DNS-Leak-Test 2026: vollständige Methode + Behebung nach Betriebssystem

DNS — Domain Name System, definiert in RFC 1034 — ist das Adressbuch des Internets. Wenn Sie anonymflow.com in Ihren Browser eingeben, fragt Ihr Computer einen DNS-Server nach der entsprechenden IP-Adresse. Der Server antwortet 198.51.100.42, und die Verbindung kann hergestellt werden. Das Problem: Wenn diese DNS-Anfrage Ihren VPN-Tunnel umgeht, sieht Ihr Internetanbieter (ISP) die exakte Liste der von Ihnen besuchten Domains — selbst wenn Ihr gesamter übriger Traffic im VPN-Tunnel verschlüsselt ist. Das nennt man einen DNS-Leak, und unser interner Audit über 6 große VPNs zeigt, dass er 2026 bei nicht auditierten Konfigurationen häufig bleibt.

Warum treten DNS-Leaks auf? Die 4 technischen Ursachen

Ein DNS-Leak tritt auf, wenn Namensauflösungsanfragen über den Resolver Ihres Providers statt über den VPN-Tunnel austreten, obwohl das VPN aktiv ist. Die vier Ursachen: (1) Windows Smart Multi-Homed DNS sendet Anfragen parallel auf alle Schnittstellen; (2) Browser-DoH (Firefox, Chrome) umgeht das System-DNS vollständig; (3) VPN ohne native DNS-Verwaltung; (4) nicht getunneltes IPv6, bei dem IPv6-DNS-Anfragen im Klartext austreten.

Ein VPN kapselt Ihren Traffic in einem verschlüsselten Tunnel zwischen Ihrem Gerät und dem entfernten VPN-Server. Theoretisch laufen alle Anfragen — einschließlich DNS — durch diesen Tunnel. In der Praxis umgehen mehrere Systemkonfigurationen den Tunnel speziell für DNS-Anfragen. Das Verständnis der vier Hauptursachen erlaubt es, die für Sie zutreffende zu identifizieren und die richtige Behebung anzuwenden.

Ursache #1 — Windows und Smart Multi-Homed DNS. Seit Windows 8 hat Microsoft ein Verhalten namens Smart Multi-Homed Name Resolution (SMHNR) implementiert, das DNS-Anfragen parallel an alle aktiven Netzwerkadapter sendet und die erste eingegangene Antwort behält. Wenn ein VPN verbunden ist, sendet Windows die Anfrage daher sowohl an das DNS des VPN ALS AUCH an das DNS des Providers über die zugrunde liegende WLAN-/Ethernet-Schnittstelle. Trifft die Antwort des Providers zuerst ein (lokal oft der Fall), wird sie verwendet und der Provider hat die Anfrage protokolliert. Es ist ein dokumentiertes „by design"-Verhalten, das systematische Lecks bei VPNs erzeugt, die SMHNR nicht explizit deaktivieren.

Ursache #2 — Browser mit separat aktiviertem DoH. Firefox aktiviert DNS-over-HTTPS standardmäßig in Richtung Cloudflare 1.1.1.1 seit 2020. Chrome bietet dieselbe Funktion. Diese Browser-DoH-Resolver umgehen das System-DNS vollständig — also auch das des VPN — es sei denn, der Browser erkennt spezifisch das Vorhandensein eines aktiven VPN. Firefox erkennt es manchmal durch Betrachtung der aktiven Netzwerkschnittstelle; Chrome weniger systematisch. Ergebnis: Ihre DNS-Anfragen aus dem Browser gehen direkt an Cloudflare, außerhalb des VPN-Tunnels.

Ursache #3 — VPN ohne native DNS-Verwaltung. Manche minderwertigen VPNs deklarieren ihre eigenen DNS-Server nicht in der Systemkonfiguration, wenn der Tunnel aktiviert wird. Das OS verwendet dann weiterhin die DNS-Server, die es zuvor hatte — typischerweise die des per DHCP zugewiesenen Providers. Das ist bei den meisten kostenlosen VPNs und mehreren sekundären kostenpflichtigen VPNs der Fall. NordVPN, ExpressVPN und Surfshark handhaben dies seit ihren Versionen ab 2023 korrekt.

Ursache #4 — Nicht getunneltes IPv6. Viele VPNs kapseln nur IPv4-Traffic in ihrem Tunnel. IPv6-Traffic — der jedoch bei Free, bestimmten Orange-Konfigurationen und allen modernen Boxen standardmäßig aktiv ist — tritt direkt außerhalb des VPN aus. IPv6-DNS-Anfragen landen bei den IPv6-DNS-Servern des Providers, der sie protokolliert. Die Lösung: die Option „IPv6-Traffic blockieren" oder „IPv6 tunneln" im VPN aktivieren. NordVPN unterstützt IPv6-Tunneling seit 2024.

Wie testen Sie auf ein DNS-Leak? (3-Tool-Methode)

2-Minuten-Test: Bei aktivem VPN gehen Sie zu dnsleaktest.com → Extended Test. Das Tool listet auf, welche DNS-Server Ihre Anfragen aufgelöst haben. Sehen Sie die Resolver Ihres Providers (Orange, Comcast, BT, Free), ist es ein bestätigtes Leck. Gegenprüfung mit browserleaks.com/dns, um zu isolieren, ob die Quelle das System oder das DoH des Browsers ist.

Die klassische Methode besteht darin, einen Dienst zu besuchen, der Ihnen sagt, welcher DNS-Server seine Anfrage tatsächlich aufgelöst hat. Diese Dienste funktionieren, indem sie eine eindeutige zufällige Subdomain generieren (abc123xyz.dnsleaktest.com), ihre Auflösung aus Ihrem Browser auslösen und serverseitig auslesen, welche IP die Auflösung durchgeführt hat. Drei anerkannte Drittanbieter-Tools erlauben eine Gegenprüfung der Ergebnisse.

Tool #1 — DNSLeakTest.com. Der Referenztest seit 2008. Vorgehen: VPN verbinden, URL öffnen, „Extended Test" klicken (nicht „Standard Test", der unzureichend ist), 10–20 Sekunden warten. Das Tool listet die DNS-Server auf, die geantwortet haben — typischerweise 2 bis 6 verschiedene Resolver (moderne DNS-Server nutzen lastverteilte Architekturen). Vergleichen Sie mit den DNS-Servern Ihres Providers: bei Übereinstimmung Leck bestätigt.

Tool #2 — BrowserLeaks DNS. Ergänzender Test, der Standard-DNS, DNS-over-HTTPS und über WebRTC erkannte Resolver gegenprüft. Besonders nützlich, um zu erkennen, ob das Leck vom Browser kommt (DoH aktiviert) statt vom System. Nach dnsleaktest.com ausführen, um die Konsistenz des Ergebnisses zu validieren.

Tool #3 — unser integriertes Tool /tools/dns-leak-test. Speziell für den WebRTC-Test (der 2026 die häufigste browserseitige Leck-Ursache ist) untersucht das interne Tool der Website die WebRTC-ICE-Kandidaten aus Ihrem Browser und offenbart Ihre echte IP, falls auf dieser Ebene ein Leck besteht.

Um das DNS Ihres Providers zum Vergleich mit den Ergebnissen zu identifizieren: googeln Sie „DNS Orange" (Resolver 80.10.246.X), „DNS Free" (212.27.40.240 und 212.27.40.241), „DNS SFR" (109.0.66.20), „DNS Bouygues" (194.158.122.10). Stimmt die von DNSLeakTest angezeigte Adresse mit einem Provider-Bereich oder dem Namen seines autonomen Systems (AS) überein, lecken Sie. Stimmt sie mit NordVPN („Tefincom", AS136787), ExpressVPN, Cloudflare (AS13335), Quad9 (AS19281), Google Public DNS (AS15169) überein, ist alles in Ordnung.

So beheben Sie es je nach erkannter Ursache

Fall 1 — VPN mit ruhender Option „DNS Leak Protection"

Der häufigste und einfachste Fall. Bei NordVPN, Surfshark, ExpressVPN, ProtonVPN, Mullvad existiert die DNS-Leak-Schutz-Option, kann aber bei älteren Installationen standardmäßig deaktiviert sein. Prüfvorgehen bei NordVPN: Settings → Connection → Custom DNS Protection → „Auto DNS" oder „NordVPN DNS" aktivieren. Bei Surfshark: Settings → Connectivity → Custom DNS → deaktivieren (Surfshark verwalten lassen). Bei ExpressVPN: Preferences → Advanced → DNS Network Lock → als aktiviert prüfen.

Nach der Aktivierung das VPN neu starten (trennen / wieder verbinden), dann den DNSLeakTest wiederholen. In den meisten Fällen verschwindet das Leck an dieser Stelle.

Fall 2 — Windows Smart Multi-Homed DNS

Wenn die Aktivierung des VPN-DNS-Schutzes nicht ausreicht und Sie unter Windows 10/11 sind, ist der Übeltäter wahrscheinlich SMHNR. Manuelle Deaktivierung über PowerShell als Administrator:

Set-DnsClientGlobalSetting -SmartMultiHomedNameResolution $false

Dieser Befehl deaktiviert das SMHNR-Verhalten vollständig. Zum späteren Wiederaktivieren: Set-DnsClientGlobalSetting -SmartMultiHomedNameResolution $true. Nach der Deaktivierung den Computer neu starten. SMHNR wird erst bei einem größeren Windows-Update wieder aktiviert (nach jedem Windows-Feature-Update erneut prüfen).

Weniger invasive Alternative: die VPN-Schnittstellenpriorität mit Get-NetAdapter | Set-NetIPInterface -InterfaceMetric 1 erzwingen, was alle VPN-Schnittstellen auf höhere Priorität setzt. Weniger zuverlässig als das Deaktivieren von SMHNR, berührt aber die Windows-Registry nicht.

Fall 3 — Firefox mit DoH-Umgehung

Wenn der BrowserLeaks-DNS-Test Cloudflare als Resolver offenbart, obwohl Sie Cloudflare nicht als System-DNS konfiguriert haben, ist Ihr Firefox-Browser schuld. Behebungsvorgehen: about:preferences#general öffnen → zu „DNS over HTTPS" scrollen → „Off" oder „Default protection" wählen, was DoH automatisch deaktiviert, wenn ein aktives VPN erkannt wird. Speichern, Firefox neu starten, erneut testen.

Für Chrome: chrome://settings/security → „Secure DNS verwenden" deaktivieren. Für Edge: edge://settings/privacy → dasselbe. Für Safari: kein Browser-DoH, das System übernimmt es.

Fall 4 — Keine Option in Ihrem aktuellen VPN

Wenn Ihr VPN keine der obigen Optionen hat und weiterhin leckt, zwei Möglichkeiten. Radikale Option: ein verschlüsseltes öffentliches DNS manuell auf Systemebene konfigurieren. Unter Windows: Einstellungen → Netzwerk → Adapter → Eigenschaften → IPv4 → Manuelles DNS → Cloudflare 1.1.1.1 / 1.0.0.1. Unter macOS: Systemeinstellungen → Netzwerk → Erweitert → DNS → 1.1.1.1 hinzufügen. Unter Linux: /etc/resolv.conf bearbeiten (oder über systemd-resolved). Nicht ideal — Ihr VPN sollte das übernehmen — aber es neutralisiert das Leck.

Pragmatische Option: VPN wechseln. Ein VPN, das 2026 DNS leckt, ohne eine passende Option, ist technisch veraltet. Unsere vollständige NordVPN-Bewertung bestätigt das Fehlen von DNS-Leaks bei standardmäßigen Gegentests.

Ersetzt DNS over HTTPS (DoH) ein VPN?

Häufige Frage: Wenn DoH DNS-Anfragen verschlüsselt, reicht es dann als Schutz anstelle eines vollständigen VPN? Die präzise technische Antwort: nein, DoH ersetzt kein VPN.

DoH (DNS-over-HTTPS, definiert in RFC 8484) verschlüsselt Ihre DNS-Anfragen zwischen Ihrem Browser und einem Resolver (Cloudflare 1.1.1.1, Google 8.8.8.8, Quad9 9.9.9.9). Es ist eine nützliche Schutzschicht gegen einen Sniffer im öffentlichen WLAN oder einen Provider, der Ihre DNS-Anfragen im Klartext untersucht. Aber DoH ändert nicht die drei anderen Dimensionen, die ein VPN schützt:

DoH verbirgt nicht Ihre öffentliche IP, die besuchte Websites sehen. Eine Website, die IhreÖffentlicheIP.com auf ihre Inhalte zugreifen sieht, verfolgt Sie weiterhin per IP, unabhängig davon, ob Ihre DNS-Auflösung verschlüsselt ist. DoH ändert nicht die Route Ihres Haupt-Traffics — nur die DNS-Auflösung ist verschlüsselt. Der Haupt-HTTPS-Traffic zur Website fließt weiterhin im Klartext von Ihrer echten IP aus. DoH tunnelt auch keine anderen Protokolle (BitTorrent, SSH usw.), die für Ihren Provider sichtbar bleiben.

Wenn Sie bereits ein VPN nutzen, deaktivieren Sie DoH auf Browserebene, um nicht zwei divergierende DNS-Pfade zu schaffen (einer über Browser-DoH, einer über den VPN-Tunnel). Lassen Sie das VPN die vollständige Auflösung über seinen Tunnel abwickeln. Wenn Sie kein VPN haben, fügt das Aktivieren von DoH eine teilweise Schutzschicht hinzu, ersetzt aber kein VPN bei Anwendungsfällen, in denen die öffentliche IP zählt (geografisch eingeschränktes Streaming, Umgehung von Zensur, Schutz vor IP-basiertem Profiling).

Der rechtliche Aspekt eines DNS-Leaks in Frankreich

Auf französischer Seite bergen DNS-Leaks einen nicht zu vernachlässigenden rechtlichen Aspekt. Gemäß dem Hadopi-2.0-Gesetz und der europäischen ePrivacy-Richtlinie sind französische Provider verpflichtet, DNS-Auflösungsprotokolle mindestens 12 Monate aufzubewahren. Diese Protokolle sind auf richterliche Anordnung im Rahmen von Ermittlungen oder Zivilklagen zugänglich. Wenn Sie ein VPN nutzen, um Ihren Verlauf besuchter Domains zu schützen (zum Beispiel weil Sie politisch sensible Websites, vertrauliche medizinische Websites oder anonyme Foren konsultieren), offenbart ein DNS-Leak die exakte Liste der Domains gegenüber Ihrem Provider — und potenziell den Behörden.

Die Lage ist in Spanien (RDL 14/2019 verlangt die Datenspeicherung durch Anbieter) und im Vereinigten Königreich (Investigatory Powers Act 2016 — aktive staatliche Überwachung britischer Provider) vergleichbar. In den USA hat die FCC 2017 die Datenschutzregeln für Provider abgeschafft und damit den direkten Verkauf von DNS-Verläufen an Datenhändler erlaubt.

Praktische Konsequenz: Ein VPN, dessen DNS leckt, ist für das Datenschutzziel technisch nutzlos, unabhängig von der Verschlüsselungsqualität des Tunnels für den restlichen Traffic. Deshalb ist DNSLeakTest zu einem zwingenden Kriterium bei jeder seriösen VPN-Bewertung geworden — es hat mehr Wert als Geschwindigkeits-Benchmarks.

Schritt-für-Schritt-Zusammenfassung — in 2 Minuten anwendbare Checkliste

Um nichts zu übersehen, hier die exakte DNS-Audit-Sequenz, die nach VPN-Installation oder einem größeren Windows-/macOS-Update anzuwenden ist: (1) VPN trennen und dnsleaktest.com ausführen → offengelegte DNS-Server notieren (Provider-Referenz), (2) VPN verbinden und dnsleaktest.com erneut ausführen → neue DNS-Server notieren, (3) stimmen die Server mit dem VPN überein, OK; stimmen sie mit dem Provider überein, Leck bestätigt, (4) Behebung je identifizierter Ursache anwenden (Fälle 1 bis 4 oben), (5) nach jeder Änderung erneut prüfen.

Dieser Vorgang muss nach jedem größeren Update wiederholt werden: Windows-11-Feature-Updates stellen manchmal SMHNR wieder her; macOS-Releases können parallele Apple-DNS-Resolver wieder einführen; die Browser Firefox/Chrome aktivieren bei bestimmten Installationen automatisch DoH. Unser vollständiges VPN-Test-Protokoll enthält diesen Test in jedem Quartalszyklus. Um beim am Zugangspunkt exponierten Netzwerkprofil tiefer zu gehen, siehe auch unseren Leitfaden zum MAC-Spoofing im öffentlichen WLAN — die MAC-Randomisierung ergänzt den DNS-Schutz sinnvoll.

Was man sich merken sollte

Ein DNS-Leak ist in puncto Cybersicherheit keine unmittelbare Katastrophe, aber ein stiller Datenschutzfehler: Ihr Provider protokolliert trotz aktivem VPN weiterhin Ihren Verlauf besuchter Domains. Wenn Sie ein VPN genau dafür nutzen, ist es ironisch. Der Test dauert 2 Minuten über dnsleaktest.com oder unser integriertes Tool /tools/dns-leak-test. Als Begleitprüfung bleibt das Verifizieren Ihrer echten öffentlichen IP-Adresse vor und nach dem Tunnel die schnellste Konsistenzkontrolle, um zu bestätigen, dass das VPN die IP maskiert und zusätzlich das DNS-Leck schließt.

Wenn Sie ein Leck erkennen, hängt die Lösung von der Ursache ab (zu aktivierende VPN-Option, zu deaktivierendes Windows-SMHNR, zu deaktivierendes Browser-DoH, zu tunnelndes IPv6). In den meisten Fällen löst ein aktuelles, seriöses VPN das Problem, indem es seine dedizierte Option aktiviert. Wenn Sie danach immer noch lecken, ist das VPN technisch veraltet — wechseln Sie. NordVPN, ExpressVPN und Surfshark aktivieren ihre DNS Leak Protection seit 2023 standardmäßig und bestehen diese Tests zuverlässig.

Unabhängige redaktionelle Einschätzung auf Basis dokumentierter Dienstmerkmale, veröffentlichter unabhängiger Audits und öffentlicher Benchmarks, mit Prüfungen über Standard-Tools (iperf3, dnsleaktest.com, browserleaks). Kommerzielle Links tragen das Attribut rel="sponsored nofollow"; eine Affiliate-Provision kann ohne Mehrkosten für den Leser und ohne Einfluss auf die Bewertung anfallen.