Warum funktioniert mein VPN manchmal nicht mehr?

Mehrere Möglichkeiten. Die IP des VPN-Servers wurde zu einer Sperrliste hinzugefügt (versuchen Sie es mit einem anderen Server). Die DPI des Netzwerks hat das Protokoll mit einem Fingerabdruck versehen und blockiert es (versuchen Sie es mit OpenVPN-TCP/443 mit Verschleierung oder einem dedizierten verschleierten Protokoll wie Proton Stealth oder NordWhisper). Der Zieldienst (Netflix, Ihre Bank) hat die VPN-IP zu seiner Sperrliste hinzugefügt (versuchen Sie es mit einem anderen Ausgang oder einem dedizierten Streaming-Server).

Funktioniert irgendein VPN in China?

Nur wenige arbeiten zuverlässig. Standardprotokolle werden von der Great Firewall innerhalb von Minuten erkannt und blockiert. Spezielle verschleierte Protokolle (NordWhisper von NordVPN, Stealth von ProtonVPN, Shadowsocks mit v2ray-Plugin, AmneziaWG) funktionieren manchmal. Das Wettrüsten wechselt wöchentlich hin und her. Reisende, die speziell ein zuverlässiges VPN für China benötigen, sollten im Voraus mehrere Anbieter und Konfigurationen installieren.

Woher weiß Netflix, dass ich ein VPN verwende?

Hauptsächlich IP-basierte Erkennung. Netflix unterhält eine Datenbank mit bekannten IP-Bereichen von VPN-Anbietern und lehnt Streams von diesen IPs ab. Sie aktualisieren die Datenbank ständig. Einige VPN-Anbieter rotieren Exit-IPs schneller als Netflix-Updates, aber es handelt sich um ein bewegliches Ziel. Privat-IPs (die von echten Verbraucher-ISPs übernommen wurden) umgehen dies, sind jedoch teurer im Betrieb.

Ist die Nutzung eines VPN in restriktiven Ländern illegal?

Meistens lautet die technische Antwort ja, die praktische Antwort ist, dass eine Durchsetzung gegen einzelne Benutzer selten vorkommt. China verlangt, dass sich VPN-Anbieter bei der Regierung registrieren lassen. Nicht registrierte VPNs sind technisch gesehen illegal, aber Dutzende Millionen chinesischer Bürger nutzen sie. Die Situation in Russland ist ähnlich. Die VAE haben gelegentlich gegen einzelne Nutzer Geldstrafen verhängt. Das tatsächliche persönliche Risiko hängt von Ihrer Sichtbarkeit ab – der stille persönliche Gebrauch wird selten ins Visier genommen; Aktivismus oder Geschäft, das Aufmerksamkeit erregt, ist.

Kann ein VPN-Anbieter erkennen, wann ich blockiert werde?

Im Allgemeinen ja – Verbindungsfehler, Drosselung oder DPI-Fingerabdruckübereinstimmungen werden in der Telemetrie angezeigt. Anbieter, die die Umgehung der Zensur ernst nehmen (Proton, NordVPN, Mullvad), verfolgen aktiv, welche Netzwerke/Regionen ihre Verbindungen blockieren und führen als Reaktion neue Protokolle oder Serverkonfigurationen ein. Anbieter mit geringeren Umgehungsbudgets verfolgen dies nicht so genau.

VPN-Blockierung erklärt: Wie Länder und Dienste VPNs blockieren (und wie sie es umgehen)

VPN-Blockierung ist ein Katz-und-Maus-Spiel zwischen Leuten, die versuchen, VPNs zu nutzen, und den Regierungen, ISPs, Streaming-Diensten und Unternehmensnetzwerken, die versuchen, sie zu stoppen. China führt das aggressivste Blockierungsprogramm durch; Russland, Iran und die Vereinigten Arabischen Emirate folgen knapp dahinter; Netflix hat jahrelang versucht, VPN-Benutzern den Zugriff zu verweigern. So funktioniert die Blockierung auf technischer Seite tatsächlich und was VPN-Anbieter tun, um sie zu umgehen.

Der vollständige Artikeltext ist unten in englischer Sprache aufgeführt.

Die Blockierungsmethoden

IP-Blockliste

Die einfachste Methode. Erstellen Sie eine Liste bekannter VPN-Anbieter-IP-Bereiche und blockieren Sie alle. Streaming-Dienste nutzen dies am aggressivsten – Netflix, Hulu, BBC iPlayer und Disney+ haben alle eine ausgefeilte VPN-IP-Erkennung entwickelt, die täglich aktualisiert wird. Länder nutzen dies auch als erste Verteidigungslinie.

Gegensatz: VPN-Anbieter fügen ständig neue Server-IPs hinzu und wechseln die Exit-Pools. Einige bieten private IPs (IPs, die von echten Verbraucher-ISPs und nicht von Rechenzentren stammen) für Benutzer an, die speziell IP-Reputationssperren umgehen müssen.

Portblockierung

VPN-Protokolle verfügen über bekannte Ports. Der von OpenVPN IANA zugewiesene Port ist 1194. WireGuard ist standardmäßig auf 51820 eingestellt. IKEv2 verwendet UDP 500 und 4500. Blockieren Sie diese Ports und blockieren Sie den offensichtlichen VPN-Verkehr.

XPLZ12 Protokoll-Handshakes

Der ernsthafte Ansatz. Selbst wenn ein VPN auf TCP/443 läuft, weist der Handshake von OpenVPN, WireGuard oder IKEv2 eine erkennbare Byte-Signatur auf, die DPI-Systeme per Fingerabdruck erfassen können. Die Great Firewall of China verwendet diese Technik routinemäßig – sogar WireGuard-on-443 wird innerhalb von Minuten erkannt und blockiert.

Counter: Protokollverschleierung. Wickeln Sie den VPN-Handshake in etwas ein, das wie echter HTTPS-, WebSocket- oder QUIC-Verkehr aussieht. Beispiele: Stealth von ProtonVPN, NordWhisper von NordVPN, OpenVPN mit Stunnel/Cloak/Obfsproxy, AmneziaWG (ein WireGuard-Fork, der seinen Handshake randomisiert), V2Ray-Protokolle. Ein bestimmter Browser erzeugt ClientHello-Nachrichten mit einer bestimmten Reihenfolge der Verschlüsselungssammlungen, einer bestimmten Erweiterungsliste und einem bestimmten JA3-Hash. Wenn Ihre „HTTPS“-Verbindung einen TLS-Fingerabdruck hat, der mit keinem großen Browser übereinstimmt, könnte es sich um einen VPN-Client handeln, der ein Kostüm trägt. Das Katz-und-Maus-Spiel geht weiter.

Traffic-Shape-Analyse

Selbst wenn Inhalte verschlüsselt sind und Fingerabdrücke mit einem echten Browser übereinstimmen, ist der Rhythmus einer VPN-Sitzung unverwechselbar. Stets bidirektional, kontinuierlicher Durchsatz, konsistente Paketgrößen – nicht das stoßweise Fetch-Render-Pause-Muster beim tatsächlichen Surfen im Internet. Modelle für maschinelles Lernen können VPN-Flüsse allein anhand der Form mit überraschender Genauigkeit identifizieren.

XPLZ32 Bei einer verdächtigen Verbindung werden manchmal Testpakete an das Ziel gesendet, um zu überprüfen, ob es sich tatsächlich um einen VPN-Server handelt. Ein echter HTTPS-Server antwortet mit einem erkennbaren TLS-Handshake; Ein VPN-Server reagiert möglicherweise auf eine Art und Weise, die sich selbst verrät. Die gesamte Verbindung wird dann blockiert.

XPLZ38 Benutzer können den VPN-Client nicht einmal herunterladen, da vpnmasterpro.com (oder ein anderer) nicht auflöst.

Counter: Verwenden Sie DNS über HTTPS, um einen nicht blockierten Resolver abzufragen. Verteilen Sie Installationsmedien über Kanäle, die der Zensor nicht abfangen kann (Telegram, Tor, USB-Sticks, Botschaftsverteilungen).

Wo das Blockieren aggressiv ist

China – ausgefeilteste DPI-Bereitstellung der Welt. Standard-VPN-Protokolle werden innerhalb von Minuten nach ihrer Erkennung blockiert. Nur verschleierte Protokolle (und manchmal nicht einmal diese) funktionieren zuverlässig. Twitter/X wurde 2021 gedrosselt; Viele VPN-Anbieter wurden ab 2022 blockiert.
Iran – DPI ab 2008, regelmäßige VPN-Blockierungsereignisse insbesondere bei Protesten. Die Mahsa-Amini-Proteste im Jahr 2022 führten zu einem weit verbreiteten VPN-Einsatz, da die Regierung die Beschränkungen verschärfte. Die Durchsetzung ist uneinheitlich, aber technisch machbar. VPN-Umgehung ist im Wesentlichen N/A. Die meisten seriösen Anbieter haben physische Server abgezogen. Netflix, Hulu, BBC iPlayer, Disney+, Amazon Prime usw. blockieren VPN-IPs, um die geografische Lizenzierung durchzusetzen. Sie versuchen nicht, Sie vom allgemeinen Zugriff auf das Internet abzuhalten – nur davon, ihre Inhalte aus dem „falschen“ Land anzusehen.
Counter: dedizierte, für Streaming optimierte Server, die die IPs häufig wechseln. Einige VPNs (Windflix von Windscribe, dedizierte Streaming-Server von NordVPN/ExpressVPN/Surfshark) verfolgen explizit das Streaming-Wettrüsten. Kleinere datenschutzpuristische VPNs (Mullvad, Proton) greifen nicht zu, sodass ihre Streaming-Zuverlässigkeit geringer ist.
Blockierung von Unternehmensnetzwerken
Viele Unternehmen und Schulen blockieren den VPN-Verkehr aus Compliance- und Sicherheitsgründen. Die Methoden sind ähnlich: Portblockierung, IP-Blocklisten, DPI. Die Motivation ist unterschiedlich (Compliance, Inhaltsfilterung, Malware-Erkennung), aber die Techniken lassen sich direkt aufeinander abstimmen. Die Infrastruktur existierte für die legitime Unternehmensnutzung, lange bevor Verbraucher-VPNs üblich wurden.
XPLZ49 China und Russland verlangen, dass sich im Inland tätige VPN-Anbieter registrieren und kooperieren; Die Verwendung eines nicht registrierten (d. h. echten) VPN ist technisch gesehen illegal, die Durchsetzung gegen einzelne Benutzer ist jedoch uneinheitlich.
Die Verwendung eines VPN zur Begehung einer Straftat bleibt überall illegal; Das VPN ändert daran nichts.

XPLZ61 (Shadowsocks) oder AmneziaWG. X PLZ68 Transporte funktionieren oft noch. Halten Sie mehrere Anbieter und Protokolle bereit

Häufig gestellte Fragen

Warum funktioniert mein VPN manchmal nicht mehr?: Mehrere Möglichkeiten. Die IP des VPN-Servers wurde zu einer Sperrliste hinzugefügt (versuchen Sie es mit einem anderen Server). Die DPI des Netzwerks hat das Protokoll mit einem Fingerabdruck versehen und blockiert es (versuchen Sie es mit OpenVPN-TCP/443 mit Verschleierung oder einem dedizierten verschleierten Protokoll wie Proton Stealth oder NordWhisper). Der Zieldienst (Netflix, Ihre Bank) hat die VPN-IP zu seiner Sperrliste hinzugefügt (versuchen Sie es mit einem anderen Ausgang oder einem dedizierten Streaming-Server).
Funktioniert irgendein VPN in China?: Nur wenige arbeiten zuverlässig. Standardprotokolle werden von der Great Firewall innerhalb von Minuten erkannt und blockiert. Spezielle verschleierte Protokolle (NordWhisper von NordVPN, Stealth von ProtonVPN, Shadowsocks mit v2ray-Plugin, AmneziaWG) funktionieren manchmal. Das Wettrüsten wechselt wöchentlich hin und her. Reisende, die speziell ein zuverlässiges VPN für China benötigen, sollten im Voraus mehrere Anbieter und Konfigurationen installieren.
Woher weiß Netflix, dass ich ein VPN verwende?: Hauptsächlich IP-basierte Erkennung. Netflix unterhält eine Datenbank mit bekannten IP-Bereichen von VPN-Anbietern und lehnt Streams von diesen IPs ab. Sie aktualisieren die Datenbank ständig. Einige VPN-Anbieter rotieren Exit-IPs schneller als Netflix-Updates, aber es handelt sich um ein bewegliches Ziel. Privat-IPs (die von echten Verbraucher-ISPs übernommen wurden) umgehen dies, sind jedoch teurer im Betrieb.
Ist die Nutzung eines VPN in restriktiven Ländern illegal?: Meistens lautet die technische Antwort ja, die praktische Antwort ist, dass eine Durchsetzung gegen einzelne Benutzer selten vorkommt. China verlangt, dass sich VPN-Anbieter bei der Regierung registrieren lassen. Nicht registrierte VPNs sind technisch gesehen illegal, aber Dutzende Millionen chinesischer Bürger nutzen sie. Die Situation in Russland ist ähnlich. Die VAE haben gelegentlich gegen einzelne Nutzer Geldstrafen verhängt. Das tatsächliche persönliche Risiko hängt von Ihrer Sichtbarkeit ab – der stille persönliche Gebrauch wird selten ins Visier genommen; Aktivismus oder Geschäft, das Aufmerksamkeit erregt, ist.
Kann ein VPN-Anbieter erkennen, wann ich blockiert werde?: Im Allgemeinen ja – Verbindungsfehler, Drosselung oder DPI-Fingerabdruckübereinstimmungen werden in der Telemetrie angezeigt. Anbieter, die die Umgehung der Zensur ernst nehmen (Proton, NordVPN, Mullvad), verfolgen aktiv, welche Netzwerke/Regionen ihre Verbindungen blockieren und führen als Reaktion neue Protokolle oder Serverkonfigurationen ein. Anbieter mit geringeren Umgehungsbudgets verfolgen dies nicht so genau.