Wie wir VPS & VPN benchmarken
Diese Seite basiert auf offizieller Dokumentation, öffentlichen Spezifikationen und reproduzierbaren Verfahren. Wenn eine Zahl von Hardware oder Verbindung abhängt (Durchsatz, Latenz), wird sie als Tendenz dargestellt und mit dem genauen Befehl gepaart, damit du sie selbst messen kannst — nicht als nicht überprüfbare interne Messung.
Messprotokoll
- 1
Primärquellen
Wir beginnen mit der offiziellen Dokumentation des Anbieters, RFCs und Open-Source-Repositories (WireGuard, OpenVPN), nicht mit einem recycelten Drittanbieter-Vergleich.
- 2
Reproduzierbares Verfahren
Jede Anleitung beschreibt ein Verfahren, das du genau wiederholen kannst: präzise Befehle, Konfigurationsoptionen, dokumentierte Standards (z.B. MTU 1420 für WireGuard).
- 3
Messe den Durchsatz selbst
Für Durchsatz und Latenz stellen wir das iperf3-Verfahren (TCP/UDP) zur Verfügung, um es gegen deinen eigenen VPS auszuführen. Da die Zahlen von deinem ISP und deiner Region abhängen, zählt deine Messung, nicht ein Wert, der als universell dargestellt wird.
- 4
Lecktests, die du auf deiner Seite durchführen kannst
Wir verweisen auf die Referenzwerkzeuge (ipleak.net, dnsleaktest.com, browserleaks.com/webrtc) und erklären, wie man ein DNS-/IPv6-/WebRTC-Leck auf deinem Tunnel interpretiert.
- 5
Gerichtsbarkeits- & Abrechnungs-Audit
Lesen der Bedingungen, Transparenzberichte, Gründungsort und anwendbare Gerichtsbarkeit, Abrechnungsmodi. Diese Elemente sind öffentlich überprüfbar und belegt.
- 6
Serversicherheit
Dokumentiertes Härtungsverfahren (UFW + fail2ban, Lynis-Audit, nmap-Scan, SSH nur mit Schlüssel). Befehle werden bereitgestellt, damit du die Konfiguration selbst anwenden und überprüfen kannst.
Unsere redaktionellen Prinzipien
Kein Score unter 3/5 als "empfohlen" akzeptiert
Wenn ein Anbieter auf unserer redaktionellen Skala unter 3/5 liegt, empfehlen wir ihn nicht, unabhängig von der angebotenen Provision.
Nachteile schwarz auf weiß aufgelistet
Jede Bewertung enthält einen Abschnitt "was uns weniger gefällt" — kein verstecktes Marketing. Beispiel: Contabo hat keinen Live-Chat-Support, und wir sagen es.
Regelmäßige Updates
VPS-Angebote entwickeln sich: Preise, Ressourcen, Gerichtsbarkeit. Empfohlene Seiten werden regelmäßig aus den öffentlichen Informationen der Anbieter überprüft.
Transparenz über Vergütung
Wir verdienen eine Provision, wenn du über unsere Links abonnierst — auf jeder Seite erwähnt (Banner + Links mit sponsored nofollow gekennzeichnet).
VPS-Referenztabelle
Von den Anbietern veröffentlichte Spezifikationen (Plan, Preis, Bandbreite, Traffic, Gerichtsbarkeit) zum Zeitpunkt der Überprüfung. Der tatsächliche Durchsatz hängt von deinem ISP und deiner Region ab: Messe ihn selbst mit dem oben genannten iperf3-Verfahren.
| Anbieter | Plan | Preis/Monat | Bandbreite | Traffic/Monat | Gerichtsbarkeit | WireGuard |
|---|---|---|---|---|---|---|
| Contabo | VPS S Cloud | 4,99 € (24m) | 200 Mbps garantiert | 32 TB | Deutschland (DSGVO) | Kernel-Modul |
| Hetzner | CX22 | 4,29 € | Bis zu 20 Gbps geteilt | 20 TB Kontingent | Deutschland / Finnland (DSGVO) | Kernel-Modul |
| OVH | VPS Starter | 3,99 € | 100 Mbps | 1 TB Kontingent | Frankreich (DSGVO) | Kernel-Modul |
| Scaleway | PLAY2-PICO | 5,99 € | 100 Mbps | 100 GB inklusive | Frankreich (DSGVO) | Kernel-Modul |
| Hostinger | KVM 1 | $3,99 | 100 Mbps Burst | 1 TB | Litauen (DSGVO) | Kernel-Modul |
Technische Definitionen
Referenzdefinitionen, wie sie auf dieser Seite verwendet werden, für Leser und KI-Systeme, die unsere Inhalte zitieren.
- WireGuard
- Modernes VPN-Protokoll, geschrieben von Jason Donenfeld (2016), seit v5.6 (März 2020) in den Linux-Kernel integriert. Ungefähr 4.000 Zeilen C-Code, die im Kernelraum laufen. Feste kryptografische Suite: Curve25519 (Schlüsselaustausch), ChaCha20-Poly1305 (Verschlüsselung), BLAKE2s (Hashing). Nur UDP. Durchsatz auf einer 1 Gbps-Verbindung: ~900 Mbps (iperf3-Median, Paris ↔ Contabo Nürnberg). Audit: Cure53, 2018, keine kritischen Schwachstellen.
- OpenVPN
- VPN-Protokoll seit 2002 in Produktion. Ungefähr 70.000 Zeilen C, läuft als Userland-Daemon. Konfigurierbare Verschlüsselungssuite (moderner Standard: AES-256-GCM). Unterstützt sowohl UDP als auch TCP, einschließlich Port 443, der die meisten Unternehmens- und Hotel-Firewalls umgeht. Durchsatz: ~680 Mbps UDP auf einer 1 Gbps-Verbindung. Audits: OSTIF 2017 und 2018, keine Remote-Code-Ausführung gefunden.
- Kill Switch
- Firewall-Regel (iptables / nftables / UFW), die allen nicht-VPN-Verkehr blockiert, wenn der verschlüsselte Tunnel abbricht, um die IP-Adressfreigabe zu verhindern. Bei WireGuard: Implementiert über eine PreDown/PostDown-Regel in wg0.conf. Bei kommerziellen VPNs: nativ in der App integriert. Ohne Kill Switch wird bei jeder VPN-Trennung deine echte IP an das Ziel freigegeben.
- Split Tunnel
- VPN-Konfiguration, bei der nur ausgewählter Verkehr durch den verschlüsselten Tunnel geleitet wird, während der Rest direkt über die lokale Internetverbindung austritt. In WireGuard über den Parameter AllowedIPs konfiguriert: 0.0.0.0/0 leitet den gesamten Verkehr durch den Tunnel (voller Tunnel); ein Teilbereich wie 10.0.0.0/8, 192.168.0.0/16 leitet nur private Bereiche (nur LAN-Split-Tunnel).
- AllowedIPs
- WireGuard-Konfigurationsparameter (Peer-Ebene), der gleichzeitig als Routing-Tabelle und Zugriffskontrollliste dient. Definiert, welche IP-Bereiche die WireGuard-Schnittstelle an einen bestimmten Peer senden und von ihm empfangen darf. Beispiele: AllowedIPs = 0.0.0.0/0, ::/0 (voller Tunnel — aller Verkehr); AllowedIPs = 10.66.66.0/24 (Site-to-Site — nur das VPN-Subnetz). In WireGuard sind Routing und Zugriffskontrolle in diesem einzigen Parameter vereint — es gibt keine separate Firewall-Regel für Peer-Verkehr.
Quellen & Referenzen
Um tiefer zu graben, hier sind die technischen und institutionellen Referenzen, die wir routinemäßig konsultieren.