Waarom je VPN precies op het verkeerde moment weigert
Je zit in Zwitserland, wilt via de Nederlandse publieke omroep het achtuurjournaal kijken, zet je VPN op een Nederlandse server — en krijgt te horen dat de dienst “niet beschikbaar is in jouw regio”. Precies waarvoor je de VPN gebruikt, gaat mis. Hoe kan dat? En zegt het iets over hoe veilig — of onveilig — zo’n VPN eigenlijk is?
Dat is een verrassend leerzame vraag, want het antwoord legt precies bloot hoe VPN’s werken en waar de échte verschillen zitten. We beginnen daarom bij de irritatie die iedereen kent, en werken van daaruit naar wat het voor jou als ondernemer betekent.
Streamingdiensten (Netflix, Disney+, Prime, maar net zo goed NPO Start, Ziggo GO of Sky) leunen voor het overgrote deel op één ding: de reputatie van je IP-adres. Ze onderhouden lijsten van IP-reeksen die bij datacenters en hostingproviders horen — en bij bekende commerciële VPN’s. Een gewone thuisaansluiting (Ziggo, KPN, Swisscom) ziet er heel anders uit dan een server in een datacenter. Zodra jouw verkeer naar buiten komt via een datacenter-IP, of via een adres waar plotseling honderd “huishoudens” tegelijk streamen, gaat de vlag omhoog. Commerciële exit-VPN’s delen hun handjevol exit-IP’s met duizenden gebruikers; die adressen staan binnen no-time op de zwarte lijst. Het is een kat-en-muisspel dat de streamingdienst structureel wint. Daar komen subtielere signalen bij: een mismatch tussen je account-land en je ogenschijnlijke locatie, DNS-verzoeken uit een ander land dan je IP, of lekken (DNS-, IPv6- of WebRTC-lekken) waardoor je echte locatie alsnog doorschemert.
Heeft dit met de netwerktechnologie te maken? Deels — en het helpt om twee detectielagen uit elkaar te houden. De ene kijkt of je überhaupt een VPN gebruikt door het tunnelprotocol te herkennen: de gangbare protocollen hebben allemaal een karakteristieke “handdruk” die met deep packet inspection te vingerafdrukken is. Zo kan een streng netwerk of provider (denk aan censuur, soms een tv-provider) VPN-gebruik in z’n geheel blokkeren. De andere laag — en die gebruiken streamingdiensten vooral — negeert het protocol en kijkt puur naar het exit-IP. Voor die laag maakt het niet uit welk protocol je gebruikt: kom je naar buiten via een datacenter, dan ben je door de mand.
Is het daardoor ook onveiliger? Geblokkeerd worden maakt je op zichzelf niet onveilig — het is vooral mateloos irritant. Maar er is een echte, indirecte samenhang. Ten eerste leunt veel detectie juist op lekken, en die lekken zijn óók een privacyprobleem: als je echte IP of DNS uitlekt naar Netflix, lekt het net zo goed naar anderen. Een VPN die makkelijk betrapt wordt, is vaak een VPN die lekt. Ten tweede, en fundamenteler: om NPO vanuit Zwitserland te kijken heb je het eindpunt-model nodig — je verkeer moet ergens in Nederland naar buiten. En dat is precies het model waarin je de aanbieder volledig moet vertrouwen en een exit-IP deelt met onbekenden. De onveiligheid zit dus niet in de blokkade zelf, maar in het model en de uitvoeringskwaliteit die je ervoor nodig hebt.
De elegante oplossing: je eigen aansluiting als vertrouwd knooppunt
Hier wordt het interessant. Er bestaat een andere soort VPN — eentje die niet je verkeer “ergens naar buiten stuurt”, maar je eigen apparaten in één privénetwerk verbindt. En juist dat maakt de mooiste oplossing mogelijk: laat je verkeer naar buiten komen via je eigen aansluiting. Zet een klein apparaatje thuis in Nederland — een Raspberry Pi, een NAS, een oud kastje — en route je laptop in Zwitserland via dat apparaat. Voor NPO ziet het er dan uit als… een doodgewone Nederlandse thuisaansluiting. Want dat is het ook: de jouwe. Geen datacenter-IP, geen gedeelde zwarte-lijst-VPN, niets om te betrappen. En het is meteen privacyvriendelijker — je vertrouwt alleen je eigen huis, geen derde partij.
En precies díe truc is voor een ondernemer veel meer waard dan tv kijken. Datzelfde kastje maakt van je thuiskantoor een vertrouwd knooppunt in je eigen netwerk. Je laptop op een terras, in de trein of bij een klant praat via een versleutelde tunnel rechtstreeks met je bestanden, je boekhoudsysteem of de server op kantoor — alsof je gewoon achter je eigen bureau zit. Geen open poorten naar het internet, geen bedrijfsdata in de cloud van een ander: je eigen apparaten en locaties, privé met elkaar verbonden. Werk je op meerdere plekken, of heeft je team dat? Dan koppel je thuis, kantoor en onderweg net zo eenvoudig aan elkaar.
De eerlijkheid erbij: de streaming-truc werkt alleen als je zo’n apparaat in het doelland hebt staan, en je snelheid wordt begrensd door de upload van die aansluiting. Heb je dat niet, dan heb je alsnog een klassieke exit nodig — en daar komen we onderaan op terug.
Voor de liefhebber: hoe het onder de motorkap werkt
Tot zover de praktijk. Voor wie wil weten waaróm dit zo werkt, hebben we de technische verschillen op een rijtje gezet — en we doen een eerlijke poging om het begrijpelijk te houden. Wil je liever meteen naar wat we kunnen bieden? Sla dit stuk gerust over.
Twee soorten VPN die niets met elkaar te maken hebben
Grofweg bestaan er twee modellen, en ze worden constant door elkaar gehaald.
1. De exit-VPN (het consumentenmodel). Je verkeer gaat via de server van de aanbieder het internet op. Voor de website die je bezoekt lijkt het alsof de aanbieder de bezoeker is, niet jij. Handig om je IP te verbergen of geoblokkades te omzeilen. De kern: de aanbieder is het eindpunt — al jouw verkeer komt bij hem langs.
2. De privé mesh-VPN (het netwerkmodel). Hier koppel je je eigen apparaten, servers en locaties in één versleuteld privénetwerk. Je laptop praat rechtstreeks met je thuisserver, je kantoor met je datacenter — end-to-end versleuteld, zonder dat het verkeer “ergens langs een dienst” hoeft. De kern: er is geen centraal eindpunt dat je internetverkeer ziet. Dit is het model achter het kastje-thuis van hierboven.
Beide heten “VPN”. Maar het eerste draait om anonimiteit naar buiten, het tweede om veilige toegang naar binnen. Dat onderscheid is de rode draad.
De netwerklaag
Op de netwerklaag is een VPN in de basis een versleutelde tunnel. Hóe die tunnel wordt opgezet verschilt sterk, en dat bepaalt snelheid, veiligheid en beheerbaarheid.
- OpenVPN — de veteraan. Bouwt de tunnel met TLS/SSL (dezelfde familie als https). Flexibel en al jaren de werkpaard-standaard, maar relatief zwaar: veel code, meer CPU, langzamer.
- IPsec / IKEv2 — verankerd in de kernel van besturingssystemen, native op mobiel en Windows. Snel en zakelijk populair, maar berucht om z’n complexe configuratie.
- WireGuard — de nieuwe standaard. Een moderne, geauditeerde tunnel met een piepkleine codebase (duizenden regels waar OpenVPN er honderdduizenden heeft), draait in de Linux-kernel en is razendsnel. Kleiner betekent ook: minder aanvalsoppervlak. Niet toevallig zijn veel grote consumenten-VPN’s de laatste jaren stilletjes op WireGuard overgestapt — soms onder een eigen productnaam, maar onderhuids is het gewoon WireGuard.
- Eigen overlay-protocollen — sommige spelers gebruiken een eigen aanpak op Ethernet-niveau of een eigen versleutelingsraamwerk. Krachtig voor specifieke gevallen, maar het wijkt af van de breed gedragen WireGuard-standaard.
De echte innovatie zit niet in de tunnel zelf, maar in de laag eromheen. Moderne mesh-VPN’s combineren een WireGuard-datalaag (het eigenlijke versleutelde verkeer) met een coördinator (een control-laag die publieke sleutels en de netwerkkaart uitwisselt) en relays die alleen worden ingezet als een directe verbinding door firewalls niet lukt. Cruciaal: die coördinator ziet nooit de inhoud van je verkeer — de sleutels verlaten je eigen apparaten niet. Hij regelt het kennismaken; het gesprek zelf gaat rechtstreeks.
De populairste mesh-VPN — en het juridische addertje
Eén dienst maakte dit mesh-model wereldberoemd: Tailscale. Terecht populair — het “werkt gewoon”, overal, met minimale configuratie. Maar er zit een addertje dat pas opvalt als je zoiets als dienst aan anderen wilt aanbieden. De coördinator van Tailscale draait namelijk bij Tailscale zelf, als clouddienst. En de standaardvoorwaarden verbieden nadrukkelijk om de dienst te “sell, resell, rent or lease”. Wil je er een eigen VPN-product op bouwen, dan kan dat alleen via hun aparte reseller-/partnerprogramma. Je blijft dan afhankelijk van hun voorwaarden, hun prijzen en — belangrijker — hun control-laag, in hun rechtsgebied. Prima voor jezelf, maar het knelt zodra privacy en onafhankelijkheid de kern van je aanbod zijn. Dat is precies het punt waarop wij een andere afslag nemen.
Het eindpunt zijn: de voor- en nadelen
De hamvraag bij elke VPN is: wie is het eindpunt van jouw verkeer? Bij een klassieke exit-VPN is dat de aanbieder. Dat heeft echte voordelen — en minstens zulke echte schaduwkanten.
Voordelen van eindpunt zijn (voor de gebruiker): je echte IP blijft verborgen voor de websites die je bezoekt; je omzeilt geoblokkades en censuur; al je verkeer komt op één plek binnen, makkelijk centraal te filteren.
Nadelen — en die wegen zwaar:
- De aanbieder kán meekijken. Al jouw verkeer passeert zijn servers. Je vertrouwen ligt volledig bij zijn belofte om niets te loggen.
- Juridische aansprakelijkheid. Wat een gebruiker ook doet, het komt naar buiten via het IP van de aanbieder. Misbruikklachten, auteursrechtclaims en vorderingen van opsporingsdiensten landen dáár.
- Een concentratie van macht en risico. Eén partij die alles ziet, is één partij die gehackt, gedwongen of gedagvaard kan worden.
Kortom: eindpunt zijn levert anonimiteit naar buiten op, maar verplaatst het vertrouwen — en het risico — volledig naar de aanbieder.
Onze insteek: we willen niets zien — en we kunnen het ook niet
Onze keuze is bewust en radicaal: wij worden nooit het eindpunt van jouw verkeer. We zetten een zelf-gehoste coördinator in op een WireGuard-fundament. Dat betekent, technisch en niet als loze belofte:
- De versleutelingssleutels verlaten jouw apparaten nooit. Wij coördineren het kennismaken tussen je apparaten; het verkeer zelf gaat rechtstreeks, end-to-end versleuteld.
- Een eventuele relay ziet alleen versleutelde pakketten die hij niet kan ontsleutelen — een doorgeefluik, geen inkijk.
- We draaien nooit een exit-node. Jouw internetverkeer komt dus nooit via ons naar buiten. Er is bij ons niets te loggen, en dus ook niets om af te staan.
Het verschil met de belofte “wij loggen niets” is fundamenteel. Dat is een belief — vertrouw ons maar. Onze aanpak is een design: er ís domweg geen plek waar wij je verkeer kunnen zien, ook niet als we onder druk gezet zouden worden. Privacy die niet afhangt van goed gedrag, maar van architectuur.
Voor wie we dit bouwen — en wat je krijgt
We richten ons in de eerste plaats op zzp’ers en het MKB: ondernemers die hun thuiskantoor, kantoor en onderweg-werken veilig willen verbinden zonder een dure IT-afdeling. Grotere bedrijven schuwen we niet — in ons netwerk zitten veel professionals die complexere omgevingen samen met ons kunnen opzetten en beheren. Klein beginnen kan, meegroeien ook.
Je VPN draait op je eigen server. Geen gedeeld platform, maar een eigen VPS die van jou is. Losgekoppeld van onze infrastructuur — jouw sleutels, jouw netwerk, jouw blast-radius. Gaat er ooit iets mis aan onze kant, dan raakt dat jouw netwerk niet, en andersom. Onafhankelijkheid is hier geen marketingterm maar een architectuurkeuze.
Zelf beheren, of laten ontzorgen. De techniek eronder is open en volledig zelf te draaien — voor wie het leuk vindt om config-bestanden en een terminal in te duiken. Maar de meesten willen dat niet, en daar zit onze meerwaarde:
- Een beheerdashboard (bij een betaald / uitgebreider abonnement) om je VPN te beheren zonder commandoregel: apparaten toevoegen met een klik, medewerkers en toegangsregels instellen, zien wie verbonden is, updates die geregeld worden. Het gemak van een clouddienst, op je eigen server.
- Onze betaalgateway eronder — inclusief betalen met crypto — zodat een abonnement afsluiten net zo soepel gaat als bij de grote spelers, zonder dat je bij een grote speler hoeft aan te kloppen.
Waarom voor dat betaalde niveau kiezen? Omdat je de controle en privacy van zelf-hosten wilt, zónder de beheerlast. Je krijgt de eigenaarsvoordelen — jouw server, jouw sleutels, geen meekijkende tussenpartij — met de bediening van een nette dienst. Precies de combinatie die je bij een klassieke, alles-ziet-eindpunt-VPN niet krijgt.
En als je tóch een klassieke exit nodig hebt? Niet iedereen heeft een apparaat in het doelland staan, en soms wil je gewoon een exit-VPN om je IP te verbergen of geoblokkades te omzeilen. Bij voldoende vraag bieden we daarom ook een beheerde exit-dienst aan. Als wíj dat doen, doen we het anders dan de mega-aanbieders: op een eigen of aan jou toegewezen server, met exit-IP’s die je niet met duizenden vreemden deelt. Dat is betrouwbaarder voor deblokkeren — en jouw IP-reputatie hangt niet af van wat een onbekende ermee uitspookt. Met dezelfde betaalgateway en hetzelfde dashboard eronder.
We zijn er wél eerlijk over wat dat voor je privacy betekent. Een exit-VPN ís per definitie het eindpunt-model: wie de exit draait, ziet metadata — naar welke adressen je verkeer gaat (de inhoud naar https-sites blijft end-to-end versleuteld tot aan die site). Dat is dus bewust een ánder, lager privacyniveau dan onze zero-knowledge mesh. We ondervangen dat met een strikt geen-log-beleid, strakke isolatie, en het liefst een exit die op jouw eigen toegewezen server draait — dan is zelfs die metadata van jou, niet van ons. Het blijft een afweging: maximaal deblokkeer-gemak tegenover maximale privacy. Wij zetten beide helder naast elkaar, zodat jij kiest in plaats van dat het voor je gekozen wordt.
Wil je meedenken of dit bij jouw situatie past? Neem contact op via het contactformulier — we bouwen dit uit, en denken graag mee over wat een privé-netwerk voor jou en je onderneming kan betekenen.