De beste manier om te vermijden dat anderen jouw online uitgewisselde informatie kunnen onderscheppen, is met behulp van een versleutelde vpn-verbinding. OpenVPN is een uitstekende toepassing waarmee je precies zo’n vpn-connectie kunt opzetten. Wat OpenVPN precies is, lees je hier.

Lees ook: OpenVPN installeren op Windows, macOS en Linux

En: OpenVPN installeren op je smartphone

OpenVPN is opensource-software die met behulp van vpn-technieken een veilige connectie tussen verschillende apparaten opzet. De software versleutelt de communicatie door middel van een aangepaste versie van het ssl/tls-protocol. OpenVPN is multiplatform en alle verkeer loopt over een enkele udp- of tcp-verbinding. Dat maakt meteen dat het vaak ook probleemloos werkt in lastiger omgevingen zoals netwerken met nat (network address translation)

Wat is een VPN?

Om goed te begrijpen wat OpenVPN is, moet je uiteraard eerst weten wat een vpn is en verder hoe OpenVPN zich tegenover verwante technologieën verhoudt.

In zijn eenvoudigste vorm is een vpn (virtual private network) een technologie waarmee je een ‘lokaal netwerk’ creëert tussen verschillende computers die zich in wisselende lan-segmenten kunnen bevinden. Men heeft het bij zo’n connectie vaak over een vpn-tunnel, omdat alle verkeer tussen client en server zo versleuteld wordt dat het niet meer herkenbaar is. Bij protocollen als https en ssh daarentegen worden data ook wel versleuteld, maar een sniffer kan zo’n connectie als dusdanig wel nog identificeren.

Om van een echt vpn te kunnen spreken, moeten er zowel encryptie- als authenticatietechnieken toegepast worden. Deze encryptie- als authenticatietechnieken zorgen er enerzijds voor dat je zeker bent dat je met het juiste systeem of met de juiste persoon bent verbonden (via een gebruikers-id of certificaten). Anderzijds kan authenticatie ook ‘man in the middle’- en ‘denial of service’-aanvallen (respectievelijk afgekort tot mitm en dos) helpen vermijden, aangezien niet-geautoriseerde pakketjes niet eens worden ontsleuteld.

Zo’n vpn-tunnel boort zich dus ook door firewalls en routers heen: dat houdt in dat eventueel aanwezige, reguliere netwerkbeveiligingen hierdoor wellicht worden omzeild.

Een vpn-connectie kan voor verschillende doeleinden nuttig zijn: je zorgt voor meer veiligheid als je met een open wifi-netwerk bent verbonden of je omzeilt geofencing als je je met een vpn-server in een specifiek land verbindt. Grotere bedrijven verbinden er hun lokale kantoren mee en vrijdenkers uit landen met strenge censuur kunnen er alsnog hun boodschap mee uitdragen.

Er zijn heel wat vpn-producten beschikbaar, zowel opensource als in commerciële vorm. We onderscheiden een drietal belangrijke types: op basis van pptp, IPsec en ssl. OpenVPN hoort min of meer in deze laatste categorie thuis, maar wegens enkele markante verschilpunten bespreken we die toch liever apart.

Pptp

Ook al laat pptp (point to point tunneling protocol) zich makkelijk configureren omdat het in de meeste besturingssystemen is ingebouwd, je kunt het eigenlijk niet langer vertrouwen, omdat het standaard authenticatiemechanisme (ms-chapv2) al enkele jaren geleden is gekraakt. Je kunt via eap-tls dan wel X.509-certificaten gebruiken, maar niet alle pptp-clients ondersteunen dat. Daarbij komt dat pptp voor de versleuteling van het datakanaal gebruikmaakt van het gre-protocol (general routing encapsulation) en dat laat zich lastig sturen in een nat-omgeving.

IPsec

Aangezien IPsec (internet protocol security) op basis van krachtige veiligheidsbeleidsregels werkt, is het erg flexibel … maar tegelijk ook lastig om optimaal te configureren. In tegenstelling tot OpenVPN zit IPsec ook sterk verweven in de kernel, wat inhoudt dat een onvolkomen IPsec-applicatie het onderliggende besturingssysteem kan laten meecrashen. Daar komt nog bij dat producenten vaak eigen extensies aan de standaard hebben gebreid wat samenwerking tussen twee IPsec-punten van verschillende producenten behoorlijk bemoeilijkt.

SSL

Deze vpn’s zijn gebaseerd op het ssl/tls-protocol: hetzelfde protocol dus als bij https, voor het beveiligen van websites. Ook dit verkeer loopt trouwens over tcp poort 443. De meeste van deze vpn’s zijn webgebaseerd, oftewel clientless. Dat maakt het opzetten weliswaar erg makkelijk, maar de featureset is beperkt. Wel zijn er ook specifieke browser-plug-ins die meer functionaliteit bieden, maar tegelijk zorgen die voor minder interoperabiliteit.

Geschiedenis

OpenVPN werd oorspronkelijk ontwikkeld door ene James Yonan, die versie 0.90 in mei 2001 vrijgaf onder een gpl-licentie. Naar verluidt kwam hij op dit idee toen hij in Centraal-Azië rondreisde en zich met zijn kantoor moest verbinden via Aziatische en Russische internetproviders. IPsec bestond weliswaar al, maar hij vond het opzetten daarvan te complex en mede daarom extra vatbaar voor allerlei kwetsbaarheden.

Deze eerste release van OpenVPN was, zoals kan verwacht worden, zeer beperkt en liet eigenlijk alleen een eenvoudige point-to-point-verbinding over udp toe op basis van het Blowfish-versleutelingsalgoritme. Optioneel kon er ook van het sha1-algoritme (secure hash algorithm) gebruik worden gemaakt om de geldigheid van de ondertekening van certificaten te controleren. Pas in het voorjaar van 2002 voorzag OpenVPN in ssl/tls-gebaseerde authenticatie en het uitwisselen van sleutels. Nog later kwam er ook ondersteuning voor tcp bij.

Aanvankelijk werden er weliswaar andere poorten gebruikt, maar uiteindelijk werd door IANA (internet assigned names authority), tcp- en udp-poort 1194 als de standaardpoort voor OpenVPN vastgelegd.

In de praktijk kun je ook andere poorten instellen dan standaardpoort 1194 en sinds versie 2.0 is het mogelijk om verschillende clients tegelijk te bedienen met één server.

De ontwikkeling van OpenVPN lag gedurende enkele jaren nagenoeg stil, maar gelukkig kwam er vanaf eind 2009 weer beweging in. Er werden ook volop andere ontwikkelaars aangetrokken en dat leidde tot heel wat bugfixes, extra functies en een plug-in-vriendelijker broncode. In de daaropvolgende jaren volgden nog meer aanpassingen, zoals ondersteuning voor mobiele platformen als Android en iOS en – met versie 2.0 – een solide ondersteuning voor ipv6. Ook PolarSSL wordt ondersteund: een cryptobibliotheek die een alternatief biedt voor het standaard gebruikte OpenSSL, de opensource-implementatie van het ssl/tls-protocol.

Bij elke nieuwe release worden ook opensource-versies van OpenVPN beschikbaar gesteld, zodat er packages voor zowat alle platformen, inclusief Windows 32 en 64 bit, kunnen worden samengesteld. Je vindt deze ‘community downloads’. Naast deze opensource-versies biedt OpenVPN Technologies ook een commerciële variant aan, onder de naam Access Server. Die biedt allerlei opties aan die met name grotere organisaties kunnen aanspreken. Proefversies vind je hier.

Hoe OpenVPN werkt

Als we OpenVPN van een wat meer technische kant bekijken, dan kunnen we niet om een wezenlijk verschil met de IPsec-implementatie heen. Terwijl deze laatste stevig in de kernelruimte verankerd zit (lees: het is een layer3-protocol en vereist een aanpassing aan de ip-stack) opereert OpenVPN binnen de ‘user-space’ en gedraagt het zich veel meer als een standaardapplicatie. Daartoe maakt OpenVPN handig gebruik van de zogenoemde tun/tap-driver, een concept uit de Linux-wereld waar het standaard deel uitmaakt van het besturingssysteem.

Je kunt zo’n driver zien als een virtuele netwerkadapter voor point-to-point ip-verkeer (tun) of voor zowat alle mogelijke verkeer (tap). Die vangt alle verkeer op dat voor de vpn is bedoeld en stuurt het naar de OpenVPN-applicatie. Daar worden de pakketjes versleuteld en gefragmenteerd, waarna de netwerkadapter de pakketjes doorstuurt naar het remote vpn-endpoint waar het proces in omgekeerde richting wordt afgehandeld.

In vergelijking met het regulier dataverkeer is hier weliswaar sprake van extra overhead. Bij multiclient-servers en vooral wanneer snelheden hoger dan 1 Gbit/s zijn vereist, kan zo’n OpenVPN-opzet tot een hogere vertraging en mindere prestaties leiden. In de praktijk geldt dat vooral voor de tap-drivers onder Windows.

Versleuteling

Zoals gezegd maakt OpenVPN gebruik van ssl/tls, net zoals een regulier ssl-vpn, maar dat gebeurt niet op dezelfde manier. OpenVPN gebruikt normaliter twee virtuele kanalen voor de communicatie tussen client en server: een controlekanaal en een datakanaal. Bij het opzetten van een connectie worden pakketjes, vooral met configuratiedata en versleutelingsinformatie, onder de bescherming van het ssl/tls-protocol over het controlekanaal gestuurd.

Ook de eigenlijke data – die logischerwijze over het datakanaal worden verstuurd – doorlopen encryptie- en authenticatieprotocollen. Daarover wordt bij het opzetten van de connectie echter niet onderhandeld, aangezien die algoritmes vastgelegd zijn in de configuratiebestanden van de OpenVPN-client en -server. Vaak is dat Blowfish voor de encryptie en sha1 voor de hashing.

©PXimport

TDP en UDP

We hebben er al een paar keer op gewezen dat OpenVPN zowel over udp als over tcp kan lopen. Dat leidt onwillekeurig tot de vraag: wat is het betere protocol? Het antwoord is echter niet zo eenduidig. Er valt weliswaar iets te zeggen om in eerste instantie het udp-protocol te gebruiken, omdat dit minder overhead geeft en dus tot betere prestaties kan leiden. Immers, dit protocol is connectieloos, wat zoveel betekent als: verloren pakketjes worden niet opgemerkt en dus niet opnieuw uitgestuurd. Bij tcp daarentegen worden pakketten verstuurd en ontvangen met behulp van een ‘handshake’-protocol: dit zorgt ervoor dat alle pakketten uiteindelijk terechtkomen, desnoods na herhaaldelijk versturen.

Natuurlijk, is de verbinding niet optimaal en is het risico op (teveel) dataverlies te groot, dan dient wellicht tcp zich als de betere transporteur aan. Tcp kan ook het aangewezen protocol zijn als blijkt dat een betrokken switch of router het udp-verkeer niet correct doorstuurt, iets wat in de praktijk wel kan gebeuren.

De toekomst van OpenVPN

De ontwikkeling van OpenVPN is behoorlijk stormachtig verlopen, met een lange stilte tussen 2006 en 2009. Gelukkig hebben enkele nieuwe ontwikkelaars inmiddels de schouders weer onder dit project gezet en vind je OpenVPN terug op zo goed als alle platformen. Het is tevens geïntegreerd in routerfirmware als DD-WRT, OpenWrt, pfSense, Untangle en Tomato.

Wat ze met OpenVPN hebt bereikt in de loop der jaren is onmiskenbaar, maar dat neemt niet weg dat er nog punten van aandacht zijn. In dit artikel hebben we je al op enkele minpunten gewezen: OpenVPN kan een bottleneck zijn bij een multiclient-serveropzet en bij hoge snelheden (vooral onder Windows). Op het verlanglijstje van velen staat tevens de mogelijkheid om bij het opzetten van een connectie te onderhandelen over de encryptie- en hashing-algoritmes van de data.

We denken dat OpenVPN nog een mooie toekomst voor zich heeft: er is nog genoeg te ontwikkelen, er is een levendige community met een (weliswaar beperkt aantal) onderlegde ontwikkelaars die hun tijd willen besteden aan dit project en meer dan ooit is er (een stijgende) behoefte aan betrouwbare encryptie voor communicatie via internet.

Wanneer je Windows 11 (opnieuw) installeert, vereist Microsoft dat je je aanmeldt met een Microsoft-account of dat je er eentje aanmaakt. En dat terwijl je je voorheen in Windows 10 gewoon met een offline account kunt aanmelden. Wij laten je zien hoe je dat ook in Windows 11 doet, rechtstreeks tijdens de installatieprocedure.

Microsoft wil maar al te graag dat je een Microsoft-account hebt en deze ook gebruikt bij het aanmelden van Windows 11. Behalve dat je hiermee in geval van het vergeten van je installatiecode het besturingssysteem makkelijker opnieuw kunt activeren, biedt een Microsoft-account niet heel veel extra voordelen in Windows 11 zelf. Het enige wat met zo'n account makkelijker gaat is het instellen van e-mail en OneDrive, maar dat zijn ook diensten waar je je later bij kunt aanmelden.

Installatieprocedure

In een van de laatste stappen van de installatieprocedure, of wanneer je een Windows 11-laptop hebt gekocht, word je - om de laatste instellingen toe te passen - gevraagd om in te loggen bij een Microsoft-account, of er eentje aan te maken.

©MG | ID.nl

Wanneer je in bovenstaand scherm bent aangekomen, lijkt het alsof je hier niet meer uit kunt komen: je moet óf een account invullen, óf er eentje aanmaken, óf een stap terug gaan met de pijl rechtsboven in beeld. Toch kun je hier nog iets anders doen, namelijk een opdrachtprompt openen. En dat is handig, want met een opdrachtprompt tijdens de installatie van Windows 11 kun je alvast dingen regelen voordat Windows 11 zelf is opgestart. Het omzeilen van het aanmaken of invoeren van een Microsoft-account bijvoorbeeld. Om de opdrachtprompt te openen, moet je de volgende toetscombinatie intypen:

Shift+F10

Let op: bij sommige computers zoals laptops kan het zijn dat je ook de Functietoets Fn moet indrukken om de F10-knop te kunnen gebruiken. De opdracht wordt in dat geval dan:

Shift+Fn+F10

Na het indrukken van deze toetscombinatie wordt een zwart venster voor de opdrachtprompt geopend.

©MG | ID.nl

In dit scherm voor je een speciale opdracht in waarmee we de verplichte invoer voor een Microsoft-account gaan omzeilen. Zodra Windows 11 heeft gedetecteerd dat jouw computer een werkende verbinding heeft, blijf je op dat accountscherm hangen, maar ook wanneer er nog geen verbinding is gemaakt, wil Microsoft toch eerst dat je verbinding maakt en daarna alsnog met een Microsoft-account aan de slag gaat.

Nu de opdrachtprompt is geopend, schakelen we die online functie uit. Voer exact de volgende opdracht in:

start ms-cxh:localonly

Gevolgd door een druk op de Enter-toets. Dat zit eruit als hieronder:

©MG | ID.nl

Nadat je op Enter hebt gedrukt, verschijnt er een nieuw venster met de mogelijkheid om een lokaal account (dus zonder Microsoft-account) aan te maken. Goed om te weten: dit account is ook meteen een administrator-account.

©MG | ID.nl

Je kunt hier dus gewoon een normale (voor- en achter)naam opgeven, een e-mailadres is dan niet nodig. Je kunt ervoor kiezen om nu een wachtwoord in te vullen, maar als je dat doet, krijg je ook direct drie controlevragen die je moet opgeven; dat kun je niet skippen. Sla je het aanmaken van een wachtwoord nu over, dan kun je dat later in Windows 11 alsnog doen.

Nadat je de benodigde gegevens hebt ingevuld, worden de laatste installatiestappen voltooid, en wordt de computer nog een keertje opnieuw opgestart. Daarna kun je je aanmelden met het nieuwe account en voer je nog een aantal stappen uit met betrekking tot functies als locatie, diagnostische gegevens en handschriftherkenning.

Account aanpassen

Het account waarmee je je aanmeldt is een administrator-account. In dat geval doe je er goed aan om een wachtwoord in te stellen als je dat nog niet hebt gedaan in de hierboven uitgelegde stap. Om een wachtwoord in te stellen, klik je op de Startknop, en vervolgens op je accountnaam en kies je voor Mijn account beheren.

©MG | ID.nl

Je komt nu in het instellingenscherm terecht voor je account. Scroll naar de knop Aanmeldingsopties en daarna op Wachtwoord.

©MG | ID.nl

Nu kun je een wachtwoord naar wens opgeven, de eisen zijn hier niet streng, maar uiteraard kies je wel voor een lastig te raden wachtwoord. Wel ben je verplicht om een geheugensteuntje op te geven, maar dat is minder lastig dan drie extra beveiligingsvragen die je normaliter bij het installatiescherm moet opgeven. Bij de geheugensteun mag het wachtwoord (vanzelfsprekend) niet gebruikt worden .

©MG | ID.nl

Wachtwoord en geheugensteun ingevoerd? Dan ben je in principe klaar en kun je je systeem verder gaan configureren. Eventueel kun je nu ook nieuwe extra accounts aanmaken via het onderdeel Andere gebruikers in het instellingenscherm.

Je pakt je telefoon om even snel iets te bekijken – en ineens ben je zomaar een uur verder, omdat je niet kon stoppen met scrollen. En onderweg ben je meestal niet blijven hangen bij blije kattenfilmpjes, maar bij rampen, slecht nieuws en roddel. Of bij posts van mensen die allemaal mooier of rijker lijken dan jij. Doomscrolling dus. Slecht voor je humeur en zelfbeeld én zonde van je tijd. Maar gelukkig kun je er iets tegen doen.

Lees ook: Minder afleiding van je telefoon met deze 6 apps

Wat is doomscrolling?

Doomscrolling is eindeloos blijven scrollen door berichten, filmpjes en posts die je eigenlijk alleen maar onrustig maken. Dat begon ooit met nieuws, maar geldt tegenwoordig ook voor sociale media. Denk aan TikTok, Instagram of X waar je urenlang blijft scrollen, maar waar je zelden wijzer of rustiger van wordt. Het algoritme weet precies wat je aandacht trekt – en hoe het je blijft vasthouden.

De term ontstond rond 2020, tijdens de COVID-19-pandemie, toen mensen massaal thuis zaten en constant updates zochten over het virus. Maar het fenomeen heeft zich sindsdien uitgebreid naar alle vormen van nieuws of posts waar je je slechter van gaat voelen.

Waarom blijven we scrollen?

Apps zijn zo ontworpen dat ze je aandacht vasthouden. Elke swipe of nieuwe video geeft een kleine prikkel in je brein: een signaal dat er misschien iets interessants komt. Soms zit er iets tussen dat écht boeit, maar vaak blijft het bij vluchtige prikkels. Ondertussen raakt je hoofd vol, maar je krijgt er weinig voor terug.

Hoe weet je of je doomscrollt?

Er bestaat geen test waarmee je kunt checken of je een doemscroller bent. Maar er zijn wel duidelijke signalen. Je zit in de gevarenzone wanneer je:

🚩 Gedachteloos nieuws- of socialmedia-apps opent, vaak meerdere keren per dag
🚩 Je daarna leeg, onrustig of somber voelt
🚩 Moeite hebt om te stoppen, terwijl je eigenlijk wel weet dat het nergens toe leidt
🚩 's Avonds of 's ochtends lang op je telefoon zit zonder duidelijk doel
🚩 Niet toekomt aan andere dingen, of je gejaagd voelt als je niets checkt

Herkenbaar? Dan is het tijd om je scrollgedrag te doorbreken. Dat is niet makkelijk, maar het kan wel. Onderstaande tips helpen je op weg.

©Gorodenkoff

Wat kun je doen tegen doomscrolling?

1. Beperk je schermtijd en las schermvrije tijdstippen in

Geef jezelf vaste momenten waarop je iets mag checken. Bijvoorbeeld: 's ochtends 15 minuten nieuws, 's avonds 10 minuten social media. Stel een timer in, zodat je niet ongemerkt blijft hangen. Je kunt ook met jezelf afspreken dat je bijvoorbeeld één uur per dag niet op je scherm kijkt. Of in het weekend pas na twaalf uur 's middags je telefoon pakt. Ook is het mogelijk om tijdslimieten in te stellen voor bepaalde apps. Hieronder lees je hoe je dat doet op een iPhone en op een Android-toestel.

Scherm- en apptijd beperken op iPhone

Wil je op vaste tijden niet gestoord worden? Stel dan apparaatvrije tijd in op je iPhone. Tijdens die periodes zijn alleen telefoongesprekken, berichten en apps die je zelf toestaat beschikbaar. Ga naar Instellingen > Schermtijd, tik op App- en websiteactiviteit en schakel dit in als dat nog niet gebeurd is. Kies daarna voor Apparaatvrije tijd en stel via Gepland de begin- en eindtijd in. Je kunt kiezen voor elke dag hetzelfde tijdstip of per dag variëren. Vlak voor de ingestelde tijd krijg je een herinnering.

Ook kun je tijdslimieten instellen voor apps of hele categorieën, zoals sociale netwerken of games. Ga naar Instellingen > Schermtijd > Applimieten > Voeg limiet toe en selecteer de gewenste apps of categorieën. Tik op Volgende, stel de limiet in en gebruik eventueel Pas dagen aan voor verschillende limieten per dag. Rond af met Voeg toe.

Scherm- en apptijd beperken op je Android-telefoon

Rustmomenten op je Android-toestel stel je in via de Bedtijdmodus. Tijdens deze periodes worden je schermkleuren aangepast (bijvoorbeeld naar grijstinten) en kun je meldingen dempen of het scherm automatisch laten uitschakelen. Ga naar Instellingen > Digitaal welzijn en ouderlijk toezicht > Bedtijdmodus en stel in wanneer de modus moet starten en eindigen. Je kunt dit voor elke dag apart instellen of een vast schema kiezen.

Wil je appgebruik beperken? Ga dan naar Digitaal welzijn > Dashboard en kies de app die je wilt beperken. Tik op het zandlopertje naast de app en stel een dagelijkse limiet in. Zodra de limiet is bereikt, is de app de rest van die dag niet meer toegankelijk.

2. Zet meldingen uit

Pushmeldingen van nieuwsapps, sociale media of video-apps zorgen dat je telkens toch weer gaat kijken en scrollen. Zet ze uit. Wat je niet ziet, open je ook minder snel.

3. Richt je telefoon prikkelarmer in

Zet socialmedia- en nieuwsapps niet op je beginscherm. Of verwijder ze helemaal. Wil je ze toch echt bezoeken, dan kan dat via de browser. Dat is een extra handeling vergeleken met een app, maar juist daarom doe je het misschien minder vaak.  

Verder kun je er ook voor kiezen om de grijstintenmodus in te schakelen. Dat zorgt voor minder afleiding en een beeld dat rustiger is.

Op een iPhone ga je hiervoor naar Instellingen > Toegankelijkheid > Weergave en tekstgrootte > Kleurfilters en schakel je de optie in. Op een Android-smartphone ga je hiervoor naar Instellingen -> Toegankelijkheid -> Kleurfilters. Hier schakel je de optie Grijstinten in. Afhankelijk van je toestel kunnen deze menu-opties een iets andere naam hebben.

©ID.nl

4. Volg niet alles en iedereen

Kies één of twee betrouwbare nieuwsbronnen. Ontvolg accounts die vooral onrust of negativiteit brengen. Kies liever voor mensen of media die je inspireren, informeren of aan het denken zetten. Een account waar je geen energie van krijgt, maar dat je energie kost: dat kun je beter ontvolgen.

Stoppen met doom-scrolling? Het kan!

Doomscrolling gaat allang niet meer alleen over nieuws. Ook gedachteloos scrollen langs filmpjes, reacties of meningen op sociale media hoort erbij. Het lijkt onschuldig, maar kost tijd, energie en aandacht — en levert weinig op.

Het goede nieuws: je kunt ermee stoppen. Niet in één keer, maar stap voor stap. Door bewuster te kiezen wat je leest en wanneer. Door je telefoon minder het ritme van je dag te laten bepalen. En door ruimte te maken voor dingen die je echt iets opleveren.