Das grüne Symbol in der Ecke deiner VPN-Anwendung bedeutet nur eines: der Software-Client ist mit dem VPN-Server verbunden. Es sagt nicht, dass dein Browser durch den Tunnel läuft. Es sagt nicht, dass deine DNS-Anfragen verschlüsselt sind. Es sagt nicht, dass WebRTC nicht deine echte IP per JavaScript leckt. Es sagt nicht, dass IPv6 nicht den Tunnel direkt zu deinem Anbieter umgeht. Hier ist die Checkliste, um es 2026 wirklich zu prüfen — fünf Minuten, fünf Tests, und du weißt genau, wo du stehst. Es ist die Express-Ergänzung zu unserem vollständigen VPN-Audit in 7 Schritten für routinemäßige Prüfungen.
Test Nr. 1 — Hat sich deine öffentliche IP tatsächlich geändert?
So prüfst du es: Öffne das Meine-IP-Tool ohne VPN und notiere deine IP und deinen Anbieter. Aktiviere das VPN, lade neu. Die IP muss völlig anders sein und der Anbieter muss zu einem Rechenzentrumsnamen wechseln (Tefincom, M247, Tata Communications). Wenn die IP denselben privaten Anbieter zeigt, funktioniert der VPN-Tunnel nicht — starte den Client neu, wechsle den Server und teste erneut.
Der schnellste und sichtbarste Test. Öffne ohne VPN das Meine-IP-Tool und notiere die angezeigte Adresse und den Namen des Anbieters (Orange, Free, SFR, Bouygues in Frankreich). Um zu verstehen, was deine öffentliche Adresse über das einfache Anbieter-Label hinaus tatsächlich preisgibt, siehe unseren Deep Dive zu was deine IP-Adresse über dich verrät. Aktiviere das VPN, lade die Seite neu. Die IP muss völlig anders sein: nicht nur eine letzte Ziffer geändert, sondern ein komplett neuer Bereich. Auch der Anbieter muss sich ändern — er muss einen Rechenzentrums-Hostnamen zeigen (Tefincom für NordVPN, Tata Communications, M247, Datacamp, OVH) und nicht mehr deinen privaten Anbieter.
Wenn sich die IP nicht bewegt hat: Dein VPN ist nicht wirklich verbunden, oder es leitet den Datenverkehr weiter, ohne die IP zu maskieren (seltener Fall im Zusammenhang mit einem Unternehmens-Proxy, der das VPN neutralisiert). Lösungen nach Reihenfolge der Handlung: starte den VPN-Client neu, wechsle den Server in der Liste, versuche es erneut. Wenn sich auch nach 3 Versuchen nichts ändert, funktioniert dein VPN schlicht nicht — deinstallieren, neueste Version neu installieren oder den technischen Support des Anbieters kontaktieren. Kein anderer Test ergibt Sinn, solange dieser Test Nr. 1 fehlschlägt.
Test Nr. 2 — Erkanntes Land passt zum gewählten Server
Du hast dich in deinem VPN-Client mit einem als „Niederlande" gekennzeichneten Server verbunden. Aber die Seite, die du besuchst, erkennt deine Geolokalisierung als „Deutschland" oder ein anderes Land. Nicht zwangsläufig ein Grund zur Panik — IP-Geolokalisierungsdatenbanken (MaxMind GeoIP2, IP2Location) sind manchmal bis aufs Nachbarland ungenau, besonders an europäischen Grenzen. Aber wenn du einen länderspezifischen Streaming-Katalog anvisierst, ist eine Prüfung beim finalen Dienst nötig.
Für Netflix: Gehe zu netflix.com, ohne dich anzumelden (oder mit einem sauberen Konto). Der Startseiten-Katalog zeigt Inhalte aus dem von Netflix erkannten Land. Wenn du Netflix US anvisierst und „The Office US", „Brooklyn Nine-Nine", „Parks and Recreation" auf der Startseite siehst, ist das gut. Wenn du französische oder europäische Produktionen siehst, ist das erkannte Land nicht das, das du anvisiert hast — wechsle den VPN-Server, lösche die Netflix-Cookies, versuche es erneut. Für Details zur Methodik siehe unseren Leitfaden Netflix US aus Frankreich.
Für BBC iPlayer, France TV, RTVE, NHK: dasselbe Prinzip. Eine Verbindung, die zur „internationalen" Version des Dienstes umspringt, signalisiert, dass dein VPN in einem nicht von den Rechten abgedeckten Land austritt — Beweis, dass die erkannte Geolokalisierung nicht die erwartete ist. Beachtenswert: Selbst bei einem perfekten VPN-Ausgang kann dich der Hardware-Fingerabdruck deiner Funkschicht in Captive-Netzen verraten — siehe unsere Anleitung MAC-Spoofing in öffentlichen WLANs für die Kennung, die das VPN nicht maskiert.
Test Nr. 3 — Gibt es ein WebRTC-Leck, das deine echte IP offenlegt?
WebRTC (eingebaut in Chrome, Firefox, Edge, Safari) kann deine echte IP per JavaScript selbst bei aktivem VPN offenlegen. Führe unser DNS-Leak-Test-Tool aus: Wenn eine andere öffentliche IP als der VPN-Ausgang auftaucht, ist es ein bestätigtes WebRTC-Leck. Lösung: aktiviere „Block WebRTC" in deinen VPN-Einstellungen oder installiere die offizielle VPN-Browsererweiterung. Das ist 2026 das häufigste stille Leck.
Das ist Falle Nr. 1 und das kritischste Leck 2026. WebRTC ist eine in alle modernen Browser (Chrome, Firefox, Safari, Edge) eingebaute Echtzeit-Kommunikations-API. Sie versucht, deine echte IP per STUN-Servern zu ermitteln, um P2P-Kommunikation im Browser zu ermöglichen (Discord-Videoanrufe, Google-Meet-Bildschirmfreigabe usw.). Wenn dein VPN sie nicht ausdrücklich blockiert, kann eine bösartige Seite deine echte IP per JavaScript in unter 100 ms auslesen, ohne sichtbares Signal auf Nutzerseite.
Führe unser DNS-Leak-Test-Tool aus, das WebRTC in deinem Browser prüft und alle erkannten Kandidaten-IPs auflistet. Drei mögliche Deutungen: (1) Lokale IP (192.168.x.x, 10.x.x.x, 172.16-31.x.x) — normal, das ist dein internes LAN/WLAN-Netz, gibt nichts Externes preis; (2) Öffentliche IP, die deinem in Test Nr. 1 notierten VPN-Ausgang entspricht — gutes Zeichen, das VPN tunnelt WebRTC korrekt; (3) Öffentliche IP, die nicht zu deinem VPN passt — bestätigtes WebRTC-Leck, sofortiges Handeln erforderlich.
Lösungen nach Wirksamkeit: suche in deinem VPN-Client nach einer Option „Block WebRTC" oder „WebRTC Leak Protection" (NordVPN hat sie seit 2022, ExpressVPN ebenfalls), installiere die offizielle Browsererweiterung des VPNs, die WebRTC nativ deaktiviert, oder deaktiviere WebRTC als letzten Ausweg manuell in Firefox about:config (Variable media.peerconnection.enabled auf false) oder per uBlock Origin in Chrome (Einstellungen → Datenschutz → verhindern, dass WebRTC die lokale IP preisgibt).
Test Nr. 4 — DNS über das VPN aufgelöst, nicht über deinen Anbieter
DNS-Anfragen müssen durch den VPN-Tunnel laufen. Andernfalls sieht dein Anbieter weiterhin die genaue Liste der von dir besuchten Domains — in Frankreich gemäß Hadopi 2.0 12 Monate lang gespeicherte Logs, auf gerichtliche Anordnung zugänglich. Das ist der typische VPN-Privatsphäre-Anwendungsfall, der im Fall eines DNS-Lecks ironisch wird.
Schnelltest: Öffne dnsleaktest.com und starte einen „Extended Test" (nicht den unzureichenden „Standard Test" — er prüft ca. 5 Resolver gegenüber ca. 30 beim Extended). Warte 10-20 Sekunden auf die Ergebnisse. Das Tool listet die DNS-Server auf, die die Testanfragen tatsächlich aufgelöst haben. Erfolgskriterium: Alle antwortenden DNS-Server müssen zum VPN gehören (NordVPN nutzt seine eigenen internen Resolver 103.86.96.X) oder zu einem anerkannten öffentlichen Resolver (Cloudflare 1.1.1.1, Quad9 9.9.9.9, Google 8.8.8.8). Keine Antwort von deinem Anbieter: Das ist das absolute Kriterium. Wenn du 80.10.246.X (Orange), 212.27.40.X (Free), 109.0.66.X (SFR), 194.158.122.X (Bouygues) siehst, ist es ein bestätigtes Leck.
Für technische Details zu möglichen Ursachen und betriebssystemspezifischen Lösungen (Windows SMHNR deaktivieren, Browser-DoH deaktivieren, IPv6 tunneln) siehe unseren vollständigen DNS-Leak-Test-Leitfaden.
Test Nr. 5 — Gibt es ein IPv6-Leck, das deinen VPN-Tunnel umgeht?
Viele VPNs leiten nur IPv4 — IPv6 tritt ohne Verschlüsselung direkt zu deinem Anbieter aus. Besuche test-ipv6.com: „No IPv6 detected" bedeutet sicher. Wenn eine IPv6-Adresse auftaucht, die zum Präfix deines Anbieters passt, hast du ein bestätigtes Leck. Lösung: aktiviere „Block IPv6" oder „Disable IPv6" in den Einstellungen deines VPN-Clients. NordVPN unterstützt natives IPv6-Tunneling seit 2024.
IPv6 ist die am meisten vergessene Falle oberflächlicher Audits. Viele VPNs leiten in ihrem verschlüsselten Tunnel nur IPv4; IPv6-Verkehr tritt ohne Kapselung direkt zu deinem Anbieter aus. Auf Seiten, die IPv6 unterstützen (Google, Facebook, Cloudflare hosten einen großen Teil des Internets im IPv4+IPv6-Dual-Stack), bleibt deine echte IPv6 für besuchte Seiten sichtbar, während deine IPv4 vom VPN verborgen wird. Die Seite kennt also deine echte Geolokalisierung trotz aktivem VPN.
Gehe zu test-ipv6.com. Zwei mögliche Ergebnisse: „No IPv6 detected" bedeutet perfekt — IPv6 deaktiviert oder vom VPN effizient blockiert. Andernfalls wird „Your IPv6 address: 2001:..." angezeigt: prüfe, ob diese Adresse zum IPv6-Präfix des VPN-Servers gehört (anderes Präfix als dein privater Anbieter) und nicht zu deinem echten IPv6-Präfix. Wenn sie zu deinem Anbieter passt (Orange/Free/Bouygues haben ihre eigenen IPv6-Bereiche), ist es ein bestätigtes IPv6-Leck.
Lösungen: Wenn dein VPN IPv6 nicht nativ verwaltet und leckt, aktiviere entweder die Option „Disable IPv6" oder „Block IPv6" im VPN-Client oder deaktiviere IPv6 in den Systemeinstellungen deiner Netzwerkkarte (Windows-Einstellungen → Netzwerk → Adapter → Eigenschaften → IPv6 abwählen). Technisch unschön (du gibst die IPv6-Vorteile auf), aber wirksam, um das Leck zu blockieren. NordVPN unterstützt natives IPv6-Tunneling seit 2024, ExpressVPN blockiert IPv6 standardmäßig.
Erweiterte Tests 2026 — über die 5 Grundlagen hinaus
Für Nutzer, die über die schnelle Checkliste hinausgehen wollen, hier vier ergänzende Tests, die einmal pro Quartal oder nach jeder größeren Änderung der Netzwerkinfrastruktur (Anbieterwechsel, IPv6-Dual-Stack-Ausrollung, Router-Firmware-Update) auszuführen sind. Diese Tests erfordern 10-15 zusätzliche Minuten, decken aber verbleibende Lecks auf, die für den Schnellcheck unsichtbar sind.
WebRTC-Leck — Kommandozeilen-Prüfung
Über unser Browser-Tool hinaus bestätigt eine zuverlässige Kommandozeilen-Prüfung das Fehlen eines STUN-Lecks auf Systemebene. Installiere unter Linux oder macOS einen WebRTC-Test-Client (npm install -g webrtc-leak-test) und führe dann webrtc-leak-test --stun stun.l.google.com:19302 aus. Der Befehl zeigt die von WebRTC gemeldeten Kandidaten-IPs. Deutung: Es darf keine öffentliche IP außerhalb des VPN-Ausgangs auftauchen. Unter Windows ist browserleaks.com/webrtc das präziseste Browser-Äquivalent — es listet host-, srflx- und relay-Kandidaten-IPs mit ihrem ASN-Präfix auf und ermöglicht eine sofortige Quellenrückverfolgung. Hinweis: Mit einem korrekt konfigurierten Kill Switch (siehe VPN-Kill-Switch erklärt) ist ein WebRTC-Leck technisch unmöglich, weil kein Datenverkehr den Tunnel verlässt — eine nützliche ergänzende Prüfung.
IPv6-Leck — Lösung je Betriebssystem
Wenn test-ipv6.com dein Anbieter-Präfix enthüllt, hängt die Lösung vom System ab:
- Windows 10/11: Einstellungen → Netzwerk und Internet → WLAN/Ethernet → auf die Verbindung klicken → IP-Konfiguration → Bearbeiten → IPv6 deaktivieren. PowerShell-Admin-Alternative:
Disable-NetAdapterBinding -Name "*" -ComponentID "ms_tcpip6". Prüfe mitGet-NetAdapterBinding -ComponentID ms_tcpip6, dass die Bindung auf allen Schnittstellen deaktiviert ist. - macOS Sonoma/Sequoia: Terminal →
networksetup -setv6off Wi-Fi(ersetze Wi-Fi durch den genauen Schnittstellennamen, aufgelistet pernetworksetup -listallnetworkservices). Zum Wiederherstellen:networksetup -setv6automatic Wi-Fi. - Linux Ubuntu/Debian: bearbeite
/etc/sysctl.conf, fügenet.ipv6.conf.all.disable_ipv6 = 1hinzu, dannsudo sysctl -p. Die Deaktivierung bleibt nach dem Neustart bestehen. - iOS/Android: keine native IPv6-Deaktivierung ohne Rooting. Lösung: nutze einen VPN-Client, der IPv6 ausdrücklich blockiert (NordVPN, Mullvad, ProtonVPN behandeln diesen Fall seit 2024).
Browser-Fingerprinting — Korrelation VPN/Fingerabdruck
Selbst bei aktivem VPN und blockierten IP-/DNS-/WebRTC-Lecks legt dein Browser einen einzigartigen Fingerabdruck offen (Zeitzone, Sprache, installierte Schriftarten, Bildschirmauflösung, Plugins), der zum sitzungsübergreifenden Tracking dienen kann. Teste auf amiunique.org. Wenn dein Fingerabdruck als „einzigartig unter N Besuchern" gemeldet wird, kann eine Seite dich trotz geänderter IP wiedererkennen. Abhilfe: nutze den privaten Modus des Browsers zusammen mit dem VPN oder einen datenschutzorientierten Browser (Brave, LibreWolf), der einige Fingerabdruck-Werte randomisiert. Der Tor Browser bleibt die absolute Referenz zur Neutralisierung von Fingerprinting — siehe unseren Vergleich Tor vs. VPN für die richtige Wahl je nach Anwendungsfall.
DPI-Umgehung — inspiziert dein Anbieter deinen Datenverkehr?
Deep Packet Inspection (DPI) erlaubt einem Anbieter oder Unternehmensnetz, VPN-Verkehr an einem erkennbaren Muster (OpenVPN-Handshake, WireGuard-Signatur) selbst verschlüsselt zu erkennen und ihn zu drosseln oder zu blockieren. Einfacher Test: miss deine Geschwindigkeit per unserem Speedtest-Tool ohne VPN, dann mit VPN-Standardprotokoll (OpenVPN UDP), dann mit verschleiertem Protokoll (NordVPN Obfuscated Servers, Mullvad Bridges oder WireGuard auf Port 443). Wenn die Geschwindigkeit nur mit Standard-OpenVPN abfällt, aber mit verschleiertem Protokoll korrekt bleibt, betreibt dein Anbieter wahrscheinlich DPI auf klassischen VPN-Ports. Dauerhafte Lösung: erzwinge den VPN-Client auf einem verschleierten Protokoll oder Stealth-Modus — besonders nützlich in Unternehmensnetzen, Hotels und bei aggressiven Anbietern.
VPN-Prüf-Tools 2026 — Schnellvergleich
Nicht alle Tools sind gleich. Hier eine kommentierte Auswahl der genauesten kostenlosen Tools zur Prüfung eines VPNs.
| Tool | Testtyp | Kostenlos? | Genauigkeit | Verdikt |
|---|---|---|---|---|
| ipleak.net | IP + DNS + WebRTC + Torrent | Ja | Sehr hoch | Multi-Test-Referenz, führt alles parallel aus |
| dnsleaktest.com | DNS Extended | Ja | Hoch | Am zuverlässigsten für DNS, aber langsam (15-20 s) |
| browserleaks.com | Fingerprint + WebRTC + Canvas | Ja | Sehr hoch | Am detailliertesten fürs Fingerprinting |
| test-ipv6.com | IPv6-Leck | Ja | Hoch | IPv6-Spezialist, Punktzahl von 10 |
| ipx.ac | IP + ASN + VPN-Erkennung | Ja | Hoch | Zeigt das Rechenzentrums-ASN, nützlich zur Bestätigung des VPN-Ausgangs |
| Unser DNS-Leak-Test-Tool | DNS + WebRTC kombiniert | Ja | Hoch | 30-Sekunden-Ein-Klick-Diagnose, mit erklärtem Kontext |
| Unser Meine-IP-Tool | IP + Geolokalisierung + Anbieter | Ja | Sehr hoch | Zeigt den Rechenzentrums-Host zur Identifizierung des VPN-Ausgangs |
Praktische Empfehlung: für die Routineprüfung deckt das Verketten unseres internen Tools (30 s) + dnsleaktest Extended (20 s) + test-ipv6 (15 s) die große Mehrheit der Lecks ab. Für eine tiefgehende Prüfung ergänze browserleaks fürs Fingerprinting und ipx.ac zur ASN-Bestätigung. Siehe unsere vollständige Test-Methodik für das Schritt-für-Schritt-Protokoll.
NordVPN — verwaltet WebRTC, DNS und IPv6 nativ
PwC-2023-Audit bestätigt · 30 Tage Geld-zurück · besteht die Leak-Tests
Zusammenfassung — die praktische 5-Minuten-Checkliste
Um den Check schnell anzuwenden, ohne einen Test auszulassen, hier die genaue Abfolge in Reihenfolge. Jeder Test dauert kumuliert 30-60 Sekunden.
| # | Test | Tool | Erwartetes Ergebnis |
|---|---|---|---|
| 1 | Öffentliche IP geändert | Meine-IP-Tool | Völlig andere IP, Anbieter = Rechenzentrums-Host |
| 2 | Erkanntes Land | Netflix- / BBC iPlayer-Katalog | Passt zum gewählten VPN-Server |
| 3 | WebRTC-leckfrei | DNS-Leak-Test-Tool | Keine erkannte öffentliche IP außerhalb des Tunnels |
| 4 | DNS über VPN | DNSLeakTest.com Extended | Kein privater Anbieter-DNS |
| 5 | Kein IPv6-Leck | test-ipv6.com | Kein IPv6 ODER IPv6 = VPN-Präfix |
Wenn du alle 5 Tests bestehst, funktioniert dein VPN tatsächlich — nicht nur in seinem Taskleisten-Symbol. Wenn auch nur einer fehlschlägt, identifiziere die Ursache und wende die passende Lösung an, bevor du sensible Nutzung fortsetzt (Banking, vertrauliche Konten, politisches Surfen). Wiederhole die vollständige Abfolge nach jedem größeren Update von System, Browser oder VPN-Client.
Unterschied zum vollständigen 7-Schritte-Audit
Diese 5-Minuten-Checkliste ist eine schnelle Routinediagnose, regelmäßig auszuführen, um zu bestätigen, dass keine stille Regression aufgetreten ist. Sie deckt nicht alle Aspekte einer tiefgehenden Prüfung ab: Kill Switch (Schritt 5 des vollständigen Audits), Messung des Geschwindigkeitsverlusts (Schritt 6) und Prüfung der No-Log-Richtlinie per unabhängigem Audit (Schritt 7) sind hier aus Geschwindigkeitsgründen nicht enthalten.
Für ein tiefgehendes jährliches Audit oder bei ernstem Zweifel am genutzten VPN wechsle zu unserem vollständigen VPN-Audit in 7 Schritten, das alle Punkte enthält. Für die routinemäßige Prüfung (z. B. nach einem Windows-Update, nach der Installation eines neuen Browsers oder vierteljährlich) genügen diese 5 Schnelltests weitgehend.
Was du dir merken solltest
Das grüne Symbol des VPN-Clients ist ein Software-Verbindungsindikator, kein wirksamer Schutz. Fünf Schnelltests — öffentliche IP, Land, WebRTC, DNS, IPv6 — genügen, um zu bestätigen, dass dein Datenverkehr, dein DNS und deine Browser-APIs tatsächlich durch den verschlüsselten Tunnel laufen, ohne stille Umgehung auf Browser- oder Betriebssystemseite.
Zu wiederholen nach jedem Update von Betriebssystem (Windows, macOS), VPN (neuer Client) oder Browser (Firefox 125 → 126 zum Beispiel) — denn stille Regressionen existieren und kein sichtbares Signal wird es dir sagen. Wenn du ein tiefergehendes Audit suchst (Kill Switch, Geschwindigkeit, Logs), siehe unser vollständiges 7-Schritte-Audit. Für die regelmäßige Routineprüfung genügen diese fünf Tests weitgehend und garantieren, dass dein Privatsphäre-Werkzeug seine Arbeit tut.
NordVPN — besteht die 5 Leak-Tests zuverlässig
Unabhängiges Audit PwC 2023 + Deloitte 2024 · 30 Tage Geld-zurück
Weiterlesen
- DNS- + WebRTC-Leck-Test-Tool →Diagnose in 30 Sekunden in deinem Browser
- Meine-IP-Tool — öffentliche IP und Geolokalisierung →Prüfe, was Seiten von dir sehen
- Vollständiges VPN-Audit in 7 Schritten →Tiefgehende Version mit Kill Switch, Geschwindigkeit, Logs
- Vollständiger DNS-Leak-Test-Leitfaden →Mögliche Ursachen und Lösungen je Betriebssystem
- Netflix US aus Frankreich →Konkretes Beispiel für die Prüfung des erkannten Landes
- Unser NordVPN-Test 2026 →Tests + Freischalten + Geschwindigkeit
Unabhängige redaktionelle Einschätzung auf Basis dokumentierter Dienstleistungsmerkmale, veröffentlichter unabhängiger Audits und öffentlicher Benchmarks, mit Prüfungen über Standard-Tools (iperf3, dnsleaktest.com, browserleaks). Kommerzielle Links tragen das Attribut rel="sponsored nofollow"; eine Affiliate-Provision kann anfallen, ohne Mehrkosten für die Leserschaft und ohne Einfluss auf die Bewertung.
Corrige la fuite — chiffre tout avec NordVPN
DNS sécurisé · kill switch · Threat Protection · 30 jours remboursé
