Wanneer je op afstand een apparaat of server in je thuisnetwerk benadert, is dat niet zonder risico. Met een eigen VPN-server creëer je een versleutelde verbinding. Daarmee blijft je netwerk van buitenaf onzichtbaar, behalve voor geautoriseerde apparaten zoals je smartphone.

Het kan handig zijn om bijvoorbeeld services op je thuiscomputer, of andere apparaten, zoals ip-camera’s en domotica op afstand te benaderen. Veel gebruikers maken dit mogelijk met een poortdoorverwijzing in de router. Deze gaat rechtstreeks naar een of andere interne service waardoor de poorten van deze services ook van buitenaf bereikbaar zijn. Dit is helaas niet de veiligste oplossing. Veel botnets en hackers scannen namelijk automatisch op open poorten om vervolgens gerichte aanvallen uit te voeren. Zo kan ook malware worden geïnstalleerd die zich vervolgens naar andere apparaten in je netwerk kan verspreiden.

Daarnaast is het verkeer met je thuisnetwerk vaak onversleuteld, zeker wanneer je geen https of TLS (Transport Layer Security) gebruikt. Maak je bijvoorbeeld verbinding via een openbaar wifi-netwerk, dan kunnen aanvallers makkelijk je gegevens onderscheppen en je netwerkverkeer manipuleren. Met een eigen VPN-server in je netwerk vermijd je deze risico’s grotendeels. We leggen uit hoe dit werkt, maar vooral hoe je dit installeert op een Windows-pc en je netwerk extern via deze server benadert. Je kunt dit eventueel ook realiseren op je Raspberry Pi, NAS of binnen Home Assistant.

Virtual Private Network

Een VPN-verbinding (Virtual Private Network)werkt door eerst een VPN-server op te zetten en te bepalen welke apparaten of clients toegang krijgen. Dit gebeurt via een cryptografisch sleutelpaar, bestaande uit een publieke en private sleutel, uniek voor elke client. Je kunt VPN-servers meestal ook zo configureren dat elke client aan een specifiek ip-adres wordt gekoppeld, waardoor alleen aanvragen met de juiste publieke sleutel vanaf dat ip-adres worden geaccepteerd. Niet-herkende sleutels krijgen doorgaans helemaal geen reactie (silent drop), wat wel zo veilig is. Alleen vertrouwde apparaten kunnen dus verbinding maken. Bovendien wordt ook het dataverkeer volledig versleuteld, zodat internetproviders en hackers dit niet kunnen lezen.

Als je via een VPN-server op je thuisnetwerk verbinding maakt met het internet, zien verder alleen websites en diensten het publieke ip-adres van je thuisnetwerk. Ze zien dus niet die van je mobiele apparaat. Dit kan handig zijn als je bijvoorbeeld online wilt bankieren vanuit het buitenland. Sommige banken blokkeren buitenlandse transacties of vragen om extra verificatie.

Er zijn enkele betrouwbare VPN-protocollen, zoals OpenVPN, IKEv2/IPsec en WireGuard. In dit artikel gaan we aan de slag met WireGuard. Die biedt niet alleen sterke encryptie en snelle verbindingen (via UDP), maar is via WireGuard Easy relatief eenvoudig te installeren op Linux en Windows (met Docker Compose).

Een veilige verbinding via een versleutelde VPN-tunnel.

Docker Desktop

We installeren de VPN-server op een Windows 11-pc. Dit gaat het eenvoudigst via Docker Desktop. Deze applicatie is beschikbaar voor Windows, macOS en Linux. Hiermee draai je een nagenoeg kant-en-klare WireGuard-server in een geïsoleerde omgeving, oftewel een container.

De installatie verloopt in enkele muisklikken: de eerste keer klik je op Accept en twee keer op Skip. Minimaliseer hierna het venster, maar laat de app draaien. Standaard wordt ook Docker Compose geïnstalleerd, dit is een opdrachtregeltool waarmee je vanuit één configuratiebestand (docker-compose.yml) ook meerdere containers tegelijk kunt starten en beheren. Dit maakt het opzetten van de WireGuard-server eenvoudiger. Je kunt vanaf de Opdrachtprompt met de opdrachten docker info (of docker run hello-world) en docker compose version checken of beide componenten beschikbaar zijn.

Docker Desktop heb je met enkele klikken geïnstalleerd.

Docker Compose

Docker is nu klaar om de WireGuard-container te installeren, starten en beheren. Gebruik hiervoor dit docker-compose.yml-bestand. Scrol op de pagina naar de link docker-compose.yml en druk op het knopje Copy raw file (rechtsboven). Open een teksteditor, zoals Notepad++  of Kladblok. Plak de inhoud met de toetscombinatie Ctrl+V in de editor. Sla dit bestand op als docker-compose.yml in een aparte, eventueel nog te creëren map, bijvoorbeeld C:\Users\<je_gebruikersnaam>\docker\wireguard.

Het nog onbewerkte yml-bestand hebben we lokaal opgeslagen.

Wachtwoord en taal

Wijzig het standaardwachtwoord zonder dit in leesbare vorm op te slaan. Gebruik het veld PASSWORD_HASH en voer hier een versleutelde wachtwoord-hash in.

Ga hiervoor naar de hash generator, vul het gewenste wachtwoord in bij Enter plain text to hash en klik op Generate. Kopieer de Hashed Output met Ctrl+C en plak deze met Ctrl+V achter PASSWORD_HASH= in het yml-bestand. Verwijder hier het commentaarteken # en vervang alle enkele $-tekens in de hash door dubbele $$-tekens. Voor bijvoorbeeld het wachtwoord 123ReshiftNL!!! zou dit opleveren: PASSWORD_HASH=$$2a$$04$$OXVNdAoCApXePuUr1IXNqe2JuDf.62hzkbINCSPGaf4QMOhQadP.i.

Als je het WireGuard-dashboard niet wilt beveiligen, kun je deze regel geheel verwijderen, maar dit is niet aan te raden. Verder kun je de dashboardinterface instellen op Nederlands door in het yml-bestand – LANG=en te vervangen door – LANG=nl.

Veiligheidshalve gebruik je een wachtwoordhash en dus niet het wachtwoord zelf.

Netwerkparameters

Een andere belangrijke parameter is nog WG_HOST. Deze kun je, als test, voorlopig instellen op het interne ip-adres van de pc met je WireGuard-server. Zorg er bij voorkeur voor dat dit een vast of gereserveerd ip-adres is. Je vindt dit adres door op de Opdrachtprompt het commando ipconfig uit te voeren, achter IPv4 Address bij je actieve netwerkverbinding, zoals Ethernet of Wi-Fi.

Je treft in het yml-bestand bijvoorbeeld ook WG_DEFAULT_DNS aan. Standaard wordt blijkbaar de CloudFlare DNS-server (1.1.1.1) gebruikt, maar als je wilt kun je dit hier wijzigen, bijvoorbeeld in WG_DEFAULT_DNS=8.8.8.8, 8.8.4.4 voor de Google DNS-servers (verwijder dan ook het commentaarteken #).

Noteer ook de poorten die door WireGuard worden gebruikt: 51820 (poort voor inkomende VPN-verbindingen) en 51821 (poort voor het lokale dashboard). Uit veiligheidsoverwegingen zou je eventueel de luisterpoort voor inkomende connecties kunnen aanpassen. Dat doe je bijvoorbeeld als volgt: - “55555:51820/udp”. De eerste, gewijzigde poort is namelijk de externe poort. De tweede poort is de interne poort die WireGuard zelf gebruikt en deze moet zo blijven. Er zijn nog heel wat andere instelbare parameters, maar deze kun je in principe ongewijzigd laten.

De meeste parameters in het yml-bestand kun je (gelukkig) ongemoeid laten.

Proefdraaien

Controleer of alle items die met – beginnen netjes onder elkaar staan uitgelijnd, want YAML blijkt gevoelig voor spaties en inspringingen. Bewaar vervolgens het gewijzigde yml-bestand via Bestand / Opslaan(als).

Hoewel er nog router- en clientinstellingen nodig zijn, kan het geen kwaad om alvast te testen of de WireGuard-container goed opstart en het dashboard bereikbaar is. Open de Opdrachtprompt en navigeer naar de WireGuard-map (C:\Users\<je_gebruikersnaam>\docker\wireguard in ons eerdere voorbeeld). Voer daar het commando docker compose up -d uit.

Als Docker meldt dat de Windows Firewall de verbinding blokkeert, klik dan op Toestaan. Kort daarna verschijnt de melding Container wg-easy Started. In Docker Desktop, bij het onderdeel Containers, zie je dat wg-easy actief isen via Show all ports worden de netwerkpoorten weergegeven zoals in het yml-bestand opgenomen. Hier kun je de container ook stoppen, opnieuw starten of desnoods verwijderen.

Test het WireGuard-dashboard door op de pc te surfen naar localhost:51821. Na het invoeren van het wachtwoord verschijnt de melding dat er nog geen clients zijn. Die moet je dus eerst nog aanmaken.

Je kunt op verschillende manieren controleren of de container goed is opgestart.

Client op je mobiel

Maak voor elk apparaat dat je met de VPN-server wilt verbinden een aparte login aan, zodat je altijd ziet welke apparaten een connectie hebben gemaakt. Klik op +Nieuwe client, geef een duidelijke naam in, zoals Mijn Android smartphone, en bevestig met Creëren. Je krijgt nu het ip-adres te zien dat WireGuard voor deze connectie reserveert. Zorg dat de schakelknop is ingeschakeld en klik op het QR-code-pictogram.

Ga nu naar je apparaat. Test dit eerst met een smartphone die verbonden is met hetzelfde netwerk als je WireGuard-server. Download en open de WireGuard-app via de appstore. Tik op de +-knop en kies Scan van QR-code. Bevestig met Tijdens gebruik vanapp en richt de camera op de QR-code op je pc. Geef de tunnel een naam, zoals MijnWireGuard, en bevestig met Maak nieuwe tunnel.

Zodra je de schakelknop bij deze verbinding inschakelt, wordt de VPN-connectie opgezet. Dit herken je vaak aan een sleutelicoontje in de statusbalk. Tik op de naam van de verbinding om details te bekijken zoals de Publieke sleutel, Adressen, ingestelde DNS-servers, het Eindpunt (poort en ip-adres waarop je WireGuard-server luistert) en de Transfer (ontvangen en verzonden data). Dit dataverkeer kun je trouwens ook realtime volgen in het WireGuard-dashboard bij de betreffende client.

Zowel op de server als op de client kun je de verbinding en transfers volgen.

Client op je pc

Als je apparaat geen QR-code ondersteunt, kun je een configuratiebestand gebruiken. Ga naar het WireGuard-dashboard en klik op het downloadicoontje naast de betreffende client om een conf-bestand te genereren.

Voor bijvoorbeeld een Windows-laptop installeer je met een paar muisklikken eerst de WireGuard-app. Start deze app en klik op Import tunnel(s) from file. Verwijs naar het gedownloade conf-bestand en bevestig met Activate. De VPN-connectie wordt meteen opgezet.

Je kunt een VPN-verbinding ook opzetten met het bijbehorende configuratiebestand.

Externe toegang

De VPN-connectie werkt voorlopig helaas alleen binnen je eigen netwerk, wat niet zo nuttig is. Om je VPN-server ook extern bereikbaar te maken, gebruik je niet het interne ip-adres van de server, maar vul je in het yml-bestand achter WG_HOST= het publieke ip-adres van je router/netwerk in. Dit adres vind je door vanaf je netwerk naar www.whatismyip.org te surfen en bij My Public IPv4 te kijken. Dit resulteert bijvoorbeeld in WG_HOST=85.196.235.130.

Zet deze wijzigingen door door de WireGuard-container opnieuw te creëren, door vanuit de WireGuard-map de commando’s docker compose down en docker compose up -d uit te voeren.

Maak opnieuw de container aan om aanpassingen in het yml-bestand door te voeren.

Routerconfiguratie

Je kunt dit op zich al testen, maar verder dan je router kom je helaas niet. Je moet namelijk eerst een mechanisme instellen dat aanvragen voor WireGuard (op standaardpoort 51820) doorstuurt naar de computer waarop de VPN-server draait. Hoe je deze poortdoorverwijzing uitvoert, hangt af van je routermodel. Op deze site staan instructies voor talrijke modellen.

Meestal komt het hierop neer: Meld je aan bij je router via de browser. Het interne ip-adres van je router vind je door ipconfig in de Opdrachtprompt uit te voeren, en bij Default Gateway te kijken. Zoek in de routerconfiguratie een rubriek als PortForwarding of eventueel Virtual Server en creëer een nieuwe regel. Stel zowel de externe als interne poort in op 51820 (UDP) en vul tevens het interne ip-adres van je WireGuard-server in. Bevestig je instellingen. Maak vervolgens een nieuwe client aan in je WireGuard-dashboard. Hiermee zou je nu ook extern verbinding moeten kunnen maken met de VPN-server.

Zo ziet de poortdoorverwijzingsregel eruit op onze eigen router (D-Link EaglePro AI).

DDNS: registratie

We zijn er helaas wellicht nog niet helemaal. De kans is namelijk reëel dat je internetprovider je publieke ip-adres dynamisch toekent, waardoor dit adres zomaar kan wijzigen. In plaats van dit na elke wijziging telkens handmatig aan te moeten passen in het WireGuard yml-bestand, is het beter een DDNS-dienst (Dynamic DNS) te gebruiken.

Een handige, gratis optie is DuckDNS. Ga naar www.duckdns.org en maak een account aan, bijvoorbeeld via Sign in with Google. Kies een geschikt subdomein en bevestig met add domain, bijvoorbeeld http://mijn-wireguard.duckdns.org. Als alles goed gaat, verschijnt je publieke ip-adres automatisch bij current ip. Vul het desnoods handmatig in en bevestig dan met update ip. Noteer het token dat bovenaan wordt weergegeven, bijvoorbeeld c88e263d-3c31-4a72-a879-6aeb90660037.

Om te testen of je domein correct werkt, open je de Opdrachtprompt en geef je (in ons voorbeeld) het volgende commando:

Dit zou je publieke ip-adres moeten tonen. Vul nu deze domeinnaam (mijn-wireguard.duckdns.org) in het yml-bestand achter WG_HOST=, en maak de bestaande container opnieuw aan, zoals eerder uitgelegd.

Creëer het gewenste subdomein bij DuckDNS en controleer of dat operationeel is.

DDNS: auto-update

De DDNS-provider heeft het gekozen subdomein aan je huidige publieke ip-adres gekoppeld. Nu moet je ervoor zorgen dat deze koppeling behouden blijft, ook als het publieke ip-adres wijzigt. Dit kan door een op de achtergrond draaiende Docker-container een API (Application Programming Interface) van Duck DNS te laten aanroepen.

Open je teksteditor en voer de volgende code in:

Vervang uiteraard <mijn_subdomein> en <mijn_duckdns_token> door de juiste waarden. Bewaar dit bestand als docker-compose.yml in een aparte map, bijvoorbeeld C:\Users\<je_gebruikersnaam>\docker\duckdns. Voer vervolgens vanuit deze map het commando docker compose up -d uit en controleer in Docker Desktop of de container van Duck DNS draait.

Met een extra container houd je de Duck DNS-koppeling netjes up-to-date.

De goedkoopste uitvoering van de Samsung Galaxy Tab S11 kost 899 euro en biedt 128 GB opslagruimte. Wie meer ruimte wil, kan kiezen voor varianten met 256 of 512 GB opslag. Ongeacht de versie krijg je altijd 12 GB werkgeheugen en dezelfde chipset, die opnieuw van Chinese makelij is. Tijd voor een praktijktest.

De Galaxy Tab S11 is Samsungs meest luxe tablet, bedoeld als concurrent voor de iPad Pro. Het apparaat voelt lekker stevig aan dankzij een metalen frame. Het scherm voorop is bovendien goed beschermd dankzij Gorilla Glass 5. Een belangrijk voordeel is dat zowel de tablet als de meegeleverde S Pen water- en stofbestendig zijn (IP68). Het ontwerp is echter nauwelijks veranderd ten opzichte van zijn voorgangers. De S Pen klikt verder gelukkig magnetisch vast aan de bovenrand en de vingerafdrukscanner zit onder het scherm.

Het 11 inch amoled-scherm is de ster van de show. Dankzij de hoge resolutie (1.600 bij 2.560 pixels) en een vloeiende 120Hz-verversingssnelheid ziet alles er haarscherp en soepel uit. De voornaamste verbetering is de hoog instelbare helderheid, waardoor je het scherm ook buiten in de zon goed kunt aflezen. Een nadeel is dat de antireflectiecoating, die wel op de duurdere modellen zit, bij dit model ontbreekt. De tablet beschikt verder over vier speakers die voor een goed en ruimtelijk geluid zorgen, waardoor games en media nog best aardig klinken.

©Wesley Akkerman

Houdt het lang vol

Onder de motorkap wordt de Tab S11 aangedreven door een Chinese MediaTek 9400+-processor, die over het algemeen goede prestaties levert. Je speelt moeiteloos allerlei zware games, maar moet er dan ook rekening mee houden dat de chipset snel warm wordt (dat gebeurt al bij het instellen). Voor dagelijks gebruik is de Samsung Galaxy Tab S11 meer dan geschikt, waardoor je de processors van Qualcomm waarschijnlijk niet zult missen. De Snapdragon-cpu's van dit merk zijn de populairste en vaak best beoordeelde mobiele chipsets van dit moment.

De batterijduur is eveneens een sterk punt van deze premium tablet. De 8.400mAh-batterij is ruim voldoende voor een complete dag intensief gebruik of zelfs een week bij lichter gebruik (zoals browsen en video's kijken). Mocht de batterij toch leeg zijn, dan is hij dankzij de 45W-snellaadfunctie redelijk snel opgeladen: in een half uur is hij voor de helft vol. Net zoals bij veel andere apparaten die werken met oplaadbare energiebronnen moet je de oplader zelf aanschaffen; die zit niet in de doos. Dit is geheel volgens Europese regels.

©Wesley Akkerman

Nuttige camera's en software

De camera's van de Tab S11 – 13 megapixel achter en 12 megapixel voor – voldoen prima voor dagelijks gebruik, zoals videobellen of het scannen van documenten. Voor serieuze fotografie is je smartphone een betere keuze, maar dat geldt voor vrijwel alle tablets. Door hun formaat zijn ze nu eenmaal minder geschikt om mee te fotograferen. Toch is het prettig dat de beelden bruikbaar zijn in situaties waarin het vooral om gemak draait, zoals snel iets vastleggen of een document inscannen.

Veelzijdig én lang updates

De software, Android 16 met Samsungs One UI, blinkt uit in multitasking en productiviteit. Met functies als DeX tover je de tablet bijvoorbeeld om tot een laptopalternatief. Ook deze tablet profiteert van Samsungs belofte van zeven jaar software- en beveiligingsupdates, waardoor de tablet zeer toekomstbestendig is. Galaxy AI speelt daarnaast een rol met slimme tools die notities ordenen of simpele schetsen omzetten in gedetailleerde afbeeldingen. Niet alles werkt zonder Samsung-account of in het Nederlands, dus zie dit vooral als een extraatje.

©Wesley Akkerman

Samsung Galaxy Tab S11 kopen?

De Samsung Galaxy Tab S11 is gevoelsmatig duur, maar ook een uitstekende, complete allround tablet met snelle prestaties, een prachtig scherm en een lange accuduur. De waterbestendigheid en de gegarandeerde zeven jaar aan updates geven hem een duidelijke meerwaarde ten opzichte van concurrentie. Als je een premium tablet zoekt die zowel voor entertainment als productiviteit geschikt is, en je wil een alternatief voor de iPad Pro, dan is dit een uitstekende keuze. De meegeleverde S Pen is bovendien een fijne extra.

Wil je NordVPN gratis gebruiken? Via CashbackXL kan het nu écht. Slechts één week lang krijgen nieuwe klanten 100 procent cashback op een 2-jarig abonnement van NordVPN. Je betaalt eerst, maar ontvangt het volledige bedrag terug zodra je aankoop is bevestigd. Veilig online, razendsnelle verbindingen en nul kosten – deze actie is te goed om te missen!

Ja, je leest het goed: NordVPN kost je deze week precies nul euro. CashbackXL geeft één week lang 100 procent terug op het 2-jarige abonnement van NordVPN. Je betaalt dus eerst het bedrag, maar krijgt het na bevestiging volledig teruggestort. Een digitale buitenkans voor iedereen die veilig online wil zijn zonder de portemonnee te trekken.

Een actie die je zelden ziet

We komen wel vaker royale kortingen op NordVPN tegen via CashbackXL, maar nu pakt het platform écht groots uit: een volledige 100 procent cashback. En dat boven op de eigen korting van NordVPN (73 procent korting op het 2-jarig plan plus drie extra maanden) maakt dit een deal die in feite gratis is. De actie start vandaag en duurt maar één week. Daarna is alles weer bij het oude, dus timing is in dit geval echt alles.

Wat maakt NordVPN de moeite waard?

NordVPN is een van de populairste VPN-diensten ter wereld, en dat is niet voor niets. De software versleutelt je internetverkeer met sterke 256-bit-encryptie, waardoor niemand – zelfs je internetprovider niet – kan zien wat je online uitspookt. Je digitale leven is tenslotte net als je dagboek: niet voor pottenkijkers. Daarnaast kun je met NordVPN moeiteloos websites en streamingdiensten openen die normaal gesproken in jouw land geblokkeerd zijn. Eén klik en je virtuele locatie springt naar bijvoorbeeld de VS of het Verenigd Koninkrijk, zodat je toegang krijgt tot internationale content. Ook op openbare wifi-netwerken, waar hackers nog weleens willen meegluren, beschermt NordVPN je verbinding automatisch. Zo surf, stream en download je veilig en anoniem, waar je ook bent.

©NordVPN

Zo werkt de 100%-cashback

Maak een gratis account aan op CashbackXL (alléén nieuwe klanten kunnen van deze actie gebruikmaken!). Ga naar de NordVPN-actie en klik linksboven op Shop & ontvang cashback. Voeg pas daarna je abonnement toe aan de winkelwagen; dat is enorm belangrijk voor de tracking. Kies het 2-jarige abonnement, waarvan de korting al zichtbaar is. Controleer dat cookies zijn toegestaan en dat je geen ad-blocker gebruikt. Betaal vervolgens het abonnement. De cashback wordt binnen enkele uren bevestigd en staat na ongeveer twee maanden klaar voor uitbetaling. Houd daar dus rekening mee; het duurt dus eventjes voordat je het geld terugkrijgt.

Waarom je CashbackXL kunt vertrouwen

CashbackXL is de grootste cashback-site van Nederland en heeft al bijna 400.000 euro aan NordVPN-cashback uitgekeerd. De site registreert 97 procent van alle aankopen succesvol en scoort een klantwaardering van een 9,4. Je ontvangt je uitbetaling maandelijks, krijgt de hoogste cashback-percentages en kunt terecht bij een toegankelijke klantenservice. Ze geven zelfs hun missie prijs: jou zoveel mogelijk geld teruggeven.

Grijp je kans en deel 'm

Wil je NordVPN gratis? Zorg dan dat je maandag klaar zit. Deze cashback-actie duurt maar een week, en wat daarna komt, is simpelweg minder voordelig. Vertel het vooral ook aan vrienden – wie wil er nou geen gratis VPN? Twijfel je nog? Je portemonnee zal je dankbaar zijn. Zet je alarm, want deze kans is zo verdwenen als een onbeveiligde wifi-verbinding.