Veilig op hotel-wifi — en verbonden met thuis

Als je in je eigen land blijft op je eigen mobiele abonnement en geen gedeelde wifi of gevoelige accounts gebruikt, is een VPN minder kritisch. Voor zo goed als elke buitenlandse reis met wifi of toegang op afstand tot eigen accounts hoort hij in dezelfde basislade als reisverzekering en stekkeradapter.

• Je logt ergens in via hotel-, luchthaven- of café-wifi: Open en gedeelde netwerken zijn de belangrijkste reden dat reizigers een VPN nodig hebben. Alles wat je intypt — wachtwoorden, banksessies, e-mail — kan zonder de juiste voorzorgen worden afgevangen door anderen op hetzelfde netwerk. Een VPN versleutelt elke byte voor hij je toestel verlaat en maakt dat afluisteren onleesbaar.
• Je wilt dat bank, betalingen en thuisapps blijven werken: Veel banken en betaalproviders detecteren een buitenlands IP en blokkeren de sessie wegens vermoeden van fraude. Een VPN leidt je verbinding via een server in je eigen land, zodat de bank een vertrouwd adres ziet en je toelaat. Zonder dat sta je in het buitenland voor een vergrendeld saldo, een geweigerde kaartbetaling of een tweefactorprompt die niet doorkomt.
• Je gebruikt thuis een vaste streaming-, nieuws- of sportbibliotheek: Streamingdiensten wisselen hun catalogus per regio vanwege licenties. Nieuwssites en sportzenders doen hetzelfde. Een VPN-verbinding via je eigen land herstelt de bibliotheek waarvoor je betaalt, inclusief de live-uitzendingen die je anders zou missen.
• Je bestemming heeft een netwerk met stevige filters: Sommige netwerken blokkeren populaire berichtenapps, sociale platforms of clouddiensten. Een VPN tunnelt daar doorheen, omdat het lokale netwerk alleen versleuteld verkeer naar de VPN-server ziet, niet welke diensten je echt gebruikt.

Een VPN — Virtual Private Network — bouwt een versleutelde tunnel tussen je toestel en een server van de aanbieder. Alles wat je verstuurt loopt door die tunnel voor het de rest van het internet bereikt. Van buiten af gezien — voor het wifi-systeem van het hotel, voor andere gasten op hetzelfde SSID, voor de lokale internetprovider — is je verkeer versleuteld geruis dat naar één server ergens stroomt. Niemand kan je inhoud lezen, zien welke sites je bezoekt of wachtwoorden onderscheppen.

De VPN-server is daarna de tussenpersoon. Hij ontvangt je versleutelde verzoek, ontsleutelt het, stuurt het door naar de site of app die je werkelijk wilde, neemt het antwoord aan, versleutelt het opnieuw en stuurt het door de tunnel terug naar je toestel. Vanuit de site bekeken kwam het verzoek vanuit de locatie van de VPN-server, niet vanuit de jouwe. Daarom kun je met een VPN je bank en je streamingbibliotheek blijven gebruiken: voor die diensten ben je nog steeds thuis.

Dit alles gebeurt continu en onzichtbaar. Zodra de VPN verbonden is, gebruik je telefoon of laptop precies zoals altijd. Pagina's laden, apps werken, e-mail komt aan en gaat weg. Het enige verschil is dat alles onderweg versleuteld is en je werkelijke locatie verborgen blijft.

Openbare wifi is de belangrijkste reden dat reizigers naar een VPN grijpen, en het risico is niet theoretisch. Hotellobby's, luchthavenhallen, stationspleinen en koffiezaken draaien open of gedeelde netwerken. Op die netwerken kan iemand met basisgereedschap zich tussen jou en de router plaatsen — een zogenaamde man-in-the-middle-aanval — en stilletjes je data meelezen. De vaker voorkomende variant is de evil twin: een nep-wifi met een naam als Hotel_Guest_WiFi die er legitiem uitziet maar in werkelijkheid door de aanvaller wordt beheerd. Je toestel hapt aan het sterkste signaal en vanaf dat moment loopt alles wat je verstuurt door apparatuur die je niet beheert.

Moderne sites gebruiken meestal HTTPS, dat de inhoud van één browsersessie versleutelt. Maar HTTPS dekt niet alles. Niet de mail-app die op de achtergrond berichten ophaalt. Niet de metadata van de meeste berichtenapps. Niet de DNS-aanvragen die in stilte elke bezochte domeinnaam verraden. Een VPN versleutelt dat allemaal op toestelniveau, voordat het netwerk er iets van ziet. Zelfs op een gecompromitteerde wifi krijgt de beheerder niets leesbaars.

De andere categorie is locatiegevoelige diensten. De website van je bank ziet een buitenlands IP en zet de fraudepreventie aan, vergrendelt de rekening tot je klantenservice belt — al lastig op zes tijdzones afstand. Streamingplatforms tonen een andere bibliotheek of sluiten je helemaal buiten. Sites van luchtvaartmaatschappijen en hotels passen soms prijzen aan op de gedetecteerde locatie. Een VPN-verbinding via een server in een land naar keuze tilt dat allemaal weg. De bank ziet je thuis. De streamingdienst serveert je vertrouwde bibliotheek. De boekingssites kunnen hun locatiegebonden tarieven niet meer op je toepassen.

En op netwerken die agressief filteren — sommige bedrijfs-wifi's, sommige hotelnetwerken, bepaalde overkoepelende filtersystemen — tunnelt een goede VPN er netjes doorheen, omdat het filter alleen versleuteld verkeer naar een VPN-server ziet. Welke diensten je echt gebruikt blijft voor het filter onzichtbaar.

• Een VPN maakt je niet anoniem: Je VPN-aanbieder ziet je echte IP en met welke sites je verbindt. Serieuze aanbieders binden zich aan no-logbeleid dat door onafhankelijke firma's wordt geaudit, maar dat is hun woord — je vertrouwt ze. Als echte anonimiteit je daadwerkelijke doel is (voor een reiziger ongewoon), is een VPN alleen niet genoeg.
• Een VPN vertraagt de verbinding een beetje: Versleuteling kost wat rekenkracht en het omleiden via een verre server kost afstand. Een goede aanbieder kost je doorgaans 10 tot 30 procent ruwe snelheid — bij browsen en mailen amper te merken, bij videobellen en grote downloads wel. Kies een server geografisch dicht bij waar je echt bent om het verlies klein te houden.
• Sommige netwerken proberen VPN's actief te blokkeren: Sommige bedrijfs-wifi's, sommige hotel-captive-portals en sommige filtersystemen gebruiken deep packet inspection om VPN-verkeer te herkennen en weg te gooien. Premium-aanbieders pareren dat met obfuscation, die VPN-verkeer vermomt als gewoon HTTPS-browsen. Als een verbinding faalt, helpt protocolwissel of obfuscation meestal direct.
• Sommige diensten herkennen VPN-gebruik: Banken en streamingdiensten houden lijsten bij van IP-reeksen van bekende VPN-aanbieders. Sommige blokkeren die reeksen helemaal, andere laten je binnen maar markeren de sessie voor extra verificatie — een extra code, een tijdelijke blokkade, een follow-up-melding. Dat is beveiliging die werkt zoals bedoeld, geen defect. De bank vooraf je reisdata melden vermindert de wrijving aanzienlijk.

• Installeer hem op elk reisapparaat: Telefoon, laptop, tablet. Premium-aanbieders staan met één account vijf tot tien gelijktijdige verbindingen toe, zodat je niet hoeft te jongleren. Installeer de native app in plaats van een browserextensie — extensies versleutelen alleen tabbladen, native apps versleutelen alles wat het toestel verstuurt.
• Test tegen echte taken: Verbind met een server in je eigen land en controleer wat je echt nodig hebt: bankinlog werkt, de tweefactorprompt komt binnen, de streamingbibliotheek speelt, je werktools laden. Probeer daarna een server bij je bestemming en controleer hetzelfde. Wat thuis faalt, faalt ook in het buitenland — los het nu op.
• Zet de kill switch aan: De kill switch is de belangrijkste functie voor reizen. Hij blokkeert al het internetverkeer als de VPN-verbinding plots wegvalt — wat gebeurt zodra een laptop uit slaap komt, als je van wifi wisselt of als het hotelnetwerk wankelt. Zonder hem valt het toestel stilletjes terug op het onbeschermde netwerk, en de bank-app stuurt mogelijk een verzoek met je echte IP voordat je het door hebt.
• Controleer de DNS-leakbeveiliging: DNS-aanvragen vertalen sitenamen in adressen. Als die aanvragen buiten de tunnel lekken, ziet iedereen die het netwerk in de gaten houdt elke domeinnaam die je bezoekt, ook al is de pagina-inhoud versleuteld. Goede VPN-apps leiden DNS automatisch door de tunnel, maar het is het waard dit te bevestigen met een DNS-lektest-site terwijl je verbonden bent.
• Houd een uitwijkprotocol klaar: Als het standaardprotocol op de bestemming niet wil opbouwen, telt het te weten hoe je wisselt. De meeste aanbieders hebben meerdere opties — WireGuard, OpenVPN, soms een eigen obfuscation-modus. De standaard reddingsbeweging is van WireGuard naar OpenVPN over TCP-poort 443, wat voor de meeste filters op normaal webverkeer lijkt.

• Een gratis VPN gebruiken: Gratis VPN-aanbieders hebben inkomsten nodig, en als je niet met geld betaalt, betaal je met data. Ze verdienen meestal door browsedata aan adverteerders te verkopen, advertenties in pagina's te injecteren of zware processen op je toestel te draaien. Verschillende bekende gratis apps zijn op alle drie betrapt. Het beveiligingstool dat je installeerde om je data te beschermen, mijnt het zelf. Een betaalde reis-VPN kost per maand minder dan één luchthavenkoffie.
• Voor vertrek niet testen: Onderweg ontdekken dat de app niet installeert, het abonnement is verlopen of de dienst op de bestemming geblokkeerd is, is het slechtste moment. Nieuwe apps downloaden en verbindings­problemen oplossen op een buitenlands netwerk met mogelijk taal- en bandbreedte­barrières is fors lastiger dan vanaf de bank thuis.
• Op openbare wifi de VPN uit laten staan: De VPN beschermt alleen als hij echt verbonden is. Veel reizigers zetten hem aan voor bankzaken en surfen daarna gewoon zonder, waarbij DNS-aanvragen, geschiedenis en achtergrondverkeer van niet apart versleutelde apps openliggen. Op openbare wifi laat je de VPN het veiligst continu aan.
• Vergeten de kill switch in te schakelen: De VPN draait, je surft veilig, en de hotelwifi valt drie seconden uit. Zonder kill switch maakt je toestel stilletjes opnieuw verbinding zonder bescherming, stuurt de bank-app een verzoek met je echte IP, en die korte opening is genoeg voor een lek. Kill switches bestaan precies voor dit scenario — zet ze aan.
• Volledige anonimiteit verwachten: Een VPN beschermt je tegen lokale netwerkbedreigingen en ontgrendelt geo-beperkte diensten. Hij maakt je niet onzichtbaar online. Je VPN-aanbieder, de sites waar je inlogt (via cookies en accounts) en je toestel zelf kunnen je nog steeds identificeren. Voor reisdoelen is de bescherming meer dan genoeg — maar het is goed te weten waar de grens ligt.

Als je op «Verbinden» tikt, voeren je toestel en de VPN-server een cryptografische handshake uit. Beide kanten wisselen sleutels uit via asymmetrische cryptografie — een procedé dat een gedeeld geheim opbouwt zonder dat geheim ooit over het netwerk te sturen. Zodra de handshake klaar is, gaat al het volgende verkeer door snelle symmetrische algoritmen zoals AES-256 of ChaCha20.

De twee protocollen die je het meest tegenkomt pakken dit anders aan. WireGuard is de moderne standaard: een minimale, toetsbare codebasis (ongeveer 4 000 regels, tegen honderdduizenden bij oudere protocollen), alleen UDP, en uitzonderlijk efficiënt op mobiel waar accu telt. Zijn voornaamste beperking is precies dat alleen-UDP — een netwerkbeheerder kan hem blokkeren door niet-TCP-verkeer op ongebruikelijke poorten te laten vallen.

OpenVPN is het oudere, flexibelere alternatief. Hij kan over UDP of TCP draaien, en als hij op TCP-poort 443 is geconfigureerd — dezelfde poort die elke HTTPS-website gebruikt — wordt hij voor een basis-firewall heel moeilijk te onderscheiden van gewoon surfen. Dat maakt OpenVPN de betere keuze op restrictieve netwerken, ook al kost het wat snelheid ten opzichte van WireGuard.

Deep packet inspection is de techniek die geavanceerde filtersystemen gebruiken om VPN-verkeer ook op standaardpoorten te herkennen. Elk protocol heeft kenmerkende bytepatronen in zijn pakkethoofding — DPI bekijkt die patronen om VPN-verbindingen te herkennen en te blokkeren. Obfuscation pareert dat door pakkethoofdingen willekeurig te maken en het verkeer zo aan te vullen dat het bij het statistisch profiel van gewoon HTTPS past. Het is een doorlopende technische wapenwedloop tussen VPN-aanbieders en filtersystemen.

Een DNS-lek treedt op als je toestel naamaanvragen buiten de tunnel stuurt. Normaal vraagt het toestel bij een sitebezoek aan een DNS-server om de domeinnaam te vertalen naar een IP. Gaat die aanvraag naar de DNS van je internetprovider in plaats van naar de VPN-DNS, dan ziet die provider — en iedereen die het netwerk in de gaten houdt — elke site die je bezoekt, ook al gaat de pagina-inhoud versleuteld. Goede VPN-apps leiden alle DNS-aanvragen automatisch door de tunnel, maar een lektestpagina is de makkelijke manier om dit te verifiëren.

• Doet mijn iPhone dit al niet met iCloud Private Relay?: Niet helemaal. Private Relay is een functie voor Safari en Mail, geen systeembrede VPN — hij versleutelt het verkeer van je bank-app, je mail-cliënt anders dan Apple Mail, je berichtenapps of iets anders buiten Safari niet. Hij verandert ook je schijnbare land niet op een manier waar de bank tevreden mee is of waardoor je thuisbibliotheek voor streaming vrijkomt. Private Relay is een nuttige extra; geen vervanging voor een reis-VPN.
• Werken Netflix en andere streamingdiensten er nog mee?: Meestal wel, soms wisselvallig. Streamingdiensten houden lijsten bij van IP-adressen van bekende VPN-aanbieders, dus een bepaalde server kan geblokkeerd zijn terwijl een andere in hetzelfde land vlot doorkomt. De standaardgreep is wisselen naar een andere server in je eigen land tot er één doorkomt. Premium-aanbieders rouleren hun IP's regelmatig, dat is een deel van wat je betaalt.
• Heb ik een VPN nodig als ik alleen mobiele data gebruik?: Mobiel is merkbaar veiliger dan open wifi — de verbinding tussen telefoon en mast is al versleuteld, dus man-in-the-middle- en evil-twin-aanvallen zijn niet van toepassing. Maar mobiele data lossen het geoblokkeren niet op (de bank ziet nog steeds een buitenlands IP, de streamingbibliotheek blijft rouleren) en het verandert niets aan het feit dat je roamingprovider of de lokale mobiele operator nog steeds ziet met welke sites je verbindt. De aanleiding voor een VPN is op mobiel zwakker dan op hotel-wifi, maar niet nul.
• Moet ik de VPN in het buitenland altijd aan laten?: Op openbare of gedeelde wifi ja — laat hem continu draaien. Op je eigen mobiele verbinding is het minder kritisch, maar het voegt nog steeds privacy toe en houdt banken en streamingdiensten ervan af om je uit het gewone patroon te schudden. De prijs is iets snelheid en wat accu. Veel ervaren reizigers laten hem standaard aan en koppelen alleen los voor specifieke taken die een lokaal IP vragen, zoals navigatie-apps die niet door een VPN willen.
• Trekt een VPN mijn telefoonbatterij leeg?: Een beetje. Versleuteling kost rekenkracht, rekenkracht kost accu. Op een moderne telefoon met een efficiënt protocol als WireGuard is de impact ruwweg 5 tot 15 procent extra verbruik over een hele dag — merkbaar, maar niet verlammend. Als de accu op een dag krap is, schakel de VPN aan bij wifi-gebruik of bij toegang tot gevoelige diensten en uit op mobiel in een netwerk waarmee je je op je gemak voelt.