1. Was ist ein DNS-Leak?
Um zu verstehen, was ein DNS-Leak ist, hilft ein kurzer Ausflug in die Grundlagen des Internets. DNS steht für „Domain Name System" und ist das Telefonbuch des Internets. Wenn du „vpn-best.com" in deinen Browser eingibst, fragt dein Gerät einen DNS-Server: „Welche IP-Adresse gehört zu dieser Domain?" Der DNS-Server antwortet mit der IP-Adresse, und dein Browser baut dann die eigentliche Verbindung auf.
Ein VPN soll deinen gesamten Internetverkehr durch einen verschlüsselten Tunnel leiten – einschließlich dieser DNS-Anfragen. Ein DNS-Leak passiert, wenn diese DNS-Anfragen am VPN-Tunnel vorbeigehen und stattdessen direkt an den DNS-Server deines Internetanbieters geschickt werden. Das bedeutet: Dein ISP sieht zwar nicht den Inhalt deines Traffics, aber er sieht genau, welche Domains du anfragst – und damit, welche Webseiten du besuchst. Deine IP-Adresse mag verborgen sein, aber dein Surfverhalten nicht.
2. Wann treten DNS-Leaks auf?
DNS-Leaks können verschiedene Ursachen haben. Die häufigste ist ein falsch konfiguriertes VPN: Manche VPN-Apps leiten zwar den eigentlichen Datenverkehr durch den Tunnel, vergessen aber, auch die DNS-Anfragen umzuleiten. Das betrifft vor allem günstige oder unseriöse VPN-Anbieter sowie manuell eingerichtete VPN-Verbindungen, bei denen der DNS-Server nicht explizit konfiguriert wurde.
Auf Windows kann ein systemweites Feature namens „Smart Multi-Homed Name Resolution" dazu führen, dass DNS-Anfragen gleichzeitig an mehrere DNS-Server – einschließlich des ISP-DNS – gesendet werden, selbst wenn das VPN aktiv ist. Auch ein IPv6-Leak kann das Problem verschlimmern: Wenn das VPN nur IPv4-Traffic tunnelt, aber dein Gerät auch IPv6 nutzt, können IPv6-DNS-Anfragen am Tunnel vorbeigehen. Browser wie Chrome und Firefox können zudem über eine Funktion namens WebRTC deine echte IP-Adresse preisgeben – dazu mehr in Abschnitt 5.
3. Kostenloser DNS-Leak-Test: Schritt für Schritt
Einen DNS-Leak zu testen ist einfach und dauert weniger als eine Minute. Hier sind die Schritte:
Schritt 1: Stelle sicher, dass dein VPN aktiv und verbunden ist. Öffne ProtonVPN und prüfe, ob die Verbindung hergestellt ist.
Schritt 2: Öffne in deinem Browser eine der folgenden Test-Seiten: dnsleaktest.com oder ipleak.net. Beide sind kostenlos und erfordern keine Registrierung.
Schritt 3: Klicke auf „Standard test" (bei dnsleaktest.com) oder warte, bis die Seite automatisch lädt. Nach einigen Sekunden siehst du eine Liste der DNS-Server, die dein Gerät für die Anfragen genutzt hat.
Was bedeutet das Ergebnis? Wenn du ausschließlich ProtonVPN-DNS-Server siehst – erkennbar an „Proton" im Namen oder an einem Standort in der Schweiz oder einem anderen Land, mit dem du dich verbunden hast –, ist alles in Ordnung. Wenn du hingegen DNS-Server deines Internetanbieters siehst (häufig mit dem Namen deines ISP oder einem Standort in deiner Heimatstadt), liegt ein DNS-Leak vor.
4. Wie ProtonVPN DNS-Leaks verhindert
ProtonVPN ist mit einem eingebauten DNS-Leak-Schutz ausgestattet, der automatisch aktiv ist. Wenn du dich mit ProtonVPN verbindest, verwendet dein Gerät automatisch ProtonVPNs eigene DNS-Server. Alle DNS-Anfragen werden durch den verschlüsselten VPN-Tunnel geleitet, ohne jemals deinen Internetanbieter zu erreichen. Du musst dafür nichts manuell konfigurieren.
Zusätzlich verwendet ProtonVPN auf Windows einen erweiterten DNS-Leak-Schutz, der speziell das Problem der Smart Multi-Homed Name Resolution adressiert. Auf allen Plattformen werden auch IPv6-DNS-Anfragen korrekt durch den Tunnel geleitet, um IPv6-Leaks zu verhindern. Das Ergebnis: Wenn du ProtonVPN nutzt und den eingebauten DNS-Leak-Schutz nicht manuell deaktiviert hast, solltest du im DNS-Leak-Test ausschließlich ProtonVPN-Server sehen. Das haben wir selbst getestet und bestätigt.
5. WebRTC-Leak: Ein separates Problem
WebRTC ist eine Browser-Technologie, die direkte Peer-to-Peer-Verbindungen ermöglicht – zum Beispiel für Video-Chats und Online-Spiele. Das Problem: WebRTC kann deine echte lokale und öffentliche IP-Adresse preisgeben, selbst wenn ein VPN aktiv ist. Das passiert, weil WebRTC die IP-Adresse auf einer anderen Ebene abfragt als das VPN sie verbergen kann.
Ein WebRTC-Leak ist kein DNS-Leak, aber ebenfalls ein Datenschutzproblem. Du kannst ihn auf browserleaks.com testen. Wenn dort deine echte IP-Adresse erscheint, obwohl das VPN aktiv ist, hast du einen WebRTC-Leak. Die Lösung: In Firefox kannst du WebRTC unter about:config mit dem Eintrag media.peerconnection.enabled = false deaktivieren. In Chrome ist das ohne Erweiterung nicht möglich – hier helfen Erweiterungen wie „WebRTC Network Limiter". Auf Mobilgeräten ist WebRTC-Leaking in der Regel kein Problem, da mobile Browser WebRTC anders handhaben.
6. DNS-Leak trotz ProtonVPN: mögliche Ursachen
Wenn du trotz aktivem ProtonVPN einen DNS-Leak feststellst, gibt es einige mögliche Ursachen. Am häufigsten liegt es an einer falsch konfigurierten Split-Tunneling-Einstellung: Wenn du bestimmte Apps oder IP-Ranges vom VPN-Tunnel ausgeschlossen hast, können deren DNS-Anfragen ebenfalls aus dem Tunnel herausfallen. Prüfe deine Split-Tunneling-Einstellungen in der ProtonVPN-App.
Eine weitere häufige Ursache ist ein manuell eingetragener systemweiter DNS-Server, der das VPN-DNS überschreibt. Auf Windows unter Einstellungen → Netzwerk → Adaptereinstellungen kann ein statischer DNS-Server eingetragen sein, der Vorrang vor dem VPN-DNS hat. Entferne diese manuelle Einstellung und lass ProtonVPN den DNS automatisch verwalten. In seltenen Fällen kann auch ein Betriebssystem-Update die VPN-DNS-Konfiguration zurücksetzen – nach größeren Windows- oder macOS-Updates lohnt sich daher ein erneuter DNS-Leak-Test.
7. Weitere Tests: IPv6-Leak und IP-Check
Neben dem DNS-Leak-Test gibt es weitere nützliche Checks, um die Sicherheit deines VPNs zu prüfen. Auf ipleak.net siehst du nicht nur deinen DNS-Server, sondern auch ob IPv6-Adressen geleakt werden. Ein IPv6-Leak kann auftreten, wenn dein Netzwerk IPv6 unterstützt, aber das VPN es nicht korrekt tunnelt. ProtonVPN schützt standardmäßig auch IPv6-Traffic, also solltest du hier grünes Licht sehen.
Für einen schnellen IP-Check eignet sich auch was-ist-meine-ip.de oder ein einfaches Suchen nach „meine IP" in Google. Dort solltest du – bei aktiver ProtonVPN-Verbindung – die IP-Adresse des VPN-Servers sehen, nicht deine echte Heimnetz-IP. Stimmt die angezeigte IP mit dem Standort überein, mit dem du dich bei ProtonVPN verbunden hast, ist dein VPN korrekt konfiguriert. Diese einfache Prüfung kannst du nach jeder VPN-Verbindung durchführen, um sicherzugehen, dass alles funktioniert.