Starlink + VPN + Netflix – klingt simpel, ist es aber nicht. Warum Streaming durch VPN über Starlink oft ruckelt, woran es wirklich liegt, und was man dagegen tun kann.

Starlink hat mehr als genug Bandbreite für Streaming. Ein VPN-Server in Deutschland hat auch genug Kapazität. Und trotzdem: 4K-Streams brechen ein, Netflix wählt 720p, die Verbindung hängt – und niemand versteht warum.

Der Grund steckt nicht in der Bandbreite. Er steckt in der Schicht darunter.

Das eigentliche Problem: CGNAT + Double NAT

Starlink arbeitet standardmäßig mit CGNAT.

Was passiert da genau?

Der Datenverkehr wird schon bei Starlink in einem riesigen NAT-Pool übersetzt – du bekommst keine eigene öffentliche IPv4. Danach übernimmt dein eigener Router und übersetzt ein zweites Mal. Das nennt man Double NAT.

Für normales Surfen: kein Problem.
Für Streaming über VPN: ein ernstes Problem.

Warum?

• Jedes Datenpaket wird zweimal „verpackt” und zweimal „ausgepackt”
• Verbindungen müssen immer von innen nach außen initiiert werden
• Viele VPN-Protokolle kämpfen mit diesem Aufbau
• Streaming-Dienste erkennen VPN-Server oft leichter, wenn NAT-Verbindungen ungewöhnlich aussehen

Stell es dir so vor: Dein Datenpaket muss durch zwei Türsteher, bevor es draußen ankommt. Jeder prüft, stempelt, übersetzt. Das kostet Zeit, erzeugt Overhead – und bei VPN obendrauf kommt noch ein dritter Türsteher dazu.

Das richtige VPN-Protokoll für Streaming

Nicht alle VPN-Protokolle sind gleich. Für Starlink + Streaming gibt es eine klare Reihenfolge.

✅ WireGuard – die beste Wahl

WireGuard ist für Starlink-Verbindungen klar das beste Protokoll:

• Läuft über UDP – ideal für schwankende Verbindungen
• Sehr geringer Overhead – Starlinks Bandbreite kommt voll durch
• Stabil bei wechselnder Latenz – und Starlink hat diese Eigenheit
• Schnelles Reconnect bei kurzen Verbindungsunterbrechungen
• Auf aktueller Hardware (Router, NAS, Raspberry Pi) hardwarebeschleunigt

Wer WireGuard einsetzt, merkt den Unterschied sofort: sauberere Verbindung, kein ständiges Neu-Einloggen im Streaming-Dienst.

⚠️ OpenVPN – geht, aber nicht optimal

OpenVPN ist weit verbreitet und sehr stabil. Für Streaming über Starlink hat es aber Nachteile:

• Höherer Rechenaufwand, besonders auf älteren Routern
• TCP-Modus: bei Paketverlusten kommt es zu sichtbarem Puffern
• UDP-Modus: besser, aber immer noch mehr Overhead als WireGuard
• Von vielen Streaming-Diensten leichter erkannt und blockiert

Wer OpenVPN bereits nutzt: den UDP-Modus wählen, nie TCP für Streaming.

❌ IPsec / IKEv2 – für Streaming weniger geeignet

IPsec / IKEv2 sind hervorragend für Standortvernetzungen und Business-VPNs. Für Streaming gibt es bessere Optionen:

• Reagiert empfindlich auf CGNAT und Double NAT
• Verbindungsaufbau bei Starlink-Latenzschwankungen manchmal instabil
• Nicht alle kommerziellen VPN-Anbieter bieten es optimal an

Double NAT auflösen – der wichtigste Schritt

Bevor man an VPN-Protokollen optimiert: Double NAT muss weg.

Die Lösung ist der Bypass-Modus bei Starlink.

Wenn der originale Starlink-Router aktiv bleibt und davor ein weiterer Router – zum Beispiel ein UniFi Cloud Gateway – betrieben wird, hat man Double NAT.

Richtig aufgebaut:

• Starlink-Router → Bypass-Modus aktivieren
• Starlink arbeitet nur noch als Modem
• Der eigene Router bekommt die Verbindung direkt
• Nur noch ein NAT-Layer zwischen innen und außen

Das allein verbessert die VPN-Stabilität spürbar. Alles andere ist Feintuning danach.

Mehr dazu: Starlink + UniFi richtig einsetzen

IPv6 und Streaming-VPN – macht das Sinn?

Die ehrliche Antwort: Für Streaming über VPN eher nicht – und hier ist der Grund.

Starlink liefert nativ IPv6. Das klingt erst mal gut – kein CGNAT, direkte Erreichbarkeit, modernes Protokoll. Das stimmt auch alles.

Aber beim Thema Streaming-VPN gibt es ein konkretes Problem: den IPv6-Leak.

Was ist das?

Viele kommerzielle VPN-Dienste tunneln den IPv4-Verkehr sauber. Aber der IPv6-Verkehr läuft am VPN vorbei – direkt über Starlink. Netflix, ARD Mediathek und Co. sehen dann nicht die deutsche IP des VPN-Servers, sondern die echte Starlink-IPv6-Adresse – und damit deinen tatsächlichen Standort.

Das Ergebnis: VPN ist aktiv, trotzdem kein Zugriff auf den deutschen Inhalt.

Wann IPv6 beim VPN trotzdem relevant ist

• Wenn der VPN-Anbieter explizit IPv6 im Tunnel unterstützt (z.B. Mullvad, ProtonVPN)
• Wenn kein Streaming-Geoblocking das Ziel ist, sondern Datenschutz
• Bei selbst betriebenen VPN-Servern mit vollem IPv6-Tunneling

Was man tun sollte

Für Streaming-VPN-Setups: IPv6 am WAN entweder im VPN mittunneln oder am Router deaktivieren.

Bei UniFi geht das sauber per Netzwerkregel oder VLAN-Konfiguration. Geräte im Streaming-VLAN erhalten dann kein IPv6-Gateway nach außen – der gesamte Traffic geht durch den VPN-Tunnel.

Bei einfacheren Setups ohne UniFi: im VPN-Client die Option „IPv6-Leak-Schutz” oder „IPv6-Blocker” aktivieren. Die meisten guten VPN-Apps haben das inzwischen.

Optimierungen mit UniFi-Hardware

Mit UniFi-Hardware lässt sich Streaming über VPN deutlich eleganter lösen als mit einem einfachen Router.

Policy-based Routing – selektives VPN

Das ist die mächtigste Funktion für diesen Anwendungsfall.

Die Idee: Nicht alle Geräte müssen durch den VPN. Nur die, die es brauchen.

Mit einem UniFi Cloud Gateway oder einer Dream Machine lässt sich einstellen:

• Smart TV im Wohnzimmer → VPN (für deutsche Mediatheken)
• Arbeitslaptop → kein VPN, direkt über Starlink
• Handy → je nach WLAN-Netzwerk
• Überwachungskameras → kein VPN, eigenes VLAN

Das Ergebnis: Wer gerade Netflix schaut, belastet nicht die VPN-Verbindung derer, die gerade arbeiten. Und die Gesamtverbindung bleibt schneller, weil nur der Traffic durch den Tunnel geht, der es wirklich soll.

In der aktuellen UniFi Network Software heißt diese Funktion „Traffic-Steuerung” (oder in englischen Versionen „Traffic Management” / „Policy-Based Routing”). Sie ist ab UniFi Network 8.x verfügbar und setzt ein Cloud Gateway voraus.

VLANs: Streaming-Geräte sauber trennen

Ein eigenes VLAN nur für Streaming-Geräte hat mehrere Vorteile:

• VPN-Routing nur für dieses VLAN aktivieren
• IPv6 in diesem VLAN gezielt blockieren oder tunneln
• Streaming-Geräte haben keinen Zugriff aufs Heimnetz (Sicherheit)
• Bandbreitenlimits für das Streaming-VLAN setzen, wenn gewünscht

Sinnvolle VLAN-Aufteilung als Beispiel:

• Heimnetz – PCs, Laptops, direkt über Starlink
• Streaming – Smart TVs, Firestick, AppleTV → VPN-Tunnel in DE
• IoT – Smart-Home-Geräte, ohne VPN, ohne Internetzugang nach außen
• Gäste – Gäste-WLAN, direkt über Starlink, kein Zugriff intern

DNS richtig konfigurieren

Ein oft übersehener Punkt: DNS.

Wenn der VPN aktiv ist, aber DNS-Anfragen noch über Starlinks eigene Server laufen, kann Netflix deinen Standort trotzdem erkennen – per DNS-Leak. Der DNS-Resolver kennt deinen tatsächlichen Anschluss.

Beim UniFi Cloud Gateway:

• Im Streaming-VLAN einen DNS-Server eintragen, der zum VPN-Anbieter gehört
• Alternativ: DNS-Anfragen im VPN-Tunnel mit forcieren (die meisten VPN-Anbieter bieten das)
• Oder: Cloudflare (1.1.1.1) oder AdGuard DNS als neutralen DNS nutzen – nie den Starlink-DNS

QoS und Bandbreitenmanagement

Starlink hat genug Bandbreite – aber nicht unbegrenzt. Wenn mehrere Personen gleichzeitig streamen und einer daneben noch ein großes Backup hochlädt, können Streams einbrechen.

Mit UniFi lässt sich das steuern:

• Bandbreite für das Streaming-VLAN begrenzen (z.B. max. 50 Mbit/s garantiert, Rest wenn frei)
• Videokonferenzen höher priorisieren als Downloads
• Starlink-Uplink schützen – der ist der Engpass (15–30 Mbit/s)

Optimierungen ohne UniFi

Wer (noch) keine UniFi-Hardware hat, kann trotzdem einiges verbessern:

• VPN direkt auf dem Router installieren statt auf jedem Gerät einzeln – das entlastet die Geräte und zentralisiert die Konfiguration (FritzBox mit Wireguard, Asus-Router mit Merlin-Firmware, GL.iNet-Router)
• VPN-Anbieter mit obfuscated Servern wählen – diese verschleiern VPN-Traffic so, dass er wie normaler HTTPS-Traffic aussieht. Hilft besonders, wenn Streaming-Dienste aggressiv VPN-Adressen blockieren.
• Serverstandort sorgfältig wählen – nicht immer ist Frankfurt am schnellsten. Manchmal ist ein Server in den Niederlanden oder Wien für spanische Starlink-Nutzer die stabilere Verbindung.
• Split-Tunneling im VPN-Client aktivieren – nur der Streaming-Dienst läuft durch den Tunnel, alles andere direkt. Das ist das manuelle Äquivalent zum Policy-based Routing in UniFi.

Welcher VPN-Anbieter funktioniert gut mit Starlink und Streaming?

Eine Empfehlung für einen einzelnen Anbieter wäre unseriös – die Situation ändert sich laufend, weil Streaming-Dienste aktiv VPN-IP-Ranges sperren.

Was man bei der Wahl prüfen sollte:

• Unterstützt WireGuard als Protokoll
• Hat IPv6-Leak-Schutz und DNS-Leak-Schutz eingebaut
• Bietet Split-Tunneling an
• Hat Server in Deutschland mit schnellen Peerings
• Aktualisiert regelmäßig die IP-Adressen (weil alte Ranges bei Netflix gesperrt werden)

Selbst betriebene VPN-Server auf einem deutschen VPS sind oft die stabilste Lösung – weil diese IP-Adresse noch nicht in den Sperrlisten der Streaming-Anbieter steht. Die meisten großen kommerziellen Anbieter haben ihre deutschen IP-Ranges längst bei Netflix auf der Liste.

Fazit: Was wirklich zählt

Wer Streaming über Starlink mit VPN sauber zum Laufen bringen will, braucht drei Dinge:

• Kein Double NAT – Starlink in den Bypass-Modus
• Das richtige Protokoll – WireGuard, UDP-Modus, fertig
• Kein IPv6-Leak – entweder vollständig tunneln oder deaktivieren

Alles andere – VPN-Anbieter, Serverstandort, VLAN-Struktur – ist Optimierung danach. Aber ohne diese drei Grundlagen hilft auch die teuerste Hardware nicht.

Mit UniFi-Hardware kommt man mit Policy-based Routing, separaten VLANs und gezielter DNS-Konfiguration deutlich weiter als mit einem Standard-Router – weil man endlich steuern kann, wer wann womit ins Netz geht. Das ist für Streaming-Setups der eigentliche Vorteil.

Starlink hat die Bandbreite. Man muss sie nur richtig führen.

---

🔧 Für Profis: Technische Details

Dieser Abschnitt richtet sich an Netzwerktechniker und fortgeschrittene Nutzer.

WireGuard MTU-Optimierung bei Starlink

Starlink selbst hat eine MTU von typischerweise 1500 Bytes – in der Praxis aber oft effektiv niedriger, weil Starlink intern eigene Tunnel verwendet. WireGuard fügt standardmäßig 60 Bytes Overhead hinzu.

Empfohlene MTU-Konfiguration für WireGuard über Starlink:

• WireGuard Interface MTU: 1280 (konservativ, funktioniert immer)
• Alternativ: 1420 testen, bei Problemen auf 1380 reduzieren
• Bei UniFi: WireGuard MTU im VPN-Tunnel-Interface eintragen
• MSS Clamping aktivieren: verhindert TCP-Fragmentierungsprobleme im Tunnel

Policy-based Routing in UniFi Network

Ab UniFi Network 8.x (aktuelle Version) unter: Einstellungen → Traffic Management → Traffic Routes

Aufbau einer sinnvollen Routing-Policy für Streaming:

• Quelle: Streaming-VLAN (z.B. 192.168.30.0/24)
• Ziel: Any (0.0.0.0/0) oder spezifische Netflix/ARD-IP-Ranges
• Nächster Hop: WireGuard-Tunnel-Interface
• Kill-Switch: Route deaktivieren wenn VPN-Tunnel down → kein Fallback auf Klartext

IPv6-Leak-Prävention per Firewall

Im Streaming-VLAN IPv6 nach außen am UniFi Gateway blockieren:

• Firewall-Regel: IPv6 WAN Out, Quelle = Streaming-VLAN, Ziel = Any → Block
• Alternativ: Im VLAN-Profil IPv6 deaktivieren (kein Router Advertisement ins VLAN)
• DNS: Im Streaming-VLAN DHCP-Option 6 auf VPN-Provider-DNS zeigen (z.B. Mullvad: 193.138.218.74)

Starlinks CGNAT und NAT-Keepalive

Starlinks CGNAT-Verbindungen haben kurze Timeouts für UDP-Sessions (oft 30–60 Sekunden bei Inaktivität). WireGuard bricht dann die Session ab – der Stream ruckelt.

Lösung: WireGuard PersistentKeepalive = 25 setzen. Hält die NAT-Session im Starlink-CGNAT offen, ohne nennenswerten Traffic zu erzeugen.

Selbst betriebener WireGuard-VPS

Für maximale Kontrolle und sauberste Streaming-Ergebnisse: eigener WireGuard-Server auf einem deutschen VPS (Hetzner, Netcup, Contabo).

Vorteile gegenüber kommerziellen Anbietern:

• Eigene IP, noch nicht in Netflix-Sperrlisten
• Keine Logging-Unsicherheiten
• Vollständige Kontrolle über MTU, DNS, IPv6
• Kosten: 3–5€/Monat für einen kleinen VPS

UniFi kann direkt als WireGuard-Peer konfiguriert werden – kein VPN-Client auf jedem Gerät nötig. Der gesamte Tunnel läuft auf dem Gateway, alle Streaming-Geräte im VLAN profitieren automatisch.

War dieser Beitrag hilfreich?

0 von 5 Sterne

5 Sterne		0%
4 Sterne		0%
3 Sterne		0%
2 Sterne		0%
1 Sterne		0%

5 Absenden

Bitte teilen Sie Ihr Feedback

Wie können wir diesen Artikel verbessern?

Name

E-Mail

Absenden