Behaupteter VPN-Standort und tatsächliches Land des Traffic-Austritts stimmen nicht überein

 (ipinfo.io)
11 Punkte von GN⁺ 2025-12-14 | 2 Kommentare | Auf WhatsApp teilen
  • Die Analyse von 20 führenden VPNs ergab, dass bei 17 Diensten der tatsächliche Traffic-Austritt nicht dem behaupteten Land entsprach; viele nutzten dieselben Rechenzentren in den USA oder Europa
  • Bei der Messung von mehr als 150.000 VPN-Exit-IP-Adressen zeigte sich, dass 38 Länder ausschließlich „virtuell“ waren, also der tatsächliche Traffic nicht aus diesen Ländern kam
  • Nur Mullvad, IVPN und Windscribe stimmten in allen Ländern mit der Behauptung und dem tatsächlichen Standort überein; bei den übrigen gab es erhebliche Abweichungen
  • Ein „virtueller Standort“ bedeutet, dass das VPN ein bestimmtes Land anzeigt, der Traffic aber tatsächlich aus einer anderen Region austritt, etwa aus Miami oder London
  • Die Diskrepanz zwischen der beworbenen Zahl der Länder und den tatsächlichen physischen Standorten führt zu Problemen bei Transparenz und Vertrauen; IPinfo nutzt zu deren Behebung einen messbasierten Ansatz auf Basis von ProbeNet

Ergebnisse einer groß angelegten Untersuchung zu VPN-Standortabweichungen

  • IPinfo analysierte 20 populäre VPNs und bestätigte, dass bei 17 der tatsächliche Traffic-Austritt in einem anderen Land lag
    • Einige VPNs behaupten, in mehr als 100 Ländern verfügbar zu sein, teilen sich in Wirklichkeit aber nur wenige Rechenzentren in den USA und Europa
  • Insgesamt wurden 150.000 Exit-IP-Adressen über 137 Länder hinweg gemessen
    • 38 Länder waren ausschließlich virtuell, das heißt, bei keinem VPN kam der tatsächliche Traffic aus diesem Land
    • Nur 3 VPNs konnten für alle behaupteten Standorte tatsächlich verifiziert werden
    • In bestehenden Datensätzen wurden rund 8.000 Fehler bei der IP-Standortbestimmung gefunden
  • Die Messungen von ProbeNet zeigen, dass die meisten VPNs tatsächlich in weniger Ländern präsent sind als behauptet

Tatsächliche Messergebnisse nach VPN

  • Vergleich der von den einzelnen VPNs behaupteten Länderzahl mit der tatsächlich gemessenen Länderzahl
    • Mullvad, IVPN und Windscribe wiesen mit 0 % Abweichung vollständige Übereinstimmung auf
    • Bei NordVPN, ExpressVPN, CyberGhost und anderen war mehr als die Hälfte virtuell oder nicht messbar
  • Je mehr Länder ein VPN angab, desto höher war die Abweichungsquote; Behauptungen wie „100+ Länder“ sind schwer vertrauenswürdig

Bedeutung virtueller Standorte

  • Auch wenn ein VPN „Bahamas“ oder „Somalia“ anzeigt, kann der tatsächliche Traffic in Wirklichkeit aus Miami in den USA oder London in Großbritannien austreten
    • Auch IP-Registrierungsdaten werden auf Basis von Selbstauskunft als „Land X“ angezeigt, doch tatsächliche Netzwerkmessungen weisen auf ein anderes Land hin
  • Das ProbeNet von IPinfo prüft den Standort anhand der tatsächlichen RTT (Round-Trip Time) über mehr als 1.200 globale Messpunkte
  • Im Gesamtdatensatz waren 97 Länder virtuell oder nicht messbar, davon 38 Länder vollständig nur als virtuelle Standorte vorhanden

Fallstudien: Bahamas und Somalia

  • Bahamas: Bei NordVPN, ExpressVPN, PIA, FastVPN und IPVanish wurde der Traffic sämtlich in den USA gemessen
    • RTT-Werte von 0,15 bis 0,42 ms relativ zu Miami deuten auf Server hin, die sich tatsächlich in den USA befinden
  • Somalia: NordVPN und ProtonVPN zeigen „Mogadishu“ an, der tatsächliche Traffic wurde jedoch in Nizza in Frankreich und London in Großbritannien gemessen
    • RTT-Werte von 0,33 bis 0,37 ms bestätigten Serverstandorte innerhalb Europas

Fehler in bestehenden IP-Datensätzen

  • Bestehende IP-Datenanbieter verwenden selbst gemeldete Informationen und übernehmen dadurch die fehlerhaften Standortangaben der VPNs unverändert
  • Beim Vergleich von 736 VPN-Exit-IP-Adressen zwischen ProbeNet-Messungen und bestehenden Datensätzen ergab sich:
    • 83 % Fehler von mehr als 1.000 km, 28 % Fehler von mehr als 5.000 km, 12 % Fehler von mehr als 8.000 km
    • Medianfehler von etwa 3.100 km
  • ProbeNet zeigte eine durchschnittliche RTT von 0,27 ms, bei 90 % lag sie unter 1 ms, was die Nähe zum tatsächlichen physischen Standort bestätigt

Vertrauensproblem und technische Gründe

  • Technische Gründe für den Einsatz virtueller Standorte
    • Vermeidung regulatorischer und Überwachungsrisiken, Unterschiede bei der Infrastrukturqualität, Kostensenkung und Leistungsverbesserung
  • Das Vertrauensproblem entsteht jedoch an folgenden Punkten
    • Mangelnde explizite Offenlegung: Es wird nicht etwa als „Virtuelle Bahamas (gehostet in den USA)“ gekennzeichnet
    • Skalierungsproblem: Dutzende Länder existieren vollständig nur als virtuelle Standorte
    • Abhängigkeit von Daten: Medien, NGOs und Sicherheitssysteme riskieren, sich auf falsche Standortinformationen zu verlassen

Was das für Nutzer bedeutet

  • Angaben wie „100+ Länder“ sollten als Marketingzahl betrachtet werden
    • Bei 17 VPNs existierten 97 Länder in der Praxis nicht wirklich
  • Die Darstellung von Standorten durch VPNs sollte geprüft werden: Gibt es virtuelle Server? Wird der tatsächliche Hosting-Standort offengelegt?
  • Bei der Nutzung von IP-Daten sollte die Quelle verifiziert werden: Wichtiger als bloße Genauigkeitswerte ist, ob es sich um messbasierte Daten handelt
  • Es geht weniger um ein grundsätzliches Problem der VPN-Nutzung als um die Bedeutung von Transparenz und evidenzbasierten Daten

Der messbasierte Ansatz von IPinfo

  • Bestehende IP-Datenanbieter verlassen sich auf RIR-Registrierungsdaten und selbst gemeldete Informationen
  • IPinfo setzt auf einen messbasierten Ansatz mit ProbeNet
    1. Betrieb von mehr als 1.200 PoPs (Messpunkten)
    2. Echtzeitmessung auf Basis von RTT zur Bestimmung des Standorts von IPv4- und IPv6-Adressen
    3. Evidenzbasierte Geodaten, die den Standort anhand des tatsächlichen Internetverhaltens ermitteln
  • Ziel dieses Ansatzes ist es, Fehler aus Selbstauskünften zu reduzieren und Genauigkeit auf Basis realer Messdaten sicherzustellen

Methodik der Untersuchung

  • Auf den Websites, in Konfigurationsdateien, APIs usw. von 20 VPN-Anbietern wurden mehr als 6 Millionen Datenpunkte gesammelt
  • Es wurde direkt zu jedem VPN-Standort verbunden, um Exit-IP und RTT zu messen
  • Verglichen wurden das vom VPN behauptete Land und das von ProbeNet gemessene tatsächliche Land
  • In die Analyse wurden nur klar behauptete Standorte aufgenommen; uneindeutige oder nicht messbare Fälle wurden ausgeschlossen
  • Das Ergebnis zeigt, dass selbst nach konservativen Maßstäben eine hohe Abweichungsquote besteht; bei lockereren Kriterien könnte sie noch höher ausfallen

Verwandte Beiträge

2 Kommentare

 
princox 2025-12-15

Wow, sogar mit so etwas wird offenbar noch Geschäft gemacht …;;; Das ist ziemlich problematisch.
 
GN⁺ 2025-12-14
Hacker-News-Kommentare

  • Ich bin Mitgründer von WonderProxy. Unser Dienst ist kein Consumer-VPN, sondern für App-Tests gedacht, deshalb standen wir nicht auf der Liste.
    Wir sind in über 100 Ländern aktiv, und das ist wirklich ein großes Ärgernis. In der Anfangszeit behaupteten Anbieter oft, in Mexiko oder Südamerika zu sein, obwohl sie tatsächlich in Texas standen.
    Eine Zeit lang wollte ich sogar selbst einen Server nach Peru bringen, habe es dann aber aufgegeben, als ich erfuhr, dass ich auf lokal erzielte Einnahmen peruanische Einkommensteuer zahlen müsste.
    Ein Kunde beschwerte sich einmal, weil ein Wettbewerber angeblich Server im Nahen Osten anbot, aber bei der Untersuchung stellte sich heraus, dass sie weniger als 1 ms von einem Server in Deutschland entfernt waren.

  • Ich kenne mehrere Leute, die bei Mullvad arbeiten, und sie nehmen Sicherheit und Privatsphäre wirklich ernst. Deshalb überrascht mich dieses Ergebnis nicht.

    • Hinter Chinas GFW funktionierten Mullvad, Windscribe und IVPN, die bekannteren VPNs dagegen nicht. Es gibt also auch bei VPNs so etwas wie echte VPNs.
    • Schon vor dem Lesen des Artikels war ich sicher, dass Mullvad den Test bestehen würde.
    • Mullvad gefällt mir immer besser, je länger ich es nutze. Andere VPNs werden mit der Zeit schlechter, hier ist es umgekehrt. Besonders gut finde ich, dass man mit einer Krypto-Wallet-Zahlung anonym bleiben kann.
    • Auch Windscribe und iVPN wurden positiv bewertet, aber in diesem Beitrag geht es darum, auf das irreführende Marketing von VPNs hinzuweisen. VPNs erhöhen die Sicherheit nicht massiv, sind aber nützlich zur Umgehung von Zensur oder zum Aufheben von Geoblocking. Spezielle Netzwerke wie Psiphon, Lantern oder Tor halte ich für leistungsfähiger.

  • Ich bin Bürger eines Landes und gleichzeitig Einwohner eines anderen, deshalb nutze ich oft ein VPN. Selbst der Zugriff auf Regierungswebsites funktioniert ohne VPN nicht.
    Die Website des Statistikamts liefert bei ausländischen IPs einen 404, mit aktiviertem VPN funktioniert sie aber normal. Auch für Wahlübertragungen brauchte ich ein VPN.
    Für die Steuererklärung muss ich das VPN abschalten, weil VPNs blockiert werden, IPs von Auslandsresidenten aber erlaubt sind.
    Wenn es ein VPN mit Residential IPs gäbe, würde ich sogar 30 Euro im Monat zahlen. Aber den meisten kann man nicht trauen.

    • Wenn man bei Freunden oder Familie ein AppleTV mit Tailscale installiert zurücklässt, kann man es als Exit Node nutzen. Ich mache das auch so.
    • Ich bin in derselben Situation und habe deshalb TunnelBuddy (https://tunnnelbuddy.net) selbst gebaut. Es basiert auf WebRTC, und wenn ein Freund einmal ein Passwort teilt, kann man das Internet so nutzen, als würde man von dessen Zuhause aus zugreifen.
    • Wenn du Freunde in dem Land hast, kannst du auch einen Raspberry Pi hinter das Modem hängen.
    • Residential IPs werden nicht pauschal monatlich, sondern pro GB abgerechnet, deshalb sind sie teuer. Meistens kosten sie mehr als 2 Dollar pro 1 GB.
    • Man kann auch einfach mit einer Roaming-SIM-Karte aus dem Heimatland auf Regierungsseiten zugreifen.

  • Ich finde interessant, dass man den tatsächlichen Serverstandort anhand der Latenz abschätzen kann. Aber könnte man das nicht täuschen, indem ein VPN künstlich 100–300 ms Verzögerung hinzufügt?
    Zum Beispiel wird 74.118.126.204 als somalische IP bezeichnet, aber ipinfo.io identifiziert sie als London. Man kann curl ipinfo.io/74.118.126.204/json und curl ipwhois.app/json/74.118.126.204 vergleichen.

    • Ich glaube, Ping-Zeiten werden stärker von der Anzahl der Hops und der Verbindungsqualität beeinflusst als von der Lichtgeschwindigkeit.
    • So wie man anhand der Serverantwortzeit auf Passworthashes schließen kann, ist Rauschen eben nur Rauschen.
    • IPinfo sendet gleichzeitig Pings aus mehreren Regionen und berechnet die Position per Multilateration. Laut eigener Aussage betreiben sie über 600 Probe-Server (Quelle).
    • Selbst wenn man jedem Paket zusätzliche Verzögerung hinzufügt, wird London am Ende immer noch die geringste Latenz zeigen.
    • Wenn man aus mehreren Ländern pingen lässt, kann man per Triangulation den tatsächlichen Standort bestimmen.

  • Die meisten VPN-Anbieter legen tatsächlich offen, dass es sich um einen virtuellen Standort handelt. Deshalb würde ich nicht sagen, dass es völlig gelogen ist.
    Die spannende Frage ist, wie man den geografischen Standort eines VPNs überhaupt angeben sollte. Sollte man den physischen Serverstandort anzeigen oder das Land, das der Nutzer ausgewählt hat?
    Ich halte Letzteres für nützlich, weil es zeigt, „wo“ der Kunde sein möchte.
    (Zur Einordnung: Ich betreibe einen Konkurrenzdienst, und wir zeigen ebenfalls den vom VPN gemeldeten Standort an, markieren aber klar, dass es sich um ein VPN handelt.)

  • Beim Wechsel zu ProtonMail habe ich ProtonVPN ausprobiert, aber mit aktiviertem VPN funktioniert die Hälfte der Websites nicht. Sogar Hacker News blockiert VPNs.
    Es wird immer einfacher für Websites, VPN-Endpunkte zu erkennen, und ich frage mich, wie VPNs das künftig noch verhindern wollen.

    • Apple konnte über Private Relay Druck ausüben, damit Websites Verbindungen zulassen. Wenn VPNs massentauglich werden, werden Websites sie am Ende wohl ebenfalls akzeptieren müssen.
    • Wenn mehr Menschen VPNs und Tor nutzen, wird es für Websites schwieriger, sie zu blockieren. Eine Welt, in der alle Tor nutzen, wäre ideal. Wenn alle gleich aussehen, ist Diskriminierung unmöglich.
    • Reddit verhängt bei aktiviertem VPN einfach einen Shadowban. Es gibt keine Benachrichtigung, daher muss man, wenn niemand auf einen Kommentar reagiert, das Profil in einer privaten Sitzung prüfen.
    • Bei Tor ist es ähnlich. Man hat Anonymität, ist zugleich aber auch auffällig.
    • Wenn die VPN-Nutzung zunimmt, schaden sich Websites damit letztlich selbst. Vor allem auf Mobilgeräten lassen viele Nutzer VPNs dauerhaft aktiviert.
      Wenn eine Website VPNs blockiert, empfinden Nutzer das als lästig und gehen weg.
      Das Tarnen als mobiler User-Agent kann helfen. Auch SSL- und HTTP-Fingerprints sollten zu mobilen Geräten passen.
      VPNs mit Gratis-Tier sollte man besser meiden. Je teurer das VPN, desto besser meist der IP-Ruf.

  • Ich bin mir nicht ganz sicher, was in diesem Test genau gemacht wurde. Es ist auch seltsam, dass einige große VPNs fehlen.
    Ich nutze AirVPN, weil es zu meinem Einsatzzweck und meinem Budget passt.
    Es gibt viele Gründe für ein VPN — Privatsphäre, Anonymität (nicht empfehlenswert), Umgehung von Geoblocking, Torrenting, Umgehung von Zensur (GFC) usw.
    Letzteres ist am schwierigsten.
    Referenzlink: VPN Services Overview

    • Getestet wurde der tatsächliche Standort des Exit Nodes eines VPNs. Viele Anbieter ändern nur die WHOIS-Informationen der IP, stellen den tatsächlichen Server aber in ein anderes Land.

  • Um Firewalls auf Länderebene zu umgehen, ist der Standort des Exit Nodes wichtig, aber die GeoIP-Branche selbst ist das eigentliche Problem.
    Es wäre gut, wenn ISPs über RFC8805 dabei helfen würden, dass Nutzer Geoblocking umgehen können.

    • Mit der Verbreitung von CGNAT könnte man womöglich standortbezogene Informationen auf Port-Ebene brauchen. Zum Beispiel Ports 10000–20000 für New York, 20000–30000 für Boston usw.
    • Das klingt nach jemandem, der noch nie OFAC-Sanktionen erlebt hat. Für mein Geschäft wäre ein Sanktionsverstoß sofort existenzbedrohend.
      Geografische IP-Informationen sind ein zentrales Werkzeug, um solche Risiken zu vermeiden.
    • Schön wäre es, wenn man diese Information ähnlich wie PTR-Records im DNS behandeln könnte.

  • Ich halte es für gewagt, allein aus RTTs (Round-Trip Time) auf Kenntnisse über Backbone-Netzwerke zu schließen.
    Traffic wird nicht immer effizient geroutet, und Übertragungswege ändern sich je nach Verkehrsaufkommen. Mich interessieren andere Meinungen dazu.

    • Man muss kein effizientes Routing annehmen. Wenn man von London aus eine RTT von unter 1 ms bekommt, kann der Server physisch nicht außerhalb Großbritanniens stehen.
      Aufgrund der Lichtgeschwindigkeitsgrenze bedeutet eine RTT von 0,4 ms eine maximale Entfernung von 120 km. Damit lässt sich sicher sagen, dass der Server nicht in dem Land steht, das er vorgibt.
    • Rechnet man mit Lichtgeschwindigkeit, bedeutet eine RTT von unter 0,5 ms, dass das gemessene Land korrekt ist. In Glasfaser ist die Geschwindigkeit wegen der Brechung noch geringer, wodurch die Fehlerspanne weiter sinkt.
    • Zur Aussage „Vielleicht habe ich ein Detail übersehen“ — ja, ich glaube, du hast die Physik übersehen. Wenn man von London aus einen Submillisekunden-Ping bekommt, dann ist das nicht Mauritius.