ID.nl logo
Maak je eigen VPN met WireGuard en Tailscale
© arrow - stock.adobe.com
Huis

Maak je eigen VPN met WireGuard en Tailscale

Bij het opzetten van een VPN-server kun je het jezelf heel makkelijk óf heel moeilijk maken, er is niet echt een tussenweg. Het populaire WireGuard is daarop geen uitzondering.

In dit artikel behandelen we twee toegankelijke installatiemethodes op een VPN op te zetten:

  • WireGuard Easy via Docker
  • Tailscale

Meer weten over Docker? Instapcursus Docker Desktop: geen gedoe met losse applicatiebestanden

Er zijn de laatste jaren veel initiatieven geweest om het opzetten van een VPN-server te vereenvoudigen. Ze besparen je de tijd en moeite van een volledig handmatige configuratie, waarbij je bijvoorbeeld privésleutels en publieke sleutels moet maken en (diep) in de configuratie voor het netwerk en de gebruikers moet duiken. Helaas is met PiVPN zo’n initiatief verdwenen. De tool bood verbindingen via OpenVPN en WireGuard aan met beheer via de Opdrachtprompt, op een Raspberry Pi en onder Debian of Ubuntu. Onlangs werd de ontwikkeling stopgezet, al verschijnen er nog wel kritieke updates. Er zijn gelukkig goede alternatieven. Zo kun je met WireGuard Easy relatief snel een VPN-server in het netwerk opzetten. Daarvoor gebruik je Docker Compose. Heel praktisch is de mogelijkheid om gebruikers via een dashboard in je browser te beheren. En door een QR-code te scannen zet je in een handomdraai een verbinding vanaf een smartphone op. Geholpen door Docker Compose zijn ook andere slimme combinaties mogelijk, bijvoorbeeld met Unbound en Pi-hole. Je hebt dan niet alleen een VPN-server, maar ook een privacyvriendelijke DNS en kunt advertenties blokkeren. Heb je toch nog moeite om alles aan de praat te krijgen, dan kan Tailscale, dat gebruikmaakt van de WireGuard-technologie, redding bieden. Het is een soort ‘cheat code’ voor supereenvoudige verbindingen tussen je apparaten. Het prikt door elke firewall heen, terwijl het op de achtergrond gewoon met WireGuard werkt. We laten aan het einde van dit artikel kort zien hoe je met deze tool kunt werken.

WireGuard-protocol: snel en efficiënt Bij het opzetten van een VPN-verbinding is OpenVPN een van de belangrijkste protocollen. Het opensource WireGuard wint echter snel terrein. Kenmerkend zijn de efficiëntere code, snellere verbindingsopbouw en hogere doorvoersnelheid. Ter illustratie: WireGuard kent maar zo’n 4.000 regels code, tegenover zo’n 600.000 voor OpenVPN met OpenSSL. WireGuard kreeg mede daardoor ook de goedkeuring van Linux-voorman Linus Torvalds, die de codebase in 2018 een ‘work of art’ noemde in vergelijking met de alternatieven. Het is uitgebracht onder GPLv2, dezelfde licentie als Linux. En sinds 2020 maakt het – vanaf versie 5.6 – standaard deel uit van de Linux-kernel. WireGuard bereikt de hoge prestaties onder meer door moderne cryptografie toe te passen. De laatste jaren kiezen steeds meer VPN-providers voor het protocol. Je kunt het ook zelf gebruiken voor een VPN-server in je netwerk. Ook zijn er tools als Tailscale die het opzetten van de verbinding vereenvoudigen, maar op de achtergrond wel gebruikmaken van WireGuard.

Het snelle en efficiënte WireGuard-protocol wordt steeds meer de standaard.

1 Wat gaan we doen

WireGuard staat centraal in dit artikel. Je kunt hier op meerdere manieren gebruik van maken. We beginnen met een eigen VPN-server in je netwerk. Daarmee heb je alles onder controle. Op afstand, bijvoorbeeld vanaf je vakantieadres, kun je hiermee verbinden, zodat je veilig kunt internetten of toepassingen op je lokale netwerk kunt gebruiken. We gaan hiervoor met het gebruiksvriendelijke WireGuard Easy aan de slag via Docker Compose. Als alternatief laten we zien hoe je WireGuard als add-on binnen Home Assistant OS kunt installeren. De server willen we via een gemakkelijk te onthouden hostnaam kunnen bereiken, daarvoor gebruiken we Duck DNS. Dat verhelpt ook meteen verbindingsproblemen bij een dynamisch ip-adres. Ook laten we zien hoe je de clients kunt instellen, wat vaak zo makkelijk is als het scannen van een QR-code. Loop je toch nog tegen beperkingen aan, dan kan Tailscale redding bieden. Deze tool behandelen we aan het eind van dit artikel. Alle instructies kun je overigens ook op een VPS-server uitvoeren, waarmee je een alternatief hebt voor een betaalde VPN-dienst.

Voor het opzetten van een VPS-server, lees dit artikel: Zo zet je in een handomdraai je eigen virtual private server op

©FABIO PRINCIPE

Een VPN-server kun je onder meer gebruiken tijdens je vakantie.

2 Wat heb je nodig

Voor de installatie van WireGuard als VPN-server heb je een Linux-server met Docker Compose in je netwerk nodig. Hier worden geen bijzondere eisen aan gesteld. Je zou een recente Raspberry Pi kunnen gebruiken of een eenvoudige Intel Celeron J4125, N100 of N5105. Zulke systemen moeten een 500megabit-verbinding gemakkelijk kunnen verdragen. Bij de juiste instellingen zal de doorvoersnelheid met of zonder VPN zelfs nauwelijks afwijken.

Voor toegang tot je VPN-server is het wel nodig om een poort in je netwerk open te zetten. Ook moet je de clients die verbinding gaan maken vooraf instellen. Het is voor WireGuard belangrijk dat je een ‘echt’ publiek IPv4-adres hebt zonder het zogeheten Carrier-Grade NAT ofwel CGNAT (zie het kader ‘CGNAT verhindert inkomende verbindingen’). Hoewel CGNAT vooral op mobiele netwerken wordt ingezet, passen enkele internetproviders, zoals Delta, het ook op het vaste netwerk toe.

Voor het opzetten van een verbinding via Tailscale is de belangrijkste eis dat de twee apparaten een internetverbinding hebben. Het werkt dus overal door elke firewall heen en heeft ook geen last van CGNAT of vergelijkbare beperkingen.

Tailscale heeft geen last van firewalls of andere beperkingen.

CGNAT verhindert inkomende verbindingen Bij CGNAT (Carrier-Grade NAT) krijg je geen echt publiek ipv4-adres, maar een privé ipv4-adres. Er zit dus een soort poortwachter tussen. Die zorgt ervoor dat het achterliggende publieke ipv4-adres feitelijk wordt gedeeld met soms wel duizenden anderen. Dit staat het verbinden met je eigen servers vanaf internet in de weg. Delta sluit daarom overigens wel klanten uit die portforwarding benutten.

Je kunt eenvoudig controleren of CGNAT wordt gebruikt. Controleer bijvoorbeeld het privé-ip-adres dat jouw router heeft gekregen. Bij CGNAT komt dit meestal uit het adresblok 100.64.0.0/10 dat hiervoor is gereserveerd. Dit omvat de adressen 100.64.0.0 t/m 100.127.255.255. Vergelijk het met je werkelijke publieke ipv4-adres (raadpleeg bijvoorbeeld www.whatismyip.com). Als dat hetzelfde adres is, wordt er geen CGNAT gebruikt. Als alternatief kun je een traceroute uitvoeren via de Opdrachtprompt in Windows. Geef de opdracht tracert met daarachter het publieke ipv4-adres. Als er maar één knooppunt is, wordt er geen CGNAT gebruikt.

3 WireGuard Easy

WireGuard Easy, gemaakt door een Nederlander (Emile Nijssen), is een van de eenvoudigste methodes voor het opzetten van een VPN-server. Niet alleen kun je het met Docker of via een configuratiebestand voor Docker Compose snel installeren, je krijgt er ook nuttige extra’s bij. Zo kun je via een dashboard gebruikers bekijken, toevoegen, bewerken of verwijderen. Je kunt ook per gebruiker het configuratiebestand downloaden waarmee verbinding kan worden gemaakt of eenvoudigweg een QR-code weergeven voor ditzelfde doel. Tot slot krijg je inzicht in de verbonden gebruikers en het verkeer.

Voor onze VPN-server werken we met het gebruiksvriendelijke WireGuard Easy.

4 Registratie bij Duck DNS

Duck DNS is een dynamische DNS-provider (ook wel DDNS genoemd). Het is een gratis dienst die ervoor zorgt dat je altijd via een eenvoudig te onthouden hostnaam verbinding kunt maken met je internetverbinding thuis. Het werkt met zowel een vast als dynamisch ip-adres. Als het ip-adres wisselt, wordt dit automatisch bijgewerkt via een toepassing in je netwerk (dit activeren we in de volgende stap). Om Duck DNS te gebruiken, ga je naar www.duckdns.org. Maak een account aan door in te loggen met één van de genoemde diensten (zoals Google of GitHub) en volg de instructies. Op het laatste scherm zie je een token die je in de volgende stap nodig hebt voor het bijwerken van je ip-adres. Ook kun je hier tot vijf subdomeinen toevoegen. Vul bij sub domain een eerste subdomeinnaam in en klik op add domain. Als voorbeeld gebruiken we de naam mcvpn waarmee de volledige hostnaam mcvpn.duckdns.org wordt. Welk ip-adres initieel wordt gebruikt, kun je nu aflezen. Ook kun je het controleren door de Opdrachtprompt in Windows te openen en de opdracht ping subdomein.duckdns.org in te voeren. Als het goed is, zie je het ip-adres van jouw internetverbinding.

Met Duck DNS kun je een gratis DDNS-adres verkrijgen.

5 Bijwerken ip-adres

Zeker als je een wisselend ip-adres hebt, is het raadzaam om dit automatisch bij te werken via een toepassing in je netwerk. Op de website van Duck DNS vind je diverse installatiemethodes. Omdat we WireGuard Easy via Docker Compose installeren, ligt het voor de hand om Duck DNS ook via Docker Compose bij te werken.

Je kunt WireGuard optioneel ook als add-on voor Home Assistant installeren (zie het kader ‘WireGuard via Home Assistant’). In dat geval is het slim om ook een add-on voor Duck DNS te gebruiken.

Voor Docker Compose kun je de onderstaande inhoud als uitgangspunt nemen voor het bestand docker-compose.yml. Zet dit bestand liefst in een eigen map voor Duck DNS.

De waardes voor PUID en PGID kun je onder Linux achterhalen met de opdracht id. Dit is vooral belangrijk voor toegang tot het bestandssysteem op de host. Achter TOKEN= vul je de token in uit je account bij Duck DNS. Achter SUBDOMAINS= vul je het subdomein bij Duck DNS in. Start daarna de toepassing met:

docker compose up -d

Daarmee start de container op de achtergrond. Wil je controleren of alles goed staat, dan kun je de eerste keer eventueel starten met:

docker compose up

Stop de container daarna met Ctrl+C en start deze alsnog op de achtergrond.

Voor het bijwerken van het ip-adres van Duck DNS gebruiken we Docker Compose.

WireGuard via Home Assistant Je kunt WireGuard ook als add-on installeren binnen Home Assistant OS. Je kunt dan Home Assistant (en andere diensten op je netwerk) op afstand via een beveiligde verbinding gebruiken. De installatie is eenvoudig. Ga naar Instellingen / Add-ons en kies Add-on winkel. WireGuard vind je onder het kopje Home Assistant Community Add-ons. Klik erop en kies Installeer. Ga dan naar het tabblad Configuratie. Onder het kopje server vul je achter host: de hostnaam in (zoals mcvpn.duckdns.org) om mee te verbinden. Onder het kopje peers vul je achter name: een naam voor de gebruiker in. Bewaar de aanpassingen en start de add-on. Kijk onder Logboek of alles goed is gegaan. De handigste verbindingsmethode is ook hier via een QR-code. In de map /ssl/wireguard vind je daarvoor onder de gekozen gebruikersnaam het bestand qrcode.png. Je kunt dit openen met een add-on, zoals File editor. In de configuratie van File editor moet je wel de optie Enforce Basepath uitzetten, anders kun je alleen de configuratiemap /config benaderen. Gebruik je Duck DNS, dan kun je aanvullend nog de add-on installeren om je ip-adres up-to-date te houden voor deze dienst.

Met de add-on zet je eenvoudig een WireGuard-tunnel op voor onder meer home Assistant.

6 Installatie WireGuard Easy

We gaan nu WireGuard via Docker Compose installeren. Hierbij nemen dit Docker Compose-bestand als basis. Daarin maken we enkele aanpassingen. Hierna ziet de volledige configuratie er als volgt uit:

Ten opzichte van de standaardconfiguratie veranderen we met LANG=nl de taal voor het dashboard naar Nederlands. Achter WG_HOST hebben we de hostnaam van Duck DNS ingevuld die we in stap 4 activeerden. Als je thuis een vast ip-adres hebt, kun je er ook voor kiezen om eenvoudigweg het ip-adres in te vullen. Ook zou je een (sub)domein via de DNS-instellingen bij je provider kunnen laten verwijzen naar je ip-adres thuis, zodat je dat (sub)domein kunt gebruiken.

De configuratie voor WireGuard Easy voor Docker Compose.

7 Extra parameters

Onder environment: kun je eventueel extra of aangepaste parameters opgeven. Voor een volledig overzicht kun je op de GitHub-pagina van het project kijken. Zo wordt als naam voor de ethernetinterface standaard eth0 gebruikt. Dat is gangbaar op Linux-systemen. Controleer dit eventueel voor jouw situatie met ip a. Je kunt het veranderen via de parameter WG_DEVICE=eth0. Standaard wordt de DNS-server van Cloudflare op 1.1.1.1 gebruikt. Dit kun je wijzigen via WG_DEFAULT_DNS=1.1.1.1. Gebruik bijvoorbeeld 8.8.8.8 voor Google. Verder is het raadzaam een wachtwoord in te stellen voor het dashboard. Dat kan met bijvoorbeeld PASSWORD=geheim. Verder kun je met WG_ALLOWED_IPS= beperken welk verkeer vanaf de client over de VPN-tunnel moet worden gestuurd. Standaard gaat al het verkeer door de tunnel.

Je kunt enkele extra parameters opgeven voor de VPN-server.

8 Poort doorsturen

Voordat je WireGuard kunt starten, moet je nog een poort via je router doorsturen naar de server met WireGuard. De procedure verschilt per router. Eventueel kun je de instructies op www.portforward.com raadplegen. Voor het WireGuard-verkeer wordt standaard udp-poort 51820 gebruikt. Je hoeft daarom alleen het udp-verkeer naar poort 51820 door te sturen naar diezelfde poort op de server met WireGuard. De poort ‘aan de buitenkant’ zou je eventueel kunnen veranderen naar een andere poort, als deze bijvoorbeeld door bepaalde netwerken wordt geblokkeerd.

Voor het dashboard gebruikt WireGuard Easy standaard tcp-poort 51821. Voor die poort is geen portforwarding nodig. Het dashboard is dan weliswaar alleen vanaf je lokale netwerk bereikbaar, maar dat is om veiligheidsredenen wel zo verstandig.

Heb je alles aangepast en de poort doorgestuurd, dan kun je WireGuard Easy starten met:

docker compose up -d

Voor WireGuard moet je een poort doorsturen vanaf je router naar de server.

9 Gebruikers toevoegen

Het meeste werk is eigenlijk al gedaan. We hoeven alleen nog maar gebruikers toe te voegen. Daarvoor open je je dashboard door je browser te verwijzen naar http://ipadres:51821. Gebruik hiervoor het ip-adres van de server. Als je een wachtwoord hebt ingesteld, moet je dat eerst invullen. Op je dashboard kun je nu een eerste gebruiker toevoegen via Nieuw. Vul een naam in voor de gebruiker en klik op Creëren. Je ziet een schuifje waarmee je de bewuste gebruiker eventueel kunt (de)activeren.

Ook kun je de verbindingsgegevens ophalen. Er zijn twee manieren om een verbinding met je VPN-server op te zetten. Je kunt hier de QR-code weergeven die je kunt scannen met de app op je smartphone. Dit is de makkelijkste optie. Ook kun je het configuratiebestand downloaden. Dit is wat gangbaarder als je een verbinding wilt leggen vanaf een pc of laptop.

Via het dashboard kun je gebruikers toevoegen of verbindingsgegevens ophalen.

10 Verbinding met smartphone

Als voorbeeld zetten we een verbinding op vanaf een Android-smartphone. Dit werkt heel eenvoudig. Installeer allereerst de WireGuard-app. Start de app vervolgens op en klik op het plusteken om een verbinding toe te voegen. Kies dan de optie Scan van QR-code. Maak de QR-code voor de gewenste gebruiker zichtbaar in je dashboard en scan deze vervolgens met de camera van je smartphone. Geef de tunnel een naam. Met een schuifje kun je de verbinding actief maken. Al het verkeer zal dan over de VPN worden gestuurd en je kunt ook alle toepassingen op je thuisnetwerk gebruiken.

Vanaf een smartphone kun je heel eenvoudig verbinden met je VPN-server.

WireHole Wie wat meer wil experimenteren kan WireHole overwegen. Dit is een combinatie van WireGuard, Pi-hole en Unbound. Pi-hole zorgt voor het blokkeren van advertentienetwerken, terwijl Unbound helpt bij het cachen van DNS-verzoeken met aanvullende bescherming van je privacy. De gangbare manier om het te installeren is via Docker Compose. De tool biedt ook een dashboard voor WireGuard, maar in dit geval het alternatieve WireGuard-UI. Daarnaast kun je uiteraard de beheerdersomgeving van Pi-hole benaderen.

Bijzonder leuk en handig: Kasm: experimenteren en veilig werken in een geïsoleerde omgeving

11 Tailscale

Tailscale is erg populair. Het is een van de makkelijkste manieren om al je apparaten te bereiken, ongeacht het netwerk waarop die apparaten zich bevinden. Heb je moeite met het verbinden met je VPN-server, bijvoorbeeld door een verkeerde configuratie van je server of router, dan kan Tailscale een goed alternatief zijn. Het is zonder meer handig om in je gereedschapskist te hebben, bijvoorbeeld om (al dan niet tijdelijk) met een nieuw of vreemd systeem te verbinden.

Surf naar de website van Tailscale en kies Get started. Log nu in met een van de getoonde diensten, zoals Google, Microsoft of GitHub. Deze fungeren als identiteitsprovider. In dit voorbeeld gebruiken we Google. Voor extra bescherming raden we aan tweestapsverificatie voor deze accounts in te stellen. Na het inloggen kun je apparaten toevoegen. Daarvoor installeer je Tailscale op die apparaten en log je in met dezelfde identiteitsprovider. Ze verschijnen dan op je dashboard en je kunt verbindingen tussen de apparaten opzetten. We zullen dit voor een Windows-pc en Linux-systeem laten zien.

Na je registratie bij Tailscale kun je 14 dagen lang alle functies uitproberen van het Enterprise-abonnement. Wil je de gratis versie van Tailscale gebruiken, kies dan als je bent ingelogd voor de optie Choose personal plan. Merk op dat je nu beperkt bent tot drie gebruikers en honderd apparaten. Maar dat zal voor de meeste gebruikers geen struikelblok zijn.

Om Tailscale te kunnen gebruiken, moet je inloggen met een van de getoonde diensten.

12 Windows-pc toevoegen

We beginnen met het toevoegen van een Windows-pc. Installeer hierop Tailscale. Er zijn geen aanvullende instellingen nodig. Na de installatie hoef je slechts de link te volgen. Via een browser kun je vervolgens inloggen met dezelfde identiteitsprovider, zoals Google in ons voorbeeld. Daarna kun je het systeem, in dit geval de Windows-pc, direct toevoegen aan wat ook wel je tailnet wordt genoemd. De naam van het systeem, in dit voorbeeld werk-pc-mini, wordt door Tailscale overgenomen, en kun je eventueel aanpassen. Je kunt nu een verbinding opzetten met de andere apparaten in je tailnet. Bij die verbindingen wordt op de achtergrond gebruikgemaakt van WireGuard. Maar, hiervoor moeten we natuurlijk eerst nog een tweede apparaat toevoegen.

De Windows-pc is toegevoegd aan het tailnet.

13 Linux-systeem toevoegen

We zullen ook direct een Linux-systeem toevoegen. Dat gaat het gemakkelijkst via een script. Dit vereist de tool curl, die kun je indien nodig installeren met:

sudo apt install curl

Daarna kun je Tailscale installeren via het script:

curl -fsSL https://tailscale.com/install.sh | sh

Na de installatie kun je Tailscale starten met het commando:

tailscale up

Je krijgt nu een link te zien die je moet openen in een browser. Log nu opnieuw met bijvoorbeeld Google in, en ook dit systeem zal worden toegevoegd aan je tailnet. In dit voorbeeld onder de naam ubuntu. Het terminalscherm van je Linux-systeem toont direct een melding wanneer het apparaat is toegevoegd.

De website toont de systemen die aan je tailnet zijn toegevoegd.

14 Tailscale gebruiken

Merk op dat elk systeem een eigen ip-adres heeft gekregen dat begint met 100.x.x.x. Je kunt direct verbinding maken tussen alle apparaten. Je kunt bijvoorbeeld pingen vanaf het Linux-systeem naar de Windows-pc met ping werk-pc-mini. Andersom kun je via de Opdrachtprompt op de Windows-pc het Linux-systeem oproepen met ping ubuntu. Als op dat Linux-systeem ook ssh actief is, kun je inloggen met de opdracht ssh gebruiker@ubuntu, bijvoorbeeld ssh root@ubuntu voor de root-gebruiker.

Je ziet hoe eenvoudig Tailscale werkt. Je hoeft je nooit bezig te houden met lastige configuraties of portforwarding. Er is wel een afhankelijkheid van derde partijen. Vind je dat een zwakte? Dan zou je eventueel Headscale kunnen gebruiken, want dat kun je zelf hosten. Dit neemt dan in feite de rol van de Tailscale-servers over.

Vanaf de Windows-pc kun je verbinding maken met het Linux-systeem.

Watch on YouTube
▼ Volgende artikel
Stekker eruit of juist niet? De ultieme vakantie-checklist voor al je apparaten
© AK | ID.nl
Huis

Stekker eruit of juist niet? De ultieme vakantie-checklist voor al je apparaten

Voordat je op vakantie vertrekt, denk je meestal aan je paspoort, je planten, je koffer. Maar minstens zo belangrijk is: wat laat je thuis aanstaan, en wat kan of moet uit? Deze checklist helpt je op weg. Fijne vakantie!

Ook interessant: 5 weerbestendige beveiligingscamera's voor buiten

Aan of uit?

Wanneer je een paar dagen of een weekje weggaat, dan laat je alles in huis eigenlijk altijd gewoon aan staan. Maar ga je langer op vakantie, dan is het slim om eens goed te kijken welke apparaten echt aan moeten blijven en welke niet. Veel apparaten verbruiken namelijk ook in stand-bymodus stroom. Door ze volledig uit te schakelen – of beter nog, de stekker eruit te trekken – voorkom je onnodig sluipverbruik. Dat scheelt niet alleen op de energierekening, maar is ook beter voor het milieu. Bovendien verklein je zo de kans op brand. Hoe minder apparatuur onder spanning staat, hoe kleiner de kans op kortsluiting door een kapotte kabel of oplader. En bij onweer of stroomstoringen loop je minder risico op schade door spanningspieken wanneer apparaten helemaal van het stroomnet zijn losgekoppeld. Denk aan routers, opladers, tv's of printers die vaak ongemerkt blijven aanstaan terwijl je ze wekenlang niet gebruikt. 

Apparaten die je beter helemaal uitzet

Televisies en randapparatuur

Veel moderne tv's, soundbars en spelcomputers blijven op stand-by staan als je ze met de afstandsbediening uitschakelt. Ze lijken dan uit, maar verbruiken toch stroom. Zet ze helemaal uit met de schakelaar op het stekkerblok of trek de stekker eruit. Dat voorkomt sluipverbruik én schade bij stroompieken of blikseminslag.

Espressomachine en magnetron

Apparaten met een digitaal klokje, display of stand-byfunctie verbruiken ook zonder gebruik kleine beetjes stroom. Denk aan magnetrons, espressomachines of andere apparaten die altijd 'aan' lijken te staan. Ook apparatuur met een snelstartfunctie blijft deels actief zolang de stekker in het stopcontact zit. Door de stekker eruit te halen, voorkom je dit sluipverbruik. Bovendien loop je minder risico op kortsluiting of schade bij stroomschommelingen, zeker bij oudere modellen die daar gevoeliger voor zijn.

Opladers en adapters

Opladers van telefoons, laptops en tandenborstels verbruiken ook stroom als er niets aan hangt. Het effect op je energierekening is klein, maar waarom zou je ze in het stopcontact laten zitten als je weken weg bent? Haal ze eruit, ook om brandgevaar bij piekbelasting te beperken.

Wasmachine, wasdroger en vaatwasmachine

Deze apparaten hoef je tijdens je vakantie niet stand-by te houden: je gebruikt ze immers toch niet! Spoel wel voor vertrek het zeepbakje van de wasmachine om en droog het goed af. Maak ook de deurrubbers schoon en zet de deur op een kier. Zo voorkom je dat je wasmachine of droger muf gaat ruiken. Maak voor je weggaat het filter van je vaatwasser goed schoon en draai een reinigingsprogramma. Je hebt hier speciale middelen voor die je in het bestekbakje zet, waarna je hem laat draaien op 60 of 90 graden. Niet alleen wordt je vaatwasser dan door en door schoon, ook ruikt hij lekker fris. Ook hier geldt weer: deur op een kier laten staan!

Printer (vooral inkjet)

Printers – met name inkjetmodellen – staan vaak in stand-by zodat je ze meteen kunt gebruiken wanneer je ze nodig hebt. Spoiler alert: dat heb je in de vakantie dus niet. Uitzetten dus. Heb je hem na je vakantie wel nodig, dan is-ie binnen een minuut weer opgestart.

Monitor of computerscherm

Gebruik je een losse monitor, trek dan de stekker eruit of schakel hem via een stekkerblok uit. Zelfs uitgeschakelde schermen met externe voeding kunnen nog stroom blijven trekken zolang de adapter in het stopcontact zit.

Stereo-installatie of speakers

Veel audio-apparaten blijven in een 'klaar om aan te springen'-modus staan. Die stand-by-functie zorgt voor stroomverbruik zonder dat je het merkt. Als je je installatie een tijdje niet gebruikt, kun je hem beter volledig uitschakelen.

Router en computer: aan of uit?

Router Als je thuis geen slimme apparaten hebt – zoals een thermostaat, beveiligingscamera of alarmsysteem – en niemand tijdens je vakantie gebruik hoeft te maken van het internet, kun je overwegen de router helemaal uit te zetten. Dat bespaart stroom én verkleint het risico dat iemand op afstand in je wifi-netwerk probeert in te breken. Heb je wél apparaten die via internet blijven werken of meldingen sturen, laat de router dan gewoon aan. In dat geval is het slim om te controleren of de firmware up-to-date is en of je wifi goed beveiligd is met een sterk wachtwoord. Computer Bij een gewone vakantie van een paar weken kun je je computer het beste helemaal uitschakelen en de stekker eruit halen. Zo voorkom je sluipverbruik en beperk je het risico op schade door stroompieken of blikseminslag. Gebruik je een laptop? Laad deze dan tot zo'n 50 tot 70 procent op en berg hem uitgeschakeld op een droge, koele plek. Wil je onderweg toch toegang houden tot bestanden of gebruikmaken van remote desktop, dan moet de computer aan blijven en verbonden zijn met internet. Zorg dan voor een goede beveiliging en voorkom automatische updates die het systeem uit zichzelf kunnen herstarten.

Apparaten die je beter aan laat staan

Je ziet: er zijn veel apparaten die je gewoon kunt uitzetten wanneer je op vakantie gaat. Toch zijn er ook redenen om bepaalde apparaten wél aan te laten. Slimme beveiligingssystemen, zoals camera's of videodeurbellen, werken natuurlijk alleen als ze ingeschakeld zijn. Hetzelfde geldt voor verlichting die je via timers of apps automatisch inschakelt om de indruk te wekken dat er iemand thuis is. En ook de koelkast en vriezer kunnen blijven draaien als je maar kort weg bent en er nog etenswaren in liggen.

Slimme deurbel

Gebruik je een slimme deurbel met camera of meldfunctie, dan wil je dat die blijft werken. Zo kun je meldingen blijven ontvangen en meekijken als er onverwacht iemand aanbelt. Ook bij noodgevallen kan het handig zijn als je van afstand de deur kunt opendoen voor mensen.

Slimme thermostaat of verwarmingssysteem

Ook in de zomer kun je deze beter op 'vakantiestand' laten draaien in plaats van helemaal uit. Zo blijft het systeem bereikbaar via internet en voorkom je dat instellingen verloren gaan. Bij sommige huizen of appartementen stuurt de thermostaat ook ventilatie of warm water aan – reden om het systeem actief te houden. Je kunt bovendien op de dag van terugkomst alvast de temperatuur instellen zoals jij het wilt.

Alarmsysteem, camera's en slimme verlichting

Beveiligingsapparaten moeten uiteraard blijven werken. Laat ze ingeschakeld, en zorg dat ze verbonden blijven met internet als je ze op afstand wilt kunnen bedienen of volgen. Ook bewegingssensoren of tijdschakelaars voor verlichting, om te suggereren dat er iemand thuis is, hebben stroom nodig.

Warmwaterboiler

Afhankelijk van het type boiler kan het beter zijn om deze aan te laten. Sommige modellen schakelen automatisch over naar een energiezuinige stand of voeren periodiek een opwarmcyclus uit tegen legionella. Bij oudere boilers of als je langer dan drie weken weg bent, kan uitschakelen juist zinvol zijn – maar kijk daarvoor naar het type en de instellingen.

Aquarium, ventilatie, luchtontvochtiger

Heb je een automatisch systeem in huis dat zorgt voor ventilatie of luchtkwaliteit? Laat dat draaien op lage stand. Ook aquaria met een timer, filterpomp of verwarming mogen natuurlijk niet uit. Vraag in dat geval of iemand een oogje in het zeil wil houden – de vissen moeten sowieso ook regelmatig voer krijgen natuurlijk!  

Koelkast en vriezer

Zet je deze uit, dan bederven je etenswaren of ontdooit de inhoud. Laat ze dus gewoon aan, maar controleer of de deur goed sluit en of er geen oude producten meer in liggen. Bij langere vakanties (langer dan 2 weken) kun je overwegen om de koelkast leeg te maken, schoon te maken en uit te zetten – mét de deur open tegen schimmel.

Automatisch tuinsproeisysteem

Heb je een systeem dat automatisch de tuin besproeit? Laat dat actief. Vergeet niet te controleren of de timer of het programma klopt met je vakantieperiode, zodat je niet per ongeluk elke dag om 12 uur 's middags sproeit terwijl het al 30 graden is, in plaats van vroeg in de ochtend of later op de avond (wat beter is voor je planten en gras).

Elektrische zonwering of rolluiken

Rolluiken maken het lastiger om binnen te komen en werken daarmee inbraakvertragend. Tegelijk kan het opvallen als ze dagenlang gesloten blijven – zeker overdag. Dat wekt juist de indruk dat er niemand thuis is. Wissel de momenten waarop ze openen en sluiten daarom af, of combineer ze met slimme verlichting of tijdschakelaars op lampen. Zo lijkt het alsof er activiteit in huis is, terwijl je tegelijkertijd de warmte buiten houdt. Ook zonwering die automatisch reageert op zonlicht maakt je woning minder aantrekkelijk voor inbrekers én zorgt er bovendien voor dat de temperatuur in huis lekker blijft, zodat je niet in een snikheet huis thuiskomt.

👊 Vuistregel

Apparaten die in je afwezigheid geen functie hebben, in stand-bystand stroom blijven verbruiken of in theorie brandgevaarlijk kunnen zijn, kun je beter uitzetten. Alles wat te maken heeft met veiligheid, bewaking of het voorkomen van bederf laat je juist aan.

Loop vlak voor vertrek nog even een ronde door je huis, haal onnodige stekkers uit het stopcontact en controleer of alles wat moet blijven draaien ook echt goed werkt. Zo ga je met een gerust gevoel op pad.

🧳 Inpakken & wegwezen maar!

Koffers shop je

▼ Volgende artikel
Reisadvies op rood? Check het in de Reisapp van de overheid en douane
Huis

Reisadvies op rood? Check het in de Reisapp van de overheid en douane

De zomervakantie is in volle gang en veel Nederlanders trekken eropuit. Maar niet elke bestemming is even veilig. Soms raadt de overheid reizen naar bepaalde gebieden af, bijvoorbeeld vanwege spanningen of geweld. Zo is het reisadvies voor het grensgebied tussen Thailand en Cambodja eind juli 2025 op rood gezet. Ga je zelf op vakantie en wil je weten wat het reisadvies is voor jouw bestemming? Daar heeft de overheid een handige app voor ontwikkeld: de Reisapp.

🛂 In dit artikel lees je

• Waar je de Reisapp van de overheid kunt downloaden • Welke informatie je allemaal kunt vinden in de Reisapp • Hoe je de Reisapp kunt gebruiken voor noodgevallen

Lees ook: In Nederland én in Europa: zo werkt de ANWB Onderweg-app

Er speelt van alles in de wereld, dus het is logisch dat je niet altijd precies weet hoe het zit op jouw reisbestemming. In zulke gevallen is de Reisapp van de overheid een handig hulpmiddel. Je kunt de app gratis downloaden voor 📱 Android en 📱 iOS.

Bij het eerste gebruik van de app krijg je een aantal korte introductieschermen te zien. Daarin wordt onder andere gevraagd of je pushmeldingen wilt ontvangen. Daarna kun je echt aan de slag. 

Reisinformatie per land of gebied

De overheid geeft voor elk land, en soms zelfs voor specifieke regio's binnen een land, een reisadvies. Dat loopt van groen (geen bijzonderheden) tot geel (let op, er zijn risico's), oranje (alleen reizen als het echt nodig is) en rood (niet gaan, te gevaarlijk). Voor een gedeelte van Thailand is het reisadvies nu (juli 2025) bijvoorbeeld rood. Daarover zegt de overheid zelf: Wat uw situatie ook is: reis er niet heen. Het is er te gevaarlijk.

In het hoofdscherm van de app kies je eenvoudig een land of gebied. Je ziet meteen op een kaartje wat het huidige reisadvies is. Wil je op de hoogte blijven? Zet dan het schuifje bij Melding bij gewijzigd reisadvies op groen, zodat je een seintje krijgt als er iets verandert. Voor de duidelijkheid: dit werkt alleen wanneer je toestemming voor push-meldingen hebt gegeven. Wanneer je op Reisadvies tikt, lees je onder In het kort een duidelijke samenvatting.

Op dezelfde hoofdpagina staan ook je favorieten – landen of regio's die je zelf met een tik op het hartje hebt gemarkeerd – en een link naar de wereldkaart met alle adviezen overzichtelijk op kleur.

In geval van nood

Gebeurt er iets onverwachts tijdens je reis, dan is het niet altijd direct duidelijk wat je moet doen. Via het tabblad Nood onderin de app krijg je snel overzicht. Daar staat een lijst met situaties waarin je terecht kunt komen, van een gestolen paspoort tot een vermist kind.

Tik op een situatie en je ziet meteen wat je het beste kunt doen. Bovenaan staat ook een knop waarmee je direct contact kunt opnemen met het ministerie van Buitenlandse Zaken. Wel zo prettig als je snel hulp nodig hebt.

Halt, douane!

Binnen de EU gelden in grote lijnen dezelfde douaneregels. Maar reis je naar een land buiten de EU, dan kunnen de regels flink verschillen. In de Reisapp zie je per bestemming precies wat je wel en niet mag meenemen.

Denk aan zaken als contant geld, alcohol, sigaretten of wapens. Hoeveel je daarvan mag invoeren of uitvoeren, vind je op de landpagina onder het kopje Douaneregels. Zo kom je niet voor verrassingen te staan bij de grens.

Ik ga op reis en ik neem mee ...

🧳 Een koffer!

Bonnen en omrekenen

Neem je dure spullen mee op reis, dan kan het soms lastig zijn om bij de douane aan te tonen waar en wanneer je ze hebt gekocht. In de Reisapp kun je digitale bonnen opslaan, zodat je makkelijk kunt laten zien dat je het al in je bezit had voordat je vertrok. Handig als je vragen krijgt over invoerregels. In het menu onderin vind je ook een handige omrekentool. Daarmee reken je niet alleen snel valuta om, maar ook gewichten en inhoudsmaten.

Instellingen

Tot slot zijn er nog enkele instellingen die je kunt aanpassen. Die vind je onder het kopje Meer. Het gaat dan om het aan- of uitzetten van pushmeldingen, het binnenkrijgen van notificaties voor alle landen, het (de)activeren van de donkere modus en toestemming geven of intrekken voor het verzamelen van anonieme gebruikersstatistieken. 

Dus? App downloaden en fijne vakantie!

Met de Reisapp op je telefoon ga je goed voorbereid op pad, waar je vakantie ook naartoe gaat. Van veiligheidsadviezen tot douaneregels en noodnummers: je hebt alles bij de hand. De app is gratis en werkt ook offline. Let wel op dat de informatie dan niet meer wordt bijgewerkt, waardoor je niet altijd de meest recente situatie ziet. Reis je naar een plek met slecht internet? Open de app dan alvast even op een moment dat je nog wél goed bereik hebt. Zo ben je zo up-to-date mogelijk.