom offiziellen Team. Funktioniert stabil, insbesondere in Kombination mit dem Plugin v2ray-plugin, das die Maskierung unter WebSocket/HTTPS hinzufügt.

VLESS und XRay — die nächste Stufe. Die Clients NekoBox für Android und v2rayNG sind in F-Droid offiziell nicht verfügbar und werden nur als APK von GitHub verteilt. Das ist ein Kompromiss: Open-Source-Anwendungen, aber der Build ist nicht von F-Droid verifiziert. Wenn Sie sich entscheiden zu installieren — nehmen Sie APK nur aus dem offiziellen Repository des Entwicklers und überprüfen Sie den Hash.

Was man NICHT installieren sollte: verwaiste und verdächtige Clients

In F-Droid gibt es mehrere VPN-Clients, die seit 3+ Jahren nicht mehr aktualisiert wurden. Bitmask, einige Forks von OpenVPN — überprüfen Sie das Datum der letzten Aktualisierung in der App-Karte. Ein verwaister Client erhält keine Sicherheits-Patches und unterstützt möglicherweise keine aktuellen Konfigurationen.

Wenn Sie nach best vpn f droid suchen und auf eine App mit einem Namen wie "Super VPN Free" in F-Droid stoßen — wahrscheinlich ist dies nicht das Hauptrepository, sondern ein Drittanbieter. Überprüfen Sie immer die Quelle und das Repository in den F-Droid-Einstellungen.

NvoVPN beispielsweise gibt Konfigurationen für WireGuard und AmneziaWG aus, die direkt in diese offenen Clients importiert werden — das ist ein typisches Arbeitsmodell: offener Client + separater Anbieter.

So richten Sie VPN aus F-Droid ein: Schritt-für-Schritt-Import der Konfiguration

Die häufigste Frage nach "was installieren" ist "wie einrichten". Hier gibt es keine Automatisierung wie in proprietären Anwendungen. Dafür gibt es auch keine Überwachung. Lassen Sie uns Schritt für Schritt durchgehen.

Installation von F-Droid und Hinzufügen des Repositories

Laden Sie die APK von F-Droid von der offiziellen Website f-droid.org herunter und installieren Sie sie, indem Sie die Installation aus unbekannten Quellen erlauben. Nach dem ersten Start wird F-Droid die Paketliste aktualisieren. Im Abschnitt „Einstellungen → Repositories“ ist das Hauptrepository von F-Droid aktiviert — das reicht für WireGuard, OpenVPN für Android und Amnezia.

Für einige Anwendungen (z. B. Guardian Project) müssen Sie ein zusätzliches Repository über die Schaltfläche „+“ und die URL des Repositories hinzufügen. Aber für grundlegende VPN-Clients ist das nicht nötig.

Importieren Sie die .conf/.ovpn-Datei oder den QR-Code in den Client

Für WireGuard und AmneziaWG: Öffnen Sie die App, tippen Sie auf „+“ und wählen Sie „QR-Code scannen“ oder „Aus Datei importieren“. Der Anbieter sollte Ihnen eine .conf-Datei oder einen QR-Code zusenden – normalerweise im persönlichen Bereich auf der Website. Die Datei sieht ungefähr so aus: Block [Interface] mit Ihrem privaten Schlüssel und Block [Peer] mit den Serverdaten.

Für OpenVPN for Android: Tippen Sie auf das Ordnersymbol in der oberen rechten Ecke und wählen Sie Ihre .ovpn-Datei aus. Wenn die Zertifikate in die Datei eingebettet sind (inline certificates) – wird alles automatisch übernommen. Wenn nicht – müssen Sie die Pfade zu den einzelnen .crt- und .key-Dateien angeben.

Überprüfung, ob der Verkehr durch den Tunnel geht

Nach der Verbindung gehen Sie auf ipleak.net oder dnsleaktest.com. Dort sollte die IP des VPN-Servers angezeigt werden, nicht Ihre heimische IP. Wenn Sie im Abschnitt DNS Leak Test die IP des Anbieters sehen – haben Sie ein DNS-Leck. Das bedeutet, dass DNS-Anfragen am Tunnel vorbei gehen.

Das kann auf zwei Arten behoben werden. Erstens – geben Sie den DNS-Server des VPN-Anbieters in der Konfiguration an (normalerweise im Feld DNS im Block [Interface] für WireGuard). Zweitens – aktivieren Sie „Privater DNS“ in Android (9+) und geben Sie den DoH/DoT-Server an, zum Beispiel 1.1.1.1 von Cloudflare.

WebRTC-Lecks in Android-Apps kommen seltener vor als in Browsern, aber im Chrome-Browser überprüfen Sie über browserleaks.com/webrtc.

Einrichtung des Autostarts und Always-On-VPN in Android

In Android 7+ gibt es die Systemoption „Immer aktives VPN“ (Always-on VPN) und „Verbindungen ohne VPN blockieren“ (kill switch). Gehen Sie zu „Einstellungen → Verbindungen → Weitere Netzwerkeinstellungen → VPN“, tippen Sie auf das Zahnradsymbol neben Ihrem Profil und aktivieren Sie beide Optionen.

Vorsicht mit dem Kill Switch auf Geräten, die Zugang zum lokalen Netzwerk benötigen (NAS, Drucker, Smart Home). Bei aktiviertem „ohne VPN blockieren“ wird der gesamte Verkehr, einschließlich des lokalen Netzwerks, durch den Tunnel geleitet oder blockiert. Das kann lokale Dienste beeinträchtigen. Wenn beides benötigt wird – richten Sie Ausnahmen in der WireGuard-Konfiguration (AllowedIPs) ein.

Umgehung von Blockaden und Drosselungen: Was funktioniert wirklich im Jahr 2026

Hier scheitern die Konkurrenten am häufigsten. Sie schreiben „Installieren Sie WireGuard aus F-Droid“ und das war's. Aber in Russland funktioniert das im Jahr 2026 nur sporadisch – und das ist der Grund.

Warum normales WireGuard/OpenVPN manchmal YouTube und Instagram nicht öffnet

WireGuard verwendet einen festen UDP-Port und hat eine charakteristische Handshake-Struktur. Roskomnadsor und große Anbieter haben TSPU (Technische Mittel zur Bekämpfung von Bedrohungen) implementiert – das ist Hardware zur tiefen Paketinspektion, die auf der Ebene der Telekommunikationsanbieter installiert ist. Sie kann WireGuard-Signaturen erkennen und solche Verbindungen blockieren oder drosseln.

OpenVPN über UDP ist eine ähnliche Geschichte. Über TCP/443 wird es schlechter erkannt, aber der TLS-Fingerabdruck von OpenVPN unterscheidet sich dennoch vom Browser-HTTPS. Der Anbieter kann nicht vollständig drosseln, aber auf 1–2 Mbit/s reduzieren – und YouTube in 1080p läuft dann nicht mehr richtig.

DPI der Anbieter und Drosselung: Die Rolle der Obfuskation

Obfuskation ist die Maskierung von VPN-Verkehr als etwas Harmloses. AmneziaWG randomisiert den WireGuard-Handshake über die Parameter Jc/Jmin/Jmax: Client und Server fügen eine zufällige Anzahl von Müllpaketen unterschiedlicher Größe hinzu, und die Standard-Signatur verschwindet. Shadowsocks verschlüsselt die Daten so, dass sie wie ein zufälliger Byte-Stream aussehen. VLESS mit dem Transport XTLS-Reality tarnt sich als echter TLS-Verkehr zu legitimen Domains wie microsoft.com.

DPI schaut sich die ersten paar Pakete der Verbindung an. Wenn sie wie WireGuard aussehen – wird blockiert. Wenn sie wie HTTPS zu microsoft.com aussehen – wird durchgelassen. Das ist die Logik der Obfuskation.

Entsperren von TikTok, Telegram, WhatsApp, Twitter/X, Facebook

Für Telegram ist die Situation etwas anders: Der Messenger hat ein eingebautes MTProto und kann über Proxys arbeiten. Aber für Apps ohne integrierte Umgehung – Instagram (in Russland blockiert), Facebook, Twitter/X, TikTok – ist ein vollständiger VPN-Tunnel für den gesamten Verkehr des Geräts erforderlich.

WhatsApp und YouTube sind bisher nicht vollständig blockiert, aber YouTube wird bei einigen Anbietern gedrosselt – in diesem Fall hilft ein VPN, selbst wenn die Website formal „verfügbar“ ist. Für YouTube reicht AmneziaWG oder Shadowsocks mit einem guten Server. Für Instagram und Facebook ist ein stabiler Tunnel ohne Unterbrechungen erforderlich – hier zeigt sich VLESS/XRay mit Reality am besten.

Wann AmneziaWG, Shadowsocks oder VLESS benötigt wird

Einfache Regel: Versuchen Sie zuerst normales WireGuard. Wenn die Verbindung besteht, aber YouTube ruckelt oder Instagram nicht öffnet – schneidet DPI nach der Signatur. Wechseln Sie zu AmneziaWG mit denselben Servern (wenn der Anbieter dies unterstützt). Wenn das auch nicht hilft – Shadowsocks mit v2ray-plugin oder VLESS/XRay.

Die Anfrage nach dem besten VPN aus F-Droid führt oft zu Artikeln, die reines WireGuard ohne Vorbehalte empfehlen. Das ist ein veralteter Rat. Für die russischen Gegebenheiten im Jahr 2026 ist das Minimum – AmneziaWG, das Optimum – VLESS mit Reality. Der Unterschied in der Einrichtung – 10 Minuten, der Unterschied im Ergebnis – grundlegend.