Woordenlijst — VPN-begrippen in heldere taal

Een kill switch bewaakt de VPN-tunnel en blokkeert al het internetverkeer als de tunnel wegvalt — bijvoorbeeld wanneer je van wifi wisselt of de server de verbinding verliest. Zonder kill switch blijft de computer pakketten over je gewone netwerk versturen totdat de client opnieuw verbinding maakt, waardoor je echte IP-adres zichtbaar wordt. Voor wie een VPN gebruikt om de locatie te verbergen, is een kill switch in de praktijk onmisbaar.

Split tunneling splitst het verkeer in twee paden. Je kunt bijvoorbeeld de browser via de VPN laten lopen, maar de bank-app of lokale printers buiten de tunnel houden — anders blokkeert de dienst je vaak of werkt het trager dan nodig. Het tegenovergestelde — full tunnel — stuurt alles door de VPN, ongeacht de app.

Bij multi-hop (soms double VPN genoemd) wordt je verkeer geketend via twee servers in verschillende landen. De eerste server ziet je echte IP maar niet wat je bezoekt; de tweede ziet de bestemming maar niet waar het verkeer oorspronkelijk vandaan komt. Het beschermt tegen een aanbieder die zijn no-logs-discipline laat verslappen, maar kost snelheid en is voor de meeste mensen overkill.

Telkens als je een webpagina opent, zoekt de computer de domeinnaam op via een DNS-server. Als dat DNS-verkeer per ongeluk direct naar je internetprovider gaat in plaats van door de VPN-tunnel, ziet die nog steeds de volledige lijst sites die je bezoekt, ook al is het laden van de pagina zelf versleuteld. DNS-lekbescherming dwingt de aanvragen door de tunnel.

Een VPN-protocol bepaalt hoe de client en de server een versleutelde tunnel onderhandelen en hoe de pakketten worden ingepakt. WireGuard is de moderne standaard met een kleine codebasis, is snel en goed op mobiele netwerken. OpenVPN is ouder en trager, maar uiterst beproefd en overal beschikbaar. IKEv2/IPsec gaat goed om met netwerkwisselingen en wordt vaak op mobiele apparaten gebruikt. Vermijd oudere protocollen zoals PPTP of L2TP zonder IPsec.

Alle serieuze VPN-diensten versleutelen het verkeer met AES-256 of ChaCha20. Beide zijn op dit moment met bekende methoden praktisch onkraakbaar. Frases als »military-grade« of »bank-grade encryption« zijn pure marketing — zo'n standaard bestaat niet. Belangrijker is hoe de sleutels worden uitgewisseld en of perfect forward secrecy wordt gebruikt, wat alle moderne protocollen doen.

Het land waar het bedrijf zijn zetel heeft, bepaalt welke rechtbanken en inlichtingendiensten gegevens kunnen opvragen of de aanbieder kunnen dwingen logs bij te houden. Landen binnen de Five Eyes / Nine Eyes / 14 Eyes-samenwerking delen routinematig inlichtingen; aanbieders met een vestiging daarbuiten (bijvoorbeeld Panama of Zwitserland) staan iets vrijer. Het beschermt echter niet tegen een slecht no-logs-beleid — een land zonder bewaarplicht helpt alleen als de aanbieder ook werkelijk niets bewaart.

Lees meer over Five / Nine / 14 Eyes →

Het aantal servers is een populair cijfer om mee te pronken, maar zegt op zichzelf weinig. Drieduizend servers in vijf landen is slechter dan driehonderd servers in vijftig landen. Wat telt is of er servers staan in de buurt van waar jij bent (latency) en in de landen waar je verbinding mee moet maken (geoblocking). Hoge aantallen weerspiegelen ook hoe de aanbieder telt — virtuele instanties en load balancers worden vaak meegerekend.

Het aantal landen met servers bepaalt vanuit welke geografische regio's je een IP-adres kunt krijgen. Wil je BBC iPlayer kunnen kijken, dan moeten er servers in het Verenigd Koninkrijk staan; wil je Amerikaanse Netflix, dan moeten ze in de VS staan. Voor de meeste mensen is 30–50 landen ruim voldoende; alles daarboven is vooral voor randgevallen.

Serverlocaties vertellen je waar je een uitgangspunt kunt krijgen. Sommige aanbieders draaien fysieke servers in alle vermelde landen; andere gebruiken virtuele servers waarbij de machine ergens anders staat maar wel een IP-adres uit het doelland toekent. Voor geoblocking zijn beide gelijkwaardig; voor latency is een fysieke locatie beter.

Een gratis abonnement is meestal een voorproefje, geen volwaardig alternatief. Typische beperkingen zijn 500 MB tot 10 GB verkeer per maand, een handvol serverlanden en lagere snelheid. Vermijd gratis VPN's van onbekende aanbieders — de exploitatie is duur en als jij niet betaalt, ben je waarschijnlijk het product (advertentiemeting of het doorverkopen van verkeer).

De garantie is in de praktijk een gratis proefperiode: je betaalt het jaarabonnement en eist je geld terug voordat de periode afloopt als je niet tevreden bent. Lees de voorwaarden — sommige aanbieders weigeren terugbetaling als je te veel verkeer hebt gebruikt, via de App Store hebt afgenomen of via specifieke aanbiedingen hebt gekocht.

Bijna alle VPN-aanbieders verkopen zich met een fors afgeprijsde introductieperiode en gaan daarna over op een aanzienlijk hogere standaardprijs bij verlenging. De korting kan het eerste jaar 60–80% bedragen. Het is de verlengprijs die de langetermijnkosten bepaalt — dat is het bedrag dat je moet vergelijken.

De limiet bepaalt hoeveel van je apparaten tegelijk op de VPN ingelogd kunnen zijn. Een router telt als één apparaat, maar dekt alles wat erachter verbinding maakt, dus installatie op de router is een goede manier om zuinig om te springen met je aantal apparaten. Deel je het account met het gezin, dan heb je doorgaans ondersteuning voor 5–10 gelijktijdige apparaten nodig.

Met een onbeperkt aantal gelijktijdige verbindingen kun je op zoveel apparaten tegelijk inloggen als je wilt. Handig voor grote huishoudens, slimme-huisapparatuur en als je het account met directe familie wilt delen. Redelijk gebruik wordt verondersteld — aanbieders treden meestal op tegen commercieel delen.

De meeste VPN-adblockers zijn in de kern een DNS-zwartelijst: de server weigert bekende advertentiedomeinen op te zoeken. Dat werkt tegen banners en trackers van derden, maar mist advertenties die op hetzelfde domein staan als de inhoud (bijvoorbeeld YouTube). Een dedicated browserextensie als uBlock Origin is grondiger. Twee voordelen van de VPN-variant: hij beschermt alle apparaten en werkt in apps, niet alleen in de browser.

Een officiële app voor de VPN-dienst maakt de installatie makkelijk en regelt details als kill switch en DNS-lekbescherming automatisch. Gangbare ondersteuning is er voor Windows, macOS, Linux, iOS, Android. Ontbreekt een platform (bijvoorbeeld een specifieke router of Apple TV), dan kun je vaak alsnog handmatig verbinding maken via OpenVPN- of WireGuard-configuratiebestanden, maar dan zonder extra functies.

Een VPN-extensie in Chrome of Firefox is in de meeste gevallen een HTTPS-proxy, geen volwaardige VPN-tunnel. Alleen het browserverkeer is beschermd; al het andere netwerkverkeer (andere apps, systeemupdates, e-mailclient) gaat de gebruikelijke weg. Handig als je het uitgangsland tijdelijk wilt wisselen zonder een systeembrede tunnel op te zetten, maar geen vervanger voor een echte VPN-client.

We zetten Ja als de eigen site van de aanbieder streaming als functie noemt. Veel streamingdiensten houden lijsten met VPN-IP-adressen bij en blokkeren die. Een aanbieder die vandaag werkt, kan volgende week niet meer werken. Een korte geld-terug-garantie is de beste verzekering als streaming je hoofddoel is.

Het aantal streamingdiensten dat de aanbieder zelf als ondersteund op zijn site noemt. Sommigen geven een uitputtende lijst op een aparte pagina, anderen maar een deel, en weer anderen vermelden helemaal niets.