Manuelle VPN-Konfiguration: die besten Einstellungen 2026
Manuelle VPN-Konfiguration: die besten Einstellungen 2026 Wenn Sie nach den besten VPN-Manuelleinstellungen suchen – den richtigen Werten für Protokolle, Ports und Verschlüsselung, die tatsächlich gegen das russische DPI funktionieren – dann geht es in diesem Artikel genau darum. Keine allgemeinen T
Manuelle VPN-Konfiguration: die besten Einstellungen 2026
Wenn Sie nach den besten VPN-Manuelleinstellungen suchen – den richtigen Werten für Protokolle, Ports und Verschlüsselung, die tatsächlich gegen das russische DPI funktionieren – dann geht es in diesem Artikel genau darum. Keine allgemeinen Tipps, sondern konkrete Zahlen, die ich 2026 in der Praxis getestet habe.
Die meisten Artikel zur manuellen VPN-Konfiguration geben Anweisungen wie „klicke hier, gib deinen Login ein“, schweigen aber darüber, welchen MTU-Wert man einstellen soll, warum WireGuard auf 51820 sofort im Netzwerk des russischen Anbieters sichtbar ist und was Jc in AmneziaWG bedeutet. Das werden wir klären.
Wann ist die manuelle VPN-Konfiguration besser als eine fertige Anwendung
Eine VPN-Anwendung ist bequem. Man drückt einen Knopf und verbindet sich. Aber wenn der Anbieter anfängt, den Traffic zu drosseln oder das Protokoll selbst zu blockieren, gibt die Anwendung mit den Standard-Einstellungen oft zuerst auf. Die manuelle Konfiguration ermöglicht es, genau die Parameter auszuwählen, die einen bestimmten Filter umgehen.
Die Anwendung wird vom Anbieter blockiert, die manuelle Konfiguration nicht
DPI (Deep Packet Inspection) bei russischen Anbietern kann Muster beliebter VPN-Anwendungen erkennen – anhand von Ports, Handshakes und zeitlichen Merkmalen des Traffics. Eine manuelle Konfiguration mit einem nicht standardmäßigen Port und Obfuskation sieht anders aus. Genau deshalb funktioniert eine selbstgemachte WireGuard-Konfiguration auf Port 443 oft dort, wo die offizielle Anwendung stockt.
Flexibler Port-, Protokoll- und Verschlüsselungswahl
Im manuellen Modus wählen Sie selbst: UDP oder TCP, Port 443 oder 1194, welchen Verschlüsselungsalgorithmus Sie verwenden möchten. Das ist besonders wichtig bei symmetrischem NAT bei Mobilfunkanbietern – es reißt oft UDP-Verbindungen, und die einzige Lösung ist, auf TCP/443 umzusteigen.
Konfiguration auf Geräten ohne Anwendung: Router, Smart TV, Apple TV
Apple TV, Smart TVs von Samsung/LG und Spielkonsolen – PlayStation, Xbox – unterstützen VPN-Clients nicht direkt. Der einzige Weg, ihren Traffic über VPN zu leiten, besteht darin, es auf Router-Ebene einzurichten. Ohne manuelle Konfiguration ist das nicht möglich.
Wann ist die manuelle Konfiguration NICHT nötig und es einfacher ist, die Anwendung zu lassen
Wenn die VPN-Anwendung funktioniert und die Geschwindigkeit zufriedenstellend ist – müssen Sie nichts ändern. Die manuelle Konfiguration birgt das Risiko von Fehlern in den Parametern, und dann wird die Verbindung entweder gar nicht hergestellt oder es gibt DNS-Lecks. Anfängern ohne Erfahrung ist es besser, mit einer fertigen Anwendung zu beginnen und zur manuellen Konfiguration nur bei einem konkreten Problem überzugehen.
Die besten Parameter für Protokolle: WireGuard, OpenVPN, IKEv2, VLESS, Amnezia
Hier scheitern die meisten Anleitungen – sie geben allgemeine Informationen ohne konkrete Werte. Unten sind die realen Arbeitsbereiche für die Bedingungen in Russland im Jahr 2026. Das sind die sogenannten besten VPN-Manuelleinstellungen in der Fachgemeinschaft.
WireGuard: MTU, Keepalive, AllowedIPs – welche Werte einstellen
WireGuard ist schnell und einfach, aber „nackt“ – ohne Obfuskation – wird leicht durch DPI am charakteristischen Handshake erkannt. Wenn der Anbieter es jedoch nicht blockiert, ist es die beste Wahl in Bezug auf Geschwindigkeit.
Konkrete Parameter:
- MTU: 1280–1420. Beginnen Sie mit 1420. Wenn die Seiten bei normalem Ping langsam laden – reduzieren Sie in Schritten von 10 bis 1280. In Mobilfunknetzen sind oft 1360 oder weniger erforderlich.
- PersistentKeepalive: 25. Hält die Verbindung über NAT aufrecht. Ohne diesen Parameter wird die Verbindung nach wenigen Minuten Inaktivität getrennt.
- AllowedIPs: 0.0.0.0/0, ::/0. Aktivieren Sie unbedingt den IPv6-Block – sonst wird der IPv6-Traffic den Tunnel umgehen und Ihre echte IP-Adresse offenbaren.
- DNS: 1.1.1.1 oder 9.9.9.9. Verwenden Sie keinen DNS-Anbieter innerhalb des Tunnels.
OpenVPN: UDP gegen TCP, Port 443, tls-crypt und Obfuskation
OpenVPN ist ein alter Gaul, aber flexibel. UDP ist schneller, TCP zuverlässiger bei schlechtem Netzwerk. Bei hartem DPI wechseln Sie zu TCP/443 – das macht den Traffic äußerlich ähnlich wie HTTPS.
Verwenden Sie unbedingttls-crypt anstelle des veraltetentls-auth – es verschlüsselt sogar den TLS-Handshake und erschwert die Erkennung des Protokolls erheblich. Ohne dies wird OpenVPN auf Port 1194 sofort erkannt. Der Parameterverb 3 in der Konfiguration – aktivieren Sie ihn zur Diagnose, dann entfernen Sie ihn.
IKEv2/IPsec: wann es geeignet ist und wo es blockiert wird
IKEv2 ist gut auf iOS und macOS – dort ist es im System integriert, es ist keine separate Anwendung erforderlich. Es verbindet sich schnell wieder, wenn das Netzwerk wechselt (Wi-Fi → mobil). Aber IPsec auf Port 500/4500 UDP wird von Roskomnadzor ohne Umschweife dort blockiert, wo es aktiv Blockaden anwendet. Für den alltäglichen Gebrauch in Russland im Jahr 2026 ist es eine unzuverlässige Wahl, es sei denn, es funktioniert über einen VPN-Server mit einem nicht standardmäßigen Port.
Shadowsocks und VLESS/XRay: Tarnung als normaler HTTPS-Verkehr
VLESS mit XTLS-Reality-Transport ist meiner Meinung nach die beste Option für Russland im Moment. Es gibt sich als normale TLS 1.3-Verbindung zu einer echten Website (zum Beispiel microsoft.com oder apple.com) aus, und DPI kann es nicht von legitimen Verkehr unterscheiden.
Shadowsocks ist einfacher einzurichten, aber weniger resistent gegen aktives Probing. Wenn der Anbieter aggressives DPI mit aktivem Probing anwendet, kann Shadowsocks erkannt werden. VLESS/Reality ist in dieser Hinsicht zuverlässiger.
Beide Protokolle arbeiten auf Port 443. Es macht keinen Sinn, andere Ports zu verwenden.
AmneziaWG: Parameter gegen DPI (Jc, Jmin, Jmax, S1, S2, H1-H4)
AmneziaWG ist ein Fork von WireGuard mit Handshake-Verschleierung. Die Verschleierungsparameter machen es unsichtbar für DPI, das in der Lage ist, standardmäßiges WireGuard zu erkennen.
| Parameter | Was es macht | Arbeitswert |
|---|---|---|
| Jc | Anzahl der Müllpakete im Handshake | 3–10 |
| Jmin | Minimale Größe des Müllpakets (Byte) | 10–50 |
| Jmax | Maximale Größe des Müllpakets (Byte) | 50–1000 |
| S1 | Zusätzliche Bytes im ersten Initiierungspaket | 0–250 |
| S2 | Zusätzliche Bytes im Antwortpaket | 0–250 |
| H1–H4 | Magic Header-Werte (müssen einzigartig sein) | Zufällige uint32 |
Server und Client müssen die gleichen Werte für diese Parameter verwenden – andernfalls wird die Verbindung nicht hergestellt. Die Amnezia VPN-Anwendung generiert sie automatisch bei der Erstellung der Konfiguration. NvoVPN beispielsweise bietet fertige AmneziaWG-Konfigurationen über das persönliche Dashboard an – es ist nicht nötig, sie manuell zu generieren.
Schritt-für-Schritt manuelle Einrichtung auf verschiedenen Geräten
Android: Konfiguration importieren und Parameter manuell eingeben
Für WireGuard – laden Sie die offizielle WireGuard-App aus dem Play Store herunter. Erstellen Sie einen Tunnel über „+“ → „Von Grund auf neu erstellen“ oder „Aus Datei/QR importieren“. Bei manueller Eingabe geben Sie den privaten Schlüssel, die Schnittstellenadresse, DNS, MTU (1280–1420) und die Peer-Daten (öffentlicher Schlüssel des Servers, Endpoint, AllowedIPs, PersistentKeepalive: 25) an.
Für VLESS – verwenden Sie v2rayNG oder NekoBox. Import über den Link vless:// oder QR-Code. Überprüfen Sie nach dem Import in den Peer-Einstellungen, ob der richtige Reality publicKey und shortId angegeben sind.
iPhone/iOS: VPN-Profile und Client-Anwendungen
Die iOS-Systemeinstellungen unterstützen nur IKEv2, L2TP und PPTP (letzteres sollte überhaupt nicht verwendet werden, da es unsicher ist). Pfad: Einstellungen → Allgemein → VPN und Geräteverwaltung → VPN → VPN-Konfiguration hinzufügen.
WireGuard, VLESS und Shadowsocks erfordern eine separate App aus dem App Store: WireGuard (offiziell), Streisand oder Shadowrocket für VLESS/Shadowsocks. Shadowrocket kostet 2,99 $ – kostenpflichtig, funktioniert aber stabiler als kostenlose Alternativen.
Windows: offizielle Clients und Systemeinstellungen
IKEv2 wird über die Systemsteuerung → Netzwerk → Verbindung erstellen → VPN konfiguriert. Für WireGuard – offizieller Client wireguard.com/install. Importieren Sie die .conf-Datei über „Tunnel hinzufügen“.
Überprüfen Sie nach der Verbindung, ob die Route 0.0.0.0/0 tatsächlich über den Tunnel geht:route printin der Eingabeaufforderung. Wenn die IPv6-Adresse ohne Route über VPN sichtbar ist, fügen Sie in AllowedIPs den Block ::/0 hinzu.
Mac und Apple TV
Auf dem Mac wird WireGuard aus dem App Store oder über Homebrew installiert (brew install wireguard-tools). Apple TV hat keinen eigenen VPN-Client — die Verbindung erfolgt nur über den Router (siehe unten). Ab tvOS 17 gibt es Unterstützung für IKEv2 über .mobileconfig-Profile, aber das ist ein Nischenszenario.
Router (OpenWrt/Keenetic) für das gesamte Netzwerk
Dies ist der einzige Weg, um VPN auf alle Geräte gleichzeitig anzuwenden — Smart TV, Konsolen, Apple TV. Auf Keenetic: Internet → Andere Verbindungen → WireGuard → Hinzufügen. Fügen Sie die Tunnelparameter, Peers, MTU und DNS hinzu.
Wichtig: Nach einem Firmware-Update von Keenetic oder OpenWrt kann die VPN-Konfiguration manchmal verloren gehen. Speichern Sie im Voraus eine Sicherungskopie der Konfiguration in einer Datei. Auf OpenWrt befindet sich die WireGuard-Konfiguration in /etc/config/network — Sie können sie mit scp sichern.
Smart TV und Spielkonsolen über den Router
Es sind keine zusätzlichen Maßnahmen an den Geräten selbst erforderlich — sie erhalten Internet vom Router, der bereits im Tunnel ist. Der einzige Punkt: Wenn VPN nur für einen Teil des Router-Traffics konfiguriert ist, stellen Sie sicher, dass die MAC-Adressen der benötigten Geräte in die „VPN-Zone“ der Routing-Konfiguration fallen.
Umgehung von Blockierungen und Drosselungen: YouTube, Instagram, Telegram und andere
Der Unterschied zwischen vollständiger Blockierung und Drosselung (Throttling) ist wichtig: Bei Drosselung ist die YouTube-Website technisch verfügbar, aber Videos laden nur in 144p. DPI identifiziert den Traffic und reduziert die Priorität, ohne ihn vollständig zu blockieren. Umgehung erfordert genau die Einstellungen, die den Typ des Traffics verbergen.
Drosselung von YouTube und welche Parameter helfen
Die Drosselung von YouTube in Russland funktioniert über TSPU (technische Mittel zur Bekämpfung von Bedrohungen) — die Ausrüstung von Roskomnadzor auf der Seite des Anbieters. Sie kann YouTube-Traffic selbst durch einige VPN-Protokolle erkennen.
Was hilft: VLESS+Reality auf Port 443 — der Traffic sieht aus wie gewöhnliches HTTPS zu einer externen Website. AmneziaWG — maskiert WireGuard als zufälligen, verschlüsselten Traffic. Shadowsocks mit dem obfs-Plugin — weniger zuverlässig, funktioniert aber in einigen Fällen. Reines WireGuard oder OpenVPN ohne Obfuskation kann von TSPU verarbeitet werden.
Instagram, Facebook, Twitter/X — Wahl des Protokolls
Diese Dienste sind von Roskomnadzor vollständig blockiert — sie sind nicht nur gedrosselt. Hier bietet jeder funktionierende VPN-Tunnel Zugang. Wenn der Anbieter jedoch das VPN-Protokoll selbst blockiert — sind maskierende Optionen erforderlich: VLESS/Reality, Shadowsocks, AmneziaWG. Standard OpenVPN auf 1194 oder WireGuard auf 51820 kann auf Protokollebene blockiert werden.
TikTok und WhatsApp
TikTok funktioniert 2026 in Russland instabil — einige Anbieter drosseln, andere nicht. Die gleiche Geschichte wie bei YouTube: VLESS/Reality oder AmneziaWG, Port 443 helfen. WhatsApp ist vorerst ohne VPN verfügbar, aber Anrufe werden manchmal unterbrochen — wenn ja, löst ein VPN mit UDP-Transport oft das Problem.
Telegram: VPN gegen integrierte Proxys (MTProto)
Telegram hat integrierte Unterstützung für MTProto-Proxys — das ist für viele Benutzer einfacher als die manuelle Konfiguration von VPN. Aber MTProto-Proxys verschlüsseln nicht den gesamten Traffic des Geräts, sondern nur Telegram. Wenn Zugang zu anderen Diensten benötigt wird — ist VPN die bessere Wahl. Bei der Auswahl eines VPN für Telegram verwenden Sie das UDP-Protokoll (WireGuard oder OpenVPN UDP) — die Latenz ist niedriger, die Anrufe sind qualitativ hochwertiger.
Was tun, wenn der Anbieter strenges DPI verwendet und Roskomnadzor das Protokoll blockiert
Vorgehensweise bei strengen DPI: Versuchen Sie zuerst, den Port auf 443 zu ändern. Wenn das nicht hilft — wechseln Sie zu einem maskierenden Protokoll (VLESS/Reality oder AmneziaWG). Wenn DPI beginnt, einen zuvor funktionierenden Port zu blockieren — rotieren Sie Ports und Protokolle. Ein guter VPN-Dienst bietet mehrere Endpunkte mit unterschiedlichen Ports genau dafür an.
Bei doppeltem NAT (Router hinter Router) werden UDP-Tunnel oft nicht aufgebaut — wechseln Sie zu TCP/443. Das ist langsamer, funktioniert aber.
Geschwindigkeitstest und Diagnose: Überprüfen, ob die Einstellung funktioniert
Hier werden keine erfundenen Zahlen angegeben. Die Geschwindigkeit hängt von Ihrem Tarif, der Serverauslastung und der Entfernung zu ihm ab. Die richtige Methode ist, selbst zu messen und zu vergleichen.
Wie man die Geschwindigkeit vor und nach der Verbindung misst
Verwenden Sie fast.com oder speedtest.net. Machen Sie 3 Messungen ohne VPN, notieren Sie den Durchschnitt. Verbinden Sie VPN, warten Sie 30 Sekunden, machen Sie weitere 3 Messungen. Vergleichen Sie. Ein Geschwindigkeitsverlust von 10–30 % bei einem guten VPN-Server mit naher Lage ist normal. Ein Verlust von 70 %+ ist ein Problem mit MTU, Server oder Protokoll.
Überprüfung auf DNS- und WebRTC-Lecks
Gehen Sie sofort nach der Verbindung auf dnsleaktest.com und führen Sie den erweiterten Test durch. Alle DNS-Server sollten dem VPN-Anbieter oder dem von Ihnen gewählten öffentlichen DNS (1.1.1.1, 9.9.9.9) gehören, aber nicht Ihrem Anbieter. Ein DNS-Leck bedeutet, dass der Anbieter Ihre Anfragen sieht, selbst wenn die IP verborgen ist.
Überprüfen Sie das WebRTC-Leck auf browserleaks.com/webrtc. Wenn Ihre echte IP im Browser sichtbar ist — deaktivieren Sie WebRTC über eine Erweiterung (z. B. uBlock Origin mit entsprechender Einstellung) oder in about:config von Firefox.
MTU-Anpassung: Symptome eines falschen Wertes
Ein klassisches Symptom für ein falsches MTU: Ping ist normal, aber große Seiten laden nicht oder nur teilweise, Videos hängen nach dem Puffern. Das passiert, weil kleine Pakete (Ping) durchkommen, während große fragmentiert oder verloren gehen.
Diagnose: Unter Linux/Mac führen Sieping -M do -s 1400<IP des Servers> und verringern Sie die Paketgröße, bis der Ping durchgeht. Fügen Sie 28 Byte (IP+ICMP-Header) hinzu — das ist Ihr optimales MTU. Unter Windows:ping -f -l 1400<IP>.
Warum die Geschwindigkeit sinkt und wie man das behebt
Diagnoseverfahren bei niedriger Geschwindigkeit:
- Überprüfen Sie das MTU (siehe oben) — meistens ist es der Schuldige.
- Wechseln Sie von UDP zu TCP oder umgekehrt — manchmal funktioniert eine der Optionen über den Anbieter besser.
- Wechseln Sie den Server zu dem geografisch nächstgelegenen — jede 100 ms Ping kosten Geschwindigkeit bei TCP.
- Überprüfen Sie die CPU-Auslastung des Routers — WireGuard im Softwaremodus auf einem schwachen Router stößt bei Geschwindigkeiten über 50 Mbit/s an die CPU-Grenzen.
Wenn all dies nicht geholfen hat — liegt das Problem wahrscheinlich an einem überlasteten VPN-Server oder daran, dass der Anbieter diesen Verkehrstyp aktiv drosselt. Dann — Wechsel des Protokolls oder des Servers.
Welches MTU sollte für WireGuard eingestellt werden, um die Geschwindigkeit nicht zu beeinträchtigen?
Beginnen Sie mit 1420 — das ist der Standardwert für die meisten Netzwerke. Wenn Sie Unterbrechungen oder langsame Ladezeiten bei normalem Ping bemerken, reduzieren Sie in Schritten von 10: 1410, 1400 und so weiter bis 1280. Mobile Netzwerke (4G/5G) und Netzwerke mit DPI erfordern oft 1360 oder weniger — Anbieter fügen ihren Paketen eigene Header hinzu, wodurch das effektive MTU verringert wird. Regel: Finden Sie die minimale Ping-Größe ohne Verluste — das ist Ihr MTU.
Welches Protokoll umgeht am besten DPI und die Blockierungen von Roskomnadsor?
Unter den Bedingungen Russlands im Jahr 2026 — VLESS+Reality und AmneziaWG. Beide tarnen sich als gewöhnlicher TLS 1.3 Verkehr, und DPI kann sie nicht zuverlässig von legitimen HTTPS unterscheiden. Reines WireGuard auf dem Standardport wird schnell erkannt — es hat einen charakteristischen Handshake. OpenVPN ohne tls-crypt und Obfuskation ist ebenfalls sichtbar. Wenn der Anbieter aktives Scanning anwendet (Testpakete an verdächtige Adressen sendet) — hält sich VLESS/Reality besser als Shadowsocks.
Kann man VPN manuell auf dem iPhone ohne App einrichten?
Ja, aber nur IKEv2/IPsec und das veraltete L2TP — über Einstellungen → Allgemein → VPN. Das sind in iOS integrierte Protokolle. WireGuard, VLESS, Shadowsocks und AmneziaWG erfordern eine separate App aus dem App Store: WireGuard (kostenlos), Shadowrocket ($2.99) oder Streisand. Ohne App funktionieren diese Protokolle auf iOS nicht — Einschränkung des Betriebssystems.
Warum funktioniert der manuelle VPN langsamer als die App?
Meistens — falsches MTU. An zweiter Stelle: Sie haben TCP gewählt, wo die App UDP verwendet hat (TCP fügt Overhead hinzu). Der dritte Grund — überlasteter oder weit entfernter Server. Der vierte — auf einem schwachen Router kann die CPU die Verschlüsselung nicht bewältigen. Überprüfen Sie in dieser Reihenfolge: MTU → UDP/TCP → Ping zum Server → CPU-Auslastung.
Welchen Port sollte man wählen, wenn der Anbieter VPN drosselt?
Port 443 TCP — die erste Wahl. Er wird von allen HTTPS-Verkehr im Internet verwendet, und der Anbieter kann ihn nicht blockieren, ohne die Hälfte der Websites abzuschalten. Das macht ihn am widerstandsfähigsten gegen Filterung. UDP/443 funktioniert ebenfalls und ist schneller als TCP — einige Anbieter filtern UDP auf 443 nicht. Wenn auch das blockiert wird — liegt das Problem nicht am Port, sondern am Protokoll selbst: Obfuskation ist erforderlich (VLESS/Reality, AmneziaWG).
Ist es legal, VPN mit manueller Konfiguration zu verwenden?
Die Verwendung von VPN zum Schutz persönlicher Daten und zum Zugang zu legalen Diensten ist für Privatpersonen in Russland nicht strafbar. Die rechtliche Seite der Angelegenheit in Bezug auf Ihre spezifische Situation sollte von einem Fachmann geklärt werden — wir sind keine Juristen und geben keine rechtlichen Garantien. Dieser Artikel behandelt ausschließlich technische Aspekte der VPN-Konfiguration für legale Zwecke.
Richtig ausgewählte beste VPN manuelle Einstellungen sind kein universelles Konfigurationsschema, sondern eine Reihe von Werten für einen bestimmten Anbieter und ein Gerät. Beginnen Sie mit WireGuard MTU 1420 und PersistentKeepalive 25, überprüfen Sie auf DNS-Lecks, messen Sie die Geschwindigkeit. Wenn der Anbieter blockiert — wechseln Sie zu VLESS/Reality oder AmneziaWG mit Port 443. Genau dieser Weg vom Einfachen zum Komplexen führt zu stabilen Ergebnissen.
Ähnliche Artikel
Das könnte Sie auch interessieren
Neva VPN: Übersicht, Einrichtung und Umgehung von Sperren 20...
Neva VPN: Übersicht, Einrichtung und Umgehung von Sperren 2026 Wenn Sie auf den Namen Neva VPN gesto...
WeiterlesenWie man VPN auf dem Keenetic-Router 2026 installiert: Schrit...
Wie man VPN auf dem Keenetic-Router 2026 installiert: Schritt für Schritt Wenn Sie herausfinden möch...
WeiterlesenTelegram funktioniert nicht mit aktiviertem VPN: Gründe und...
Telegram funktioniert nicht mit aktiviertem VPN: Gründe und Lösungen Warum funktioniert Telegram nic...
Weiterlesen