Een huishouden met twee telefoons, twee laptops, een smart-tv, een console en een slimme speaker telt zeven apparaten die mogelijk allemaal VPN-dekking nodig hebben. Op elk afzonderlijk een VPN-client installeren en onderhouden is omslachtig. Sommige, vooral consoles en veel IoT-apparaten, kunnen helemaal geen normale VPN-client draaien. Andere, zoals smart-tv's, ondersteunen VPN-apps soms alleen op bepaalde platforms.
Een VPN-router lost dit op door de VPN op de router zelf te draaien, zodat elk apparaat erachter de tunnel overneemt zonder iets te installeren. De term dekt verschillende opzetten: een router die namens het LAN uitbelt naar een VPN-provider, een router die als VPN-server fungeert zodat je van elders kunt intunnelen, of een self-hosted gateway op een VPS die je van begin tot eind beheert.
De korte versie
- Een VPN-router draait VPN-software op de router, zodat elk aangesloten apparaat, ook de apparaten die zelf geen VPN-client kunnen draaien, automatisch de tunnel gebruikt.
- Hij heeft twee modi die verschillende problemen oplossen: in clientmodus tunnelt hij uitgaand verkeer naar een VPN-provider of je eigen server; in servermodus laat hij apparaten op afstand intunnelen naar je LAN.
- WireGuard is in vrijwel alle gevallen het juiste protocol voor een VPN op routerniveau. De codebase is klein, de kosten per pakket zijn laag, en consumentenrouter-CPU's verwerken het beter dan OpenVPN.
- Je hebt vier manieren om er een te krijgen: een router gebruiken die VPN al ondersteunt, custom firmware op een router flashen die je bezit, een voorgeconfigureerde VPN-router kopen, of de hardware helemaal overslaan en WireGuard op een VPS draaien. De laatste optie is de sterkste als je serverkeuze, jurisdictiecontrole of al een self-hosted opzet wilt.
Hoe een VPN-router echt werkt
Wanneer een apparaat in clientmodus verbinding maakt met een VPN-router, weet het apparaat niet dat het op een VPN zit. Het ontvangt een gewone DHCP-lease van de router, opent een TCP-verbinding naar een bestemming, en verstuurt pakketten. De router doet de versleuteling. Het apparaat ziet een normaal LAN. Er zijn twee modi die het waard zijn te begrijpen, en de meeste consumenten-"VPN-routers" doen alleen de eerste goed.
VPN-clientmodus (uitgaand)
In clientmodus houdt de router de VPN-credentials vast en tunnelt al het uitgaande verkeer namens de apparaten erachter. De dataflow is: apparaat → router → versleutelde tunnel → VPN-server → publiek internet.
Elk apparaat op het LAN gebruikt automatisch dezelfde tunnel. De router neemt elk pakket, versleutelt het, en stuurt het door naar het ingestelde VPN-endpoint. Het publieke internet ziet het exit-IP van de VPN-server, niet het door de ISP toegewezen IP van het huis. Dit is de opzet die mensen meestal bedoelen als ze "VPN-router" zeggen.
De versleuteling gebeurt op de CPU van de router. Dit is het belangrijke mechanische detail. Oudere en goedkopere consumentenrouters draaien soms laaggeklokte ARM- of MIPS-chips met beperkte crypto-acceleratie, terwijl nieuwere VPN-capabele routers veel sneller zijn. Hoe dan ook blijft de router verantwoordelijk voor het versleutelen van elke byte van en naar elk apparaat op het netwerk, dus de routerhardware wordt het prestatieplafond.
Het protocol doet er hier om dezelfde reden toe. De kosten per pakket van WireGuard zijn lager dan die van OpenVPN, en daarom is WireGuard-ondersteuning op consumentenrouters de eigenschap om naar te zoeken. Zie de bestaande WireGuard-setupgids op een VPS.
VPN-servermodus (inkomend)
In servermodus draait de router zelf een VPN-server. Apparaten op afstand op het open internet maken inkomend verbinding met het publieke IP van de router en komen op het LAN terecht alsof ze in de woonkamer zaten. De dataflow is: apparaat op afstand → publiek IP → VPN-server van de router → LAN-bronnen.
Dit lost een ander probleem op. Het gaat om toegang op afstand, niet om uitgaande privacy. Een laptop in een koffiebar kan een fileserver thuis bereiken. Een telefoon in het buitenland kan het thuisnetwerk bereiken. De router is de VPN-server; de telefoon is de VPN-client.
Servermodus vereist een publiek routeerbaar IP-adres. Heeft je ISP je achter CGNAT geplaatst, en dat hebben veel residentiële ISP's gedaan, dan is er geen publiek IP om inkomend mee te verbinden en werkt deze modus niet zonder extra trucs. Port forwarding is meestal ook vereist, wat dit beperkt tot mensen die de router bezitten en de firewall ervan kunnen instellen.
De twee modi sluiten elkaar niet uit. Een capabele router kan ze allebei tegelijk draaien. Maar de toepassingen zijn totaal verschillend. Clientmodus is voor "ik wil mijn hele huis achter een VPN-exit." Servermodus is voor "ik wil mijn huis van elders bereiken."
De vier paden naar een VPN op routerniveau
Er is niet één ding dat "een VPN-router regelen" heet. Er zijn vier paden, en ze sorteren langs twee assen: hoeveel controle over hardware en firmware je wilt, en of je een commerciële provider of je eigen server aan het andere uiteinde van de tunnel wilt. Het juiste pad hangt af van welke van die assen het zwaarst weegt.
Pad 1: Gebruik je bestaande router (als hij VPN ondersteunt)
Verschillende fabrikanten van consumentenrouters leveren nu native VPN-clientondersteuning, waaronder WireGuard, in hun standaardfirmware. ASUS ondersteunt WireGuard native op recente firmware. GL.iNET's Flint- en Beryl-serie ondersteunen WireGuard standaard, gedocumenteerd in hun officiële tutorial.
Dit is het goedkoopste, minst riskante pad. Staat je router al op deze lijst, dan flash je niets en brick je niets. Je voert een WireGuard-configuratie in het adminpaneel in en de tunnel komt omhoog. De beperking is de voor de hand liggende: de router moet het protocol ondersteunen dat je wilt, en de protocolopties hangen af van wat de fabrikant levert. Oudere modellen krijgen WireGuard niet alsnog toegevoegd.
Pad 2: Flash custom firmware (OpenWrt, DD-WRT, FreshTomato)
Staat je router niet op de lijst met ondersteunde modellen, dan kun je de firmware vervangen door een van de open-source alternatieven. OpenWrt is van de drie het actiefst onderhouden en heeft de breedste hardware-ondersteuning. DD-WRT is ook actief, met een andere ontwerpfilosofie en een grotere groep ondersteunde apparaten. FreshTomato zet het oorspronkelijke Tomato-project voort, maar is beperkt tot Broadcom-chipsets en bedient een veel kleinere gemeenschap.
Custom firmware geeft je protocolkeuze: OpenVPN, WireGuard, IPsec, allemaal instelbaar. Het geeft je ook al het andere dat die projecten bieden: betere QoS, fijnmazige firewallregels, pakketbeheer. De prijs is risico en tijd.
Professioneel advies
Custom firmware flashen kan een router permanent bricken als je het verkeerde image kiest, midden in het flashen de stroom verliest, of een build draait met een bug voor jouw specifieke hardwarerevisie. Kies een model dat het firmwareproject expliciet ondersteunt, lees de apparaatspecifieke pagina, en accepteer dat je de garantie hebt laten vervallen. Is de router die je brickt je enige router, reken er dan op offline te zijn voor de tijd die het kost om een vervanger te bemachtigen.
Pad 3: Koop een voorgeconfigureerde VPN-router
Het eenvoudigste pad. Fabrikanten als GL.iNET verkopen routers met WireGuard standaard ingebouwd. Sommige commerciële VPN-providers verkopen ook merkrouters die voorgeconfigureerd zijn op hun dienst, wat betekent dat je hem aansluit, je accountgegevens invoert, en klaar bent.
De afwegingen zijn prijs en lock-in. Voorgeconfigureerde routers kosten per stuk meer dan zelf bouwen. Komt het apparaat gemerkt met een specifieke VPN-provider, dan zit je vast aan de protocollen, exitlanden en logbeleid van die provider. Wijzigt de provider zijn voorwaarden of stopt hij ermee, dan stapt de router niet zomaar over naar een nieuwe dienst.
Het vierde pad is iets anders, omdat het geen aankoop of flashen van routerhardware vereist. Het geeft je nog steeds VPN-dekking op routerniveau als je router upstream naar de VPS wijst, maar het VPN-endpoint zelf staat op een server in plaats van in de router.
Pad 4: Gebruik een VPS als VPN-gateway
Draai WireGuard of OpenVPN op een Linux-VPS, en wijs dan je router of afzonderlijke apparaten naar die server. Dit is geen aankoop van een hardwarerouter. Het is een andere endpoint-strategie, dus de afwegingen verdienen hun eigen sectie hieronder.
| Pad | Instellingscomplexiteit | Prestatieplafond | Serverwisseling | Hardwarerisico | Doorlopende kosten | Fit |
|---|---|---|---|---|---|---|
| Bestaande router | Laag | Beperkt door router-CPU | Via adminpaneel | Geen | Geen, naast de ISP | Je bezit al een ondersteunde router |
| Custom firmware flashen | Hoog | Beperkt door router-CPU | Via adminpaneel | Brick-risico | Geen, naast de ISP | Je wilt protocolflexibiliteit en accepteert het risico |
| Voorgeconfigureerde router | Laagste | Beperkt door router-CPU | Afhankelijk van fabrikant | Geen | Hardwarekosten; provider-abonnement indien gebundeld | Je wilt plug-and-play en accepteert de meerprijs |
| VPS als gateway | Medium-hoog | Beperkt door VPS-CPU (hoger) | Start een nieuwe VPS in een andere regio | Geen | Maandelijkse VPS-huur | Je wilt jurisdictiekeuze, betere prestaties, of host al zelf |
Wanneer een VPN-router zinvol is en wanneer niet
De vraag is niet of een router-VPN in het abstracte beter is dan een apparaat-VPN. De vraag is of jouw specifieke situatie daadwerkelijk om dekking voor het hele netwerk vraagt, want op het moment dat je een VPN op de router zet, betaalt elk apparaat erachter dezelfde versleutelingsbelasting.
Toepassingen waar een router-VPN zijn installatiekosten verdient
Multi-apparaat-huishoudens zijn het duidelijkste geval. Zodra je meer dan vier of vijf apparaten beheert, wordt het installeren en bijwerken van VPN-clients op elk apart een karwei. De opzet op routerniveau wordt één keer ingesteld.
Apparaten met beperkte of lastige VPN-ondersteuning zijn het tweede geval. Gameconsoles, de meeste IoT-apparaten en oudere smart-home-hubs hebben meestal geen normale VPN-app beschikbaar. Sommige smart-tv's kunnen VPN-apps draaien, vooral Android TV / Google TV en nieuwere Apple TV-modellen, maar een VPN op routerniveau helpt nog steeds wanneer het tv-platform je provider niet ondersteunt of wanneer je één consistent netwerkbeleid wilt.
Reizen is het derde geval. Een compacte reisrouter met WireGuard-ondersteuning betekent dat één tunnel elk apparaat in een hotelkamer (telefoon, laptop, tablet) dekt via de wifi van de router, ongeacht wat het hotelnetwerk doet. Dezelfde logica geldt voor een VPS-gateway die via de reisrouter wordt benaderd.
Kleine kantoren en gedeelde woonruimtes zijn het vierde geval. Eén consistent netwerkbeleid toegepast op de gateway is makkelijker te overzien dan een vloot configuraties op apparaatniveau die na verloop van tijd uit elkaar drijven.
Gevallen waar de router-VPN de verkeerde keuze is
Wissel je vaak van VPN-exitland voor regio-vergrendelde content, jurisdictietests of welke reden dan ook, dan is een VPN op routerniveau de verkeerde tool. Exits wisselen op een telefoon is één tik. Op een router doen vereist inloggen op het adminpaneel.
Heb je split-tunneling op applicatieniveau nodig, sommige apps via de VPN en andere direct, dan handelt een VPN-app op apparaatniveau dat netjes af. De router kan niet eenvoudig zien welke applicatie welk pakket heeft gegenereerd.
Hebben sommige apparaten op je netwerk de VPN nodig en mogen andere die juist absoluut niet gebruiken, dan zet de router-VPN iedereen achter hetzelfde exit-IP. Bankapps markeren VPN-verkeer. Regio-vergrendelde streamingdiensten breken. Een algemeen beleid op de router betekent een algemene omzeiling voor elke uitzondering.
Heb je één of twee apparaten, dan lost een laag op routerniveau een probleem op dat je niet hebt.
How-To Geek maakte het latentieargument in 2023: een netwerkbrede VPN legt de latentie van de VPN op aan elk aangesloten apparaat, ook apparaten die latentiegevoelig werk doen zoals gamen, videobellen en realtime vergaderingen die tijdens die activiteiten geen baat hebben bij VPN-bescherming. Dat argument klopt en is het afwegen waard. De oplossing is niet om de router-VPN op te geven. Het is om in te zien dat je sommige apparaten misschien van de tunnel wilt houden.
Veel commerciële VPN-providers beperken nog steeds het aantal gelijktijdige verbindingen per account, terwijl andere nu hogere of onbeperkte aantallen apparaten bieden. Een router-VPN kan toch nuttig zijn, omdat de provider de router meestal als één VPN-verbinding ziet, ook al zitten er meerdere apparaten achter.
Protocolkeuze: WireGuard, OpenVPN en de rest
Protocolkeuze doet er meer toe op een router dan op een laptop, omdat de router-CPU de versleuteling doet en de router-CPU traag is. Een moderne laptop met AES-NI verwerkt OpenVPN of WireGuard even goed op gigabit. Een consumentenrouter doet dat niet.
WireGuard is het juiste antwoord voor vrijwel elk scenario. De codebase is dramatisch kleiner dan die van OpenVPN, wat het makkelijker te auditen en reviewen maakt. De cryptografie is modern: ChaCha20 voor versleuteling, Poly1305 voor authenticatie, Curve25519 voor sleuteluitwisseling. De handshake voltooit in één round trip; de TLS-handshake van OpenVPN duurt er meerdere. De verwerkingskosten per pakket zijn laag genoeg dat consumentenrouter-CPU's het aankunnen waar ze met OpenVPN zouden worstelen. WireGuard wordt nu native ondersteund door ASUS, GL.iNET en de meeste custom-firmwareprojecten.
OpenVPN heeft nog steeds zijn plaats. Het is volwassen, breed ondersteund, en heeft bredere integratie met enterprise-authenticatiesystemen. Heb je een bestaande OpenVPN-uitrol met al uitgegeven certificaten, of heb je een specifieke compatibiliteitseis waaraan WireGuard nog niet voldoet, dan blijft OpenVPN een redelijke keuze. Het draait prima op capabele routers.
L2TP/IPsec verschijnt nog op veel router-adminpagina's, vooral voor compatibiliteit met oudere systemen. Het kan werken, maar het is niet het protocol om te kiezen voor een nieuwe VPN op routerniveau wanneer WireGuard beschikbaar is. PPTP moet als dood worden beschouwd. Het heeft bekende beveiligingsproblemen, en Microsoft is al begonnen met het uitfaseren van PPTP en L2TP uit toekomstige Windows Server-versies.
Professioneel advies
Is je router-CPU ouder dan vijf jaar en mist hij WireGuard-hardwareversnelling, draai dan toch WireGuard. Zelfs onversneld verslaat het meestal versneld OpenVPN op dezelfde hardware. De uitzonderingen zijn zeldzaam en betreffen specifieke Broadcom-chips met dedicated OpenVPN-offload. Kun je niet verifiëren of je router in zo'n randgeval valt, kies dan standaard voor WireGuard.
Een opmerking over de prestatieclaims die online rondgaan. WireGuard's eigen prestatiepagina beschrijft de gepubliceerde benchmarks als "oud, roestig en niet bepaald goed uitgevoerd." Dat zijn de eigen auteurs van het project. Specifieke doorvoerratio's die je in blogs van derden geciteerd vindt, zijn meestal niet gezaghebbend onderbouwd. De kwalitatieve claim dat WireGuard doorgaans beter presteert dan OpenVPN, vooral op hardware met minder vermogen, is goed onderbouwd. De specifieke multiplicatoren niet.
Moet je een VPN-router bouwen of een VPS-gateway gebruiken?
Voor een technische lezer is de zuiverdere vergelijking de plaatsing van het endpoint: eindigt de VPN op hardware in je huis, of op software die draait op een server die je huurt?
Een hardware-VPN-router heeft een paar specifieke sterke punten. De versleutelingsgrens is fysiek geïsoleerd tot een apparaat dat je bezit. Er zijn geen doorlopende huurkosten bovenop je ISP. Het mentale model is simpel: één apparaat, één config, één kabel naar de muur. Voor een reisscenario is een hardwarerouter in een formaat dat in je zak past (de Beryl-klasse GL.iNET-units, bijvoorbeeld) een werkelijk nuttig object.
Een VPS als gateway heeft andere sterke punten. Een fatsoenlijke VPS geeft je doorgaans voorspelbaardere rekenkracht en meer marge dan een goedkope consumentenrouter, vooral als je meerdere exits, een hogere uplink of meer gelijktijdige tunnels nodig hebt. Jij kiest de jurisdictie. De VPN-exit is waar de VPS ook staat, en je kunt hem verplaatsen. Jij beheert de VPN-daemon en de logging op applicatieniveau, al beheert de hostingprovider nog steeds de onderliggende infrastructuur. Wil je een tweede exit in een andere regio, dan start je in 10 minuten nog een VPS in plaats van nog een router te kopen.
Een redelijk startpunt voor het dimensioneren van een persoonlijke VPN-gateway is 1 vCPU en 1 GB RAM, wat 5 tot 10 gelijktijdige apparaatverbindingen aankan die WireGuard draaien op residentiële bandbreedtes. Zwaardere gelijktijdige versleuteling of een hogere uplink rechtvaardigt een CPU-geoptimaliseerd plan. Het versleutelingswerk is CPU-gebonden, niet geheugengebonden. Zie beste VPS voor VPN voor het dimensioneren van een plan.
Kies hardware als je nul maandelijkse kosten bovenop je ISP wilt, je al een capabele router bezit, of je specifiek een reisrouterformaat nodig hebt. Kies een VPS als je betere versleutelingsprestaties wilt dan een consumentenrouter kan leveren, jurisdictiekeuze op de exit, of je al andere diensten zelf host en er één daemon bij geen extra last is. Voor restrictieve netwerkomgevingen kan het VPS-pad ook makkelijker aan te passen zijn dan een standaard routeropzet, omdat je de serversoftware beheert en niet beperkt bent tot de protocollen die de routerfabrikant in zijn adminpaneel blootstelt.
Neem je het VPS-pad, dan zijn de aankoopcriteria simpel: kies een nabijgelegen regio, genoeg CPU voor versleuteling, een dedicated IP, en een provider die je root-toegang geeft zonder de netwerkdetails te verbergen. Cloudzy's Linux VPS is hiervoor een optie, en de marketplace heeft one-click WireGuard en OpenVPN Access Server-uitrollen als je de handmatige serveropzet wilt overslaan.
Veelgestelde vragen
Heb ik een speciale router nodig om een VPN te gebruiken?
Nee. Je hebt geen speciale router nodig als je huidige router al VPN-clientmodus ondersteunt. Veel recente ASUS- en GL.iNET-modellen ondersteunen WireGuard of OpenVPN in de standaardfirmware, maar de ondersteuning hangt af van het exacte model en de firmwareversie. Ondersteunt je router geen VPN native, dan kun je ofwel custom firmware zoals OpenWrt installeren, ofwel de VPN op een apart apparaat draaien, zoals een VPS, Raspberry Pi of kleine Linux-server, waar de router doorheen routeert.
Vertraagt een VPN-router mijn internet?
Ja, enigszins. De CPU van de router doet het versleutelingswerk, en consumentenrouter-CPU's zijn trager dan de CPU's in je telefoon of laptop. De omvang van de vertraging hangt af van de chip van de router, het protocol (WireGuard is lichter dan OpenVPN), en of de router hardwareversnelling heeft. Een moderne router die WireGuard draait verliest meestal een klein deel van de WAN-doorvoer. Een oudere router die OpenVPN draait kan veel meer verliezen.
Wat is het verschil tussen een VPN-router en een VPN-app op mijn apparaat?
Een VPN-router plaatst de tunnel op netwerkniveau, zodat elk aangesloten apparaat (telefoon, laptop, smart-tv, console, IoT) automatisch de VPN gebruikt zonder iets te installeren. Een VPN-app plaatst de tunnel op één apparaat en beschermt alleen dat apparaat, maar biedt fijnere controle: routering per app, makkelijk serverwisselen, en het uitsluiten van specifieke apps. De afweging is dekking voor het hele netwerk versus flexibiliteit per apparaat.
Welk VPN-protocol moet ik op mijn router gebruiken, WireGuard of OpenVPN?
WireGuard, in vrijwel elk geval. De codebase is kleiner, de cryptografie is modern, en de verwerkingskosten per pakket zijn laag genoeg dat consumentenrouter-CPU's het goed aankunnen. OpenVPN blijft een redelijke keuze als je al een OpenVPN-uitrol hebt met uitgegeven certificaten, of als je een specifieke compatibiliteitseis hebt waaraan WireGuard nog niet voldoet.
Kan ik een VPS gebruiken in plaats van een hardware-VPN-router?
Ja. Installeer WireGuard of OpenVPN op een Linux-VPS, en wijs dan ofwel een OpenWrt- of DD-WRT-router ernaar als upstream-tunnel, ofwel verbind afzonderlijke apparaten direct met de VPS. Deze aanpak geeft je jurisdictiekeuze op de exit, controle over de VPN-daemon en zijn logs op applicatieniveau, en meer rekenmarge dan de meeste consumentenrouter-opzetten. De afweging is dat je een server beheert, inclusief het patchen en monitoren ervan.
