Welche reale Bandbreite kann ich von einem Raspberry Pi 5 VPN erwarten?

Auf einem Pi 5 mit 8 GB und einer typischen Heim-Glasfaserverbindung ist der Engpass der Heim-Upload, nicht der Pi. Erwarten Sie einen Durchsatz in der Größenordnung Ihrer Upstream-Bandbreite (z.B. ~80 Mbps bei einem Upload von 80-100 Mbps). Die WireGuard-Kernel-Implementierung des Pi 5 kann CPU-seitig über 200 Mbps verarbeiten, sodass er mit einer Gigabit-symmetrischen Verbindung realistisch einige hundert Mbps erreichen kann.

Wie sichere ich SSH gegen Brute-Force-Angriffe ab?

Drei obligatorische Maßnahmen: 1) Deaktivieren Sie PasswordAuthentication in sshd_config (nur SSH-Schlüssel). 2) Ändern Sie den SSH-Port von 22 auf einen nicht standardmäßigen Port (z.B. 2222). 3) Installieren Sie fail2ban mit einem SSH-Gefängnis: maxretry 3, bantime 1h. Mit schlüsselbasierter Authentifizierung und fail2ban authentifizieren sich die ständigen automatisierten SSH-Versuche, die jeder exponierte Host erhält, niemals.

Was passiert, wenn der Strom zu Hause ausfällt?

Das VPN geht während des Ausfalls offline — das ist die grundlegende Einschränkung im Vergleich zu einem Cloud-VPS. Lösungen: eine 30-60-minütige USV für Mikroausfälle (~30 € für eine APC Back-UPS 500). Für ein missionskritisches VPN halten Sie einen Contabo-VPS für 4,99 €/Monat als Backup bereit — siehe unseren [selbst gehosteten VPN auf Contabo-Leitfaden](/en/blog/self-host-vpn-contabo-wireguard-2026).

Pi 5 vs Pi 4 für WireGuard — was ist der Unterschied?

Bedeutend. Der Pi 4 (Cortex-A72 bei 1,8 GHz) erreicht maximal 80-120 Mbps WireGuard im Kernel-Modus. Der Pi 5 (Cortex-A76 bei 2,4 GHz) überschreitet 200 Mbps — das ist ein 60-70% reiner CPU-Gewinn. Wenn Sie bereits einen Pi 4 haben und Ihr Heim-Upload <80 Mbps beträgt, ist der Pi 4 in Ordnung. Wenn Sie 100 Mbps+ anstreben, investieren Sie in den Pi 5.

Wie hoch ist der tatsächliche Stromverbrauch?

Ein Pi 5 mit 8 GB zieht typischerweise etwa 5-6W im Leerlauf und 7-8W unter WireGuard + Pi-hole-Last (messen Sie selbst mit einem Smart Plug). Über ein Jahr sind das etwa 65 kWh, etwa 10-12 € an Stromkosten. Ein Contabo-VPS kostet ~60 €/Jahr — so kann sich ein Heim-Pi allein durch Stromkosten innerhalb von etwa 18 Monaten amortisieren.

Kann ich Pi-hole und WireGuard zusammen betreiben?

Ja, das ist genau mein 6-monatiges Produktionssetup. Pi-hole hört lokal auf 53/UDP/TCP, WireGuard leitet Client-DNS an 10.8.0.1 (den Pi) weiter. Jeder VPN-Client erhält Pi-hole-Werbeblockierung. Die einzige Einschränkung: Weisen Sie Pi-hole 512 MB RAM zu. Mit 4 oder 8 GB auf dem Pi 5 ist das leicht zu bewältigen.

Benötige ich eine statische IP von meinem ISP?

Nein. DuckDNS löst dies kostenlos. Der Cron alle 5 Minuten aktualisiert DNS, wenn sich Ihre IP ändert. In der Praxis ändern die meisten ISPs die IP weniger als einmal im Monat. Die maximale Ausfallzeit beträgt 5 Minuten — akzeptabel für ein Heim-VPN.

Ist WireGuard auf Pi 5 genauso sicher wie ein kommerzieller VPN-Dienst?

Die Kryptographie ist identisch (Curve25519, ChaCha20-Poly1305, BLAKE2s) — WireGuard wird geprüft und von Tausenden von Unternehmen in der Produktion verwendet. Der Unterschied: Sie verwalten Updates und SSH-Härtung selbst. Mit fail2ban, UFW und nur SSH-Schlüsseln ist die Angriffsfläche minimal. Was Sie im Vergleich zu kommerziellen Diensten verlieren: kein nativer Kill-Switch auf Windows-Clients (manuell konfigurieren) und keine geografische Multi-Server-Verfügbarkeit.

VPN selbst hosten auf Raspberry Pi 5 (2026): WireGuard Einrichtungsanleitung

Q: Wie hoch ist der tatsächliche Stromverbrauch?

Ein Pi 5 mit 8 GB zieht typischerweise etwa 5-6W im Leerlauf und 7-8W unter WireGuard + Pi-hole-Last (messen Sie selbst mit einem Smart Plug). Über ein Jahr sind das etwa 65 kWh, etwa 10-12 € an Stromkosten. Ein Contabo-VPS kostet ~60 €/Jahr — so kann sich ein Heim-Pi allein durch Stromkosten innerhalb von etwa 18 Monaten amortisieren.

Q: Kann ich Pi-hole und WireGuard zusammen betreiben?

Ja, das ist genau mein 6-monatiges Produktionssetup. Pi-hole hört lokal auf 53/UDP/TCP, WireGuard leitet Client-DNS an 10.8.0.1 (den Pi) weiter. Jeder VPN-Client erhält Pi-hole-Werbeblockierung. Die einzige Einschränkung: Weisen Sie Pi-hole 512 MB RAM zu. Mit 4 oder 8 GB auf dem Pi 5 ist das leicht zu bewältigen.

Q: Benötige ich eine statische IP von meinem ISP?

Nein. DuckDNS löst dies kostenlos. Der Cron alle 5 Minuten aktualisiert DNS, wenn sich Ihre IP ändert. In der Praxis ändern die meisten ISPs die IP weniger als einmal im Monat. Die maximale Ausfallzeit beträgt 5 Minuten — akzeptabel für ein Heim-VPN.

Q: Ist WireGuard auf Pi 5 genauso sicher wie ein kommerzieller VPN-Dienst?

Die Kryptographie ist identisch (Curve25519, ChaCha20-Poly1305, BLAKE2s) — WireGuard wird geprüft und von Tausenden von Unternehmen in der Produktion verwendet. Der Unterschied: Sie verwalten Updates und SSH-Härtung selbst. Mit fail2ban, UFW und nur SSH-Schlüsseln ist die Angriffsfläche minimal. Was Sie im Vergleich zu kommerziellen Diensten verlieren: kein nativer Kill-Switch auf Windows-Clients (manuell konfigurieren) und keine geografische Multi-Server-Verfügbarkeit.

Ein Raspberry Pi 5 mit 8 GB ist ein hervorragender, immer eingeschalteter WireGuard-Server. Erwarten Sie einen Durchsatz in der Größenordnung Ihres Heim-Uploads (üblich ~80 Mbps), einen Stromverbrauch von etwa 6-8W und Gesamtkosten über 5 Jahre, die weit unter einem einzigen jährlichen NordVPN-Abonnement liegen. Diese Anleitung gibt Ihnen jeden Befehl in der richtigen Reihenfolge, ohne etwas auszulassen.

Um zu entscheiden, ob ein Pi 5 die richtige Wahl im Vergleich zu einem Cloud-VPS oder Tailscale ist, beginnen Sie mit unserem Vergleich der besten selbst gehosteten VPN-Lösungen 2026.

Warum Raspberry Pi 5 für ein Heim-VPN

Ein Raspberry Pi 5 für 100 $ im Vergleich zu einem VPS für 5 $/Monat — der Break-even-Punkt liegt bei 20 Monaten. Danach sind es reine Einsparungen abzüglich 10-12 $/Jahr für Strom.

Aber die Kosten sind nicht der einzige Grund. Konkrete Argumente für einen Pi gegenüber einem VPS:

Vollständige Kontrolle über Hardware und Protokolle — Nichts verlässt Ihr Zuhause. Ein VPS, selbst verschlüsselt, erfordert einen Anbieter, der den Hypervisor verwaltet.
Nativer LAN-Zugriff — Von Ihrer VPN-Verbindung aus erreichen Sie Ihr NAS, Drucker, IP-Kameras direkt über die lokale IP. Mit einem VPS unmöglich.
Pi-hole-Koinstallation — DNS-Werbeblockierung für alle Ihre mobilen Geräte, überall auf der Welt. Eine typische Blockliste eliminiert einen bedeutenden Anteil der DNS-Anfragen (die genaue Zahl können Sie auf dem Pi-hole-Dashboard sehen).
Praktisches Netzwerklernen — Der beste Weg, NAT, IP-Weiterleitung, PKI und WireGuard zu verstehen, ist, alles selbst zu konfigurieren.

Ehrliche Grenzen: Sie sind von der Heimkonnektivität und Stromversorgung abhängig. Für ein missionskritisches Reise-VPN siehe den Wartungsabschnitt.

Benötigte Hardware

Hier ist genau das, was ich verwendet habe, mit Preisen in EUR/USD Anfang 2026:

Komponente	Modell	Preisangabe
Raspberry Pi 5	8 GB RAM (empfohlen)	~100 $ / 100 €
Netzteil	Offizielles USB-C 27W (PI-PSU)	~12 $ / 12 €
microSD	SanDisk Extreme 32 GB UHS-I	~12 $ / 12 €
Gehäuse + Kühlkörper	Argon NEO 5 oder offizielles Gehäuse + Aktiver Kühler	~15-20 $ / 15-20 €
Ethernet-Kabel	Cat 5e/6, 2 m	~5 $ / 5 €
Gesamt		~145-150 $ einmalig

Warum 8 GB RAM? Wenn Sie Pi-hole + möglicherweise Nextcloud oder Home Assistant mitinstallieren, kann es mit 4 GB eng werden. Mit 8 GB haben Sie Spielraum für 3 Jahre Setup-Entwicklung.

Warum das offizielle 27W-Netzteil? Der Pi 5 kann unter VPN + Pi-hole-Last bis zu 12W auf der USB-C-Schiene ziehen. Ein billiges 15W-Netzteil verursacht stilles CPU-Drosseln (Unterspannung). Das offizielle garantiert stabile Spannung.

Ethernet ist obligatorisch: Setzen Sie niemals einen VPN-Server auf WLAN. Die zusätzliche Latenz (2-5 ms) und Mikro-Unterbrechungen im WLAN machen den Tunnel instabil. Direktes Kabel zum Router.

Betriebssystemeinrichtung — Raspberry Pi OS 64-bit

Reihen von Servern in einem Rechenzentrum

Karte flashen

Laden Sie den Raspberry Pi Imager herunter (Windows/Mac/Linux)
Wählen Sie Raspberry Pi OS Lite 64-bit (Bookworm — Debian 12) — kein Desktop erforderlich
Klicken Sie auf das Zahnradsymbol (erweiterte Optionen):
- Hostname: vpn-pi
- SSH aktivieren: öffentlicher Schlüssel (fügen Sie Ihren ~/.ssh/id_ed25519.pub ein)
- Benutzername: eric (nicht pi, seit 2022 standardmäßig deaktiviert)
- Gebietsschema: Ihre Zeitzone, korrektes Tastaturlayout
Flashen Sie auf die microSD. In den Pi einstecken, Ethernet anschließen, einschalten.

Erster SSH-Zugriff und statische IP

# Finden Sie den Pi in Ihrem lokalen Netzwerk von Ihrem Mac/PC aus
ssh eric@vpn-pi.local

# Statische IP in /etc/dhcpcd.conf
sudo nano /etc/dhcpcd.conf

Fügen Sie am Ende der Datei hinzu:

interface eth0
static ip_address=192.168.1.10/24
static routers=192.168.1.1
static domain_name_servers=192.168.1.1

sudo reboot
# Erneut verbinden mit fester IP:
ssh eric@192.168.1.10

UFW Firewall

sudo apt install -y ufw
sudo ufw default deny incoming
sudo ufw default allow outgoing
sudo ufw allow 22/tcp          # SSH (ändern, wenn Sie den Port ändern)
sudo ufw allow 51820/udp       # WireGuard
sudo ufw enable
sudo ufw status verbose

WireGuard installieren

Pakete und Schlüsselgenerierung

sudo apt update && sudo apt upgrade -y
sudo apt install -y wireguard qrencode

# Server-Schlüssel generieren
wg genkey | sudo tee /etc/wireguard/server_private.key | wg pubkey | sudo tee /etc/wireguard/server_public.key
sudo chmod 600 /etc/wireguard/server_private.key

# Schlüssel anzeigen
SERVER_PRIVKEY=$(sudo cat /etc/wireguard/server_private.key)
SERVER_PUBKEY=$(sudo cat /etc/wireguard/server_public.key)
echo "Private: $SERVER_PRIVKEY"
echo "Public:  $SERVER_PUBKEY"

Server wg0.conf Konfiguration

sudo nano /etc/wireguard/wg0.conf

[Interface]
Address = 10.8.0.1/24
ListenPort = 51820
PrivateKey = <SERVER_PRIVKEY>

# NAT — ersetzen Sie eth0 durch Ihr Interface (prüfen mit: ip route | grep default)
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

IP-Weiterleitung und Start

# IP-Weiterleitung aktivieren
echo "net.ipv4.ip_forward=1" | sudo tee -a /etc/sysctl.conf
sudo sysctl -p

# WireGuard starten
sudo systemctl enable --now wg-quick@wg0
sudo wg show  # sollte das aktive wg0-Interface anzeigen

Netzwerkkonfiguration — Router, DuckDNS, MTU

Portweiterleitung auf Ihrem Router

Jeder ISP hat eine andere Admin-Oberfläche, aber die Regel ist die gleiche: UDP, externer Port 51820 → lokale IP 192.168.1.10, interner Port 51820.

Testen Sie von einem anderen Netzwerk (mobiles 4G): nc -zvu YOUR_PUBLIC_IP 51820.

DuckDNS — kostenloses dynamisches DNS

# Erstellen Sie ein Konto bei duckdns.org, notieren Sie sich Ihr Token
# Erstellen Sie das Update-Skript
mkdir -p ~/duckdns
cat > ~/duckdns/duck.sh << 'EOF'
#!/bin/bash
echo url="https://www.duckdns.org/update?domains=myvpn&token=YOUR_TOKEN&ip=" | curl -k -o ~/duckdns/duck.log -K -
EOF
chmod +x ~/duckdns/duck.sh

# Cron alle 5 Minuten
(crontab -l 2>/dev/null; echo "*/5 * * * * ~/duckdns/duck.sh >/dev/null 2>&1") | crontab -

MTU-Optimierung

WireGuard hat standardmäßig MTU 1420. Wenn Sie fragmentierte Pakete sehen:

# Fragmentierung testen
ping -M do -s 1392 8.8.8.8

# Wenn es fehlschlägt, fügen Sie in wg0.conf [Interface] hinzu:
# MTU = 1380

Für vollständige WireGuard-Template-Details und MTU-Randfälle, siehe unseren WireGuard-Konfigurationstemplates-Leitfaden.

Client-Einrichtung — Mac, Windows, iOS, Android

Client-Konfiguration generieren

# Auf dem Server, für jeden Client:
CLIENT_PRIVKEY=$(wg genkey)
CLIENT_PUBKEY=$(echo $CLIENT_PRIVKEY | wg pubkey)

cat << EOF
[Interface]
PrivateKey = $CLIENT_PRIVKEY
Address = 10.8.0.2/32
DNS = 10.8.0.1

[Peer]
PublicKey = $SERVER_PUBKEY
Endpoint = myvpn.duckdns.org:51820
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 25
EOF

Fügen Sie den Client dem Server hinzu:

sudo wg set wg0 peer $CLIENT_PUBKEY allowed-ips 10.8.0.2/32
sudo wg-quick save wg0  # speichert die Konfiguration

QR-Code für iOS und Android

# Client-Konfiguration in eine Datei speichern
cat > /tmp/client1.conf << 'EOF'
[Interface]
PrivateKey = CLIENT_PRIVKEY_HERE
Address = 10.8.0.2/32
DNS = 10.8.0.1

[Peer]
PublicKey = SERVER_PUBKEY_HERE
Endpoint = myvpn.duckdns.org:51820
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 25
EOF

# QR-Code im Terminal anzeigen
qrencode -t ansiutf8 < /tmp/client1.conf

# Nach dem Scannen löschen (keine privaten Schlüssel herumliegen lassen)
rm /tmp/client1.conf

Scannen Sie mit der offiziellen WireGuard-App (iOS App Store / Google Play). Die Verbindung wird in <2 Sekunden hergestellt.

macOS und Windows: Laden Sie die offizielle WireGuard-App herunter und importieren Sie die .conf-Datei direkt.

Um den Vergleich mit der Tailscale-Alternative zu sehen, die all diese manuelle Konfiguration eliminiert, lesen Sie den Tailscale Exit Node Guide. Und um zu verstehen, wie sich Cloudflare WARP mit Ihrem Pi-Setup vergleicht, siehe WARP vs WireGuard selbst hosten.

Für Benutzer, die in zensierte Länder reisen (China, Iran, Russland): WireGuard auf einem Pi 5 wird blockiert — die GFW erkennt WireGuard-Sitzungen. Fortgeschrittene Benutzer bevorzugen möglicherweise V2Ray mit VLESS + REALITY für besseren Zensurwiderstand auf einem Cloud-VPS mit einem Exit-Knoten in Singapur oder Tokio. Das Pi 5-Setup bleibt ideal für Heim-Privatsphäre, lokalen LAN-Zugriff und Länder ohne Deep-Packet-Inspection.

Optimierungen und Wartung

Automatische Sicherheitsupdates

sudo apt install -y unattended-upgrades
sudo dpkg-reconfigure --priority=low unattended-upgrades
# Wählen Sie "Ja", um automatische Sicherheitsupdates zu aktivieren

Überwachung mit journalctl

# WireGuard-Protokolle in Echtzeit
sudo journalctl -u wg-quick@wg0 -f

# Verbundene Peers und Statistiken anzeigen
sudo wg show

# Verkehr pro Peer (empfangene/gesendete Bytes)
sudo wg show all dump

fail2ban gegen SSH-Scans

sudo apt install -y fail2ban

cat | sudo tee /etc/fail2ban/jail.local << 'EOF'
[sshd]
enabled = true
port = 22
maxretry = 3
bantime = 3600
findtime = 600
EOF

sudo systemctl enable --now fail2ban
sudo fail2ban-client status sshd

WireGuard-Konfigurationssicherung

# Automatische wöchentliche Sicherung auf USB-Laufwerk oder lokalem NAS
(crontab -l; echo "0 3 * * 0 sudo cp -r /etc/wireguard ~/backup/wg-$(date +%Y%m%d)") | crontab -

Swap bei Verwendung von 4 GB RAM

Wenn Sie das 4 GB-Modell mit Pi-hole + WireGuard aktiv verwenden:

sudo dphys-swapfile swapoff
sudo nano /etc/dphys-swapfile  # Setzen Sie CONF_SWAPSIZE=1024
sudo dphys-swapfile setup
sudo dphys-swapfile swapon

Temperaturüberwachung

Mit einem passiven Gehäuse wie dem Argon NEO 5 bleibt ein Pi 5 typischerweise in den 40er °C unter VPN + Pi-hole-Last. Ohne Gehäuse läuft er viel heißer — CPU-Drosselung beginnt bei 80°C, daher wird ein Kühlkörper oder Gehäuse empfohlen.

# Echtzeit-Temperatur
watch -n 2 vcgencmd measure_temp

Für einen vollständigen Überblick über die erweiterte Netzwerkkonfiguration, die Sie benötigen, wenn Sie mehrere gleichzeitige Clients betreiben, siehe unseren Contabo WireGuard Multi-Client VPN-Leitfaden — die NAT-Konzepte sind identisch auf dem Pi.

Was zu erwarten ist: Durchsatz in der Größenordnung Ihres Heim-Uploads, niedrige einstellige Millisekunden zusätzliche Latenz auf der LAN-Seite, ein Stromverbrauch von ~6-8W und solide Sicherheit mit fail2ban und schlüsselbasierter SSH. Eine Sache, die Sie planen sollten: Ein Stromausfall zu Hause nimmt den Tunnel herunter — eine kleine USV (z.B. eine APC 500VA) hält ihn bei kurzen Ausfällen am Laufen.

WireGuard ist ausreichend für die meisten selbst gehosteten Anwendungsfälle. Allerdings bevorzugen fortgeschrittene Benutzer möglicherweise V2Ray für besseren Zensurwiderstand — besonders nützlich, wenn Sie sich aus China, Iran oder Russland verbinden müssen, wo Standard-VPN-Protokolle aktiv blockiert werden.

★ Nürnberger DSGVO-Rechenzentrum · ✓ Dedizierte IPv4 inklusive · 200+ Mbps garantiert

Self-host your VPN on your own VPS → ContaboFull root access · public IPv4 · pick your region→