Was ist ein VPN-Tunnel, und wie funktioniert er?
„Tunnel“ ist eines dieser Wörter, die die VPN-Branche ständig benutzt und selten erklärt. Es ist aber ein gutes Bild, und sobald es klickt, fügt sich der Rest, wie ein VPN funktioniert, von selbst zusammen.
Kurze Antwort: Ein VPN-Tunnel ist die verschlüsselte Verbindung zwischen deinem Gerät und einem VPN-Server. Deine Daten werden in eine äußere Schicht verpackt und verwürfelt, sodass das Netzwerk, in dem du bist, sie befördern kann, ohne sie lesen oder sehen zu können, wohin sie letztlich gehen. Der „Tunnel“ ist dieser geschützte Durchgang durch ein sonst offenes Netzwerk.
Die wichtigsten Punkte
- Ein VPN-Tunnel = Kapselung (deine Daten verpacken) + Verschlüsselung (sie verwürfeln).
- Er verbirgt deinen Verkehr vor dem lokalen Netzwerk und deinem Internetanbieter und deine IP-Adresse vor den Seiten, die du besuchst.
- Er verbirgt nicht deine Aktivität vor einer Seite, in die du dich einloggst, und er macht dich nicht anonym.
- Der „Tunnel“ wird von einem VPN-Protokoll erstellt und gesichert; der moderne Standard ist WireGuard.
Was ein VPN-Tunnel ist
Stell dir das offene Internet als belebte öffentliche Straße vor. Normalerweise reisen deine Daten offen auf dieser Straße — jeder, der entlang des Weges positioniert ist (das WLAN, in dem du bist, dein Internetanbieter), kann das Äußere jeder Sendung sehen: wohin sie geht und ungefähr, was sie ist.
Ein VPN-Tunnel ist ein überdachter, abgeschlossener Durchgang, der entlang derselben Straße gebaut ist und von deinem Gerät zu einem VPN-Server führt. Deine Daten gehen durch den Durchgang statt offen unterwegs zu sein. Beobachter können sehen, dass sich etwas zwischen dir und dem VPN-Server bewegt, aber nicht, was es ist oder wohin es danach unterwegs ist. Am anderen Ende packt der VPN-Server deine Daten aus und schickt sie an ihr echtes Ziel weiter.
An der Straße ändert sich physisch nichts. Der Tunnel besteht aus Software — genauer gesagt aus zwei Techniken, die zusammenarbeiten.
Wie ein VPN-Tunnel funktioniert
1. Kapselung (das Verpacken). Deine normalen Internetdaten werden in Pakete aufgeteilt. Ein VPN nimmt jedes Paket und legt es in ein anderes Paket — als würdest du einen Brief in einen zweiten Umschlag stecken und versiegeln. Der äußere Umschlag ist nur an den VPN-Server adressiert. Wer den äußeren Umschlag liest, sieht ein Paket, das zum VPN geht, und nichts über den ursprünglichen Brief darin.
2. Verschlüsselung (das Schloss). Kapselung allein würde nur die Adressierung verbergen. Verschlüsselung verwürfelt den Inhalt, sodass selbst jemand, der den äußeren Umschlag öffnet, den inneren ohne den Schlüssel nicht lesen könnte. Nur dein Gerät und der VPN-Server haben die Schlüssel, auf die sie sich während eines kurzen Aufbaus namens Handshake einigen, wenn der Tunnel hergestellt wird.
Zusammengenommen: Deine Daten werden verpackt, damit die Außenwelt ihr echtes Ziel nicht sehen kann, und verwürfelt, damit sie den Inhalt nicht lesen kann. Diese Kombination ist der Tunnel.
Wenn der Tunnel steht, erhält der Verkehr jeder App, die hineingeleitet wird, diese Behandlung. Wenn er abbricht, hört der Verkehr auf, sie zu erhalten — und genau deshalb ist es Menschen wichtig, was in diesem Moment passiert; das behandeln wir in VPN-Kill-Switches auf dem iPhone.
Was ein Tunnel verbirgt — und was nicht
Hier ist Ehrlichkeit wichtig, denn „Tunnel“ kann nach einem Tarnumhang klingen. Das ist er nicht.
Ein VPN-Tunnel verbirgt:
- Deinen Verkehr vor dem lokalen Netzwerk — das WLAN im Café oder Hotel kann nicht lesen, was du tust.
- Deinen Verkehr vor deinem Internetanbieter — er sieht verschlüsselte Daten, die zu einem VPN-Server gehen, nicht die Seiten, die du besuchst.
- Deine IP-Adresse vor den Websites, mit denen du dich verbindest — sie sehen die Adresse des VPN-Servers statt deiner.
Ein VPN-Tunnel verbirgt nicht:
- Was du auf einer Seite tust, in die du dich einloggst. Wenn du dich bei einem Konto anmeldest, weiß dieser Dienst, dass du es bist, mit Tunnel oder ohne.
- Deine Identität in einem absoluten Sinn. Ein Tunnel verbessert deine Privatsphäre; er macht dich nicht anonym, und jeder Anbieter, der verspricht, er mache dich online unsichtbar, verspricht zu viel. Privatsphäre ist schichtweise, nicht absolut — mehr zu dieser Denkweise in was eine No-Logs-Richtlinie wirklich bedeutet.
- Dinge außerhalb der Netzwerkebene, etwa Browser-Fingerprinting oder das, was du freiwillig teilst.
Wenn du noch herausfindest, ob diese Abwägungen sich für dich lohnen, führt dich ob du ein VPN brauchst durch die Entscheidung.
Was den Tunnel baut: Protokolle
Ein VPN-Tunnel wird von einem Protokoll erstellt und gesichert — den vereinbarten Regeln dafür, wie Kapselung, Verschlüsselung und der Handshake ablaufen. Das Protokoll bestimmt, wie schnell der Tunnel ist, wie schnell er sich wieder verbindet und wie modern seine Kryptografie ist.
Der aktuelle Standard, den du kennen solltest, ist WireGuard: ein schlankes, schnelles Protokoll mit einer kleinen Codebasis, was wichtig ist, weil weniger Code weniger Stellen bedeutet, an denen sich Fehler verstecken können, und schnelleres Wiederverbinden auf einem Telefon, das ständig die Netzwerke wechselt. Ältere Protokolle wie OpenVPN und IKEv2 gibt es weiterhin und sie haben ihre Einsatzgebiete. Wir vergleichen sie direkt in unserem Protokollvergleich.
Ein Hinweis zu Split Tunneling
Weil Menschen es zusammen mit „VPN-Tunnel“ suchen, ist es eine Zeile wert. Split Tunneling bedeutet, einige Apps durch den Tunnel zu leiten und andere die normale Verbindung nutzen zu lassen. Das ist nützlich, wenn du zum Beispiel willst, dass dein Browser geschützt ist, eine Banking-App oder ein lokales Gerät das VPN aber umgeht. Es ist auf manchen Plattformen ein echtes Feature, allerdings handhabt iOS das Routing auf App-Ebene restriktiver als der Desktop, also erwarte auf dem iPhone keinen Split-Tunneling-Schalter im Desktop-Stil.
Ist ein VPN-Tunnel legal und sicher?
In den meisten Ländern ist die Nutzung eines VPN — und damit eines VPN-Tunnels — völlig legal und genau das, was Banken und Unternehmen einsetzen, um Verbindungen zu schützen. Ein paar Länder schränken VPNs ein; diese Landschaft behandeln wir in unserem Leitfaden zur Legalität von VPNs. Was die Sicherheit angeht, ist der Tunnel selbst der sichere Teil. Was sich unterscheidet, ist, ob der Anbieter am anderen Ende mit dem Verkehr, den er sehen kann, vertrauenswürdig umgeht, und das ist eine Frage der Protokollierungsrichtlinie, nicht des Tunnelings.
Häufig gestellte Fragen
Was ist der Unterschied zwischen einem VPN und einem Tunnel? Der Tunnel ist der verschlüsselte Durchgang; das VPN ist der gesamte Dienst, der ihn erstellt und betreibt. „VPN-Tunnel“ benennt speziell die geschützte Verbindung zwischen deinem Gerät und dem VPN-Server.
Was macht VPN-Tunneling? Es verpackt deine Daten, sodass das äußere Netzwerk ihr echtes Ziel nicht sehen kann, und verschlüsselt sie, sodass der Inhalt nicht gelesen werden kann — es schützt deinen Verkehr während der Übertragung und verbirgt deine IP vor den Seiten, die du erreichst.
Ist die Nutzung eines VPN-Tunnels legal? In den meisten Ländern ja. Eine Handvoll schränkt VPNs ein oder verbietet sie; was du innerhalb des Tunnels tust, unterliegt weiterhin dem Gesetz.
Was ist Split Tunneling? Nur einige Apps durch das VPN zu leiten, während andere die normale Verbindung nutzen — praktisch, wenn du selektiven Schutz willst. Die Unterstützung variiert je nach Plattform, und iOS ist restriktiver als der Desktop.
Fazit
Ein VPN-Tunnel sind einfach zwei Ideen, die zusammenarbeiten: deine Daten verpacken, damit ihr Ziel verborgen ist, und sie verwürfeln, damit ihr Inhalt nicht gelesen werden kann. Das gibt dir echten Schutz vor dem Netzwerk, in dem du bist, und vor deinem Internetanbieter, und verbirgt deine IP vor Seiten — ohne dich anonym zu machen. Das Protokoll baut den Tunnel, und WireGuard ist der moderne Standard.
Snap VPN läuft auf WireGuard, braucht weder ein Konto noch deine E-Mail und führt keine Verkehrsprotokolle. Es ist im App Store erhältlich.