Sie haben eine VPN installiert, um Ihr Surfen privat zu halten. Aber selbst wenn das Verbindungszeichen sagt, dass Sie geschuetzt sind, gibt es eine Luecke, die das leise untergraben kann: ein DNS-Leak. Dieser Leitfaden erklaert, was ein DNS-Leak ist, warum er wichtig ist und wie Sie ihn genau auf Ihrem Android-Telefon mit kostenlosen Tools testen. Keine Angstmache und kein Versprechen, dass eine einzelne VPN lecksicher sei, nur ein ehrlicher, praktischer Weg, Ihre eigene Konfiguration zu verifizieren.
Wenn Sie neu dabei sind, was eine VPN verbirgt und was nicht, hilft es, mit unserem realistischen Privatsphaeren-Leitfaden unter /blog/what-does-a-vpn-hide zu beginnen. Dieser Artikel konzentriert sich speziell auf den DNS-Leak-Aspekt.
Was ist ein DNS-Leak?
Jedes Mal, wenn Sie eine Website oeffnen oder eine App verwenden, die das Internet erreicht, muss Ihr Geraet den menschenlesbaren Domainnamen (wie example.com) in eine numerische IP-Adresse uebersetzen, die Computer zum Weiterleiten von Verkehr verwenden. Diese Uebersetzung wird von einer DNS-Anfrage behandelt, die an einen DNS-Resolver gesendet wird, einen Server, der die Antwort nachschlaegt und die IP zurueckgibt.
Ohne VPN gehen diese DNS-Anfragen normalerweise zum Resolver Ihres Internetanbieters. Das bedeutet, dass Ihr Anbieter jede Domain sehen kann, die Sie abfragen, was ein Protokoll der Websites ist, die Sie besuchen, selbst wenn der tatsaechliche Seiteninhalt mit HTTPS verschluesselt ist.
Wenn Sie eine VPN aktivieren, besteht das Ziel darin, den gesamten Verkehr, einschliesslich DNS-Anfragen, durch den verschluesselten VPN-Tunnel zum eigenen DNS-Resolver des VPN-Anbieters zu leiten. Ihr Anbieter sollte dann nur eine verschluesselte Verbindung zu einem VPN-Server sehen, nicht die einzelnen Domains, die Sie besuchen.
Ein DNS-Leak tritt auf, wenn Ihre DNS-Anfragen nicht durch den VPN-Tunnel gehen. Stattdessen entweichen sie zum Standard-Resolver auf Ihrem Geraet oder Netzwerk, normalerweise dem Ihres Anbieters. Das Ergebnis ist, dass Ihr Anbieter oder jeder, der diesen Resolver betreibt, noch sehen kann, welche Domains Sie abfragen, obwohl Ihr Datenverkehr selbst verschluesselt ist. Es ist eine teilweise Luecke in dem Schutz, den Sie erwartet haben, kein totales Versagen der Verschluesselung.
Warum ein DNS-Leak wichtig ist
Ein DNS-Leak gibt nicht den Inhalt Ihres Webverkehrs preis. HTTPS verschluesselt weiterhin die Seiten, die Sie laden, Ihre Passwoerter und Ihre Formularuebermittlungen. Was er preisgibt, sind Metadaten: die Liste der Domains, nach denen Ihr Geraet gefragt hat. Das sagt einem Beobachter, welche Websites und Dienste Sie besucht haben, selbst wenn er nicht sehen kann, was Sie dort getan haben.
Fuer viele Menschen ist diese Unterscheidung der ganze Sinn der Nutzung einer VPN. Wenn Sie eine installiert haben, damit Ihr Anbieter, ein Netzwerkadministrator oder jemand in Ihrem lokalen Netzwerk nicht sehen kann, welche Sites Sie besuchen, dann besiegt ein DNS-Leak dieses Ziel leise. Der verschluesselte Tunnel schuetzt Ihre Daten, aber dieleckenden DNS-Anfragen uebergeben Ihren Browserverlauf dennoch an Dritte.
Es lohnt sich auch, das Risiko in die richtige Perspektive zu setzen. Ein DNS-Leak macht Ihren Verkehr nicht lesbar, legt Ihre Passwoerter nicht offen und ermoeglicht niemandem, sich als Sie auszugeben. Es ist eine Privatsphaeren-Luecke, kein Sicherheitsversto. Es zu verstehen, hilft Ihnen zu verifizieren, dass Ihre VPN das tut, was Sie erwarten, ohne die Gefahr zu uebertreiben. Fuer einen breiteren Blick darauf, was eine VPN realistisch schuetzt, siehe /blog/what-does-a-vpn-hide.
Wie Sie einen DNS-Leak auf Android testen
Einen DNS-Leak zu testen ist unkompliziert und dauert etwa zwei Minuten. Sie verwenden ein kostenloses, browserbasiertes Tool. Es ist keine App-Installation erforderlich.
Schritt 1: Verbinden Sie Ihre VPN auf Ihrem Android-Telefon. Stellen Sie sicher, dass der VPN-Status als verbunden angezeigt wird, bevor Sie fortfahren.
Schritt 2: Oeffnen Sie einen Webbrowser (Chrome, Firefox oder Ihren bevorzugten Browser) und gehen Sie zu einer seriösen Leak-Test-Seite. Zwei weit verbreitete Optionen sind dnsleaktest.com und ipleak.net. Beide sind kostenlos und fuehren den Test in Ihrem Browser aus.
Schritt 3: Tippen Sie auf dnsleaktest.com auf die Standardtest-Schaltflaeche. Auf ipleak.net laeuft der Test automatisch beim Laden der Seite und prueft auch auf andere Leak-Typen wie IP und WebRTC.
Schritt 4: Warten Sie einige Sekunden, bis der Test abgeschlossen ist. Die Seite zeigt eine Liste von DNS-Servern an, die auf Ihre Test-Anfragen geantwortet haben.
Schritt 5: Schauen Sie sich die Servernamen und ihre Hosting-Firma oder ihren Anbieter an. Das ist der entscheidende Teil. Der naechste Abschnitt erklaert genau, worauf Sie achten muessen.
Sie koennen den Test mehrmals ausfuehren, um sicherzugehen. Die DNS-Aufloesung kann manchmal verschiedene Server erreichen, sodass konsistente Ergebnisse ueber zwei oder drei Durchlaeufe beruhigender sind als eine einzelne Pruefung.
Wie Sie die Ergebnisse lesen
Der Test funktioniert, indem er Ihr Geraet bittet, mehrere Domains nachzuschlagen, und Ihnen dann zeigt, welche DNS-Server tatsaechlich geantwortet haben. Diese Server sagen Ihnen, wohin Ihre DNS-Anfragen gehen.
Wenn die aufgelisteten DNS-Server zu Ihrem VPN-Anbieter gehoeren, normalerweise mit dem Namen des Anbieters oder einer Hosting-Firma im Land des VPN-Servers angezeigt, wird Ihr DNS durch den Tunnel geleitet. Das ist das erwartete Ergebnis ohne Leak. Einige VPNs verwenden bekannte oeffentliche Resolver wie Google DNS oder Cloudflare als ihren internen DNS, sodass diese Namen ebenfalls normal sein koennen, wenn sie mit dem uebereinstimmen, was Ihre VPN dokumentiert.
Wenn die aufgelisteten DNS-Server zu Ihrem eigenen Internetanbieter gehoeren, dem Unternehmen, dem Sie fuer den Internetzugang zahlen, ist das ein DNS-Leak. Ihre DNS-Anfragen umgehen den VPN-Tunnel und gehen direkt zum Resolver Ihres Anbieters, was bedeutet, dass Ihr Anbieter sehen kann, welche Domains Sie besuchen.
Wenn Sie eine Mischung oder Server sehen, die Sie nicht erkennen, untersuchen Sie weiter. Einige VPNs verwenden designgemaess DNS-Anbieter von Drittanbietern, und das kann legitim sein. Die entscheidende Frage ist, ob der Resolver Ihres eigenen Anbieters in der Liste erscheint. Wenn ja, haben Sie hoechstwahrscheinlich einen Leak.
Ein schneller Weg zur Bestaetigung: Fuehren Sie denselben Test mit getrennter VPN aus und notieren Sie die DNS-Server Ihres Anbieters. Verbinden Sie dann die VPN und fuehren Sie ihn erneut aus. Wenn die Anbieter-Server verschwinden, wenn die VPN eingeschaltet ist, sind Sie geschuetzt. Wenn sie bleiben, leakt das DNS.
Haeufige Ursachen fuer DNS-Lecks
DNS-Lecks bedeuten normalerweise nicht, dass Ihre VPN kaputt ist. Sie treten aus einer Handvoll spezifischer, verstaendlicher Gruende auf.
Split-Tunneling ist eine der haeufigsten Ursachen. Einige VPNs erlauben Ihnen zu waehlen, welche Apps oder Verkehr durch den Tunnel gehen und welche Ihre normale Verbindung verwenden. Wenn der DNS-Verkehr so eingestellt ist, dass er den Tunnel umgeht, werden Ihre Anfragen lecken. Ueberpruefen Sie die Split-Tunneling-Einstellungen Ihrer VPN und stellen Sie sicher, dass DNS nicht ausgeschlossen ist.
IPv6-Lecks sind eine weitere Ursache. Wenn Ihr Netzwerk IPv6 unterstuetzt und Ihre VPN nur IPv4-Verkehr tunneln, koennen DNS-Anfragen ueber IPv6 ausserhalb des Tunnels entweichen. Einige Test-Tools pruefen dies separat. Wenn Ihre VPN IPv6 nicht behandelt, muessen Sie moeglicherweise IPv6 auf Ihrem Geraet oder Netzwerk deaktivieren, um die Luecke zu schliessen.
Netzwerkwechsel koennen zu temporaeren Lecks fuehren. Wenn Sie von WLAN zu Mobilfunk wechseln oder Ihr Telefon kurzzeitig die Verbindung verliert und wiederherstellt, kann es einen Moment geben, in dem DNS-Anfragen hinausgehen, bevor sich der VPN-Tunnel wiederherstellt. Ein Kill-Switch hilft hier. Er blockiert den gesamten Verkehr, wenn die VPN nicht aktiv verbunden ist, und verhindert Lecks waehrend dieser Luecken.
Die VPN-Konfiguration ist ebenfalls wichtig. Nicht jede VPN zwingt den gesamten DNS-Verkehr durch den Tunnel. Einige verlassen sich auf die Standard-DNS-Einstellungen des Geraets, die auf Ihren Anbieter verweisen koennen. Wenn Ihre VPN den System-DNS-Resolver nicht ueberschreibt, sind Lecks wahrscheinlicher. Dies ist ein Grund, warum Testen wertvoller ist als Schutz anzunehmen.
Wie Sie das Risiko von DNS-Lecks verringern
Es gibt praktische Schritte, die Sie unternehmen koennen, um die Wahrscheinlichkeit eines Lecks zu minimieren, obwohl kein einzelner Schritt eine Garantie ist.
Aktivieren Sie den Kill-Switch Ihrer VPN, falls sie einen hat. Ein Kill-Switch schneidet den gesamten Internetverkehr ab, sobald die VPN die Verbindung trennt, was verhindert, dass DNS-Anfragen waehrend der Wiederverbindungs-Luecken leaken. Dies ist einer der effektivsten Schutze vor temporaeren Lecks.
Ueberpruefen Sie die DNS-Einstellungen Ihrer VPN. Einige VPNs erlauben Ihnen zu waehlen, welchen DNS-Resolver Sie verwenden moechten, oder sie haben eine Einstellung, die den gesamten DNS durch den Tunnel zwingt. Wenn es eine Option gibt, den eigenen DNS der VPN zu verwenden oder DNS-Lecks zu verhindern, aktivieren Sie sie.
Gehen Sie bewusst mit IPv6 um. Wenn Ihre VPN IPv6 vollstaendig unterstuetzt, stellen Sie sicher, dass es aktiviert ist. Wenn nicht, ziehen Sie in Betracht, IPv6 auf Ihrem Android-Geraet zu deaktivieren, um zu verhindern, dass IPv6-DNS-Anfragen den Tunnel umgehen. Die Einstellung finden Sie normalerweise unter Ihrer WLAN- oder Mobilfunknetzkonfiguration.
Ueberpruefen Sie die Split-Tunneling-Regeln. Wenn Sie Split-Tunneling verwenden, stellen Sie sicher, dass der DNS-Verkehr durch die VPN geleitet und nicht davon ausgeschlossen wird. Testen Sie nach Aenderung der Split-Tunnel-Einstellungen, um zu bestaetigen, dass die Aenderung funktioniert hat.
Testen Sie regelmaessig, nicht nur einmal. DNS-Lecks koennen nach App-Updates, Betriebssystem-Updates oder Netzwerkaenderungen auftreten. Ein kurzer Test alle paar Wochen oder nach jeder groesseren Aenderung Ihrer Konfiguration gibt Ihnen die Gewissheit, dass Ihre VPN den DNS weiterhin korrekt leitet.
Wenn Sie auch Schwierigkeiten haben, Ihre VPN ueberhaupt zu verbinden, was ein anderes Problem ist, siehe unseren Android-Loesungsleitfaden unter /blog/vpn-not-connecting-android.
Wie Zaylo heute mit DNS umgeht
Zaylo VPN ist derzeit eine Android-Beta/Pilot. Das bedeutet, dass es heute real und nutzbar ist, aber noch reift, und wir werden nicht behaupten, dass es lecksicher oder fertig sei. Wir werden auch keine spezifischen DNS-Resolver-Spezifikationen, Serverkonfigurationen oder Garantien erfinden, die wir nicht bestaetigt haben.
Was wir foerdern, ist genau das, was dieser Leitfaden lehrt: Testen Sie es selbst. Verbinden Sie Zaylo auf Ihrem Android-Geraet, fuehren Sie einen DNS-Leak-Test auf dnsleaktest.com oder ipleak.net aus und lesen Sie die Ergebnisse mit dem obigen Rahmen. Das sagt Ihnen mehr als jede Marketing-Aussage, die wir machen koennten.
Wenn Sie verstehen moechten, was eine VPN realistisch schuetzt und nicht schuetzt, bevor Sie testen, siehe /blog/what-does-a-vpn-hide. Fuer einen breiteren Bewertungsrahmen, einschliesslich Protokollierungsrichtlinie, Protokolltransparenz und wie man eine VPN auswaehlt, siehe /blog/choosing-android-vpn. Und um mit Zaylo auf Android zu beginnen, siehe unseren Einrichtungsleitfaden unter /blog/zaylo-vpn-android-setup.
Eine kurze Checkliste: Ueberpruefen Sie Ihr VPN-DNS in fuenf Minuten
Verbinden Sie Ihre VPN und bestaetigen Sie, dass sie als aktiv angezeigt wird.
Oeffnen Sie einen Browser und besuchen Sie dnsleaktest.com oder ipleak.net.
Fuehren Sie den Standardtest aus und warten Sie auf die DNS-Serverliste.
Pruefen Sie, ob die DNS-Server Ihres eigenen Anbieters in den Ergebnissen erscheinen.
Wenn ja, ueberpruefen Sie Ihren Kill-Switch, Split-Tunneling, IPv6 und DNS-Einstellungen und testen Sie erneut.
Wenn nein und die Server mit Ihrem VPN-Anbieter uebereinstimmen, wird Ihr DNS durch den Tunnel geleitet.
Fuehren Sie den Test noch einmal aus, um zu bestaetigen, dass das Ergebnis konsistent ist.
Fragen, die dieser Artikel beantwortet
Was ist ein DNS-Leak?
Ein DNS-Leak tritt auf, wenn Ihr Geraet seine Domainnamen-Abfragen (DNS-Anfragen) ausserhalb des VPN-Tunnels an Ihren Standard-DNS-Resolver sendet, normalerweise den Ihres Internetanbieters. Das bedeutet, dass Ihr Anbieter noch sehen kann, welche Websites und Dienste Sie besuchen, obwohl Ihr tatsaechlicher Verkehr durch das VPN verschluesselt ist. Es ist eine Privatsphaeren-Luecke in der DNS-Schicht, kein Versagen Ihrer Verkehrsverschluesselung.
Wie teste ich einen DNS-Leak auf meinem Telefon?
Verbinden Sie Ihre VPN, oeffnen Sie einen Browser und besuchen Sie eine kostenlose Testseite wie dnsleaktest.com oder ipleak.net. Fuehren Sie den Standardtest aus und schauen Sie, welche DNS-Server geantwortet haben. Wenn sie zu Ihrem Internetanbieter gehoeren, haben Sie wahrscheinlich einen Leak. Wenn sie zu Ihrem VPN-Anbieter oder seinem dokumentierten DNS-Resolver gehoeren, laeuft Ihr DNS durch den Tunnel. Die ganze Pruefung dauert etwa zwei Minuten.
Woran erkenne ich, ob meine VPN DNS leakt?
Schauen Sie sich die DNS-Serverliste aus einem Leak-Test an. Wenn Sie die DNS-Server Ihres eigenen Internetanbieters sehen, umgehen Ihre Anfragen die VPN und das ist ein Leak. Eine zuverlaessige Methode zur Bestaetigung ist, den Test mit ausgeschalteter VPN auszufuehren, die Server Ihres Anbieters zu notieren und ihn dann erneut mit eingeschalteter VPN auszufuehren. Wenn die Anbieter-Server verschwinden, sind Sie geschuetzt. Wenn sie bleiben, leakt das DNS.
Was verursacht einen VPN-DNS-Leak?
Die haeufigsten Ursachen sind Split-Tunneling, das DNS-Verkehr ausschliesst, IPv6-Anfragen, die eine VPN umgehen, die nur IPv4 tunnelt, VPN-Konfigurationen, die nicht den gesamten DNS durch den Tunnel zwingen, und kurze Luecken beim Netzwerkwechsel oder Wiederverbinden, wenn kein Kill-Switch aktiv ist. Keine dieser Ursachen bedeutet normalerweise, dass die VPN kaputt ist. Es sind Konfigurations- und Netzwerkprobleme, die Sie untersuchen und oft beheben koennen.
Wie verhindere ich, dass meine VPN DNS leakt?
Aktivieren Sie den Kill-Switch Ihrer VPN, falls vorhanden, damit der Verkehr blockiert wird, wenn der Tunnel abbricht. Pruefen Sie, ob Ihre VPN eine Einstellung hat, die den gesamten DNS durch den Tunnel zwingt oder ihren eigenen DNS-Resolver verwendet. Ueberpruefen Sie die Split-Tunneling-Regeln, um sicherzustellen, dass DNS nicht ausgeschlossen ist. Wenn Ihre VPN IPv6 nicht vollstaendig unterstuetzt, ziehen Sie in Betracht, IPv6 auf Ihrem Geraet zu deaktivieren. Testen Sie dann erneut, um zu bestaetigen, dass die Aenderung funktioniert hat.
Schuetzt Zaylo VPN vor DNS-Leaks?
Zaylo ist heute eine Android-Beta/Pilot, und wir behaupten nicht, dass es lecksicher ist, noch erfinden wir DNS-Spezifikationen, die wir nicht bestaetigt haben. Was wir empfehlen, ist, dass Sie es selbst mit den kostenlosen Tools und dem Rahmen in diesem Leitfaden testen. Verbinden Sie Zaylo, fuehren Sie einen DNS-Leak-Test aus und lesen Sie die Ergebnisse. Das sagt Ihnen genau, wie sich Ihre Konfiguration verhaelt, was ehrlicher ist als jede pauschale Garantie.