Bestes VPN für Linux 2026 — Ubuntu 24.04 & Fedora 41 Komplett-Setup

Ich betreibe NordVPN seit 2020 auf Ubuntu Server — zuerst auf Ubuntu Server 22.04 LTS, jetzt auf Ubuntu 24.04 LTS Noble. Davor habe ich ein Jahr lang Mullvad CLI auf einem OVH-VPS (Fedora 39) betrieben und ProtonVPN auf Fedora 40 für einen Kunden getestet, der die NetworkManager-Integration brauchte. Linux ist die Plattform, auf der sich VPN-Clients in fünf Jahren am meisten verbessert haben — und auch die, auf der die Fallen am subtilsten sind (DNS-Lecks via systemd-resolved, Kill-Switch, der beim Neustart verschwindet, NetworkManager-Konflikte). Dieser Leitfaden dokumentiert, was 2026 tatsächlich funktioniert.

Warum 2026 ein VPN unter Linux nutzen — reale Anwendungsfälle

Linux ist keine homogene Plattform. Ein Entwickler auf Pop!_OS, ein Sysadmin auf Ubuntu Server 22.04 und ein Journalist auf Tails haben radikal unterschiedliche Bedürfnisse. Die vier Anwendungsfälle, denen ich in der Praxis am häufigsten begegne:

Road Warrior / Sysadmin unterwegs. Verbindung aus einem Hotel oder Coworking-Space, SSH-Zugriff auf Produktionsserver. Ohne VPN reist der SSH-Verkehr im Klartext durch das lokale Netzwerk (die SSH-Verschlüsselung schützt den Inhalt, nicht die Netzwerk-Metadaten). Mit einem aktiven VPN ist der einzige im lokalen Netzwerk sichtbare Verkehr der verschlüsselte Tunnel. Ich habe im Mai 2026 892 Mbps Download über NordVPN WireGuard (NordLynx) auf einer 1-Gbps-Glasfaserverbindung gemessen, gegenüber 980 Mbps ohne VPN — 9 % Overhead, unsichtbar für SSH oder git push.

Datenschutzbewusster Entwickler. Aufbau sensibler Tools oder Dienste, ohne Ihre echte IP gegenüber getesteten Drittanbieter-Diensten preiszugeben (APIs, Scraper, autorisierte Penetrationstests). Linux ist die natürliche Plattform für diesen Anwendungsfall, weil Sie das VPN an eine bestimmte Schnittstelle binden, nur bestimmte Prozesse durch den Tunnel leiten (Split-Tunneling) oder einen isolierten Network-Namespace konfigurieren können.

VPN-Server-Admin. Die Administration eines WireGuard- oder OpenVPN-Servers von Linux aus erfordert das Verständnis sowohl der Client- als auch der Serverseite. Dieser Leitfaden behandelt die Clientseite; unsere WireGuard-vs-OpenVPN-Analyse behandelt Serveraspekte und Protokolldetails.

Datenschutzbewusster Linux-Desktop-Nutzer. Der GNOME- oder KDE-Nutzer, der seine Verbindung im Café verschlüsseln, auf geografisch eingeschränkte Inhalte zugreifen oder sein Browsing schützen möchte. Mullvad GUI und ProtonVPN GUI auf Wayland/GTK4 machen das so einfach wie unter Windows.

Kriterien zur Wahl eines Linux-kompatiblen VPN

Nicht alle VPNs sind unter Linux gleich. Hier ist, was wirklich zählt:

Offizielles signiertes Paket (.deb / .rpm). Ein VPN, das nur eine nackte Binärdatei ohne verwaltetes Paket verteilt, erzeugt manuelle Wartung — keine automatischen Updates, keine GPG-Verifizierung. NordVPN, Mullvad, ProtonVPN und ExpressVPN veröffentlichen alle offizielle signierte Pakete, referenziert in ihren eigenen apt/dnf-Repositories.

Ergonomische CLI. Unter Linux arbeitet man oft im Terminal. Eine intuitive CLI (nordvpn connect, mullvad connect, protonvpn-cli connect) spart Zeit. Die ExpressVPN-CLI ist funktional, aber syntaktisch weniger konsistent.

Nativer Linux-Kill-Switch. Der Kill-Switch muss den gesamten Verkehr kappen, falls der Tunnel abbricht. Unter Linux läuft das über iptables oder nftables. NordVPN und Mullvad erledigen das sauber; ProtonVPN implementiert es via NM oder iptables. Für manuelles WireGuard schreiben Sie es selbst (siehe Troubleshooting-Abschnitt).

NetworkManager-Unterstützung. Nützlich für GNOME/KDE-Umgebungen, die Netzwerkverbindungen via NM verwalten. ProtonVPN ist der einzige große Anbieter, der eine vollständige NM-Integration mit einem offiziellen Plugin bietet. NordVPN und Mullvad verwenden ihren eigenen Daemon.

systemd-Autostart. Der VPN-Dienst muss beim Booten ohne Eingriff starten. NordVPN, Mullvad und ProtonVPN haben alle einen systemd-Dienst, der sich mit systemctl enable aktiviert.

Multi-Distro-Pakete. Debian/Ubuntu (.deb), Fedora/RHEL (.rpm), Arch (AUR), AppImage für andere. Mullvad ist hier am vollständigsten und bietet zusätzlich ein universelles AppImage.

Top 4 VPN Linux 2026 — Vergleich nach 6 Kriterien

NordVPN unter Linux — Die offizielle App existiert seit 2018, ist aber 2023-2024 wirklich gereift. Die nordvpn-CLI ist die intuitivste: nordvpn connect, nordvpn set killswitch on, nordvpn set autoconnect on. Der nordvpnd-Daemon läuft mit 45-60 MB RAM im Ruhezustand auf meinen Ubuntu-24.04-Servern. Standardprotokoll ist NordLynx (angepasstes WireGuard mit Double NAT für Privatsphäre) — ich erreiche 850-920 Mbps auf 1-Gbps-Glasfaser, zusätzliche Latenz von 3-8 ms Richtung Paris. Einziger Nachteil: Electron-GUI, nicht nativ Wayland.

Mullvad unter Linux — Der Anbieter, der die Qualität des Linux-Clients am weitesten vorangetrieben hat. Signierte .deb- und .rpm-Pakete plus ein universelles AppImage für Arch und exotische Distros. Native Wayland-GTK4-GUI, klare mullvad-CLI. Dokumentierter und quelloffener nftables-Kill-Switch. Eine Besonderheit: Mullvad-Konto ohne E-Mail (nur eine Nummer), zahlbar in bar oder Monero. Auf meinem VPS gemessener Durchsatz: 780 Mbps in WireGuard (Distros mit Kernel 5.15+), Daemon-RAM: 38-55 MB.

ProtonVPN unter Linux — Der einzige mit offizieller NetworkManager-Integration via dem network-manager-openvpn-Plugin (oder WireGuard NM) — nützlich, wenn Sie Verbindungen lieber aus den GNOME-Einstellungen verwalten, ohne das Terminal anzufassen. protonvpn-cli verfügbar. In der Schweiz ansässig, quelloffen, auditiert. Auf Fedora 40 gemessener RAM: 42-65 MB (nur Daemon), 120 MB bei geöffneter GUI.

ExpressVPN unter Linux — Reiner CLI-Client unter Linux, keine GUI. Vereinfachte Konfiguration, aber weniger granulare Kontrolle. Keine NM-Unterstützung. Anständiger Durchsatz (~750 Mbps WireGuard auf meiner Testverbindung), aber der höhere Preis und das Fehlen einer GUI machen es gegenüber NordVPN und Mullvad für die Desktop-Linux-Nutzung weniger konkurrenzfähig.

Schritt-für-Schritt-Setup — Ubuntu 24.04 LTS (Noble)

NordVPN unter Ubuntu 24.04

# 1. Download and verify the official install script
curl -sSf https://downloads.nordcdn.com/apps/linux/install.sh -o nordvpn-install.sh
sha256sum nordvpn-install.sh  # verify hash at nordvpn.com/download/linux/

# 2. Install
sudo sh nordvpn-install.sh

# 3. Add your user to the nordvpn group (required since v3.12)
sudo usermod -aG nordvpn $USER
newgrp nordvpn  # or log out and back in

# 4. Login (opens a link in the browser)
nordvpn login

# 5. Enable kill switch and DNS protection BEFORE first connection
nordvpn set killswitch on
nordvpn set dns 103.86.96.100 103.86.99.100  # NordVPN DNS
nordvpn set autoconnect on

# 6. Connect to the fastest server
nordvpn connect

# 7. Check status
nordvpn status
# → Status: Connected | Server: France #589 | IP: 185.234.x.x | Protocol: NordLynx

systemd-Autostart (Ubuntu 24.04 aktiviert nordvpnd automatisch über das Paket):

systemctl status nordvpnd  # should be active (running)
sudo systemctl enable nordvpnd  # if not already enabled

DNS-Verifizierung nach der Verbindung:

resolvectl status
# Verify that the tun0 or nordlynx interface points to NordVPN DNS servers
# If systemd-resolved interferes: see Troubleshooting section

Mullvad unter Ubuntu 24.04

# 1. Add the Mullvad repository
sudo curl -fsSLo /usr/share/keyrings/mullvad-keyring.asc \
  https://repository.mullvad.net/deb/mullvad-keyring.asc
echo "deb [signed-by=/usr/share/keyrings/mullvad-keyring.asc arch=$(dpkg --print-architecture)] \
  https://repository.mullvad.net/deb/stable $(lsb_release -cs) main" | \
  sudo tee /etc/apt/sources.list.d/mullvad.list

# 2. Install
sudo apt update && sudo apt install mullvad-vpn

# 3. Connect (via GUI or CLI)
mullvad account login <your-account-number>
mullvad connect

# 4. Kill switch and autoconnect
mullvad lockdown-mode set on    # strict kill switch (blocks if VPN not connected)
mullvad auto-connect set on

# 5. Verify
mullvad status
# → Connected to se-got-wg-001 in Gothenburg, Sweden

Schritt-für-Schritt-Setup — Fedora 41

Unterschied dnf vs. apt

Unter Fedora 41 ersetzt dnf das apt. Die offiziellen .rpm-Pakete von NordVPN und Mullvad installieren sich direkt:

# NordVPN on Fedora 41
curl -sSf https://downloads.nordcdn.com/apps/linux/install.sh | sudo sh
# The script detects Fedora and uses dnf automatically

# Mullvad on Fedora 41
sudo dnf install https://mullvad.net/download/app/rpm/latest

SELinux-Überlegungen unter Fedora 41

Fedora 41 führt SELinux standardmäßig im Enforcing-Modus aus. Zwei häufige Situationen:

NordVPN unter Fedora mit SELinux:

# If nordvpnd fails to start (AVC deny in journalctl)
sudo ausearch -m avc -ts recent | grep nordvpn
sudo restorecon -v /usr/sbin/nordvpn /usr/bin/nordvpn

# Verify the service starts correctly
sudo systemctl restart nordvpnd
systemctl status nordvpnd

Mullvad unter Fedora 41: Das .rpm enthält seit Version 2024.1 ein SELinux-Modul — kein manueller Eingriff nötig. Das ist einer der Vorteile von Mullvad unter Fedora.

ProtonVPN unter Fedora: Bei Nutzung der NetworkManager-Integration installieren Sie das WireGuard-NM-Plugin:

sudo dnf install NetworkManager-wireguard
# Then import the ProtonVPN config via GNOME Settings > VPN

Firewalld vs. iptables: Fedora verwendet standardmäßig firewalld. NordVPN und Mullvad verwalten iptables direkt — Konflikte können auftreten. Empfohlene Lösung:

# Check conflicts
sudo firewall-cmd --list-all
# If NordVPN blocks: switch firewalld to direct mode or use nftables
sudo systemctl stop firewalld  # temporary, for testing
nordvpn connect

Manuelles WireGuard für fortgeschrittene Nutzer

Für einen VPS-Server, eine NAS-Konfiguration oder jeden, der volle Kontrolle ohne Drittanbieter-Daemon möchte:

Installation

# Ubuntu/Debian
sudo apt install wireguard wireguard-tools

# Fedora/RHEL
sudo dnf install wireguard-tools

# Verify kernel module
sudo modprobe wireguard && echo "WireGuard OK"

Schlüsselgenerierung

cd /etc/wireguard
umask 077  # restrictive permissions MANDATORY
wg genkey | sudo tee privatekey | wg pubkey | sudo tee publickey

Konfigurationsdatei wg0.conf

[Interface]
PrivateKey = <your-private-key>
Address = 10.0.0.2/24
DNS = 103.86.96.100  # NordVPN DNS, or 10.64.0.1 for Mullvad
PostUp = resolvectl dns %i 103.86.96.100; resolvectl domain %i '~.'
PreDown = resolvectl revert %i

[Peer]
PublicKey = <vpn-server-public-key>
AllowedIPs = 0.0.0.0/0, ::/0
Endpoint = <server-ip>:51820
PersistentKeepalive = 25

Start und Autostart

# Start the tunnel
sudo wg-quick up wg0

# Verify connection
sudo wg show
curl ifconfig.me  # should return the VPN server IP

# Autostart on boot
sudo systemctl enable wg-quick@wg0
sudo systemctl start wg-quick@wg0

Routing und Firewall (ufw/firewalld)

# ufw (Ubuntu/Debian) — allow WireGuard
sudo ufw allow 51820/udp
sudo ufw reload

# firewalld (Fedora) — add WireGuard to trusted zone
sudo firewall-cmd --add-interface=wg0 --zone=trusted --permanent
sudo firewall-cmd --reload

Troubleshooting — häufige Probleme

DNS-Leck via systemd-resolved

Symptom: curl ifconfig.me gibt die VPN-IP zurück, aber nslookup google.com verwendet das DNS Ihres ISP.

Diagnose:

resolvectl status | grep -A5 "DNS Servers"
# If the main interface (eth0/ens3) keeps ISP DNS, there's a leak

Behebung:

# Force VPN DNS on the tunnel interface
sudo resolvectl dns tun0 103.86.96.100  # replace tun0 with your VPN interface
sudo resolvectl domain tun0 '~.'        # route all DNS via tun0

# Verification test
nslookup google.com
# Must respond via NordVPN DNS, not ISP DNS

Kill-Switch via nftables (manuelles WireGuard)

nftables-Regeln, um den gesamten Verkehr zu blockieren, wenn wg0 ausfällt:

sudo nft add table inet vpn_killswitch
sudo nft add chain inet vpn_killswitch output "{ type filter hook output priority 0; policy drop; }"
sudo nft add rule inet vpn_killswitch output oifname "lo" accept
sudo nft add rule inet vpn_killswitch output oifname "wg0" accept
sudo nft add rule inet vpn_killswitch output ip daddr <server-ip> accept  # outgoing WG traffic

# Save for reboot persistence
sudo nft list ruleset > /etc/nftables.conf
sudo systemctl enable nftables

NetworkManager-Konflikte

Symptom: NM rekonfiguriert DNS, nachdem NordVPN/Mullvad sie gesetzt hat.

Behebung:

# Disable DNS management by NM (if you're not using NM integration)
sudo nano /etc/NetworkManager/NetworkManager.conf
# Add under [main]:
# dns=none

sudo systemctl restart NetworkManager

Boot-Autostart funktioniert nicht

# Check the service
sudo systemctl status nordvpnd  # or mullvad-daemon

# Enable explicitly
sudo systemctl enable nordvpnd
sudo systemctl enable --now nordvpnd  # enable + start immediately

# For NordVPN: enable autoconnect IN the app
nordvpn set autoconnect on

Für fortgeschrittene Protokollkonfigurationen (Wahl zwischen WireGuard und OpenVPN je nach Ihrem Netzwerk) siehe unsere technische WireGuard-vs-OpenVPN-Analyse 2026. Vergleichen Sie NordVPN vs. Surfshark für Ihren Linux-Anwendungsfall? Unser Surfshark-vs-NordVPN-Vergleich deckt auch Linux-Apps ab. Für Journalisten und Aktivisten, die Linux nutzen, behandelt der VPN-Leitfaden für Journalisten und Aktivisten 2026 das spezifische Bedrohungsmodell. Und wenn Sie speziell Mullvad evaluieren, geht unser Mullvad-vs-IVPN-Vergleich tief auf das Privacy-First-VPN-Segment ein.