Lees eerst deel 1: Waarom ik mijn eigen privacyhub bouwde
VPN DNS lek oplossen: hoe ik het vond én oploste – Deel 2
Mijn setup leek waterdicht. WireGuard werkte, apparaten waren verbonden, Pi-hole draaide. Maar toch klopte er iets niet: ik zag amper geblokkeerde verzoeken in Pi-hole. En dat is vreemd als je weet dat er op een gemiddelde dag honderden trackers langskomen.
Na wat graafwerk bleek het: ik had een klassiek geval van een VPN DNS lek. Mijn DNS-verkeer liep buiten de VPN om. In deze post lees je hoe ik dat ontdekte, waarom het gebeurde en vooral: hoe je zelf zo’n DNS-lek oplost.
Wat wilde ik bereiken?
- Een veilige VPN-tunnel voor al het verkeer (WireGuard)
- Volledige DNS-filtering via mijn eigen Pi-hole-server
- Geen datalekken of tracking meer door DNS-lekken
Hoe kwam ik erachter?
Ik zag in de Pi-hole logs bijna geen activiteit. Maar mijn apparaten hadden wél internet. Na tests met dig en tcpdump ontdekte ik: DNS-verzoeken gingen rechtstreeks naar externe resolvers. Dus niet via mijn server. Dat was de crux.
VPN DNS lek oplossen: zo pakte ik het aan
1. DNS forceren via Pi-hole
Ik configureerde mijn VPN-clients zo dat alle DNS-verzoeken via mijn Pi-hole-server liepen. Daarbij schakelde ik fallback-DNS uit op mijn apparaten (zoals Android).
2. Al het verkeer via de tunnel sturen
Ik paste mijn WireGuard-config aan:
AllowedIPs = 0.0.0.0/0, ::/0
Hiermee wordt zowel IPv4 als IPv6 verkeer door de tunnel geleid – geen uitzonderingen.
3. Firewallregels instellen
Op de server zorgde ik dat verkeer buiten de VPN geblokkeerd werd. Alleen verkeer via de tunnel mocht door. Zo is DNS-lekpreventie afgedwongen.
4. Testen, loggen, bevestigen
Met tcpdump en dig controleerde ik of alles werkte. Nu zag ik tientallen DNS-requests in de Pi-hole logs. Blokkades werkten, tracking verdween. Missie geslaagd.
Wat ik leerde
- Een VPN zonder goede DNS-config is schijnveiligheid
- DNS-lekken zijn onzichtbaar tot je ze test
- Blind vertrouwen op ‘alles werkt’ is gevaarlijk
- Bekijk Privacy Guides als betrouwbare bron voor uitleg over dit soort lekken
Gebruik je WireGuard of een andere VPN? Check dan altijd of DNS écht via je tunnel loopt. Anders ondermijn je je eigen privacy.
Meer lezen?
Deel 3 komt eraan: hoe ik te veel tegelijk wilde doen – en mijn hele systeem onstabiel werd.
Vragen of herken je dit probleem? Reageer of neem contact op via de contactpagina.
Extra tips om een VPN DNS lek op te lossen
Wil je zeker weten dat je VPN DNS lek opgelost is? Dan zijn hier enkele extra stappen die ik zelf toepaste:
- Gebruik dnsleaktest.com om te testen of je DNS nog lekt.
- Forceer DNS-routing via je tunnel door
AllowedIPs = 0.0.0.0/0, ::/0te gebruiken in je WireGuard-configuratie. - Voeg firewallregels toe op je VPS die enkel verkeer toestaan via de tunnelinterface (bijv. wg0).
- Gebruik tcpdump om te controleren of DNS-verkeer binnenkomt op poort 53 vanaf je VPN-interface.
Veel mensen vergeten DNS helemaal, of denken dat de VPN alles vanzelf regelt. Maar een VPN DNS lek oplossen vraagt om nauwkeurige instellingen. Gelukkig is het geen raketwetenschap als je weet waar je moet kijken.
Veelgestelde vragen over VPN DNS lekken
Wat is een VPN DNS lek?
Een DNS-lek betekent dat je apparaat DNS-verzoeken buiten de VPN om stuurt, wat jouw activiteiten zichtbaar maakt voor derden.
Hoe weet ik of ik een DNS-lek heb?
Bezoek een site als dnsleaktest.com met je VPN aan. Zie je externe resolvers zoals van je provider? Dan heb je een lek.
Kan ik het oplossen zonder command-line?
Deels wel. Apps zoals Mullvad en ProtonVPN hebben ingebouwde DNS-lekbescherming. Toch is een handmatige check altijd slim.
