Hebt das Umstellen von DNS auf 1.1.1.1 Sperren auf?

Manchmal. Es besiegt Sperren auf DNS-Ebene, aber sonst nichts. Liegt die Sperre auf der IP-Schicht, SNI-Schicht oder Protokollschicht, helfen DNS-Änderungen nicht.

Reichen Browser-Erweiterungen?

Für milde Sperren in einem Firmennetz: ja. Für Filterung auf staatlicher Ebene: nein — die meisten Erweiterungen sind HTTP/SOCKS-Proxys, die schnell per Fingerprint erkannt werden und keinen Nicht-Browser-Verkehr schützen.

Ist Tor ein gutes Allzweck-Werkzeug für gesperrte Seiten?

Tor ist hervorragend für Anonymität, aber seine reinen TCP-Eingangspunkte sind leicht zu sperren. Eingewickelte Varianten (obfs4, snowflake) funktionieren, fügen aber Latenz hinzu. Fürs alltägliche Surfen ist ein Reality-basiertes VPN schneller und weniger anfällig.

Wie lange funktioniert eine einzelne Methode?

Das variiert. Reality hält sich seit über zwei Jahren, weil es keine Signatur gibt, die man schreiben könnte. Ältere Transporte (Vanilla-Shadowsocks, einfaches WireGuard, OpenVPN) verlieren ihre Wirksamkeit meist in Monaten bis zu einem Jahr, sobald DPI-Signaturen ausgerollt werden.

Ist das Umgehen von Sperren legal?

Hängt von der Gerichtsbarkeit ab. In den meisten Ländern ist die Nutzung eines VPN an sich legal. Die Tätigkeit, die du über das VPN ausübst, unterliegt denselben Gesetzen wie ohne. Prüfe die lokalen Regeln — wir können nicht zur Legalität beraten.

Sperren umgehen

Der Blick eines Netzwerktechnikers darauf, wie Sperren wirklich aussehen, warum /etc/hosts und „nimm 1.1.1.1“ schon vor Jahren aufgehört haben zu helfen, und die kleine Auswahl an Techniken, die noch standhält.

Funktionierendes VPN holen Free for 3 days — no card required

Wie Sperren wirklich funktionieren — vier Schichten

Die meisten „Wie umgehe ich Sperren“-Artikel gehen davon aus, dass der Zensor das Dümmstmögliche tut. 2026 ist das fast nie der Fall. Sperren stapeln sich meist über vier Schichten, und eine Umgehung, die eine besiegt, scheitert an der nächsten.

Schicht 1 — DNS-Hijacking. Dein Provider liefert für die gesperrte Domain eine falsche IP zurück. Die billigste, älteste Methode. Besiegt durch Umstellen des DNS auf 1.1.1.1, 9.9.9.9 oder DNS-over-HTTPS (DoH). Kaum ein großer Zensor verlässt sich noch allein auf DNS.

Schicht 2 — IP-Sperre. Die IP-Adressen der Seite werden am Provider-Rand verworfen. DNS-Tricks helfen nicht: Selbst mit der richtigen IP kommt das Paket nie hinaus. Besiegt durch Routing über einen beliebigen, nicht gesperrten Endpunkt.

Schicht 3 — SNI-Inspektion. Dein TLS-Hello trägt den Domainnamen im Klartext (das SNI-Feld). DPI inspiziert ihn und verwirft die Verbindung, wenn die Domain auf einer Liste steht. ECH (Encrypted Client Hello) besiegt das — aber nur, wenn sowohl dein Client als auch das Ziel es unterstützen, was 2026 noch lückenhaft ist.

Schicht 4 — Protokoll-Fingerprinting. Dem Zensor ist dein Ziel egal — ihn interessiert, wie dein Verkehr aussieht. OpenVPN, WireGuard, einfaches Shadowsocks, IKEv2 — alle haben erkennbare Handshake-Formen. Einmal per Fingerprint erkannt, wird die Verbindung unabhängig von der Ziel-IP gedrosselt oder verworfen. Das ist die Schicht, die jede „nimm einfach ein VPN“-Antwort zunichtemacht.

Methoden, die allein nicht mehr funktionieren

Die hosts-Datei bearbeiten. Besiegt DNS-Hijacking, aber keine IP-Sperren. Nur gegen die faulste Filterung nützlich.

Auf öffentliches DNS umstellen. Dieselbe Geschichte. Hilft gegen billige regionale Sperren; nutzlos gegen jeden Filter auf staatlicher Ebene.

Reine HTTP-Proxys. Zwingen jede Seite durch Klartext-Vermittler, die selbst innerhalb von Stunden gesperrt werden. Brechen außerdem jede moderne Seite, die HTTPS erfordert.

„Kostenlose“ Web-Proxys (Seiten, die andere Seiten in einem iframe laden). Die Proxy-Seite selbst landet fast sofort auf der Sperrliste. Sie sind außerdem eine Datenschutz-Katastrophe — sie sehen alles, was du tust.

Browserbasierte „VPN“-Erweiterungen. Die meisten sind HTTP/SOCKS-Proxys mit Marketing-Anstrich. Sie scheitern an jeder Schicht oberhalb der SNI-Inspektion und decken keinen Nicht-Browser-Verkehr ab.

Tor über reines TCP. Per Handshake leicht zu fingerprinten. Funktioniert nur, wenn du es in obfs4- oder meek-Bridges einwickelst, und selbst die brauchen aktive Wartung.

Methoden, die noch funktionieren

Die Liste ist kurz und wird kürzer.

VLESS+Reality. Trägt den Verkehr innerhalb eines echten TLS-1.3-Handshakes zu einer echten, beliebten Website. Für DPI ist deine Verbindung nicht von jemandem zu unterscheiden, der diese Website durchstöbert. Kein fester Handshake zum Fingerprinten, kein gefälschtes Zertifikat zum Markieren. Vollständige Protokollerklärung.

Trojan-GFW. Das konzeptionelle Geschwister von Reality — gibt sich ebenfalls als HTTPS zu einer echten Seite aus, mit etwas anderen Designentscheidungen. Funktioniert in vielen Regionen noch, mit ähnlichen Einschränkungen.

Hysteria2 / TUIC. QUIC-basierte Protokolle, die ausnutzen, dass DPI mit UDP im großen Maßstab kämpft. Hervorragender Durchsatz, wo sie funktionieren; manche Netze blockieren UDP/443 komplett.

Shadowsocks-2022 über ein CDN. War vor Reality das Arbeitspferd. Noch praktikabel, wenn es einem großen CDN vorgeschaltet ist, das der Zensor nicht pauschal sperren kann.

Eingewickeltes Tor (obfs4, meek, snowflake). Höhere Latenz, aber widerstandsfähig für Anwendungsfälle mit geringer Bandbreite. Snowflake macht das Sperren besonders teuer, weil es den Verkehr über die Browser-Tabs von Freiwilligen leitet.

Schichten kombinieren — warum ein smarter Client zählt

Ein modernes Umgehungswerkzeug ist nicht ein Protokoll; es ist ein Satz von Fallbacks. Der Client prüft, welcher Transport gerade aus deinem Netz funktioniert — TLS zu einer echten Tarn-SNI, dann UDP, falls das scheitert, dann ein CDN-vorgeschalteter Endpunkt als dritte Wahl. Die Entscheidung erfolgt in Millisekunden, transparent für die Apps.

Genau das macht VnePN auf der Nutzerseite. Das Abo, das du importierst, enthält mehrere Endpunkte; der Client wählt den mit dem besten Handshake in deinem Netz und fällt automatisch zurück, wenn sich die Bedingungen ändern. Du siehst „VPN verbunden“ — unter der Haube hat das Protokoll zwischen Morgen und Abend vielleicht gewechselt.

Die andere Hälfte ist das, was nicht durch den Tunnel geht. Jedes Paket durch ein VPN zu leiten, bricht heimische Banking-Apps, Behördendienste und lokale Zahlungsschienen. Smartes Routing umgeht diese automatisch — russische und Ex-UdSSR-Banking-IPs gehen direkt, alles andere durch den Tunnel. Das umgeht den häufigsten Fehlerfall naiver VPN-Setups.

Wann du nichts Ausgefallenes brauchst

Liegt deine Sperre am Firmen-WLAN, am Schulnetz oder an einem öffentlichen Hotspot — funktioniert fast jedes VPN. Diese Betreiber setzen auf billige kommerzielle Filterboxen, die nicht auf Protokollebene fingerprinten. WireGuard oder OpenVPN über TCP/443 reicht.

Liegt deine Sperre am Landesrand — Russland, Iran, China, Teile des Golfs — brauchst du mindestens VLESS+Reality, Trojan oder Hysteria. Die zuvor genannten Protokolle wurden gezielt gegen diese Kategorie von Sperren entworfen. Russland-spezifischer Leitfaden · ChatGPT-Fallstudie.

Liegt deine Sperre auf Dienstseite (eine Website blockiert den IP-Bereich deines Landes) — tut es jedes VPN mit einem Exit-Knoten außerhalb deines Landes. Das Protokoll zählt weniger; wähle nach Geschwindigkeit und Länderliste.

Frequently Asked Questions

Nutze einen Transport, der 2024 nicht veraltet war

VLESS+Reality mit smarten Fallbacks und einer Routing-Tabelle, die heimische Apps nicht bricht. 3 Tage kostenlos, ohne Karte.

Funktionierendes VPN holen