DNS-Leck in VPN: wie man es überprüft und behebt

Sie haben VPN aktiviert, aber der Anbieter sieht trotzdem, dass Sie auf YouTube oder Instagram zugreifen. Klingt nach Paranoia – bis man es überprüft. Ein DNS-Leck ist einer der häufigsten Gründe, warum VPN schlechter schützt, als es scheint. Wenn Sie mit instabilen Zugriffen auf gesperrte Seiten konfrontiert sind oder einfach nur sicherstellen möchten, dass alles sicher ist –DNS-Leck in VPN: Lösung gibt es eine Lösung für dieses Problem, und sie ist einfacher, als Sie denken.

Was ist ein DNS-Leck und warum ist es gerade in Russland gefährlich?

DNS ist das Telefonbuch des Internets. Wenn Sie instagram.com eingeben, fragt Ihr Gerät zuerst den DNS-Server: „Welche IP hat diese Domain?“. Erst dann erfolgt die Verbindung. Das Problem ist, dass VPN die Verbindung selbst verschlüsselt, aber die DNS-Anfrage möglicherweise den Tunnel umgeht – direkt zum Server Ihres Anbieters.

Fazit: Der Inhalt ist verschlüsselt, aber die Tatsache, dass Sie auf die Domain telegram.org oder youtube.com zugegriffen haben, ist es nicht.

Wie DNS-Anfragen bei aktiviertem VPN funktionieren

Idealerweise sieht es so aus: Gerät → verschlüsselter VPN-Tunnel → DNS-Server des VPN-Anbieters → Website. Die Anfrage geht durch den Tunnel, der Anbieter in Russland sieht nur den verschlüsselten Datenstrom zur IP des VPN-Servers und sonst nichts.

Aber wenn etwas schiefgeht – sendet das Betriebssystem die DNS-Anfrage direkt, bevor der Tunnel sie abfangen kann. Oder parallel zum Tunnel. Das ist das Leck.

Warum DPI und Anbieter Domains selbst über VPN sehen

Russische Anbieter nutzen aktiv DPI (Deep Packet Inspection) – eine Technologie zur tiefen Paketinspektion. Die TSPU, die Roskomnadzor den Anbietern auferlegt hat, analysieren den Datenverkehr unter anderem auf der Ebene der DNS-Anfragen.

Wenn Ihre DNS-Anfrage unverschlüsselt an den Server des Anbieters gesendet wird, sieht das DPI-System die Domain. Danach folgt die Blockierung oder Drosselung, das ist die Verlangsamung von YouTube, weshalb viele VPN verwenden. Es ergibt sich ein Teufelskreis: VPN ist vorhanden, aber die Verlangsamung bleibt bestehen.

Welche Gefahren ein DNS-Leck beim Umgehen von RKN-Sperren birgt

Der Anbieter erhält eine Liste von Domains, auf die Sie zugreifen. Das reicht aus, um eine Blockierung selbst bei aktivem VPN anzuwenden. Der Datenverkehr ist zwar verschlüsselt – sie wissen nicht, was genau Sie auf YouTube angesehen haben, aber sie wissen, dass Sie dort waren, und können die Verbindung auf der Ebene der DNS-Antwort drosseln oder blockieren.

Für diejenigen, die VPN speziell zum Umgehen von Sperren bei Instagram, Facebook, TikTok, Twitter/X oder Telegram verwenden – macht ein DNS-Leck den Schutz praktisch zunichte.

Wie man ein DNS-Leck in einer Minute überprüft

Die Überprüfung dauert buchstäblich eine Minute. Aktivieren Sie VPN, öffnen Sie den Browser und folgen Sie der Anleitung unten. Es sind keine speziellen Kenntnisse erforderlich.

Test auf dnsleaktest.com und browserleaks.com

Der einfachste Weg ist, aufdnsleaktest.com bei aktivem VPN zu gehen. Die Website zeigt, welche DNS-Server Ihre Anfragen gerade bearbeiten. Ähnlich funktioniertbrowserleaks.com/dns – dort gibt es etwas mehr Details zur Browserkonfiguration.

Eine weitere Möglichkeit istipleak.net. Es zeigt sofort die IP-Adresse, DNS und WebRTC auf einer Seite, was für eine schnelle umfassende Überprüfung praktisch ist.

Was unterscheidet den Standard- vom erweiterten Test

Auf dnsleaktest.com gibt es zwei Schaltflächen: Standard-Test und Erweiterter Test. Der Standard-Test führt etwa 6 Anfragen durch, der Erweiterte 36. Der Unterschied ist wichtig: Bei einem Standard-Test treten einige Lecks nicht auf, weil das Betriebssystem die Anfragen zwischenspeichert oder der Lastenausgleich sie versehentlich über den Tunnel weitergibt.

Führen Sie immer den erweiterten Test durch. Das dauert etwa 20 Sekunden, aber das Ergebnis ist zuverlässig.

Wie man das Ergebnis liest: welche IPs und Länder vorhanden sein sollten

Nach dem Test sehen Sie eine Liste von DNS-Servern mit IP-Adressen und Geolokalisierung. Wenn Sie sich mit einem VPN-Server in Deutschland verbunden haben – sollten in der Liste deutsche oder neutrale DNS-Server Ihres VPN-Anbieters sein.

Wenn in der Liste eine russische IP oder ein Server mit dem Namen Ihres Anbieters (z. B. dns.mts.ru oder etwas Ähnliches in der Geolokalisierung) erscheint – haben Sie ein Leck. Das ist ein direkter Beweis dafür, dass die DNS-Anfragen den Tunnel umgehen.

Zusätzliche Überprüfung auf WebRTC-Leck

WebRTC ist eine eigene Geschichte. Browser wie Chrome und Firefox verwenden es für Videoanrufe, und es kann Ihre echte IP selbst bei aktivem VPN offenbaren. Überprüfen kann man aufbrowserleaks.com/webrtc.

Wenn Sie Ihre echte russische IP-Adresse neben der VPN-IP sehen — müssen Sie WebRTC im Browser deaktivieren. In Firefox geschieht dies über about:config → media.peerconnection.enabled → false. In Chrome ist es einfacher, die Erweiterung uBlock Origin mit aktivierter WebRTC-Blockierungsoption zu installieren.

Wie man DNS-Lecks auf verschiedenen Geräten behebt

Es gibt keine universelle Lösung — jede Plattform hat ihre eigene Spezifik. Nachfolgend sind spezifische Schritte für jedes Gerät aufgeführt.

Windows: Adaptereinstellungen und die Option Block outside DNS

In Windows ist das Problem oft damit verbunden, dass das System weiterhin DNS-Anfragen über den physischen Netzwerkadapter parallel zum VPN sendet. Es gibt zwei Lösungen.

Erste — wenn Sie einen OpenVPN-Client haben, fügen Sie in die Konfiguration die Zeileblock-outside-dnsein. Dies schließt DNS außerhalb des Tunnels auf der Ebene der Windows Filtering Platform. Funktioniert zuverlässig, getestet.

Zweite — DNS manuell in den Einstellungen des VPN-Adapters eintragen: Systemsteuerung → Netzwerkverbindungen → VPN-Adapter → Eigenschaften → IPv4 → DNS des VPN-Anbieters eintragen (in der Regel in der Dokumentation angegeben). Außerdem in den Einstellungen der anderen Adapter (Wi-Fi, Ethernet) den automatischen DNS entfernen, damit das System bei einem Tunnelabbruch nicht auf diese zugreift.

Kill Switch — unbedingt. Die meisten normalen VPN-Clients (Mullvad, ProtonVPN, NvoVPN) haben ihn in den Einstellungen. Ohne ihn wechselt das System bei einem kurzen VPN-Abbruch sofort zu einer direkten Verbindung, und DNS geht an den Anbieter.

Android: Privates DNS und Verhalten verschiedener VPN-Anwendungen

Android 9+ hat die systemweite Funktion Privates DNS (DNS-over-TLS) hinzugefügt. Es klingt nach Schutz — aber genau das verursacht oft Lecks. Privates DNS funktioniert auf Systemebene und kann den VPN-Tunnel umgehen.

Überprüfen Sie: Einstellungen → Netzwerk → Erweitert → Privates DNS. Wenn dort „Automatisch“ oder eine externe Adresse eingetragen ist — ist das ein potenzielles Leck bei aktivem VPN. Bei Verwendung einer VPN-Anwendung mit eigenem DNS-Resolver (wie die meisten normalen Clients) ist es besser, Privates DNS auf „Aus“ oder „Deaktiviert“ zu schalten.

Zusätzlich: Einige Android-Anwendungen wie Psiphon oder einfache Proxy-Clients proxen nur HTTP-Traffic, aber nicht DNS. Das Ergebnis — ein klassisches Leck. Verwenden Sie einen vollständigen VPN-Client mit dem Modus „All Traffic“.

iPhone/iOS: Besonderheiten von Profilen und iCloud Private Relay

Auf iOS wird VPN normalerweise über Profile (.mobileconfig) oder über integrierte Clients eingerichtet. Die meisten anständigen VPN-Anwendungen auf iOS behandeln DNS normal — sie tunneln es über ihren Server.

Aber es gibt einen Punkt:iCloud Private Relay. Wenn Sie ein iCloud+-Abonnement haben, kann Private Relay aktiviert sein, und es wird DNS unabhängig vom VPN verarbeiten. Bei gleichzeitiger Nutzung werden die Ergebnisse des DNS-Tests unvorhersehbar — Sie sehen entweder Apple-Server oder VPN-Server.

Lösung: Deaktivieren Sie iCloud Private Relay, wenn Sie VPN verwenden. Einstellungen → [Ihr Apple ID] → iCloud → Private Relay → ausschalten. Sie lösen ähnliche Aufgaben, stören sich aber gegenseitig.

macOS: manuelle DNS-Konfiguration und Überprüfung

Auf macOS wird DNS separat für jede Netzwerkschnittstelle eingetragen. Wenn VPN eine virtuelle Schnittstelle (utun0 und ähnliche) erstellt, muss sichergestellt werden, dass das systemweite DNS für Wi-Fi und Ethernet es nicht überschreibt.

Systemeinstellungen → Netzwerk → Wi-Fi auswählen → Erweitert → DNS. Wenn dort die Server des Anbieters eingetragen sind — ersetzen Sie sie durch den DNS Ihres VPN-Dienstes oder lassen Sie sie vorübergehend leer, wenn VPN aktiv ist. Nach den Änderungen starten Sie VPN neu und wiederholen den Test auf dnsleaktest.com.

Router und Smart TV/Apple TV: DNS auf Netzwerkebene

Smart TV, Apple TV, PlayStation, Xbox — sie haben keine eigenen VPN-Clients. Sie können keine Anwendung auf einem Samsung-Fernseher installieren. Der einzige Weg, diese Geräte zu schützen, besteht darin, VPN und DNS auf Routerebene einzurichten.

Auf Routern mit OpenWRT-, DD-WRT- oder Keenetic-Firmware (in Russland beliebt) kann der VPN-Client direkt auf dem Router eingerichtet werden, und der DNS des VPN-Anbieters kann in den DHCP-Servereinstellungen angegeben werden. Dann verwenden alle Geräte im Netzwerk, einschließlich Fernseher und Konsolen, automatisch den geschützten DNS.

Wichtiger Punkt: Wenn Sie Double NAT haben (z. B. Router des Anbieters + Ihr Router) — kann der auf dem Router des Anbieters eingetragene DNS Ihre Einstellungen überschreiben. Stellen Sie sicher, dass Ihr Router im Router-Modus und nicht im Bridge-Modus arbeitet und dass er DHCP an die Geräte im Netzwerk verteilt.

Abhängigkeit des Lecks vom Protokoll: WireGuard, OpenVPN, IKEv2, VLESS

Das Protokoll ist wichtig — und nicht alle gehen gleich mit DNS um. Lassen Sie uns ehrlich sein, ohne Marketing.

Warum WireGuard und OpenVPN sich unterschiedlich verhalten

OpenVPN verhält sich bei richtiger Konfiguration (Parameterblock-outside-dns auf Windows, Option redirect-gateway def1 in der Konfiguration) so, dass es gesamten Traffic einschließlich DNS tunnelt. Bewährte Option, funktioniert vorhersehbar.

WireGuard ist architektonisch etwas anders — es unterstützt block-outside-dns nicht nativ. Aber die meisten WireGuard-Clients (Mullvad App, offizielles WireGuard für Windows) implementieren diesen Schutz auf Anwendungsebene. In der WireGuard-Konfiguration gibt es den ParameterDNS = im Abschnitt [Interface] — wenn er angegeben ist, verwendet der Client den angegebenen DNS und blockiert den systemeigenen. Wenn er nicht angegeben ist — ist ein Leak fast garantiert.

IKEv2 tunnelt DNS normal bei Verwendung nativer Clients auf Windows und iOS. Auf Android ist es etwas komplizierter — es hängt von der Implementierung ab.

Shadowsocks und VLESS/XRay: DNS außerhalb des Haupttunnels

Hier schweigen die meisten Artikel. Shadowsocks und VLESS/XRay sind Proxy-Protokolle, keine vollwertigen VPNs. Sie umgehen DPI und Blockaden des RKN hervorragend, insbesondere in Kombination mit Obfuskation. Aber standardmäßig proxyen sie den Datenverkehr von Anwendungen (TCP/UDP), während DNS-Anfragen direkt über den systemeigenen Resolver gehen.

Wenn Sie Clients wie v2rayN, Nekobox oder sing-box mit VLESS/XRay verwenden — müssen Sie die DNS-Regeln separat konfigurieren. In sing-box geschieht dies im Abschnitt dns der Konfiguration: Sie geben den Server an (zum Beispiel 1.1.1.1 über Proxy) und die DNS-Routing-Regeln. Ohne dies — klassisches Leak, selbst wenn der gesamte HTTP-Datenverkehr über den Proxy läuft.

Amnezia und Obfuskation: was beeinflusst wird im Kontext von DNS

AmneziaVPN und andere Obfuskationstools (obfs4, Cloak, GoodbyeDPI) verbergen die Signatur des VPN-Datenverkehrs vor DPI. Dies hilft, die Blockade des VPN-Protokolls selbst zu umgehen, löst jedoch nicht das Problem des DNS-Leaks.

Amnezia basiert auf WireGuard oder OpenVPN — das bedeutet, dass alles, was über diese Protokolle gesagt wurde, auch hier gilt. Obfuskation funktioniert auf der Transportschicht, DNS ist eine separate Schicht. Wenn das Basisprotokoll richtig konfiguriert ist, wird DNS durch den Tunnel geleitet. Wenn nicht — geht es vorbei, und Obfuskation hilft dabei nicht.

Was zu wählen ist, wenn der Schutz vor Leaks wichtig ist

Für maximalen Schutz von DNS — klassische VPN-Protokolle mit richtig konfiguriertem Client. WireGuard mit angegebenem DNS in der Konfiguration oder OpenVPN mit block-outside-dns — beide funktionieren gut. Einige Dienste, einschließlich NvoVPN, geben ihren eigenen DNS innerhalb des Tunnels weiter, was die Notwendigkeit beseitigt, dies manuell zu konfigurieren.

Wenn Sie VLESS/XRay verwenden — vergessen Sie nicht, das DNS-Routing in sing-box oder v2ray zu konfigurieren. Das ist nicht schwierig, erfordert aber einen zusätzlichen Schritt in der Konfiguration.

Was NICHT funktioniert und häufige Fehler

Im Laufe der Jahre haben sich einige hartnäckige Mythen angesammelt. Hier ist, was wirklich nicht funktioniert — und warum.

Ändern des DNS auf 8.8.8.8 schließt das Leak nicht

Das ist wohl der häufigste Rat im Internet. „Geben Sie Google DNS 8.8.8.8 oder Cloudflare 1.1.1.1 an — und es wird kein Leak geben“. Das ist falsch.

Die Änderung des DNS-Servers ändert nur,wer Ihre Anfrage erhält. Aber wenn die Anfrage außerhalb des Tunnels geht — passiert sie trotzdem unverschlüsselt über das Netzwerk des Anbieters, und DPI sieht sie. Sie haben nur den Empfänger von dns.provider.ru auf 8.8.8.8 geändert, aber die Route geht immer noch über den Anbieter. Das ist keine Lösung.

Browsererweiterungen anstelle von systemeigenem VPN

Erweiterungen wie „VPN für Chrome“ oder „Proxy für Firefox“ schützen nur den Datenverkehr des Browsers selbst. Systemweite DNS-Anfragen, Anfragen anderer Anwendungen, Messenger — all das geht vorbei. Die Erweiterung vermittelt ein falsches Gefühl von Sicherheit.

Das Gleiche gilt für WebRTC-Blocker — sie schließen nur ein bestimmtes Leak im Browser, beeinflussen jedoch nicht den systemeigenen DNS.

Deaktivierter Kill Switch und Verbindungsabbrüche

Der Kill Switch ist kein optionales Feature. Es ist ein kritisches Element des Schutzes. Bei einem kurzen Abbruch des VPN (Netzwerkwechsel, instabiles Wi-Fi-Signal, IP-Wechsel) wechselt das Betriebssystem sofort zu einer direkten Verbindung. Die DNS-Anfrage geht an den Anbieter — alles, Leak festgestellt.

Der Abbruch kann 2-3 Sekunden dauern. Ausreichend, damit die DNS-Anfrage für die geöffnete Website direkt geht. Wenn Ihr Client einen Kill Switch hat — aktivieren Sie ihn. Wenn der Client keinen Kill Switch bietet — suchen Sie nach einem anderen. So siehtein DNS-Leak des VPN aus: Lösung auf der Ebene der Einstellungen.

Und noch eine unterschätzte Situation: ein Unternehmens-DNS-Filter oder eine Elternkontrolle, die auf dem Gerät konfiguriert ist. Solche Tools überschreiben oft den systemeigenen DNS und arbeiten unabhängig vom VPN. Wenn auf dem Gerät ein MDM-Profil oder eine Elternkontroll-App mit eigenem DNS installiert ist — wird sie die Anfragen unabhängig von den VPN-Einstellungen abfangen.

Wenn Sie die Einstellungen verstanden haben, den Extended Test gestartet haben und sichergestellt haben, dass die DNS-Server Ihrem VPN-Anbieter gehören und nicht einem russischen Betreiber —DNS-Leak des VPN: Lösung gefunden und das Problem behoben. Überprüfen Sie dies regelmäßig, insbesondere nach Updates von Anwendungen oder des Systems.