OpenVPN-Server auf einem VPS einrichten: Anleitung in 10 Minuten

Schwierigkeit: Anfänger 8 Min. Lesezeit Aktualisiert: 18.07.2026 5
OpenVPN-Server auf einem VPS einrichten: Anleitung in 10 Minuten
OpenVPN ist das ausgereifte, universell kompatible selbst gehostete VPN, und sein Spezialtrick ist, dass es ueber TCP Port 443 laeuft und so durch restriktive Firewalls schluepft. Dieser Leitfaden richtet in etwa zehn Minuten deinen eigenen OpenVPN-Server auf einem guenstigen VPS ein, mit einem vertrauenswuerdigen quelloffenen Skript, das Zertifikate, Firewall und Client-Dateien fuer dich erledigt.

Warum OpenVPN und wann man es waehlen sollte

OpenVPN ist der Veteran unter den selbst gehosteten VPNs: ueber zwanzig Jahre alt, zu Tode auditiert und von jeder VPN-App und jedem Router auf dem Planeten unterstuetzt. Es ist nicht die schnellste Option - WireGuard schlaegt es bei Geschwindigkeit und Akkulaufzeit -, aber es hat einen Trick, der WireGuard fehlt: Es kann ueber TCP auf Port 443 laufen, denselben Port wie normales HTTPS. Damit schluepft es durch restriktive Firewalls in Hotels, Bueros und Flughaefen, die alles ausser Web-Traffic blockieren.

Wo OpenVPN nicht das richtige Werkzeug ist, ist schwere, DPI-basierte Zensur. Systeme wie Russlands TSPU koennen einfaches OpenVPN genauso per Fingerprint erkennen und blockieren, wie sie einfaches WireGuard blockieren. Wenn dein Ziel darin besteht, diese Art von Blockade zu umgehen, nutze stattdessen unseren Leitfaden zu VLESS + Reality. Waehle OpenVPN, wenn du ein grundsolides, universell kompatibles persoenliches VPN willst und die Freiheit, dich auf Port 443 zu verstecken.

  • Ein guenstiger KVM-basierter VPS mit Ubuntu 22.04 oder 24.04 (der Installer unterstuetzt Ubuntu 18.04 und neuer).
  • root-SSH-Zugang - dein Anbieter schickt dir diesen per E-Mail nach der Bezahlung.
  • Etwa 10 Minuten. Ein gut gepflegtes Skript erledigt die schwierigen Teile (Zertifikate, Firewall, Routing) fuer dich.
Vollstaendig eigenstaendig: diese Anleitung fuehrt Sie von einem frischen VPS bis zum funktionierenden VPN, ganz ohne Vorbereitung. Sie ist anfaengerfreundlich, alles unten laeuft als root. Lieber das schnellste moderne Protokoll? Sehen Sie unsere WireGuard-Anleitung.

Schritt 1: Mit dem Server verbinden und ihn aktualisieren

Melde dich per SSH an (ersetze durch die IP deines Servers) und installiere die neuesten Updates:

ssh root@YOUR_SERVER_IP
apt update && apt upgrade -y

Schritt 2: Den Installer herunterladen

Wir verwenden das bekannte quelloffene Skript angristan/openvpn-install. Es installiert OpenVPN, erzeugt alle Zertifikate, richtet Firewall und Routing ein und verwaltet die Client-Dateien - genau die Teile, die eine manuelle OpenVPN-Einrichtung muehsam machen. Lade es herunter und mache es ausfuehrbar:

curl -O https://raw.githubusercontent.com/angristan/openvpn-install/master/openvpn-install.sh
chmod +x openvpn-install.sh

Schritt 3: Ausfuehren und die Fragen beantworten

Starte den Installer:

./openvpn-install.sh

Er stellt eine kurze Reihe von Fragen. Fuer die meisten Menschen sind die Standardwerte richtig - hier ist, was du waehlen solltest:

  • Oeffentliche IP: Er erkennt die IP deines Servers automatisch. Akzeptiere sie, es sei denn, der Server steht hinter NAT.
  • Protokoll: UDP ist die Standardeinstellung und ist schneller - behalte es fuer den Alltag. Waehle TCP nur, wenn du dich gezielt auf Port 443 verstecken musst (siehe den Tipp unten).
  • Port: Behalte den Standard 1194 fuer UDP. Wenn du TCP gewaehlt hast, um durch eine strikte Firewall zu kommen, setze den Port auf 443.
  • DNS: Waehle einen oeffentlichen Resolver wie Cloudflare oder Quad9, damit deine Anfragen nicht an deinen lokalen Anbieter durchsickern.
  • Verschluesselung und Zertifikat: Akzeptiere einfach die Standardwerte - das Skript nutzt moderne, sichere Einstellungen (AES-128-GCM, ECDSA).
  • Client-Name: Gib einen kurzen Namen fuer dein erstes Geraet ein, zum Beispiel phone.
  • Passwortschutz: Das Skript fragt, ob der Client passwortlos oder passwortgeschuetzt sein soll. Ein Passwort hinzuzufuegen bedeutet, dass eine gestohlene .ovpn-Datei ohne es nutzlos ist - lohnt sich fuer ein Smartphone oder Laptop, das verloren gehen koennte.

Das Skript laeuft etwa eine Minute und erstellt zum Abschluss eine Client-Konfigurationsdatei mit der Endung .ovpn im Ordner /root.

Willst du durch Firewalls kommen, die nur nach Port filtern? Waehle TCP und Port 443 bei diesen Fragen - entscheide dich jetzt, denn um Protokoll oder Port spaeter zu aendern, musst du OpenVPN entfernen und neu installieren. Auf 443 nutzt dein VPN denselben Port wie HTTPS, sodass es an Firewalls in Hotels, Cafes und Flughaefen vorbeischluepft, die nur nach Portnummer filtern. Es ist allerdings nicht unsichtbar: Intelligentes DPI erkennt trotzdem, dass es ein VPN ist, das ist also keine Zensurumgehung (dafuer nutze VLESS + Reality, oben verlinkt). Und TCP ist merklich langsamer - deinen TCP-Traffic in einen TCP-Tunnel zu verpacken, kann unter Paketverlust zusammenbrechen (der "TCP meltdown"-Effekt) -, nutze es also nur, wenn ein Netzwerk UDP blockiert.

Schritt 4: Die .ovpn-Datei auf dein Geraet bringen

Alles, was ein Client braucht, steckt in dieser einen .ovpn-Datei - Schluessel, Zertifikate und Einstellungen. Kopiere sie mit scp vom Server auf deinen Computer (fuehre das auf deinem Computer aus und ersetze Name und IP):

scp root@YOUR_SERVER_IP:/root/phone.ovpn .

Um sie auf ein Smartphone zu bringen, nutze, was gerade zur Hand ist: Schicke die .ovpn an dich selbst in den "Saved Messages" eines Messengers, lege sie in deinen Cloud-Speicher und loesche sie danach, oder hole sie mit einer grafischen SFTP-App wie Cyberduck oder FileZilla vom Server. Behandle die Datei wie ein Passwort - jeder, der sie hat, kann sich als du verbinden, loesche also verstreute Kopien, sobald dein Geraet eingerichtet ist.

Schritt 5: Eine Client-App installieren und verbinden

Die offizielle App OpenVPN Connect funktioniert auf jeder Plattform; auf dem Desktop kannst du auch leichtgewichtigere Alternativen nutzen. Waehle deine, importiere die .ovpn-Datei und verbinde dich.

Android: Installiere OpenVPN Connect aus Google Play. Oeffne die App, waehle Import Profile -> File, waehle deine .ovpn-Datei und tippe dann auf den Schalter, um dich zu verbinden.

iPhone und iPad: Installiere OpenVPN Connect aus dem App Store. Teile die .ovpn-Datei mit der App (oder nutze Import -> File), schalte es dann ein und erlaube das VPN-Profil.

Windows: Installiere OpenVPN Connect, klicke auf Import Profile -> Upload File, waehle deine .ovpn und druecke dann auf Verbinden.

macOS: Installiere OpenVPN Connect oder das kostenlose Tunnelblick. Importiere die .ovpn-Datei und verbinde dich.

Linux-Desktop: Installiere die CLI mit apt install openvpn und verbinde dich mit openvpn --config phone.ovpn, oder importiere die Datei in NetworkManager fuer einen Klick-zum-Verbinden-Schalter.

Schritt 6: Spaeter Geraete hinzufuegen oder entfernen

Gib jedem Geraet ein eigenes Profil, damit du eines widerrufen kannst, ohne die anderen zu stoeren. Um ein Laptop hinzuzufuegen oder ein verlorenes Smartphone zu widerrufen, fuehre einfach den Installer erneut aus - er erkennt den bestehenden Server und bietet ein Menue an:

./openvpn-install.sh

Waehle Add a new user, um eine weitere .ovpn zu erstellen, oder Revoke existing user, um ein Geraet endgueltig auszusperren.

Schritt 7: Ueberpruefen, ob es funktioniert

Bestaetige bei verbundenem Client zwei Dinge auf unserer eigenen Seite mit Netzwerk-Tools. Erstens sollte das Internet nun die IP deines Servers anzeigen - sie steht oben auf der Seite. Zweitens oeffne den Tab DNS Leak Test: Die aufgelisteten Resolver sollten der DNS sein, den du in Schritt 3 gewaehlt hast, niemals dein heimischer ISP. Wenn beides passt, ist dein OpenVPN-Tunnel aktiv.

Haeufige Fehler

  • Cloud-Anbieter-Firewall. Grosse Hoster - AWS, Oracle Cloud, Azure, Google Cloud - haben ihre eigenen Security Groups im Web-Panel, getrennt von Ubuntus Firewall, und dein Port ist dort oft standardmaessig geschlossen. Oeffne deinen gewaehlten Port (1194/udp oder 443/tcp) auch im Panel des Anbieters, nicht nur in ufw.
  • Falsche Protokoll-Erwartungen. UDP ist schneller, aber manche restriktiven Netzwerke blockieren es - wenn ein oeffentliches WLAN sich weigert zu verbinden, dann verdient sich die TCP-443-Variante ihr Geld.
  • Ein Profil teilen. Dieselbe .ovpn gleichzeitig auf zwei Geraeten zu laden, verursacht Verbindungsabbrueche. Erzeuge fuer jedes Geraet ein eigenes Profil.
  • OpenVPN gegen Zensur. Einfaches OpenVPN, sogar auf 443, ist durch fortgeschrittenes DPI erkennbar. In stark zensierten Netzwerken nutze stattdessen VLESS + Reality.

Die ehrlichen Grenzen

Ein selbst gehosteter OpenVPN-Server ist gegenueber deinem lokalen Netzwerk und deinem ISP privat, aber die ueblichen Grenzen des Selbst-Hostens gelten weiterhin: Dein VPS-Anbieter kann sehen, welche IP-Adressen sich mit dem Server verbinden, und kann auf einer virtuellen Maschine deren RAM als Snapshot sichern. Um zu reduzieren, was dein eigener Server auf der Festplatte behaelt, folge anschliessend unserem Leitfaden dazu, wie du deinen VPS keine Logs behalten laesst. Und wie immer aendert ein VPN nur, woher dein Traffic zu kommen scheint - es stellt dich nicht ueber das Gesetz deines Wohnorts.

Behalte die Kontrolle: Sichere /etc/openvpn/ an einem sicheren Ort, halte das System mit apt upgrade aktuell und widerrufe jedes Profil, das du nicht mehr nutzt. Falls du jemals alles entfernen willst, fuehre den Installer erneut aus und waehle Remove OpenVPN.
Tags: openvpn vpn vps self-hosted privacy tutorial tcp 443 linux