Ein Haushalt mit zwei Telefonen, zwei Laptops, einem Smart-TV, einer Konsole und einem smarten Lautsprecher hat sieben Geräte, die womöglich alle VPN-Abdeckung brauchen. Auf jedem einzelnen einen VPN-Client zu installieren und zu pflegen, ist mühsam. Einige davon, vor allem Konsolen und viele IoT-Geräte, können gar keinen normalen VPN-Client ausführen. Andere, etwa Smart-TVs, unterstützen VPN-Apps vielleicht nur auf bestimmten Plattformen.
Ein VPN-Router löst das, indem er das VPN auf dem Router selbst betreibt, sodass jedes Gerät dahinter den Tunnel erbt, ohne irgendetwas zu installieren. Der Begriff deckt mehrere verschiedene Setups ab: einen Router, der sich im Namen des LAN nach außen zu einem VPN-Anbieter verbindet, einen Router, der als VPN-Server fungiert und es Ihnen erlaubt, sich von anderswo einzutunneln, oder ein selbstgehostetes Gateway auf einem VPS, das Sie von Anfang bis Ende kontrollieren.
Die Kurzfassung
- Ein VPN-Router betreibt VPN-Software auf dem Router, sodass jedes verbundene Gerät, auch solche, die selbst keinen VPN-Client ausführen können, automatisch den Tunnel nutzt.
- Er hat zwei Modi, die verschiedene Probleme lösen: Der Client-Modus tunnelt ausgehenden Verkehr zu einem VPN-Anbieter oder Ihrem eigenen Server, der Server-Modus lässt entfernte Geräte in Ihr LAN eintunneln.
- WireGuard ist in nahezu allen Fällen das richtige Protokoll für ein VPN auf Router-Ebene. Die Codebasis ist klein, die Kosten pro Paket sind niedrig, und Consumer-Router-CPUs kommen damit besser zurecht als mit OpenVPN.
- Sie haben vier Wege, an einen zu kommen: einen Router verwenden, der bereits VPN unterstützt, eine alternative Firmware auf einen Router flashen, den Sie besitzen, einen vorkonfigurierten VPN-Router kaufen oder die Hardware ganz weglassen und WireGuard auf einem VPS betreiben. Die letzte Option ist die stärkste, wenn Sie Serverauswahl, Kontrolle über die Rechtsordnung oder bereits eigenes Hosting wollen.
Wie ein VPN-Router tatsächlich funktioniert
Wenn sich ein Gerät im Client-Modus mit einem VPN-Router verbindet, weiß das Gerät nicht, dass es in einem VPN ist. Es erhält eine normale DHCP-Lease vom Router, öffnet eine TCP-Verbindung zu einem Ziel und sendet Pakete. Der Router übernimmt die Verschlüsselung. Das Gerät sieht ein normales LAN. Es gibt zwei Modi, die man verstehen sollte, und die meisten Consumer-"VPN-Router" beherrschen nur den ersten gut.
VPN-Client-Modus (ausgehend)
Im Client-Modus hält der Router die VPN-Anmeldedaten und tunnelt den gesamten ausgehenden Verkehr im Namen der Geräte dahinter. Der Datenfluss ist: Gerät → Router → verschlüsselter Tunnel → VPN-Server → öffentliches Internet.
Jedes Gerät im LAN nutzt automatisch denselben Tunnel. Der Router nimmt jedes Paket, verschlüsselt es und leitet es an den konfigurierten VPN-Endpunkt weiter. Das öffentliche Internet sieht die Exit-IP des VPN-Servers, nicht die vom ISP zugewiesene IP des Zuhauses. Das ist das Setup, das die Leute normalerweise meinen, wenn sie "VPN-Router" sagen.
Die Verschlüsselung passiert auf der CPU des Routers. Das ist das wichtige technische Detail. Ältere und günstigere Consumer-Router laufen vielleicht mit niedrig getakteten ARM- oder MIPS-Chips mit begrenzter Krypto-Beschleunigung, während neuere VPN-fähige Router deutlich schneller sind. So oder so ist der Router weiterhin dafür zuständig, jedes Byte zu und von jedem Gerät im Netzwerk zu verschlüsseln, also wird die Router-Hardware zur Leistungsgrenze.
Das Protokoll spielt hier aus demselben Grund eine Rolle. Die Kosten pro Paket sind bei WireGuard niedriger als bei OpenVPN, weshalb WireGuard-Unterstützung auf Consumer-Routern das Merkmal ist, nach dem es sich zu suchen lohnt. Siehe die bestehende Anleitung zur WireGuard-Einrichtung auf einem VPS.
VPN-Server-Modus (eingehend)
Im Server-Modus betreibt der Router selbst einen VPN-Server. Entfernte Geräte im offenen Internet verbinden sich eingehend mit der öffentlichen IP des Routers und landen im LAN, als säßen sie im Wohnzimmer. Der Datenfluss ist: entferntes Gerät → öffentliche IP → VPN-Server des Routers → LAN-Ressourcen.
Das löst ein anderes Problem. Es ist Fernzugriff, nicht ausgehende Privatsphäre. Ein Laptop in einem Café kann einen Dateiserver zu Hause erreichen. Ein Telefon im Ausland kann das Heimnetzwerk erreichen. Der Router ist der VPN-Server, das Telefon ist der VPN-Client.
Der Server-Modus erfordert eine öffentlich routbare IP-Adresse. Wenn Ihr ISP Sie hinter CGNAT gesetzt hat, und das haben viele Privatkunden-ISPs getan, gibt es keine öffentliche IP, zu der man sich eingehend verbinden kann, und dieser Modus funktioniert ohne zusätzliche Tricks nicht. Üblicherweise ist auch Portweiterleitung erforderlich, was das auf Leute beschränkt, die den Router besitzen und seine Firewall konfigurieren können.
Die beiden Modi schließen sich nicht gegenseitig aus. Ein fähiger Router kann beide gleichzeitig betreiben. Aber die Anwendungsfälle sind völlig verschieden. Der Client-Modus ist für "Ich will mein ganzes Haus hinter einem VPN-Exit haben". Der Server-Modus ist für "Ich will von anderswo aus mein Haus erreichen".
Die vier Wege zu einem VPN auf Router-Ebene
Es gibt nicht das eine Ding namens "einen VPN-Router bekommen". Es gibt vier Wege, und sie sortieren sich entlang zweier Achsen: wie viel Kontrolle über Hardware und Firmware Sie wollen, und ob Sie einen kommerziellen Anbieter oder Ihren eigenen Server am anderen Ende des Tunnels wollen. Der richtige Weg hängt davon ab, welche dieser Achsen mehr zählt.
Weg 1: Ihren vorhandenen Router verwenden (wenn er VPN unterstützt)
Mehrere Hersteller von Consumer-Routern liefern inzwischen native VPN-Client-Unterstützung, einschließlich WireGuard, in ihrer Werks-Firmware. ASUS unterstützt WireGuard nativ auf aktueller Firmware. GL.iNETs Flint- und Beryl-Serie unterstützen WireGuard out of the box, dokumentiert in ihrem offiziellen Tutorial.
Das ist der günstigste Weg mit dem geringsten Risiko. Steht Ihr Router bereits auf dieser Liste, flashen Sie nichts und machen nichts kaputt. Sie geben eine WireGuard-Konfiguration im Admin-Panel ein, und der Tunnel kommt hoch. Die Einschränkung ist die offensichtliche: Der Router muss das gewünschte Protokoll unterstützen, und die Protokolloptionen hängen davon ab, was der Hersteller mitliefert. Ältere Modelle bekommen WireGuard nicht nachträglich hinzugefügt.
Weg 2: Alternative Firmware flashen (OpenWrt, DD-WRT, FreshTomato)
Steht Ihr Router nicht auf der unterstützten Liste, können Sie seine Firmware durch eine der quelloffenen Alternativen ersetzen. OpenWrt wird von den dreien am aktivsten gepflegt und hat die breiteste Hardware-Unterstützung. DD-WRT ist ebenfalls aktiv, mit einer anderen Designphilosophie und einem größeren Pool unterstützter Geräte. FreshTomato führt das ursprüngliche Tomato-Projekt fort, ist aber auf Broadcom-Chipsätze beschränkt und bedient eine deutlich kleinere Community.
Alternative Firmware gibt Ihnen die Protokollwahl: OpenVPN, WireGuard, IPsec, alle konfigurierbar. Sie gibt Ihnen außerdem alles andere, was diese Projekte bieten: besseres QoS, granulare Firewall-Regeln, Paketverwaltung. Der Preis ist Risiko und Zeit.
Pro-Tipp
Das Flashen alternativer Firmware kann einen Router dauerhaft unbrauchbar machen, wenn Sie das falsche Image wählen, mitten im Flash den Strom verlieren oder einen Build mit einem Fehler für Ihre konkrete Hardware-Revision ausführen. Wählen Sie ein Modell, das das Firmware-Projekt ausdrücklich unterstützt, lesen Sie die gerätespezifische Seite und akzeptieren Sie, dass Sie die Garantie verwirkt haben. Wenn der Router, den Sie unbrauchbar machen, Ihr einziger ist, planen Sie ein, so lange offline zu sein, wie es dauert, einen Ersatz zu beschaffen.
Weg 3: Einen vorkonfigurierten VPN-Router kaufen
Der einfachste Weg. Hersteller wie GL.iNET verkaufen Router mit eingebautem WireGuard out of the box. Manche kommerziellen VPN-Anbieter verkaufen außerdem gebrandete Router, vorkonfiguriert für ihren Dienst, das heißt, Sie stecken ihn ein, geben Ihre Kontodaten ein, und Sie sind fertig.
Die Kompromisse sind Preis und Bindung. Vorkonfigurierte Router kosten pro Stück mehr, als es selbst zu bauen. Kommt das Gerät mit einem bestimmten VPN-Anbieter gebrandet, sind Sie an dessen Protokolle, Exit-Länder und Logging-Richtlinie gebunden. Ändert der Anbieter seine Bedingungen oder geht aus dem Geschäft, lässt sich der Router nicht leicht auf einen neuen Dienst umstellen.
Der vierte Weg ist etwas anders, weil er weder den Kauf noch das Flashen von Router-Hardware erfordert. Er gibt Ihnen weiterhin VPN-Abdeckung auf Router-Ebene, wenn Ihr Router stromaufwärts auf den VPS zeigt, aber der VPN-Endpunkt selbst liegt auf einem Server statt im Router.
Weg 4: Einen VPS als VPN-Gateway verwenden
Betreiben Sie WireGuard oder OpenVPN auf einem Linux-VPS und richten Sie dann Ihren Router oder einzelne Geräte auf diesen Server aus. Das ist kein Kauf eines Hardware-Routers. Es ist eine andere Endpunkt-Strategie, daher verdienen die Kompromisse weiter unten ihren eigenen Abschnitt.
| Weg | Einrichtungsaufwand | Leistungsgrenze | Serverwechsel | Hardware-Risiko | Laufende Kosten | Eignung |
|---|---|---|---|---|---|---|
| Vorhandener Router | Niedrig | Durch die Router-CPU begrenzt | Über das Admin-Panel | Keine | Keins über den ISP hinaus | Sie besitzen bereits einen unterstützten Router |
| Alternative Firmware flashen | Hoch | Durch die Router-CPU begrenzt | Über das Admin-Panel | Brick-Risiko | Keins über den ISP hinaus | Sie wollen Protokollflexibilität und akzeptieren das Risiko |
| Vorkonfigurierter Router | Am niedrigsten | Durch die Router-CPU begrenzt | Herstellerabhängig | Keine | Hardware-Kosten, Anbieter-Abo, falls gebündelt | Sie wollen Plug-and-Play und akzeptieren den Aufpreis |
| VPS als Gateway | Mittel bis hoch | Durch die VPS-CPU begrenzt (höher) | Einen neuen VPS in einer anderen Region starten | Keine | Monatliche VPS-Miete | Sie wollen Wahl der Rechtsordnung, bessere Leistung oder hosten bereits selbst |
Wann ein VPN-Router sinnvoll ist und wann nicht
Die Frage ist nicht, ob ein Router-VPN abstrakt besser ist als ein Geräte-VPN. Sie ist, ob Ihre konkrete Situation tatsächlich eine netzwerkweite Abdeckung verlangt, denn in dem Moment, in dem Sie ein VPN auf den Router legen, zahlt jedes Gerät dahinter dieselbe Verschlüsselungssteuer.
Anwendungsfälle, in denen ein Router-VPN seinen Einrichtungsaufwand verdient
Haushalte mit vielen Geräten sind der klarste Fall. Sobald Sie mehr als vier oder fünf Geräte verwalten, ist das Installieren und Aktualisieren von VPN-Clients auf jedem einzelnen eine lästige Pflicht. Das Setup auf Router-Ebene wird einmal konfiguriert.
Geräte mit begrenzter oder umständlicher VPN-Unterstützung sind der zweite Fall. Spielkonsolen, die meisten IoT-Geräte und ältere Smart-Home-Hubs haben in der Regel keine normale VPN-App verfügbar. Manche Smart-TVs können VPN-Apps ausführen, besonders Android TV / Google TV und neuere Apple-TV-Modelle, aber ein VPN auf Router-Ebene hilft trotzdem, wenn die TV-Plattform Ihren Anbieter nicht unterstützt oder wenn Sie eine einheitliche Netzwerkrichtlinie wollen.
Reisen sind der dritte Fall. Ein kompakter Reise-Router mit WireGuard-Unterstützung bedeutet, dass ein Tunnel jedes Gerät in einem Hotelzimmer (Telefon, Laptop, Tablet) über das WLAN des Routers abdeckt, unabhängig davon, was das Netzwerk des Hotels macht. Dieselbe Logik gilt für ein VPS-Gateway, auf das über den Reise-Router zugegriffen wird.
Kleine Büros und gemeinsam genutzte Wohnräume sind der vierte Fall. Eine einheitliche Netzwerkrichtlinie, die am Gateway angewendet wird, lässt sich leichter durchdenken als eine Flotte von Konfigurationen auf Geräteebene, die mit der Zeit auseinanderdriften.
Fälle, in denen das Router-VPN die falsche Wahl ist
Wenn Sie häufig die VPN-Exit-Länder wechseln, für regionsgesperrte Inhalte, Tests von Rechtsordnungen oder aus jedem anderen Grund, ist ein VPN auf Router-Ebene das falsche Werkzeug. Exits auf einem Telefon umzuschalten ist ein Tippen. Auf einem Router zu tun erfordert die Anmeldung im Admin-Panel.
Wenn Sie Split-Tunneling auf Anwendungsebene brauchen, einige Apps durch das VPN und andere direkt, erledigt das eine VPN-App auf Geräteebene sauber. Der Router kann nicht ohne Weiteres erkennen, welche Anwendung welches Paket erzeugt hat.
Wenn einige Geräte in Ihrem Netzwerk das VPN brauchen und andere es aktiv nicht dürfen, setzt das Router-VPN alle hinter dieselbe Exit-IP. Banking-Apps markieren VPN-Verkehr. Regionsgesperrte Streaming-Dienste gehen kaputt. Eine pauschale Richtlinie am Router bedeutet eine pauschale Umgehung für jede Ausnahme.
Wenn Sie ein oder zwei Geräte haben, löst eine Schicht auf Router-Ebene ein Problem, das Sie nicht haben.
How-To Geek brachte das Latenz-Argument 2023 vor: Ein netzwerkweites VPN zwingt jedem verbundenen Gerät die Latenz des VPN auf, auch solchen, die latenzempfindliche Arbeit verrichten, etwa Gaming, Videoanrufe und Echtzeit-Meetings, die während dieser Aktivitäten nicht vom VPN-Schutz profitieren. Dieses Argument ist richtig und wert, abgewogen zu werden. Die Lösung ist nicht, das Router-VPN aufzugeben. Sie ist zu erkennen, dass Sie manche Geräte vielleicht außerhalb des Tunnels haben wollen.
Viele kommerzielle VPN-Anbieter begrenzen weiterhin die gleichzeitigen Verbindungen pro Konto, während andere inzwischen höhere oder unbegrenzte Gerätezahlen anbieten. Ein Router-VPN kann trotzdem nützlich sein, weil der Anbieter den Router üblicherweise als eine VPN-Verbindung sieht, auch wenn mehrere Geräte dahinter sitzen.
Protokollwahl: WireGuard, OpenVPN und der Rest
Die Protokollwahl spielt auf einem Router eine größere Rolle als auf einem Laptop, weil die Router-CPU die Verschlüsselung erledigt und die Router-CPU langsam ist. Ein moderner Laptop mit AES-NI bewältigt OpenVPN oder WireGuard bei Gigabit gleich gut. Ein Consumer-Router nicht.
WireGuard ist für nahezu jedes Szenario die richtige Antwort. Die Codebasis ist drastisch kleiner als die von OpenVPN, was sie leichter zu prüfen und zu reviewen macht. Die Kryptografie ist modern: ChaCha20 für die Verschlüsselung, Poly1305 für die Authentifizierung, Curve25519 für den Schlüsselaustausch. Der Handshake schließt in einem Round-Trip ab, der TLS-Handshake von OpenVPN braucht mehrere. Die Verarbeitungskosten pro Paket sind niedrig genug, dass Consumer-Router-CPUs es bewältigen, wo sie sich mit OpenVPN schwertun würden. WireGuard wird inzwischen nativ von ASUS, GL.iNET und den meisten Projekten für alternative Firmware unterstützt.
OpenVPN hat weiterhin seinen Platz. Es ist ausgereift, breit unterstützt und stärker in Authentifizierungssysteme für Unternehmen integriert. Wenn Sie ein bestehendes OpenVPN-Deployment mit bereits ausgestellten Zertifikaten haben oder eine spezifische Kompatibilitätsanforderung, die WireGuard noch nicht erfüllt, bleibt OpenVPN eine vernünftige Wahl. Auf leistungsfähigen Routern läuft es einwandfrei.
L2TP/IPsec taucht weiterhin auf vielen Router-Admin-Seiten auf, meist aus Gründen der Altkompatibilität. Es kann funktionieren, aber es ist nicht das Protokoll, das man für ein neues VPN auf Router-Ebene wählt, wenn WireGuard verfügbar ist. PPTP sollte als tot behandelt werden. Es hat bekannte Sicherheitsprobleme, und Microsoft hat bereits damit begonnen, PPTP und L2TP aus künftigen Versionen von Windows Server zu entfernen.
Pro-Tipp
Wenn Ihre Router-CPU älter als fünf Jahre ist und keine WireGuard-Hardwarebeschleunigung hat, betreiben Sie WireGuard trotzdem. Selbst unbeschleunigt schlägt es auf derselben Hardware meist beschleunigtes OpenVPN. Die Ausnahmen sind selten und betreffen bestimmte Broadcom-Chips mit dediziertem OpenVPN-Offload. Wenn Sie nicht verifizieren können, dass Ihr Router in einen dieser Sonderfälle fällt, wählen Sie standardmäßig WireGuard.
Eine Anmerkung zu den Leistungsbehauptungen, die online kursieren. WireGuards eigene Performance-Seite beschreibt die veröffentlichten Benchmarks als "old, crusty, and not super well conducted". Das sind die eigenen Autoren des Projekts. Konkrete Durchsatzverhältnisse, die Sie in Blogs Dritter zitiert finden, sind in der Regel nicht autoritativ belegt. Die qualitative Behauptung, dass WireGuard OpenVPN typischerweise übertrifft, besonders auf leistungsschwächerer Hardware, ist gut belegt. Die konkreten Faktoren sind es nicht.
Sollten Sie einen VPN-Router bauen oder ein VPS-Gateway nutzen?
Für einen technischen Leser ist der sauberere Vergleich die Platzierung des Endpunkts: Terminiert das VPN auf Hardware in Ihrem Haus oder auf Software, die auf einem Server läuft, den Sie mieten?
Ein Hardware-VPN-Router hat einige spezifische Stärken. Die Verschlüsselungsgrenze ist physisch auf ein Gerät isoliert, das Sie besitzen. Es gibt keine laufenden Mietkosten über Ihren ISP hinaus. Das Denkmodell ist einfach: eine Box, eine Konfiguration, ein Kabel zur Wand. Für ein Reise-Szenario ist ein Hardware-Router in einer hosentaschentauglichen Bauform (zum Beispiel die Beryl-Klasse von GL.iNET) ein wirklich nützlicher Gegenstand.
Ein VPS als Gateway hat andere Stärken. Ein anständiger VPS gibt Ihnen üblicherweise vorhersehbarere Rechenleistung und mehr Spielraum als ein günstiger Consumer-Router, besonders wenn Sie mehrere Exits, höheren Uplink oder mehr gleichzeitige Tunnel brauchen. Sie wählen die Rechtsordnung. Der VPN-Exit ist dort, wo der VPS liegt, und Sie können ihn verschieben. Sie kontrollieren den VPN-Daemon und sein Logging auf Anwendungsebene, auch wenn der Hosting-Anbieter weiterhin die zugrunde liegende Infrastruktur kontrolliert. Wenn Sie einen zweiten Exit in einer anderen Region wollen, starten Sie in 10 Minuten einen weiteren VPS, statt einen weiteren Router zu kaufen.
Ein vernünftiger Ausgangspunkt für die Dimensionierung eines persönlichen VPN-Gateways sind 1 vCPU und 1 GB RAM, was 5 bis 10 gleichzeitige Geräteverbindungen mit WireGuard bei Privatkunden-Bandbreiten bewältigt. Stärkere gleichzeitige Verschlüsselung oder höherer Uplink rechtfertigt einen CPU-optimierten Tarif. Die Verschlüsselungsarbeit ist CPU-gebunden, nicht speichergebunden. Siehe bestes VPS für VPN für die Tarif-Dimensionierung.
Wählen Sie Hardware, wenn Sie über Ihren ISP hinaus keine monatlichen Kosten wollen, bereits einen leistungsfähigen Router besitzen oder gezielt eine Reise-Router-Bauform brauchen. Wählen Sie einen VPS, wenn Sie bessere Verschlüsselungsleistung wollen, als ein Consumer-Router liefern kann, Wahl der Rechtsordnung beim Exit, oder wenn Sie bereits andere Dienste selbst hosten und ein weiterer Daemon keine zusätzliche Last ist. Für restriktive Netzwerkumgebungen kann der VPS-Weg auch leichter anzupassen sein als ein Standard-Router-Setup, weil Sie die Server-Software kontrollieren und nicht auf die Protokolle beschränkt sind, die der Router-Hersteller in seinem Admin-Panel freigibt.
Wenn Sie den VPS-Weg nehmen, sind die Kaufkriterien einfach: Wählen Sie eine nahe Region, genug CPU für die Verschlüsselung, eine dedizierte IP und einen Anbieter, der Ihnen Root-Zugang gibt, ohne die Netzwerkdetails zu verstecken. Cloudzys Linux-VPS ist dafür eine Option, und der Marketplace hat Ein-Klick- WireGuard und OpenVPN Access-Server-Deployments, wenn Sie die manuelle Servereinrichtung überspringen möchten.
Häufig gestellte Fragen
Brauche ich einen speziellen Router, um ein VPN zu nutzen?
Nein. Sie brauchen keinen speziellen Router, wenn Ihr aktueller Router bereits den VPN-Client-Modus unterstützt. Viele aktuelle ASUS- und GL.iNET-Modelle unterstützen WireGuard oder OpenVPN in der Werks-Firmware, aber die Unterstützung hängt vom genauen Modell und der Firmware-Version ab. Wenn Ihr Router ein VPN nicht nativ unterstützt, können Sie entweder eine alternative Firmware wie OpenWrt installieren oder das VPN auf einem separaten Gerät betreiben, etwa einem VPS, einem Raspberry Pi oder einem kleinen Linux-Server, über den der Router routet.
Verlangsamt ein VPN-Router mein Internet?
Ja, etwas. Die CPU des Routers erledigt die Verschlüsselungsarbeit, und Consumer-Router-CPUs sind langsamer als die CPUs in Ihrem Telefon oder Laptop. Wie stark die Verlangsamung ausfällt, hängt vom Chip des Routers ab, vom Protokoll (WireGuard ist leichter als OpenVPN) und davon, ob der Router Hardwarebeschleunigung hat. Ein moderner Router mit WireGuard verliert in der Regel nur einen kleinen Bruchteil des WAN-Durchsatzes. Ein älterer Router mit OpenVPN kann viel mehr verlieren.
Was ist der Unterschied zwischen einem VPN-Router und einer VPN-App auf meinem Gerät?
Ein VPN-Router setzt den Tunnel auf der Netzwerkebene an, sodass jedes verbundene Gerät (Telefon, Laptop, Smart-TV, Konsole, IoT) das VPN automatisch nutzt, ohne irgendetwas zu installieren. Eine VPN-App setzt den Tunnel auf ein einzelnes Gerät und schützt nur dieses Gerät, erlaubt aber feinere Kontrolle: Routing pro App, einfaches Umschalten des Servers und das Ausschließen bestimmter Apps. Der Kompromiss ist netzwerkweite Abdeckung gegenüber Flexibilität pro Gerät.
Welches VPN-Protokoll sollte ich auf meinem Router verwenden, WireGuard oder OpenVPN?
WireGuard, in nahezu jedem Fall. Die Codebasis ist kleiner, die Kryptografie ist modern, und die Verarbeitungskosten pro Paket sind niedrig genug, dass Consumer-Router-CPUs es gut bewältigen. OpenVPN bleibt eine vernünftige Wahl, wenn Sie bereits ein OpenVPN-Deployment mit ausgestellten Zertifikaten haben oder eine spezifische Kompatibilitätsanforderung, die WireGuard noch nicht erfüllt.
Kann ich einen VPS statt eines Hardware-VPN-Routers verwenden?
Ja. Installieren Sie WireGuard oder OpenVPN auf einem Linux-VPS und richten Sie dann entweder einen OpenWrt- oder DD-WRT-Router als Upstream-Tunnel darauf aus oder verbinden Sie einzelne Geräte direkt mit dem VPS. Dieser Ansatz gibt Ihnen Wahl der Rechtsordnung beim Exit, Kontrolle über den VPN-Daemon und seine Logs auf Anwendungsebene und mehr Rechenspielraum als die meisten Consumer-Router-Setups. Der Kompromiss ist, dass Sie einen Server betreiben, einschließlich Patchen und Überwachen.
