Was ist ein VPN-Leck?

Ein VPN-Leck liegt vor, wenn Ihre echte IP-Adresse oder Ihre DNS-Anfragen aus dem verschlüsselten Tunnel entweichen und für Websites oder Ihren Anbieter sichtbar werden, obwohl das VPN verbunden ist. Die drei häufigen Arten sind WebRTC-, DNS- und IPv6-Lecks.

Wie behebe ich ein WebRTC-Leck?

Blockieren Sie WebRTCs Zugriff auf Ihre echte IP: in Firefox media.peerconnection.enabled in about:config auf false setzen; in Chrome/Edge eine vertrauenswürdige WebRTC-Steuerungserweiterung installieren; oder ein VPN mit eingebautem WebRTC-Leckschutz nutzen. Dann erneut testen, dass nur Ihre VPN-IP erscheint.

Wie stoppe ich ein DNS-Leck?

Nutzen Sie ein VPN, das DNS über eigene Server leitet, und aktivieren Sie dessen „DNS-Leckschutz“ oder Kill Switch. Im Betriebssystem den DNS auf den Resolver des VPN setzen und intelligente Multi-Homed-Namensauflösung (Windows) deaktivieren. Mit einem dedizierten DNS-Leck-Test bestätigen.

Wie behebe ich ein IPv6-Leck?

Entweder ein VPN nutzen, das IPv6 tunnelt, oder IPv6 auf dem Gerät deaktivieren, sodass nur der geschützte IPv4-Tunnel verwendet wird. Viele reine IPv4-VPNs lassen IPv6-Verkehr ungeschützt, sofern kein IPv6-Leckschutz aktiv ist.

Bedeutet ein VPN-Leck, dass mein VPN defekt ist?

Nicht unbedingt. Lecks stammen meist von Browser-Funktionen (WebRTC), OS-DNS-Einstellungen oder IPv6-Konnektivität, die das VPN nicht abdeckt — nicht von defekter Verschlüsselung. Die jeweilige Leckquelle zu beheben stellt den vollen Schutz wieder her.

6. Juni 2026 · 11 Min. Lesezeit

VPN-Leck beheben (WebRTC, DNS, IPv6)

Ein VPN kann Ihre echte IP trotzdem über WebRTC, DNS oder IPv6 preisgeben. So entsteht jedes Leck und das sind die genauen Schritte, um es in Browser, Betriebssystem und VPN-App zu beheben.

Ihr VPN ist verbunden, die App sagt „geschützt" — und eine Website sieht trotzdem Ihre echte IP. Das ist ein VPN-Leck: Ihre echte Adresse oder Ihre DNS-Anfragen rutschen am Tunnel vorbei. Dieser Leitfaden behandelt die drei wichtigen — WebRTC, DNS und IPv6 — was jedes ist und die genauen Schritte zur Behebung. Prüfen Sie zuerst Ihre Verbindung mit unserem VPN-Leck-Test und beheben Sie dann, was er meldet.

Kurze Antwort

Leck	Was entweicht	Schnellste Lösung
WebRTC	Ihre echte IP über Browser-Peer-to-Peer	WebRTC deaktivieren/begrenzen oder WebRTC-Leckschutz
DNS	Welche Seiten Sie besuchen, zum Resolver des Anbieters	DNS durch das VPN erzwingen + DNS-Leckschutz aktivieren
IPv6	Ihre echte IPv6-Adresse	IPv6 tunneln oder auf dem Gerät deaktivieren

Ein Leck bedeutet fast nie defekte Verschlüsselung — es ist eine Funktion außerhalb des Tunnels (eine Browser-API, eine OS-DNS-Einstellung oder IPv6-Routing), die einen anderen Ausweg gefunden hat.

WebRTC-Lecks

WebRTC ist die Technik hinter Videoanrufen und Peer-to-Peer-Verbindungen. Um diese aufzubauen, fragt es einen STUN-Server „was ist meine öffentliche IP?" — und diese Antwort kann Ihre echte IP sein, direkt über UDP gesendet, am normalen VPN-Routing vorbei. Schlimmer noch, es kann auch lokale Netzwerk-IPs und Ihren mDNS-.local-Hostnamen offenlegen.

Sie haben ein WebRTC-Leck, wenn der Test eine öffentliche IP zeigt, die sich von Ihrer VPN-IP unterscheidet.

Lösung je Browser

Browser	So stoppen Sie die IP-Offenlegung durch WebRTC
Firefox	`about:config` → `media.peerconnection.enabled` auf false setzen
Chrome	Kein nativer Schalter — seriöse WebRTC-Steuerungserweiterung installieren oder VPN mit WebRTC-Schutz
Edge	Wie Chrome (Chromium) — Erweiterung oder Schutz auf VPN-Ebene
Safari	Einstellungen → Erweitert → Entwickeln-Menü → WebRTC; oder auf Safaris mDNS-Maskierung vertrauen
Brave	Einstellungen → Datenschutz → WebRTC-IP-Handhabungsrichtlinie → „Disable Non-Proxied UDP"

Am zuverlässigsten ist ein VPN mit eingebautem WebRTC-Leckschutz — es neutralisiert das Leck, ohne Videoanrufe komplett zu zerstören. Nach jeder Änderung erneut testen: Nur Ihre VPN-IP sollte erscheinen.

DNS-Lecks

Jede besuchte Seite beginnt mit einer DNS-Abfrage („was ist die IP für example.com?"). Gehen diese Abfragen an den Resolver Ihres Anbieters statt durch das VPN, sieht Ihr Anbieter weiterhin jede besuchte Domain — obwohl Ihr Verkehr verschlüsselt ist. Das ist ein DNS-Leck.

Warum eine Webseite es nicht vollständig erkennen kann: Ein Browser kann den Resolver Ihres OS/VPN nicht direkt auslesen. Spezialseiten erkennen es, indem sie einen eindeutigen Hostnamen auf ihren eigenen autoritativen DNS-Servern auflösen und protokollieren, welcher Resolver fragt. Unser Tool ist edge-safe und kennzeichnet DNS daher als manuelle Prüfung und verweist auf den richtigen Test, statt ein Ergebnis vorzutäuschen.

Lösung

Nutzen Sie ein VPN, das eigenes DNS betreibt und Abfragen durch den Tunnel leitet. Aktivieren Sie dessen „DNS-Leckschutz".
Aktivieren Sie den Kill Switch, damit Verkehr (und DNS) blockiert wird, wenn der Tunnel abbricht.
Windows: Intelligente Multi-Homed-Namensauflösung deaktivieren. DNS auf den Resolver des VPN setzen oder ein privates wie 1.1.1.1 / 8.8.8.8.
Router-VPNs: DNS des Routers auf die Server des VPN-Anbieters setzen.
Bestätigen mit einem dedizierten DNS-Leck-Test — Sie sollten nur die DNS-Server Ihres VPN sehen, nie die Ihres Anbieters. Sie können die Auflösung auch mit unserem DNS-Tool prüfen, das über DoH abfragt.

IPv6-Lecks

Viele VPNs tunneln nur IPv4. Hat Ihr Netzwerk auch IPv6, erreicht Ihr Gerät Seiten womöglich über IPv6 außerhalb des Tunnels — und legt Ihre echte IPv6-Adresse offen, während IPv4 geschützt aussieht. Unser Test meldet dies, wenn er eine öffentliche IPv6-Adresse sieht.

Lösung

Am besten: ein VPN nutzen, das IPv6 vollständig tunnelt (achten Sie auf „IPv6-Unterstützung" oder „IPv6-Leckschutz").
Einfach: IPv6 deaktivieren auf Gerät oder Router, sodass nur der geschützte IPv4-Tunnel genutzt wird:
- Windows: Netzwerkadapter → Eigenschaften → Internetprotokoll Version 6 (TCP/IPv6) abwählen.
- macOS: networksetup -setv6off Wi-Fi (oder Ethernet).
- Linux: net.ipv6.conf.all.disable_ipv6 = 1 in sysctl.
- Router: IPv6 in den Verbindungseinstellungen deaktivieren.
Erneut testen; die IPv6-Zeile sollte keine öffentliche IPv6-Exposition anzeigen.

Ihr Testergebnis lesen

Unser VPN-Leck-Test liefert ein einziges Urteil plus eine Aufschlüsselung je Kategorie:

Keine Lecks erkannt — WebRTC zeigt nur Ihre VPN-IP, keine öffentliche IPv6.
Leck erkannt — WebRTC hat eine öffentliche IP offengelegt, die Ihre Verbindung verbirgt. Zuerst WebRTC beheben.
Überprüfung empfohlen — eine IPv6 oder lokale IP ist sichtbar; IPv6 oder Browser-Einstellungen straffen.
DNS: manuelle Prüfung — mit einem dedizierten DNS-Leck-Test bestätigen (siehe oben).

Die 60-Sekunden-Checkliste

Starten Sie den Leck-Test mit aktivem VPN.
WebRTC-Leck? WebRTC im Browser deaktivieren/begrenzen oder VPN-WebRTC-Schutz aktivieren.
IPv6 sichtbar? IPv6 tunneln oder auf dem Gerät deaktivieren.
DNS? DNS-Leckschutz + Kill Switch aktivieren; mit DNS-Leck-Test prüfen.
Erneut testen, bis jede Zeile sauber ist.

Wollen Sie den Hintergrund, wie diese Lecks Sie offenlegen und wie ein VPN Ihre IP eigentlich maskieren soll? Lesen Sie WebRTC-, DNS- und IP-Lecks erklärt und Was ist ein VPN und wie ändert es Ihre IP. Um Ihre aktuelle Ausgangs-IP jederzeit zu sehen, nutzen Sie Was ist meine IP.