OpenVPN auf dem PC: Installation und Konfiguration im Jahr 2026

\n\n

Ich benutze OpenVPN seit etwa sieben Jahren. In dieser Zeit habe ich ein Dutzend VPN-Protokolle ausprobiert, aber OpenVPN auf dem PC bleibt mein Hauptwerkzeug, wenn ich sicher Blockaden umgehen muss. Nicht weil es das schnellste ist — nein, WireGuard überholt es. Sondern weil OpenVPN auf dem PC immer noch dort funktioniert, wo andere Protokolle längst blockiert sind.

\n\n

In diesem Artikel — eine konkrete Anleitung: wie man den OpenVPN PC-Client auf Windows und macOS herunterlädt, installiert und konfiguriert. Ohne Umschweife, mit realen Lösungen für Probleme, die bei Nutzern in Russland im Jahr 2026 auftreten.

\n\n

Was ist OpenVPN und warum ist es immer noch relevant

\n\n

Der Arbeitsprinzip von OpenVPN in einfachen Worten

\n\n

OpenVPN erstellt einen verschlüsselten Tunnel zwischen Ihrem Computer und dem VPN-Server. Ihr gesamter Internetverkehr läuft durch diesen Tunnel — der Anbieter sieht nur den Strom verschlüsselter Daten, weiß aber nicht, welche Websites Sie besuchen.

\n\n

Es funktioniert in zwei Modi: UDP und TCP. UDP ist schneller — die Daten werden ohne Bestätigung der Zustellung jedes Pakets übertragen. TCP ist zuverlässiger und, was für uns entscheidend ist, kann über Port 443 arbeiten — genau der, den alle HTTPS-Websites verwenden. Es ist für den Anbieter schwieriger, OpenVPN-Verkehr auf Port 443 von einem normalen Besuch, sagen wir, von Google zu unterscheiden.

\n\n

OpenVPN vs WireGuard vs IKEv2 — wann was wählen

\n\n

Lassen Sie uns ehrlich sein. WireGuard ist in den meisten Szenarien etwa 30-60% schneller als OpenVPN. Es arbeitet im Systemkern, verwendet moderne Kryptografie, der Code ist kompakt. Wenn Sie keine Probleme mit Blockaden haben — nehmen Sie WireGuard und denken Sie nicht weiter nach.

\n\n\n\n\n\n\n\n\n\n\n\n\n\n

Parameter	OpenVPN	WireGuard	IKEv2
Geschwindigkeit	Durchschnittlich	Hoch	Hoch
DPI-Umgehung	TCP 443 + obfs	Schlecht	Schlecht
Port	Beliebig	Nur UDP	UDP 500/4500
Maskierung	Unter HTTPS	Nein	Nein
Open-Source	Ja	Ja	Teilweise
Einstellung	Mittel	Einfach	Einfach

\n\n

IKEv2 ist gut für mobile Geräte – es verbindet sich schnell wieder, wenn man von Wi-Fi auf 4G wechselt. Aber unter Bedingungen von Blockierungen ist es nutzlos: Feste Ports UDP 500 und 4500 werden ganz einfach blockiert.

\n\n

OpenVPN gewinnt vor allem in der Flexibilität: TCP, jeder Port, Möglichkeit zur Obfuskation. Für Russland im Jahr 2026 ist dies oft die einzige Option, die stabil funktioniert.

\n\n

Funktioniert OpenVPN unter Bedingungen von DPI und Provider-Sperren

\n\n

Roskomnadsor und Provider verwenden Systeme zur tiefen Paketinspektion (DPI) — TSPU, die an Kommunikationsknoten installiert sind. DPI kann VPN-Protokolle anhand charakteristischer Signaturen im Handshake erkennen.

\n\n

WireGuard wird leicht blockiert: UDP-Protokoll mit erkennbaren Mustern. IKEv2 ebenfalls. Aber OpenVPN im TCP-Modus auf Port 443 tarnt sich als gewöhnliches HTTPS. DPI kann es anhand des TLS-Handshakes erkennen, aber in der Praxis blockieren die meisten Provider (Rostelecom, MTS, Beeline, Megafon) solchen Traffic bisher nicht massenhaft.

\n\n

Wenn das grundlegende OpenVPN TCP 443 nicht durchkommt — gibt es obfsproxy und andere Methoden zur Obfuskation. Aber dazu später.

\n\n

Installation von OpenVPN auf Windows

\n\n

Herunterladen von OpenVPN GUI von der offiziellen Website

\n\n

Laden Sie NUR von der offiziellen Website herunter:community.openvpn.net/openvpn/wiki/Downloads. Keine „openvpn kostenlos herunterladen“ aus den Suchergebnissen — dort wird mit hoher Wahrscheinlichkeit ein modifizierter Client mit Backdoor oder Werbemodul sein.

\n\n

Stand März 2026 ist die aktuelle Version — OpenVPN 2.6.x. Wählen Sie den Installer für Windows (MSI oder EXE). Für ein 64-Bit-System — die Datei mit der Bezeichnung amd64. Größe etwa 5 MB.

\n\n

Installation des Clients Schritt für Schritt

\n\n

\n
1. Starten Sie den heruntergeladenen Installerals Administrator (Rechtsklick → „Als Administrator ausführen“). Ohne dies wird der TAP-Treiber nicht installiert.
\n
2. Klicken Sie auf „Anpassen“ auf dem ersten Bildschirm. Stellen Sie sicher, dass die Komponenten ausgewählt sind: OpenVPN GUI, TAP-Windows6-Treiber, OpenVPN-Dienst.
\n
3. Klicken Sie auf Installieren. Windows wird um Erlaubnis zur Installation des Netzwerkadapters bitten – stimmen Sie zu. Dies ist der TAP-Adapter, über den der VPN-Verkehr läuft.
\n
4. Nach der Installation erscheint im Tray (Benachrichtigungsbereich) das OpenVPN-Symbol – ein graues Schloss.
\n

\n\n

Wenn Ihr Antivirenprogramm (Kaspersky, Dr.Web – besonders häufiges Problem) die Installation des TAP-Adapters blockiert – fügen Sie den OpenVPN-Installer und den OrdnerC:\\Program Files\\OpenVPN zu den Ausnahmen des Antivirenprogramms hinzu. Kaspersky Internet Security ist dafür bekannt, TAP stillschweigend ohne Benachrichtigung des Benutzers zu blockieren.

\n\n

Importieren der .ovpn-Konfigurationsdatei

\n\n

OpenVPN ohne Konfiguration ist eine leere Hülle. Sie benötigen eine Datei mit der Endung .ovpn, die die Serveradresse, den Port, das Protokoll und die Verschlüsselungsschlüssel enthält.

\n\n

Wo die Konfiguration abgelegt werden soll:

\n\n

\n
• Methode 1: Kopieren Sie die .ovpn-Datei nachC:\\Users\\Ihr_Name\\OpenVPN\\config\\
\n
• Methode 2: Rechtsklick auf das OpenVPN-Symbol im Tray → „Datei importieren“ → wählen Sie die .ovpn-Datei aus
\n

\n\n

Wenn der OrdnerOpenVPN\\confignicht im Benutzerprofil vorhanden ist – suchen Sie nachC:\\Program Files\\OpenVPN\\config\\. Hängt von der Version des Installers ab.

\n\n

Erste Verbindung und IP-Überprüfung

\n\n

Rechtsklick auf das OpenVPN-Symbol im Tray → wählen Sie den Namen Ihrer Konfiguration → „Verbinden“. Ein Verbindungsprotokoll erscheint. Wenn alles richtig eingestellt ist, wird das Schloss nach 5-15 Sekunden grün.

\n\n

Jetzt überprüfen wir. Öffnen Sie den Browser und gehen Sie zuwhoer.net oderipleak.net. Die IP-Adresse des VPN-Servers sollte angezeigt werden, nicht Ihre echte. Achten Sie auf den DNS-Bereich – wenn dort die DNS-Server Ihres Anbieters (zum Beispiel DNS von Rostelecom) angezeigt werden, haben Sie eine DNS-Leckage. Wie man das behebt, werde ich im Abschnitt über Probleme erklären.

\n\n

Auf einem Firmen-PC, wo keine Administratorrechte vorhanden sind, kann man die portable Version von OpenVPN ausprobieren. Sie benötigt keinen TAP-Treiber, funktioniert jedoch nicht mit allen Konfigurationen. Suchen Sie nach OpenVPN Portable auf PortableApps.com.

\n\n

Installation von OpenVPN auf macOS

\n\n

Tunnelblick – der beste Client für Mac

\n\n

Es gibt kein offizielles OpenVPN GUI für macOS. Stattdessen gibt esTunnelblick. Kostenlos, Open-Source, wird seit 2004 unterstützt. Laden Sie es von tunnelblick.net herunter – die aktuelle stabile Version ist 4.0.1 (März 2026).

\n\n

Die Installation ist standardmäßig: DMG heruntergeladen, in die Anwendungen gezogen, gestartet. macOS Ventura, Sonoma und Sequoia erfordern eine zusätzliche Genehmigung:Systemeinstellungen → Datenschutz& Sicherheit → VPN – erlauben Sie Tunnelblick, VPN-Verbindungen zu erstellen. Ohne diese Genehmigung wird die Verbindung nicht hergestellt, und die Fehlermeldung wird unklar sein.

\n\n

Auf Apple Silicon-Chips (M1, M2, M3, M4) funktioniert Tunnelblick nativ. Keine Umwege mit Rosetta nötig.

\n\n

Import der Konfiguration und Verbindung

\n\n

Der einfachste Weg: Doppelklick auf die .ovpn-Datei. Tunnelblick erkennt sie automatisch und fragt, ob sie für den aktuellen Benutzer oder für alle installiert werden soll. Wählen Sie „Nur ich“.

\n\n

Nach dem Import klicken Sie auf das Tunnelblick-Symbol in der Menüleiste (obere Leiste) → wählen Sie die Konfiguration → „Verbinden“. Das Verbindungsprotokoll zeigt den Status an. Grünes Symbol = verbunden.

\n\n

IP-Überprüfung — gleich: whoer.net, ipleak.net. Auf dem Mac gibt es besonders häufig DNS-Lecks über den systemeigenen Resolver. Aktivieren Sie in den Tunnelblick-Einstellungen „DNS/WINS festlegen“ → „Nameserver festlegen“.

\n\n

Alternative: OpenVPN Connect für macOS

\n\n

OpenVPN Connect — der offizielle Client von OpenVPN Inc. Er wird aus dem App Store oder von openvpn.net heruntergeladen. Die Benutzeroberfläche ist einfacher als die von Tunnelblick, aber die Funktionalität ist eingeschränkt: Es gibt keine feinen Einstellungen, die Konfiguration kann nicht über die GUI bearbeitet werden.

\n\n

Ich benutze Tunnelblick — mehr Kontrolle. Aber wenn Sie „einrichten und vergessen“ möchten, ist OpenVPN Connect geeignet.

\n\n

Wo man die .ovpn-Konfiguration bekommt

\n\n

Konfiguration vom VPN-Anbieter

\n\n

Der einfachste Weg. Die meisten VPN-Dienste, die OpenVPN unterstützen, bieten fertige .ovpn-Dateien im Kundenbereich an. NvoVPN generiert beispielsweise Konfigurationen für jeden Standort — heruntergeladen, in den Client eingefügt, verbunden. Dort kann man auch TCP oder UDP, Port und Verschlüsselungsprotokoll auswählen.

\n\n

Der Vorteil der Anbieter-Konfigurationen ist, dass sie bereits optimiert sind. Richtige DNS-Server, aktuelle Zertifikate, konfigurierte Verschlüsselung. Es muss nichts manuell angepasst werden.

\n\n

Eigenen OpenVPN-Server auf VPS

\n\n

Für diejenigen, die vollständige Kontrolle wollen. Mieten Sie einen VPS im Ausland (Hetzner, DigitalOcean, Vultr — ab 4 €/Monat), installieren Sie den OpenVPN Access Server oder setzen Sie ihn über das Skriptopenvpn-install.sh von Nyr (verfügbar auf GitHub) auf.

\n\n

Nachteile: Grundkenntnisse in Linux sind erforderlich, die IP Ihres Servers kann blockiert werden, Updates und Wartung müssen selbst durchgeführt werden. Aber für Paranoiker ist dies die einzige Option, bei der Sie sicher wissen, dass keine Protokolle geschrieben werden.

\n\n

Kostenlose Konfigurationen — warum das eine schlechte Idee ist.

\n\n

Im Internet gibt es viele Seiten mit „kostenlosen OpenVPN-Konfigurationen“. VPNGate, zufällige Telegram-Kanäle, Foren. Ich empfehle dringend, diese nicht zu nutzen.

\n\n

Probleme mit kostenlosen Konfigurationen:

\n\n

\n
• MITM-Angriffe. Der Serverbesitzer kann unverschlüsselten Datenverkehr (HTTP, DNS-Anfragen) abfangen. Sie denken, Sie sind geschützt, aber in Wirklichkeit ist es das Gegenteil.
\n
• Protokollierung. Ein kostenloser Server wird von jemandem bezahlt. Womit? Mit Ihren Daten.
\n
• Viren in Konfigurationen. Die .ovpn-Datei kann Direktiven enthaltenup unddown, die Skripte beim Verbindungsaufbau ausführen. Öffnen Sie die Konfiguration mit einem Texteditor und überprüfen Sie sie vor dem Import.
\n
• Instabilität. Kostenlose Server sind überlastet und fallen aus.
\n

\n\n

Feineinstellungen von OpenVPN zum Umgehen von Sperren

\n\n

TCP vs UDP – was 2026 in Russland wählen?

\n\n

Kurze Antwort: Beginnen Sie mit UDP – es ist schneller. Wenn die Verbindung nicht hergestellt werden kann oder ständig abbricht, wechseln Sie zu TCP 443.

\n\n

In der .ovpn-Datei sind dies die Zeilen:

\n\n

proto udp — für UDP (normalerweise Port 1194)
\nproto tcp — für TCP (ich empfehle Port 443)

\n\n

Bei einigen Anbietern (insbesondere in ländlichen Regionen) ist UDP 1194 vollständig blockiert. TCP 443 funktioniert fast überall, da eine Blockierung das gesamte HTTPS-Internet lahmlegen würde. Die Anbieter verstehen das.

\n\n

Port 443 und Tarnung als HTTPS

\n\n

Wenn OpenVPN über TCP auf Port 443 läuft, sieht der externe Beobachter den Datenverkehr wie eine normale HTTPS-Verbindung aus. Das DPI-System des Anbieters sieht den TLS-Handshake und den Strom verschlüsselter Daten – visuell nicht von dem Besuch einer beliebigen Website zu unterscheiden.

\n\n

Aber es gibt einen Haken. Fortgeschrittene DPI-Systeme (wie TSPU) analysieren die Muster des TLS-Handshakes und können OpenVPN von echtem HTTPS unterscheiden. In diesem Fall ist Obfuskation erforderlich.

\n\n

Obfsproxy und obfs4 – zusätzliche Obfuskation

\n\n

Obfsproxy ist eine Proxy-Schicht, die ursprünglich für Tor entwickelt wurde. Sie umhüllt den OpenVPN-Datenverkehr mit einer zusätzlichen Schicht, die ihn von zufälligem Rauschen nicht unterscheidbar macht. DPI kann solchen Datenverkehr nicht klassifizieren.

\n\n

Konfiguration von obfsproxy auf der Client-Seite:

\n\n

\n
1. Installieren Sie obfs4proxy: unter Windows – laden Sie das Binary aus dem Tor Browser Bundle herunter, unter Mac –brew install obfs4proxy
\n
2. Fügen Sie in die .ovpn-Konfiguration folgende Zeilen ein:socks-proxy 127.0.0.1 1050
\n
3. Starten Sie obfs4proxy lokal, bevor Sie sich mit OpenVPN verbinden
\n

\n\n

Klingt kompliziert? Ja. Deshalb sollten Sie Amnezia VPN in Betracht ziehen – sie verwenden modifiziertes OpenVPN mit Obfuskation direkt aus der Box (AmneziaWG). Die Einrichtung erfolgt über die GUI, ohne manuelle Konfiguration von obfsproxy. Aber wenn Sie den OpenVPN PC-Client mit benutzerdefinierter Obfuskation verwenden möchten – obfs4 bleibt vorerst die beste Option.

Was tun, wenn OpenVPN nicht mehr verbindet

Schritt-für-Schritt-Algorithmus:

1. Überprüfen Sie ohne VPN – funktioniert das Internet überhaupt? Wird DNS aufgelöst?
2. Ändern Sie das Protokoll: wenn es UDP war – wechseln Sie zu TCP 443. Oder umgekehrt.
3. Ändern Sie den Server. Möglicherweise ist die IP eines bestimmten Servers blockiert.
4. Überprüfen Sie die Uhrzeit. Ernsthaft. Zeitunterschied von mehr als 5 Minuten = TLS-Handshake fehlgeschlagen.
5. Aktualisieren Sie die Konfiguration. Zertifikate haben ein Ablaufdatum. Laden Sie die aktuelle .ovpn-Datei vom Anbieter herunter.
6. Versuchen Sie es über mobile Daten. Wenn es über 4G/5G funktioniert, aber nicht über den Heimprovider – dann liegt die Blockierung beim Provider.

Wenn nichts hilft – blockiert der Provider wahrscheinlich OpenVPN sogar über TCP 443. In diesem Fall ist Obfuskation (obfs4) oder ein Wechsel des Protokolls zu Shadowsocks/VLESS erforderlich.

Lösungen für häufige Probleme

TLS-Handshake fehlgeschlagen

\n\n

Der häufigste Fehler. Gründe:

\n\n

\n
• Falsche Uhrzeit auf dem PC. TLS-Zertifikate sind zeitgebunden. Öffnen Sie die Datumseinstellungen und aktivieren Sie die automatische Synchronisierung. Ja, im Jahr 2026 vergessen die Leute immer noch darüber.
\n
• Abgelaufenes Zertifikat. Die .ovpn-Konfiguration enthält ein Zertifikat mit begrenzter Gültigkeit. Laden Sie ein aktuelles vom Anbieter herunter.
\n
• DPI-Blockierung. Der Anbieter bricht den TLS-Handshake von OpenVPN ab. Lösung: Obfuskation oder Protokollwechsel.
\n
• Firewall oder Antivirus. Deaktivieren Sie es vorübergehend und versuchen Sie es erneut. Kaspersky und Dr.Web sind die Hauptverdächtigen.
\n

\n\n

Suchen Sie im OpenVPN-Log nach der ZeileTLS-Fehler: TLS-Schlüsselverhandlung konnte innerhalb von 60 Sekunden nicht stattfinden — das bestätigt, dass der Handshake nicht erfolgreich ist. WennTLS-Fehler: HMAC kann nicht gefunden werden — liegt das Problem in der Konfiguration (Mismatch des tls-auth-Schlüssels).

\n\n

AUTH_FAILED — Authentifizierungsfehler

\n\n

Benutzername oder Passwort sind falsch. Überprüfen Sie:

\n\n

\n
• Die Richtigkeit von Benutzername/Passwort (kopieren Sie es erneut aus dem persönlichen Bereich, geben Sie es nicht manuell ein)
\n
• Kodierung: Wenn im Passwort Sonderzeichen enthalten sind, stellen Sie sicher, dass die Datei auth.txt im UTF-8-Format gespeichert ist
\n
• Ist das Abonnement für den VPN-Dienst abgelaufen?
\n

\n\n

Wenn in der Konfiguration stehtauth-user-pass auth.txtprüfen Sie die Datei auth.txt: Die erste Zeile ist der Benutzername, die zweite das Passwort. Keine Leerzeichen nach dem Passwort, keine dritte Zeile.

\n\n

Es gibt eine Verbindung, aber die Seiten öffnen sich nicht

\n\n

Das grüne Symbol leuchtet, aber der Browser zeigt „keine Verbindung“ an. Klassiker. Normalerweise liegt das Problem an DNS oder Routing.

\n\n

\n
• DNS funktioniert nicht. Versuchen Sie, die Website über die IP zu öffnen: Geben Sie142.250.185.14 im Browser ein (das ist Google). Wenn es geöffnet wird, liegt das Problem definitiv am DNS. Tragen Sie DNS manuell ein: 1.1.1.1 (Cloudflare) oder 8.8.8.8 (Google).
\n
• Der Route ist nicht eingetragen. Fügen Sie in die .ovpn-Datei die Zeileredirect-gateway def1 hinzu – das leitet den gesamten Verkehr über das VPN.
\n
• Doppeltes NAT. Wenn der Anbieter eine graue IP (10.x.x.x oder 100.64.x.x) hat – kann UDP instabil arbeiten. Wechseln Sie zu TCP.
\n

\n\n

DNS-Lecks – wie man sie überprüft und behebt

\n\n

Mit VPN verbunden, IP geändert, aber DNS-Anfragen gehen immer noch über den Anbieter. Der Anbieter sieht, welche Seiten Sie besuchen, trotz VPN. Das ist ein DNS-Leck.

\n\n

Überprüfung: Gehen Sie aufdnsleaktest.com → klicken Sie auf „Erweiterter Test“. Wenn Sie in den Ergebnissen die DNS-Server Ihres Anbieters sehen, gibt es ein Leck.

\n\n

Behebung für Windows — fügen Sie in die .ovpn-Datei ein:

\n\n

block-outside-dns

\n\n

Diese Direktive blockiert alle DNS-Anfragen, außer denen, die über den VPN-Tunnel gehen. Funktioniert nur unter Windows.

\n\n

Unter macOS: Wählen Sie in den Tunnelblick-Einstellungen die Konfiguration → Einstellungen → „DNS/WINS festlegen“ → aktivieren Sie „Nameserver festlegen“. Tunnelblick überschreibt die systemweiten DNS mit den VPN-DNS beim Verbinden.

\n\n

Eine universelle Lösung für beide Betriebssysteme — tragen Sie die DNS manuell in die Konfiguration ein:

\n\n

dhcp-option DNS 1.1.1.1
\ndhcp-option DNS 8.8.8.8

\n\n

Und noch ein Fall, den viele oft vergessen: Wenn Sie Internet von Ihrem Telefon (mobiler Hotspot) teilen und OpenVPN auf dem PC über dieses Netzwerk verbinden — kann es Probleme mit MTU geben. Mobile Netzwerke schneiden oft große Pakete. Fügen Sie in die Konfigurationmssfix 1400 oderfragment 1300 hinzu — das begrenzt die Paketgröße und löst das Problem mit Verbindungsabbrüchen.

\n\n