VPN auf dem Router: Heimnetz schützen

VPN auf dem Router = alle Geräte im Heimnetz automatisch geschützt – ohne einzelne Apps. Smart-TV, IP-Kamera, Saugroboter, Alexa – alles verschlüsselt. Diese Anleitung zeigt Schritt für Schritt, wie du das einrichtest.

Warum Router-VPN statt einzelner Apps?

• Alle Geräte geschützt: Auch IoT-Geräte ohne VPN-App-Unterstützung (Smart-TV, Kameras, Saugroboter, Thermostate). Details zur Datenschutz-Problematik bei Smart-Home-Geräten in unserem Smart-Home-Artikel und Dreame-Saugroboter-Test
• Eine Stelle, ein Login: Keine VPN-App auf jedem Gerät. Einmal konfiguriert → läuft permanent im Hintergrund
• Kein „App vergessen“: Niemand im Haushalt kann den Schutz versehentlich deaktivieren
• Unbegrenzte Geräte: Egal ob dein VPN-Anbieter 5, 10 oder „unbegrenzt“ Verbindungen erlaubt – der Router zählt als 1 Verbindung

Nachteile

• Geschwindigkeitsverlust: 20–30 % sind normal. Bei schwacher Router-Hardware: 40–50 %
• Kein einfacher Standort-Wechsel: Alle Geräte nutzen denselben VPN-Server. Willst du Netflix US → ganzes Netz geht über US-Server (auch Banking → Geo-Block möglich!). Lösung: Geteiltes Tunneln (siehe unten)
• Router-Neustart = VPN-Neustart: Nach Stromausfall oder Firmware-Update muss sich der Router neu verbinden (meist automatisch, aber 1–2 Minuten Klartext-Verkehr)

Voraussetzung: Unterstützt dein Router VPN?

Variante 1: Router mit nativer VPN-Unterstützung

ASUS (RT-AX86U, RT-AX88U, ROG Rapture): Beste Router für VPN in Deutschland. Native WireGuard- und OpenVPN-Unterstützung im Betriebssystem (ASUSWRT). Einfachste Einrichtung. Empfehlung Nr. 1 wenn du einen neuen Router kaufst.

Netgear Nighthawk (R7000, RAX50+): OpenVPN-Unterstützung. WireGuard meist nur über DD-WRT/OpenWrt.

Synology Router (RT6600ax): VPN Plus-Paket, gute GUI. Teurer, aber sehr benutzerfreundlich.

GL.iNet Reise-Router (GL-MT3000 „Beryl AX", ~70 €): Kompakter Reise-Router mit nativem WireGuard + OpenVPN. Ideal als VPN-Gateway vor deinem Hauptrouter, wenn du deinen ISP-Router (z. B. FritzBox) nicht ersetzen willst.

Variante 2: FritzBox (häufigster Router in Deutschland)

Die FritzBox ist der Standard-Router in deutschen Haushalten – aber kann KEIN VPN als Client betreiben (nur als VPN-Server für Fernzugriff). Du kannst also keine NordVPN/Surfshark-Verbindung direkt auf der FritzBox einrichten.

Lösung 1: GL.iNet Reise-Router (z. B. Beryl AX, ~70 €) als zweiten Router hinter die FritzBox hängen. VPN läuft auf dem GL.iNet, FritzBox bleibt dein Internet-Zugang. Geräte, die VPN nutzen sollen → mit dem GL.iNet-WLAN verbinden. Geräte ohne VPN → mit dem FritzBox-WLAN verbinden. Einfachste Lösung für FritzBox-Nutzer.

Lösung 2: Separaten ASUS-Router hinter die FritzBox setzen (FritzBox als Modem im Bridge-Modus, ASUS als Hauptrouter mit VPN). Aufwendiger, aber leistungsfähiger.

Lösung 3: Raspberry Pi mit Pi-VPN (WireGuard) als VPN-Gateway im Netzwerk. Für technisch Versierte.

Variante 3: Custom-Firmware (DD-WRT, OpenWrt)

Ältere Router mit DD-WRT oder OpenWrt nachrüsten → VPN-Funktionalität hinzufügen. Technisch anspruchsvoller. Risiko: Falsches Flashen kann den Router unbrauchbar machen. Nur für erfahrene Nutzer.

Hardware-Mindestanforderungen

Minimum: Zweikern-Prozessor, 256 MB RAM → für OpenVPN bis ~100 Mbit/s.

Empfohlen: Vierkern-Prozessor, 512+ MB RAM → für WireGuard bis ~500 Mbit/s.

Schwache Hardware = Drosselung, Verbindungsabbrüche, frustrierend langsam. Router-Spezifikationen VOR dem Kauf prüfen.

Welches VPN-Protokoll?

WireGuard (Empfehlung 2026): Schneller, effizienter, ~4.000 Zeilen Code (leicht auditierbar). Weniger CPU-Last → bessere Geschwindigkeit auf schwächerer Hardware. Die meisten modernen Router unterstützen es. Erste Wahl.

OpenVPN: Etablierter Standard, von praktisch allen Routern unterstützt. Langsamer als WireGuard, höhere CPU-Last. Ausweichoption, wenn WireGuard nicht verfügbar ist.

Kein IKEv2/PPTP: IKEv2 auf Routern schlecht unterstützt. PPTP ist unsicher → nie verwenden.

Welcher VPN-Anbieter für Router?

Nicht jeder Anbieter unterstützt Router gleich gut. Entscheidend: Werden WireGuard-Konfigurationsdateien und Router-Anleitungen bereitgestellt?

• NordVPN: Beste Router-Dokumentation. WireGuard (NordLynx) + OpenVPN. Anleitungen für ASUS, DD-WRT, OpenWrt, GL.iNet. Konsistent mit unserem VPN-Vergleich
• Surfshark: Unbegrenzte Verbindungen (Router zählt trotzdem als 1). WireGuard + OpenVPN. Günstigster Preis (~2,19 €/Monat)
• Mullvad: WireGuard-Konfigurator auf der Website. Einfachste Einrichtung für technisch Versierte. Keine Anmeldedaten nötig (nur Kontonummer)
• ProtonVPN: WireGuard-Konfigurationen verfügbar. Schweizer Datenschutz

ExpressVPN: Hat gute Router-Unterstützung (eigener Router-Firmware), aber gehört zu Kape Technologies (Details im CyberGhost-Artikel). Nur wenn du Kape bewusst in Kauf nimmst.

Anleitung: ASUS-Router mit WireGuard (Empfohlener Weg)

1. Router-Admin öffnen: Im Browser 192.168.1.1 eingeben (oder router.asus.com). Benutzername/Passwort eingeben (Standard: admin/admin → sofort ändern!)
2. VPN-Bereich finden: „Erweiterte Einstellungen" → „VPN" → Reiter „VPN-Client"
3. Profil hinzufügen: „Profil hinzufügen" → „WireGuard" auswählen
4. Konfiguration hochladen: Beim VPN-Anbieter einloggen → WireGuard-Konfigurationsdatei (.conf) herunterladen → Im Router hochladen. Bei NordVPN: „Manuelle Einrichtung" → „WireGuard" → Datei herunterladen. Bei Mullvad: „WireGuard-Konfiguration" → Server wählen → Datei herunterladen
5. Verbindung aktivieren: „Aktivieren" klicken. Status sollte nach 5–10 Sekunden „Verbunden" zeigen
6. Testen: Browser öffnen → ipleak.net aufrufen. Wenn die angezeigte IP vom VPN-Server stammt und kein DNS-Leck angezeigt wird → alles korrekt

Anleitung: GL.iNet hinter FritzBox (für FritzBox-Nutzer)

1. GL.iNet Beryl AX kaufen (~70 €) und mit Ethernet-Kabel an einen LAN-Port der FritzBox anschließen
2. GL.iNet Admin öffnen: Im Browser 192.168.8.1 eingeben
3. VPN → WireGuard-Client: „VPN" → „WireGuard Client" → „Konfiguration hinzufügen"
4. Konfiguration hochladen: WireGuard-Datei vom VPN-Anbieter hochladen (wie oben)
5. Verbinden: Server auswählen → „Verbinden". Fertig
6. Geräte verbinden: Geräte, die VPN nutzen sollen → mit dem GL.iNet-WLAN verbinden. Geräte ohne VPN (Banking, lokale Dienste) → mit dem FritzBox-WLAN verbinden

Vorteil: Natürliches geteiltes Tunneln! Zwei WLANs = eines mit VPN (GL.iNet), eines ohne (FritzBox). Banking, Mediatheken und lokale Dienste über FritzBox → kein Geo-Block.

Geteiltes Tunneln (Split Tunneling)

Problem: Router-VPN schickt ALLEN Datenverkehr über den VPN-Server. Das kann Probleme verursachen:

• Online-Banking blockiert VPN-IPs (Verdacht auf Betrug)
• Deutsche Mediatheken (ARD, ZDF) blockieren ausländische IPs
• Lokale Netzwerkdrucker/NAS nicht erreichbar über VPN

Lösung 1 (GL.iNet/FritzBox-Kombi): Zwei WLANs (siehe oben). Einfachste Lösung.

Lösung 2 (ASUS): ASUSWRT unterstützt VPN-Ausnahmen pro Gerät. „VPN" → „VPN-Client" → „Geräte ausschließen" → Banking-Laptop oder Smart-TV ausschließen.

Lösung 3 (OpenWrt): Richtlinienbasiertes Routing. Bestimmte Geräte oder IP-Bereiche vom VPN ausschließen. Technisch anspruchsvoller, aber maximale Kontrolle.

Nach der Einrichtung: Testen und Absichern

Pflicht-Tests

1. IP-Check: ipleak.net → angezeigte IP muss vom VPN-Server stammen, nicht von deinem Internetanbieter
2. DNS-Leck-Test: dnsleaktest.com → DNS-Server muss vom VPN-Anbieter stammen. Wenn dein Internetanbieter auftaucht → DNS-Einstellungen im Router anpassen (DNS des VPN-Anbieters manuell eintragen)
3. IPv6-Leck-Test: ipleak.net prüft auch IPv6. Wenn deine echte IPv6-Adresse sichtbar ist → IPv6 im Router deaktivieren. Konsistent mit unserem VPN-Sicherheits-Artikel
4. Geschwindigkeitstest: speedtest.net → 20–30 % Verlust normal. Über 50 % → anderen Server oder WireGuard statt OpenVPN wählen

Notschalter (Kill Switch) am Router

Wenn die VPN-Verbindung abbricht → Geräte senden kurzzeitig unverschlüsselt. ASUS: „Internet-Verkehr blockieren, wenn VPN getrennt" aktivieren (unter VPN-Client-Einstellungen). GL.iNet: „VPN-Richtlinien" → „Gesamten Verkehr blockieren, wenn VPN getrennt" aktivieren. OpenWrt: Firewall-Regel: WAN-Verkehr nur über VPN-Interface erlauben.

Häufige Probleme und Lösungen

Verbindungsabbrüche: Anderen Server wählen (manche sind überlastet). Zeitüberschreitung in den Router-Einstellungen erhöhen. WireGuard ist stabiler als OpenVPN.

Sehr langsam: WireGuard statt OpenVPN verwenden. Geografisch näheren Server wählen (Frankfurt statt New York!). AES-128 statt AES-256 (bei OpenVPN, ausreichend sicher für Privatnutzer).

Einzelne Geräte funktionieren nicht: Prüfe ob sie mit dem richtigen WLAN verbunden sind (2,4 GHz vs. 5 GHz). Bei Dual-Band: Beide Bänder müssen über VPN geroutet sein.

Banking/Mediatheken blockiert: Geteiltes Tunneln einrichten (siehe oben). Oder: Für Banking das Smartphone kurz mit dem Mobilfunknetz verbinden (kein WLAN).

Smart-Home-Geräte reagieren nicht: Manche IoT-Geräte (Alexa, Google Home) benötigen lokale Netzwerkverbindung UND Internet. VPN kann lokale mDNS-Auflösung stören. Lösung: Diese Geräte vom VPN ausschließen (geteiltes Tunneln) oder Home Assistant als lokale Steuerung nutzen (Details im Smart-Home-Artikel).

Für wen lohnt sich Router-VPN?

Ja, lohnt sich: Viele IoT-Geräte ohne VPN-App. Haushalt mit mehreren Personen (Kinder, Partner – alle automatisch geschützt). Datenschutz-bewusst (Smart-TV, Saugroboter → keine Telemetrie an Hersteller-Server).

Eher nicht nötig: Nur 1–2 Geräte (Laptop, Smartphone) → VPN-App reicht. Kein Smart-Home. Kein besonderes Datenschutz-Bedürfnis.

Empfohlenes Setup für deutsche Haushalte: FritzBox als Internet-Zugang + GL.iNet Beryl AX (~70 €) als VPN-Router dahinter. Zwei WLANs: Eines mit VPN (GL.iNet), eines ohne (FritzBox). NordVPN oder Mullvad als Anbieter. WireGuard als Protokoll. Gesamtkosten: ~70 € einmalig + ~3–5 €/Monat VPN-Abo.

* Dieser Beitrag enthält Affiliate-Links. Bei einem Kauf oder Abschluss über diese Links erhalten wir eine kleine Provision – für dich entstehen keine Mehrkosten.