VPN-killswitch uitgelegd: wat hij doet, waarom het uitmaakt, en hoe je verifieert dat de jouwe werkt
Een VPN-killswitch blokkeert al het niet-VPN-verkeer wanneer de tunnel wegvalt, zodat je echte IP-adres niet midden in een sessie lekt. Hier lees je wat elke grote geauditeerde VPN biedt, en hoe je het zelf test.
Wat een VPN-killswitch is
Een VPN-killswitch is een functie die al het internetverkeer op een apparaat blokkeert wanneer de VPN-tunnel niet actief is. Het doel is te voorkomen dat je echte, door de provider toegewezen IP-adres lekt naar een doeldienst in het korte venster tussen het wegvallen van de tunnel en een nieuwe verbinding. Tunnels vallen weg om alledaagse redenen — netwerkwissel, serverherstart, slaapstand van de laptop — en zonder killswitch faalt het besturingssysteem 'open', waarbij pakketten via de kale interface worden gerouteerd totdat de VPN opnieuw verbindt. Met een killswitch worden die pakketten gedropt. De doeldienst ziet ofwel het VPN-exit-IP, ofwel niets.
Welke geauditeerde VPN's een killswitch bieden
Alle vijf grote geauditeerde betaalde VPN's bieden een killswitch in hun officiële client-apps: Mullvad (de firewallmodus is de killswitch-implementatie; gedocumenteerd op mullvad.net), Proton VPN (killswitch + permanente-killswitch-opties op elk platform), NordVPN (systeembrede killswitch op macOS / Windows / Linux; iOS gebruikt Apples Always-On VPN-profiel), ExpressVPN (Network Lock — killswitch met eigen merknaam) en Surfshark (killswitch gedocumenteerd in de app-instellingen). De implementatie verschilt per platform: op macOS / Windows / Linux is een firewallregel op OS-niveau de sterkste implementatie; op iOS hangt het killswitch-gedrag ervan af of de configuratie als een Per-App VPN of als een Always-On-profiel is geïnstalleerd.
Killswitch-gedrag maakt deel uit van de auditscope
Killswitch-gedrag is niet zomaar een functie — het is een standaard testdoel in de gepubliceerde infrastructuuraudits. Cure53's Mullvad-audit (juni 2024) omvatte white-box-beveiligingstests die 'alles wat de privacy raakt' dekten op productie-OpenVPN- en WireGuard-servers; niet kunnen herstellen van een weggevallen verbinding zonder te lekken zou een bevinding zijn. Praetorian en Cure53 beoordeelden ExpressVPN's Lightway-Rust-herschrijving in sep–okt 2024; het hertest-resultaat in december 2024 bevestigde de remediëring van alle gemelde problemen. De correctheid van de killswitch maakt impliciet deel uit van elke 'no-logs / no-leak'-claim — als een killswitch-fout het echte IP lekt, is de no-logs-eigenschap voor die verbinding zinloos.
Hoe killswitch-implementaties verschillen
Er bestaan drie patronen. (1) Firewallregels op OS-niveau — het sterkst. De VPN-client installeert PF-/iptables-/Windows-Firewall-regels die al het niet-tunnelverkeer droppen. Mullvads firewallmodus valt in deze categorie. (2) Killswitches op app-niveau — zwakker. De VPN-client blokkeert verkeer alleen van een geconfigureerde app-lijst. Handig om selectief een torrent-client te stoppen wanneer de tunnel wegvalt, maar beschermt geen achtergrondverkeer van andere apps. (3) Always-On VPN van iOS — sterk maar voorwaardelijk. De Always-On-configuratie op OS-niveau zorgt ervoor dat er geen verkeer stroomt zonder de VPN, maar werkt alleen wanneer ze als beheerd profiel is geconfigureerd, niet als een consumenteninstallatie met één tik. De documentatie van Always-On VPN staat op Apples developer-site (developer.apple.com).
Hoe je verifieert dat je killswitch werkt
Maak verbinding met je VPN, open een terminal en voer `curl ifconfig.me` uit om te bevestigen dat het VPN-exit-IP verschijnt. Schakel daarna je netwerkinterface uit (Wi-Fi uit / Ethernet losgekoppeld) en weer in. Terwijl het netwerk opnieuw wordt opgebouwd, voer je dezelfde curl in een strakke lus uit. Als je tijdens het opnieuw verbinden je echte provider-IP ziet, faalde de killswitch. Als je niets ziet (curl geeft fouten als 'no route to host' of vergelijkbaar) totdat de VPN opnieuw verbindt, werkte de killswitch. Deze test is alleen destructief voor de lopende VPN-sessie — er is geen account of testopstelling voor nodig. Herhaal voor elk VPN-protocol dat je client ondersteunt (WireGuard en OpenVPN gedragen zich anders bij het opnieuw verbinden).
Wanneer de killswitch genoeg is — en wanneer niet
Een killswitch beschermt het korte venster waarin de tunnel wegvalt. Hij beschermt niet tegen DNS-lekken terwijl de tunnel actief is (dat is een aparte zorg, afgedekt door de DNS-configuratie van de VPN), en hij maakt achteraf geen reeds gelekte data ongedaan die stroomde voordat de tunnel opkwam. Start de VPN altijd voordat je de activiteit start die van de VPN afhangt — killswitches hebben geen geheugen.
Bronnen
Mullvad-audit (Cure53 juni 2024): mullvad.net/en/blog/fourth-infrastructure-audit-completed-by-cure53. Proton VPN no-logs-audits: protonvpn.com/blog/no-logs-audit. NordVPN-audits: nordvpn.com/blog/nordvpn-no-logs-audit-2024. ExpressVPN Lightway-audits: expressvpn.com/blog/lightway-audits-cure53-praetorian. Apple Always-On VPN: developer.apple.com (zoek op 'Always-On VPN'). Alle URL's geraadpleegd op 2026-04-30.