VPN World

VPN DNS-lek: Testen en oplossen (België 2026)

Snel antwoord: Als je VPN aan staat maar je DNS-resolver nog steeds bij Telenet of Proximus staat, heb je een DNS-lek. Bij Telenet is het dubbel verraderlijk: IPv6 lekt vaak buiten de tunnel — ook als DNS er wel doorheen gaat.

Test nu: Controleer je verbinding met onze Leak Test Tool voordat je instellingen wijzigt. Zo zie je exact of Proximus, Telenet of een openbaar netwerk nog DNS of IPv6 ziet.

Proximus gebruikt een transparante DNS-proxy: ze leiden je queries om naar hun servers, zelfs als je een andere DNS hebt ingesteld. Je ziet het niet, maar het gebeurt. De enige betrouwbare fix is DNS door je VPN-tunnel forceren met kill switch op "strict".

Op NMBS/SNCB-wifi, hotel- of kantoornetwerken verplichten captive portals je om via hun systeem te verbinden vóór de VPN goed draait. Resultaat: je eerste DNS-requests lopen via het publieke netwerk. Fix: verbind opnieuw via VPN nadat je door de portal bent.

2-minuten-fix: (1) Test DNS zonder VPN — noteer de resolver. (2) Zet VPN aan. (3) Hertest — veranderde de resolver? Dan ben je dicht. Check ook IPv6 en WebRTC apart. Gebruik het dashboard hieronder om alle 25 checks bij te houden.

Denys Shchur – auteur
Geschreven door Denys Shchur Bijgewerkt: 25 maart 2026 · 15–20 min leestijd
Probeer NordVPN — sterke DNS leak protection Probeer Surfshark — makkelijke dagelijkse setup Probeer Proton VPN — privacy-first aanpak

Affiliate-links (nofollow/sponsored). Als je via deze links koopt, kan VPN World een commissie ontvangen zonder extra kost voor jou.

  • Proximus + Telenet BE-checks
  • DNS + IPv6 + WebRTC in één flow
  • Fix per platform (Windows → router)
VPN DNS-lek: Testen en oplossen (België 2026)
Inhoud

DNS AUDIT CENTER

0%
SYSTEM KWETSBAAR
PAGINA 1 / 7
↑ Terug naar boven

Wat is een DNS-lek en waarom telt het?

DNS is het "telefoonboek" van het internet: je toestel vraagt een resolver "waar staat example.com?". Met een VPN verwacht je dat die DNS-requests ook door de tunnel gaan — naar de DNS van je VPN-provider, niet die van je ISP. Bij een DNS-lek gebeurt het tegenovergestelde. Wie eerst de basis wil scherpzetten, kan ook wat is een VPN lezen en daarna deze checklist stap voor stap volgen.

Dat betekent niet meteen dat iemand je volledige pagina's kan meelezen (HTTPS helpt daartegen), maar het onthult je browsegedrag op domeinniveau. Voor gebruikers van openbaar wifi is dat het verschil tussen veilig en kwetsbaar.

Snelle diagnose: symptoom → oorzaak → fix
Symptoom Waarschijnlijk Snelle fix
DNS-server = Telenet/Proximus (ook met VPN aan) VPN forceert geen DNS / OS gebruikt "fallback" resolver VPN-app: DNS protection aan + kill switch / lockdown-mode
DNS verandert per wifi-netwerk Netwerk voert eigen DNS af (captive portal / router policy) Custom DNS + VPN opnieuw verbinden na portal
IPv6-adres zichtbaar terwijl VPN aan is IPv6 gaat buiten de tunnel (Telenet dual-stack) IPv6 blokkeren in app of OS (of VPN die IPv6 tunnelt)
WebRTC toont lokaal/publiek IP Browser-lek via WebRTC WebRTC beperken + browser hardening
DoH actief in browser, maar inconsistent Browser "overtuigt" DNS buiten VPN om DoH in browser uit, of via VPN provider/OS beheren
Sleutelinzicht:

Belgische ISP's (Telenet, Proximus) loggen DNS-queries standaard. Een DNS-lek geeft hen inzicht in je browsegedrag op domeinniveau — ook als je VPN aan staat en HTTPS je content beschermt.

Belgische ISP's: Proximus, Telenet en de DNS-driehoek

In België zijn er twee typische lekbronnen die je nergens anders tegenkomt: Proximus DNS-hijacking (transparante proxy) en Telenet IPv6-lekken (dual-stack infrastructuur). Samen vormen ze wat we de "Belgische DNS-driehoek" noemen: twee foutieve bestemmingen voor je DNS-verkeer in plaats van je VPN.

Gebruik het dashboard hierboven (checks be02 t/m be09) om je provider-specifieke lekken te documenteren. Zie ook VPN kill switch voor waarom "strict" mode de beste verdediging is tegen Proximus-fallback.

De Belgische Leak-Matrix (2026)

GEBRUIKER LEK: TELENET IPv6 (BYPASS) LEK: PROXIMUS DNS HIJACK VEILIGE VPN TUNNEL WEB
Belgische ISP's en DNS-gedrag (2026)
Provider DNS-hijacking IPv6-lekrisico Captive portal Aanbevolen fix
Proximus Transparante DNS-proxy (queries omgeleid naar eigen servers) Gemiddeld Ja (hotspot, business) Kill switch + DNS protection aan — controleer resolvers na verbinden
Telenet ISP-DNS standaard, IPv6 actief Hoog (dual-stack) Hotspot (Fon-netwerk) IPv6 blokkeren of VPN met IPv6-tunnel — Telenet Fon opnieuw verbinden na portal
Orange BE Gedeeltelijk (DNS redirect op publieke hotspots) Laag tot gemiddeld Ja (office/retail locaties) Custom DNS + VPN actief vóór verbinden
VOO / Scarlet DNS-proxy op netwerkniveau Gemiddeld Captive portal op publieke spots Kill switch + DNS lock — her-test na portal-bypass
De Belgische driehoek van DNS-lekken Proximus · Telenet · VPN-DNS — waar gaat jouw DNS naartoe?
VPN-DNS ✅ Correcte bestemming Proximus ❌ DNS-proxy hijack transparant omgeleid Telenet ❌ IPv6-lek actief dual-stack buiten tunnel Jouw toestel (VPN aan) ✅ Wil je dit ❌ DNS-lek Proximus proxy ❌ IPv6-lek Telenet dual-stack
Sleutelinzicht:

Telenet's IPv6 + Proximus DNS-proxy zijn de twee meest voorkomende oorzaken van DNS-lekken in België. Kill switch (strict) + IPv6-blokkering lost 90% op. Controleer checks be02 en be03 in het dashboard.

Testflow: baseline → VPN aan → hertest

De beste check is saai maar betrouwbaar: eerst meten zonder VPN (baseline), dan dezelfde test met VPN. Als de DNS-resolver dezelfde blijft, lekt hij. Zie ook optimale VPN-instellingen voor de basis vóór je gaat debuggen.

Na de fix: Meet of je prestaties stabiel blijven met onze Speed Test Tool. Zo zie je meteen of je oplossing privacy verbetert zonder onnodig snelheidsverlies.
Flow: hoe DNS hoort te lopen (met VPN) — en hoe het fout gaat DNS-lek = resolver buiten de tunnel
Toestel (pc / mobiel / console) VPN-tunnel (WireGuard / OpenVPN) VPN-DNS resolver (wat je wil) ✅ Correct: DNS gaat door de tunnel ISP / Wi-Fi DNS (Telenet/Proximus/hotel) ❌ Lek-pad Websites (HTTPS blijft vaak oké)

Wat je precies moet vergelijken

  • DNS resolver(s): zijn het IP's van je VPN-provider of van je ISP (Telenet/Proximus)?
  • IPv6: is er een IPv6-adres zichtbaar dat niet bij de VPN hoort? (Telenet-specifiek)
  • WebRTC: lekt je browser een lokaal/publiek IP?
  • DoH (DNS over HTTPS): forceert je browser een andere resolver buiten je VPN?
Sleutelinzicht:

Altijd baseline meten vóór VPN + hertest ná VPN. Als de DNS-resolver niet verandert naar VPN-servers, is er een lek. Noteer resolver-IP's en vergelijk ze nauwkeurig.

Meest voorkomende oorzaken

In de praktijk komt het bijna altijd neer op één van deze vier: (1) de VPN-app forceert DNS niet hard genoeg, (2) IPv6 blijft buiten de tunnel, (3) de browser knutselt met DoH, (4) split tunneling of "smart features" sturen verkeer langs de VPN. Meer over welke VPN-protocollen IPv6 goed tunnelen.

Leak vectors: waar het mis kan gaan DNS · IPv6 · WebRTC · DoH · Split tunneling
DNS (resolver) ISP fallback / captive portal IPv6 buiten tunnel als VPN geen IPv6 doet WebRTC (browser) local IP / STUN routes DoH / Split tunneling browser of app kiest eigen pad Resultaat ISP ziet domeinen of je IP lekt
Sleutelinzicht:

Vier lekpaden: DNS-fallback (ISP), IPv6 buiten tunnel (Telenet), WebRTC browser-lek, DoH omzeilt VPN. Check ze allemaal — ze kunnen tegelijk actief zijn.

Fixes per platform (Windows, macOS, Android, iOS)

Dit is het deel waar je niet moet overdrijven. Het doel is: DNS door de tunnel + geen IPv6/WebRTC verrassingen. Niet: 40 tweaks die je netwerk breken. Als je twijfelt welk protocol het properst met DNS en IPv6 omgaat, bekijk ook VPN-protocollen.

Checklist per platform — "doe dit eerst" versie (België-editie)
Platform Wat je aanzet Waar je op let Belgische tip
Windows DNS protection + kill switch (lockdown) Geen "Smart Multi-Homed Name Resolution" fallback Proximus-fallback wordt geblokkeerd door strict kill switch
macOS VPN-native app, liefst met "prevent DNS leaks" Let op iCloud Private Relay / DoH apps Pauzeer iCloud Private Relay als je Telenet gebruikt
Android Always-on VPN + blokkeren zonder VPN Private DNS (DoT) kan verkeer splitten Telenet IPv6 check: schakel Private DNS naar "Automatisch"
iPhone/iPad On-demand + "Block connections without VPN" Let op profiel conflicts / DNS apps NMBS-wifi: verbind opnieuw na captive portal
Router VPN op router of eigen router achter modem DNS-forcing + IPv6 policy op LAN Stabielste optie voor Proximus/Telenet thuismodem

Windows: de typische "het werkte gisteren nog" case

Windows is berucht om "behulpzaam" te zijn: als het denkt dat DNS traag is, probeert het soms alternatieven. Zet daarom in je VPN-app de DNS-leak protection en kill switch op strict. Bij Proximus-gebruikers is dit extra belangrijk: de transparante proxy wacht gewoon op het moment dat je VPN-DNS-forcing wegvalt.

Als de video niet laadt: bekijk op YouTube.

Android: Always-on VPN + Telenet IPv6-check

Op Android lost "Always-on VPN" 80% op. Maar check ook Private DNS (DNS over TLS): als dat op een externe provider staat, eindigt je DNS buiten de VPN. Telenet-gebruikers: stel Private DNS in op "Automatisch" zodat de VPN-app de DNS volledig overneemt.

Sleutelinzicht:

DNS protection + kill switch op "strict" lost 80% van alle Belgische DNS-lekken op. Voeg IPv6-blokkering toe voor Telenet-gebruikers en je hebt 95% gedekt.

Router & Smart DNS: wanneer wel/niet

Een DNS-lek fix je meestal in de VPN-app. Maar in sommige setups (Proximus/Telenet modem, restricties, gedeeld wifi) is een router-oplossing of bridge gewoon stabieler.

Belangrijk: Smart DNS is geen VPN

Smart DNS is top voor streaming (VRT MAX, Streamz), maar het versleutelt je verkeer niet. Gebruik het voor geo-blokkades, maar niet als je doel privacy of veiligheid is. Zie ook: VPN op router instellen voor de veiligste centrale oplossing.

  • Streaming: Smart DNS = vaak sneller, minder gedoe
  • Privacy/security: echte VPN (router of device)
Router-VPN vs Smart DNS vs device-VPN (in één oogopslag) wat je wint / wat je opgeeft
Router-VPN ✅ alle toestellen ✅ stabiel DNS policy ✅ Proximus/Telenet bypass ⚠ setup complexer ⚠ snelheid = router CPU Smart DNS ✅ beste voor streaming ✅ vaak snel ❌ geen encryptie ❌ geen privacy shield ❌ lost DNS-lek niet op Device-VPN ✅ eenvoudig ✅ per app controle ⚠ DNS-leaks mogelijk ⚠ per toestel instellen ⚠ IPv6 check nodig
Sleutelinzicht:

Smart DNS is niet veilig voor privacy. Router-VPN = meest stabiele DNS-forcing voor alle toestellen thuis — ideaal achter een Proximus/Telenet modem.

Retest-routine na updates

Een DNS-lek komt vaak terug na updates: OS-update, browser-update, VPN-app update, of je wisselt van netwerk. Maak het jezelf makkelijk: retest in 60 seconden. Gebruik checks be21 t/m be24 in het dashboard.

  1. Test zonder VPN (baseline) en noteer resolver(s).
  2. VPN aan → test opnieuw. Resolver moet veranderen naar VPN (of neutraal).
  3. Check IPv6 + WebRTC (zeker in browsers op Telenet-netwerk).
  4. Als het misgaat: toggle DNS protection / kill switch → her-test.
  5. Na NMBS/hotel-wifi: verbind VPN opnieuw nadat je door de portal bent.
Interpretatie van testresultaten (snelle beslisboom)
Je ziet… Betekent meestal… Wat je doet
DNS = Proximus/Telenet, VPN = aan DNS loopt buiten tunnel — provider proxy actief DNS protection/kill switch aan, DoH uit, her-test
DNS = VPN, maar IPv6 lekt IPv6 buiten tunnel (Telenet dual-stack) IPv6 blokkeren of VPN die IPv6 tunnelt
DNS = VPN, WebRTC lekt Browser-lek via WebRTC WebRTC beperken + browser settings/extensie
Alles oké thuis, lek op NMBS/hotel-wifi Captive portal / netwerk policy VPN opnieuw verbinden na portal-bypass
Alle tests oké, maar je "voelt" je nog gevolgd Tracking via cookies/device fingerprinting VPN is niet genoeg: browser hygiene, accounts, cookies
Sleutelinzicht:

Retest na elke update (OS, VPN, browser). 60 seconden check = gemoedsrust. Lekken keren terug na updates — maak retesten een gewoonte, niet een uitzondering.

Vergelijking: "Veilige DNS" in België (Audit 2026)
Provider / Service Protocol Privacy Level VPN World Rating
Proximus Default Standard UDP ❌ Zeer Laag Vermijden (logs ~6 mnd)
Telenet Default Standard UDP ❌ Laag Onveilig (IPv6 leaks)
Google DNS DoH / DoT ⚠️ Gemiddeld Snel, maar data-mining
Cloudflare (1.1.1.1) DoH / DoT ✅ Hoog Goed alternatief
VPN Private DNS Encrypted (in-tunnel) 🏆 Maximaal Aanbevolen voor 2026

FAQ

Wat is een DNS-lek met een VPN?
Een DNS-lek betekent dat DNS-queries buiten de VPN-tunnel gaan — naar de servers van je ISP. Daardoor kan je provider (Telenet, Proximus) alsnog zien welke domeinen je opvraagt, ook al staat je VPN aan.
Hoe test ik snel of ik een DNS-lek heb?
Baseline zonder VPN (noteer resolver-IP's), dan VPN aan en hertest. Als de resolver dezelfde blijft (Telenet/Proximus-IP's), is er een lek. Check ook wifi beveiliging want veel lekpaniek start op slecht geconfigureerd wifi.
Moet ik altijd IPv6 uitzetten?
Niet per se — maar bij Telenet-abonnementen is IPv6-blokkering de meest pragmatische fix. Telenet heeft een actieve dual-stack infrastructuur; als je VPN geen IPv6 tunnelt, lekt het. "IPv6 uit" is niet sexy, maar het werkt direct.
Is DoH (DNS over HTTPS) goed of slecht?
"Goed" voor privacy tegen je lokale netwerk, maar "slecht" als het je VPN-DNS omzeilt. In een VPN-situatie wil je consistentie: één pad, één policy. Schakel DoH uit in je browser als je VPN al DNS beheert.
Waarom lekt Telenet specifiek IPv6 bij VPN?
Telenet heeft een actieve dual-stack infrastructuur (IPv4 + IPv6). Als je VPN-app geen IPv6 in de tunnel opneemt of niet actief blokkeert, stuurt je toestel IPv6-verzoeken rechtstreeks naar Telenet's resolvers — buiten de VPN-tunnel. Oplossing: IPv6 blokkeren in je VPN-app of OS-instellingen, of kies een VPN die IPv6 tunnelt (check be03 in het dashboard).
Is Proximus DNS-hijacking legaal en hoe omzeil ik het?
Proximus gebruikt een transparante DNS-proxy: ze leiden je DNS-queries om naar eigen servers, ook als je een andere DNS hebt ingesteld. Dit is een grijze zone in de Belgische telecomwetgeving. Als je VPN actief is en DNS door de tunnel gaat, omzeil je het automatisch. Zet DNS protection en kill switch op "strict" in je VPN-app en her-test (check be02 + be06 in het dashboard).
Sleutelinzicht:

IPv6-lekken (Telenet) en DNS-hijacking (Proximus) zijn Belgisch-specifiek. Een goede VPN met kill switch op "strict" lost beide op — zonder extra tools of complexe instellingen.

Probeer NordVPN — DNS leak protection Probeer Surfshark — snelle setup Probeer Proton VPN — privacy-first
Snelle samenvatting: In België komen DNS-lekken vooral van ISP-DNS, actieve IPv6-configuraties en captive portals op openbaar wifi. Test altijd in deze volgorde: DNS, IPv6, WebRTC. Pas telkens één instelling aan, her-test meteen en controleer of resolvers van Proximus, Telenet of Orange Belgium verdwenen zijn.