Je zit op school, je probeert verbinding te maken met je VPN, en niets gebeurt. Of de verbinding valt steeds weg. Scholen en universiteiten blokkeren VPN-verkeer vaker dan je denkt, meestal via een combinatie van poortsblokkeringen en deep packet inspection. Gelukkig zijn er degelijke manieren om dit te omzeilen, zonder dat je ingewikkelde technische kennis nodig hebt.
In dit artikel leggen we uit hoe die blokkades werken, welke VPN-functies helpen en welke instellingen je direct kunt proberen. We houden het praktisch en to the point.
Let wel: gebruik je VPN altijd voor legitieme doeleinden zoals privacy, beveiliging op een open netwerk of toegang tot je eigen bestanden thuis. Controleer ook de regels van je school voordat je iets aanpast, zodat je niet in de problemen komt.
Hoe blokkeren scholen een VPN?
Schoolnetwerken draaien vrijwel altijd een firewall die specifiek verkeer tegenhoudt. De meest gebruikte methoden zijn poortsblokkeringen, waarbij veelgebruikte VPN-poorten zoals UDP 1194 (OpenVPN) of UDP 51820 (WireGuard) simpelweg dichtgezet worden.
Modernere systemen gaan een stap verder met deep packet inspection, afgekort DPI. Daarmee kijkt het netwerk niet alleen naar de poort, maar ook naar het type verkeer. Zelfs als je VPN op poort 443 draait (de standaard HTTPS-poort), kan DPI herkennen dat het VPN-verkeer is en het alsnog blokkeren.
Sommige scholen houden ook een lijst bij van bekende VPN-serveradressen en blokkeren die direct. Dit is de eenvoudigste maar ook minst effectieve methode, omdat VPN-aanbieders regelmatig nieuwe servers toevoegen.
Wat is obfuscatie en waarom heb je dat nodig?
Obfuscatie is een techniek waarbij je VPN-verkeer eruit ziet als gewoon HTTPS-verkeer. Het maskeert de kenmerken van VPN-data zodat DPI het niet herkent. Dit is de meest betrouwbare oplossing voor netwerken die actief VPN-verbindingen blokkeren.
Niet elke VPN biedt obfuscatie aan. Hieronder zie je welke merken dit wel hebben en hoe je het instelt.
VPN-merken met obfuscatie-ondersteuning
NordVPN
NordVPN heeft een functie genaamd Obfuscated Servers. Je vindt die onder Instellingen, dan VPN-protocol, waar je Obfuscated selecteert. Het protocol schakelt automatisch over naar een verborgen versie van OpenVPN. NordVPN kost momenteel rond de 3,69 euro per maand bij een tweejarig abonnement.
Surfshark
Surfshark gebruikt de Camouflage Mode, die automatisch inschakelt zodra je het OpenVPN-protocol kiest. Je hoeft hier zelf niets extra voor in te stellen. Surfshark zit rond de 2,49 euro per maand bij een tweejarig plan en biedt onbeperkt apparaten, handig als je zowel je laptop als telefoon wil beveiligen op school.
ExpressVPN
ExpressVPN heeft het Lightway-protocol, dat van zichzelf moeilijk te detecteren is, en daarnaast biedt het op veel servers automatische obfuscatie. Je selecteert gewoon Automatisch bij de protocolkeuze. ExpressVPN is duurder, ongeveer 6,67 euro per maand bij een jaarabonnement, maar staat bekend als degelijk en snel.
Proton VPN
Proton VPN biedt het Stealth-protocol aan, speciaal ontworpen voor netwerken met strenge filtering. Dit protocol draait over TLS en is daardoor erg lastig te blokkeren. Proton VPN heeft ook een gratis versie, maar het Stealth-protocol is alleen beschikbaar in betaalde abonnementen vanaf 4,99 euro per maand.
Mullvad
Mullvad is een goede keuze voor wie privacy centraal stelt. Het ondersteunt obfuscatie via de Shadowsocks- en DAITA-functies. Mullvad werkt met een vast bedrag van 5 euro per maand, zonder abonnementskorting. Je betaalt ook anoniem als je wil, wat het extra privacyvriendelijk maakt.
Praktische instellingen die je kunt proberen
Voordat je gelijk naar obfuscatie grijpt, zijn er een paar eenvoudige dingen die je kunt proberen. Soms is een simpele aanpassing al voldoende.
Schakel over naar TCP op poort 443. De meeste VPN-apps laten je het protocol instellen. Kies OpenVPN TCP en zet de poort op 443. Dit is dezelfde poort als gewoon HTTPS-verkeer, wat moeilijker te blokkeren is zonder de hele schoolomgeving plat te leggen.
Probeer WireGuard op een andere poort. WireGuard draait standaard op UDP 51820, maar veel VPN-apps laten je een andere UDP-poort kiezen. Probeer poort 53 (DNS) of poort 80. Niet altijd beschikbaar, maar het werkt op sommige netwerken goed.
Gebruik een eigen DNS-server. Soms worden VPN-servers geblokkeerd via DNS-manipulatie. Door in de instellingen van je apparaat te kiezen voor een openbare DNS-server zoals 1.1.1.1 van Cloudflare of 8.8.8.8 van Google, omzeil je die DNS-blokkade al.
Activeer de obfuscatiemodus in je VPN-app. Lukt niets van bovenstaande, schakel dan de obfuscatie of camouflage-functie in zoals hierboven per merk beschreven.
Werkt een gratis VPN ook?
Gratis VPN-diensten bieden zelden obfuscatie aan en hebben vaak beperkte servercapaciteit. Op een geblokkeerd netwerk kom je er doorgaans niet mee door. Bovendien zijn de privacypraktijken van veel gratis aanbieders twijfelachtig.
De enige gratis optie die we kunnen aanraden is Proton VPN Free. Die heeft geen datalimiet, maar zoals gezegd geen Stealth-protocol. Op school wifi met actieve DPI ga je er waarschijnlijk niet mee door. Voor thuisgebruik of open netwerken is het prima.
Voor- en nadelen van deze aanpak
Voordelen:
- Je verbinding is versleuteld op een netwerk dat je niet volledig vertrouwt
- Obfuscatie werkt op de meeste schoolnetwerken die VPN blokkeren
- Instellingen zijn in een paar minuten aangepast
- Betaalde VPN-abonnementen kosten minder dan 5 euro per maand
Nadelen:
- Obfuscatie kan de verbindingssnelheid iets verlagen
- Niet elk VPN-merk biedt de functie aan
- Sommige netwerken zijn zo strak ingericht dat zelfs obfuscatie niet werkt
- Controleer altijd het beleid van je school om problemen te vermijden
Wat als niets werkt?
Er zijn netwerken die zo streng gefilterd zijn dat zelfs obfuscatie niet doorkomt. In dat geval kun je kijken naar een mobiele hotspot via je telefoon. Verbind je laptop met de hotspot van je telefoon en gebruik daarvandaan je VPN. Je verbruikt dan je mobiele data, maar je staat volledig buiten het schoolnetwerk.
Een andere optie is het gebruik van Tor in combinatie met je VPN, maar dat is aanzienlijk trager en minder praktisch voor dagelijks gebruik op school.
Als je de verbinding puur wil beveiligen zonder VPN-achtige blokkadeproblemen, is een HTTPS-everywhere instelling in je browser en het gebruik van DNS over HTTPS al een stap in de goede richting. Het vervangt geen VPN, maar het versleutelt wel je DNS-verzoeken.