Waarom werkt mijn VPN soms niet meer?

Meerdere mogelijkheden. Het IP-adres van de VPN-server is toegevoegd aan een blokkeerlijst (probeer een andere server). De DPI van het netwerk heeft een vingerafdruk van het protocol genomen en blokkeert het (probeer OpenVPN-TCP/443 met verduistering, of een speciaal verduisterd protocol zoals Proton Stealth of NordWhisper). De bestemmingsservice (Netflix, uw bank) heeft het VPN-IP aan de weigeringslijst toegevoegd (probeer een andere uitgang of een speciale streamingserver).

Zal een VPN in China werken?

Weinigen werken betrouwbaar. Standaardprotocollen worden binnen enkele minuten gedetecteerd en geblokkeerd door de Great Firewall. Gespecialiseerde, versluierde protocollen (NordVPN's NordWhisper, ProtonVPN's Stealth, Shadowsocks met v2ray-plug-in, AmneziaWG) werken soms. De wapenwedloop kantelt wekelijks heen en weer. Reizigers die specifiek een in China betrouwbare VPN nodig hebben, moeten vooraf meerdere providers en configuraties installeren.

Hoe weet Netflix dat ik een VPN gebruik?

Voornamelijk IP-gebaseerde detectie. Netflix onderhoudt een database met bekende IP-bereiken van VPN-providers en weigert streams van die IP's. Ze updaten de database voortdurend. Sommige VPN-providers roteren exit-IP's sneller dan Netflix-updates, maar het is een bewegend doelwit. Residentiële IP's (afgesneden van echte consumenten-ISP's) omzeilen dit, maar zijn duurder in gebruik.

Is het illegaal om een VPN te gebruiken in landen met restricties?

Meestal is het technische antwoord ja, het praktische antwoord is dat handhaving tegen individuele gebruikers zelden voorkomt. China vereist dat VPN-aanbieders zich bij de overheid registreren; Niet-geregistreerde VPN's zijn technisch gezien illegaal, maar tientallen miljoenen Chinese burgers gebruiken ze. De Russische situatie is vergelijkbaar. De VAE heeft af en toe individuele gebruikers beboet. Het werkelijke persoonlijke risico hangt af van uw zichtbaarheid; stil persoonlijk gebruik is zelden gericht; activisme of bedrijf dat de aandacht trekt is.

Kan een VPN-provider zien wanneer ik wordt geblokkeerd?

Over het algemeen wel: verbindingsfouten, beperking of DPI-vingerafdrukovereenkomsten verschijnen in hun telemetrie. Providers die het omzeilen van censuur serieus nemen (Proton, NordVPN, Mullvad) houden actief bij welke netwerken/regio's hun verbindingen blokkeren en rollen als reactie daarop nieuwe protocollen of serverconfiguraties uit. Aanbieders met zwakkere omzeilingsbudgetten houden dit niet zo nauwlettend in de gaten.

VPN-blokkering uitgelegd: hoe landen en services VPN's blokkeren (en hoe ze dit omzeilen)

VPN-blokkering is een kat-en-muisspel tussen mensen die VPN's proberen te gebruiken en de overheden, ISP's, streamingdiensten en bedrijfsnetwerken die deze proberen tegen te houden. China voert het meest agressieve blokkeringsprogramma uit; Rusland, Iran en de VAE volgen op de voet; Netflix probeert al jaren VPN-gebruikers de toegang te ontzeggen. Dit is hoe de blokkering feitelijk werkt aan de technische kant, en wat VPN-aanbieders doen om er voorbij te glippen.

De volledige artikeltekst vindt u hieronder in het Engels.

De blokkeermethoden

IP-blokkeerlijst

De eenvoudigste methode. Stel een lijst samen met bekende IP-bereiken van VPN-providers en blokkeer ze allemaal. Streamingdiensten maken hier het meest agressief gebruik van: Netflix, Hulu, BBC iPlayer en Disney+ hebben allemaal geavanceerde VPN-IP-detectie gebouwd die dagelijks wordt bijgewerkt. Landen gebruiken dit ook als eerstelijnsverdediging.

Counter: VPN-providers voegen voortdurend nieuwe server-IP's toe en roteren exit-pools. Sommige bieden residentiële IP's (IP's afkomstig van echte consumenten-ISP's in plaats van datacenters) voor gebruikers die specifiek IP-reputatieblokken moeten omzeilen.

Port-blokkering

VPN-protocollen hebben bekende poorten. De IANA-toegewezen poort van OpenVPN is 1194. WireGuard is standaard ingesteld op 51820. IKEv2 gebruikt UDP 500 en 4500. Blokkeer die poorten, blokkeer het voor de hand liggende VPN-verkeer.

Counter: VPN-providers draaien hun servers op standaardpoorten – meestal TCP/443 voor OpenVPN – zodat het verkeer eruit ziet als een gewoon HTTPS.

Deep-pakket inspectie van protocol handdrukken

De serieuze aanpak. Zelfs als een VPN op TCP/443 draait, heeft de handshake van OpenVPN, WireGuard of IKEv2 een herkenbare bytehandtekening die DPI-systemen kunnen vingerafdrukken. De Grote Firewall van China gebruikt deze techniek routinematig; zelfs WireGuard-on-443 wordt binnen enkele minuten gedetecteerd en geblokkeerd.

Counter: protocolverduistering. Verpak de VPN-handshake in iets dat lijkt op echt HTTPS-, WebSocket- of QUIC-verkeer. Voorbeelden: ProtonVPN's Stealth, NordVPN's NordWhisper, OpenVPN met Stunnel/Cloak/Obfsproxy, AmneziaWG (een WireGuard-vork die zijn handshake willekeurig maakt), V2Ray-protocollen.

TLS Fingerprinting

Zelfs wanneer een VPN zichzelf met succes vermomt als HTTPS, heeft de TLS-handshake zelf vingerafdrukken. Een specifieke browser produceert ClientHello-berichten met een bepaalde cipher-suite-volgorde, een specifieke extensielijst, een specifieke JA3-hash. Als uw "HTTPS"-verbinding een TLS-vingerafdruk heeft die niet overeenkomt met een grote browser, kan het een VPN-client zijn die een kostuum draagt.

Counter: moderne verduisteringstools bootsen de TLS-vingerafdrukken van grote browsers byte-voor-byte na (uTLS in Go, utls.js, vergelijkbaar in andere talen). De kat-en-muis gaat verder.

TVerkeersvormanalyse

Zelfs wanneer inhoud is gecodeerd en vingerafdrukken overeenkomen met een echte browser, is het ritme van een VPN-sessie onderscheidend. Altijd bidirectioneel, aanhoudende doorvoer, consistente pakketgroottes - niet het bursty fetch-render-pauze-patroon van daadwerkelijk surfen op het web. Machine learning-modellen kunnen VPN-stromen alleen al op basis van vorm met verrassende nauwkeurigheid identificeren.

Counter: introduceer dummy-verkeer om de vorm te vermommen (DAITA van Mullvad doet dit), of voer het VPN-protocol uit over iets dat al een onregelmatige vorm heeft (Snowflake's WebRTC-videogesprek-vermomming).

Actief onderzoek

Wanneer de Grote Firewall een verdachte ziet verbinding, stuurt het soms testpakketten naar de bestemming om te bevestigen of het daadwerkelijk een VPN-server is. Een echte HTTPS-server reageert met een herkenbare TLS-handshake; een VPN-server kan reageren op een manier die zichzelf verraadt. De hele verbinding wordt vervolgens geblokkeerd.

Counter: VPN-servers kunnen worden geconfigureerd om authenticatie te vereisen voordat ze reageren - "vreemden" krijgen een generieke 404 of geen reactie, alleen geauthenticeerde clients krijgen de VPN-handshake.

DNS-onderschepping

Blokkeer DNS-zoekopdrachten voor bekende VPN-providerdomeinen. Gebruikers kunnen de VPN-client niet eens downloaden omdat vpnmasterpro.com (of een andere) geen oplossing biedt.

Counter: gebruik DNS via HTTPS om een niet-geblokkeerde solver te bevragen. Verdeel installatiemedia via kanalen die de censor niet kan onderscheppen (Telegram, Tor, USB-sticks, ambassadedistributies).

Waar blokkeren agressief is

China — meest geavanceerde DPI-implementatie ter wereld. Standaard VPN-protocollen worden binnen enkele minuten na detectie geblokkeerd. Alleen versluierde protocollen (en soms zelfs die niet) werken betrouwbaar.
Rusland - De uitrol van TSPU sinds 2019 heeft uitgebreide DPI toegevoegd aan de meeste grote ISP's. Twitter/X werd in 2021 beperkt; veel VPN-providers zijn vanaf 2022 geblokkeerd.
Iran - DPI vanaf 2008, regelmatige VPN-blokkeerevenementen, vooral tijdens protesten. De Mahsa Amini-protesten van 2022 leidden tot wijdverbreide VPN-inzet toen de overheid de beperkingen aanscherpte.
UAE, Saoedi-Arabië, Oman, Qatar – VPN's zijn beperkt voor doeleinden die goedgekeurde inhoudfiltering omzeilen. De handhaving is ongelijkmatig, maar technisch capabel.
Noord-Korea — Het binnenlandse Kwangmyong-netwerk van het land is afgesloten van het mondiale internet. Het omzeilen van VPN's is in wezen N/A.
India - De regel van CERT-In uit 2022 dwong VPN-providers om gebruikersactiviteit te registreren of zich terug te trekken. De meeste gerenommeerde providers hebben fysieke servers verwijderd.
Turkey – December 2023 blokkeerde 16 VPN-providers, waaronder IPVanish, ExpressVPN, NordVPN, Tor.

Streaming-service blokkeren

Verschillende motivatie, vergelijkbare technieken. Netflix, Hulu, BBC iPlayer, Disney+, Amazon Prime, etc. blokkeren VPN IP's om geografische licenties af te dwingen. Ze proberen niet te voorkomen dat u toegang krijgt tot het internet in het algemeen, maar alleen door hun inhoud vanuit het "verkeerde" land te bekijken.

Counter: speciale, voor streaming geoptimaliseerde servers die regelmatig IP's wisselen. Sommige VPN's (Windflix van Windscribe, speciale streamingservers van NordVPN/ExpressVPN/Surfshark) jagen expliciet de streaming-wapenwedloop na. Kleinere privacy-puristische VPN's (Mullvad, Proton) werken niet, dus hun streamingbetrouwbaarheid is lager.

Bedrijfsnetwerkblokkering

Veel bedrijven en scholen blokkeren VPN-verkeer om compliance- en veiligheidsredenen. Methoden zijn vergelijkbaar: poortblokkering, IP-blokkeerlijsten, DPI. De motivatie is anders (compliance, inhoudsfiltering, malwaredetectie), maar de technieken worden direct in kaart gebracht.

LJuridische status

Het gebruik van een VPN is in de meeste landen legaal. De infrastructuur bestond al voor legitiem zakelijk gebruik lang voordat consumenten-VPN's gemeengoed werden.
Het exploiteren van een VPN-service is in sommige landen (China, Rusland, Iran) gereguleerd: providers voldoen aan lokale registratievereisten of worden geblokkeerd.
Het gebruik van een niet door de overheid goedgekeurde VPN is in sommige landen beperkt. China en Rusland eisen dat VPN-aanbieders die in eigen land actief zijn, zich registreren en samenwerken; het gebruik van een niet-geregistreerde (d.w.z. echte) VPN is technisch gezien illegaal, maar de handhaving tegen individuele gebruikers is ongelijkmatig.
Het gebruik van een VPN om een misdrijf te plegen blijft overal illegaal; de VPN verandert daar niets aan.

Als je in een land bent dat VPN's blokkeert

Kies een provider met speciaal gebouwde verduistering: ProtonVPN Stealth, NordVPN NordWhisper, Mullvad met hun daita/quic-experimenten, of gespecialiseerde tools zoals Outline (Shadowsocks) of AmneziaWG.
Verkrijg de installatiemedia voordat je deze nodig hebt: de downloaddomeinen van providers kunnen worden geblokkeerd als je al binnen bent.
Bewaar Tor met Snowflake als back-up: wanneer VPN's uitvallen, staan Tor's inplugbare transporten vaak stil work.
Verwacht fouten: verbindingen die gisteren werkten, werken vandaag misschien niet; zorg dat u meerdere providers en protocollen gereed heeft.

Controleer of uw tunnel werkt wanneer deze verbinding maakt met onze lektest.

Veelgestelde vragen

Waarom werkt mijn VPN soms niet meer?: Meerdere mogelijkheden. Het IP-adres van de VPN-server is toegevoegd aan een blokkeerlijst (probeer een andere server). De DPI van het netwerk heeft een vingerafdruk van het protocol genomen en blokkeert het (probeer OpenVPN-TCP/443 met verduistering, of een speciaal verduisterd protocol zoals Proton Stealth of NordWhisper). De bestemmingsservice (Netflix, uw bank) heeft het VPN-IP aan de weigeringslijst toegevoegd (probeer een andere uitgang of een speciale streamingserver).
Zal een VPN in China werken?: Weinigen werken betrouwbaar. Standaardprotocollen worden binnen enkele minuten gedetecteerd en geblokkeerd door de Great Firewall. Gespecialiseerde, versluierde protocollen (NordVPN's NordWhisper, ProtonVPN's Stealth, Shadowsocks met v2ray-plug-in, AmneziaWG) werken soms. De wapenwedloop kantelt wekelijks heen en weer. Reizigers die specifiek een in China betrouwbare VPN nodig hebben, moeten vooraf meerdere providers en configuraties installeren.
Hoe weet Netflix dat ik een VPN gebruik?: Voornamelijk IP-gebaseerde detectie. Netflix onderhoudt een database met bekende IP-bereiken van VPN-providers en weigert streams van die IP's. Ze updaten de database voortdurend. Sommige VPN-providers roteren exit-IP's sneller dan Netflix-updates, maar het is een bewegend doelwit. Residentiële IP's (afgesneden van echte consumenten-ISP's) omzeilen dit, maar zijn duurder in gebruik.
Is het illegaal om een VPN te gebruiken in landen met restricties?: Meestal is het technische antwoord ja, het praktische antwoord is dat handhaving tegen individuele gebruikers zelden voorkomt. China vereist dat VPN-aanbieders zich bij de overheid registreren; Niet-geregistreerde VPN's zijn technisch gezien illegaal, maar tientallen miljoenen Chinese burgers gebruiken ze. De Russische situatie is vergelijkbaar. De VAE heeft af en toe individuele gebruikers beboet. Het werkelijke persoonlijke risico hangt af van uw zichtbaarheid; stil persoonlijk gebruik is zelden gericht; activisme of bedrijf dat de aandacht trekt is.
Kan een VPN-provider zien wanneer ik wordt geblokkeerd?: Over het algemeen wel: verbindingsfouten, beperking of DPI-vingerafdrukovereenkomsten verschijnen in hun telemetrie. Providers die het omzeilen van censuur serieus nemen (Proton, NordVPN, Mullvad) houden actief bij welke netwerken/regio's hun verbindingen blokkeren en rollen als reactie daarop nieuwe protocollen of serverconfiguraties uit. Aanbieders met zwakkere omzeilingsbudgetten houden dit niet zo nauwlettend in de gaten.