Hoe configureer je een Raspberry Pi als persoonlijke VPN-server thuis?

T
Tony de Bree
Business Coach & Nomade Expert
Wereldwijd Internet & Netwerkbeveiliging · 2026-02-15 · 6 min leestijd

Je bent op een terras in Lissabon of in een coworking-space in Chiang Mai en je wilt gewoon je eigen internetverbinding vertrouwen. Openbare wifi is handig, maar niet veilig genoeg voor je bankzaken of klantdata.

Een Raspberry Pi thuis is je persoonlijke backdoor: een VPN-server die altijd aanstaat en waarmee je overal ter wereld veilig terugkeert naar je thuissysteem.

Je bouwt hem in een uurtje, en daarna heb je altijd je eigen beveiligde tunnel.

Wat je nodig hebt: materiaal en voorwaarden

Voor deze klus heb je een stabiele basis nodig. Een Raspberry Pi 4 (2GB of 4GB) is ideaal; die draait soepel en verbruikt weinig stroom.

Een Raspberry Pi 5 is nog sneller, maar een 4 doet het werk prima. Reken op een kostenplaatje van zo’n €60–€120, afhankelijk van wat je al hebt. Qua software kiezen we voor WireGuard: lichtgewicht, snel en perfect voor mobiele apparaten.

Als je thuis een Raspberry Pi draait, is het slim om hem bedraad aan te sluiten. Wifi werkt, maar een vaste kabel is betrouwbaarder voor een server. Zorg dat je admin-rechten hebt op je thuismodem en dat je weet hoe je poorten kunt doorsturen.

Stap 1: Raspberry Pi installeren en voorbereiden

  1. Download Raspberry Pi Imager en installeer Raspberry Pi OS Lite (64‑bit) op je microSD‑kaart. Kies voor een headless‑setup, zonder desktopomgeving.
  2. Voor je de kaart schrijft, configureer direct wifi en ssh: in de Imager klik je op “Advanced options” en zet je hostname, wifi en ssh aan. Geef een sterk wachtwoord voor de default user.
  3. Schrijf de kaart, stop hem in de Pi, sluit de netwerkkabel aan op je router en start de Pi op. Gebruik een officiële voeding; een zwakke lader levert problemen op.
  4. Log in via ssh vanaf je laptop: ssh [email protected]. Update met sudo apt update && sudo apt upgrade -y. Reken op 10–20 minuten voor eerste installatie.

Veelgemaakte fouten: vergeten ssh aan te zetten, een te zwakke voeding gebruiken, of de verkeerde OS-variant kiezen. Kies Lite om resources vrij te houden voor de VPN. Zorg dat je Pi een vast IP krijgt in je netwerk; dat regel je in de router of via dhcp-reservatie.

Stap 2: Kies en installeer je VPN-software

WireGuard is licht, snel en makkelijk te beheren. Zelf een WireGuard VPN server instellen kan rechtstreeks of via een tool als PiVPN die het proces automatiseert.

  1. Installeer PiVPN met één commando: curl -L https://install.pivpn.io | bash. De wizard loopt met je mee; kies WireGuard als VPN-type.
  2. Geef je Pi een vast IP-adres (bijvoorbeeld 192.168.1.50) en kies een poort, standaard 51820/udp. De wizard test of de poort vrij is.
  3. Stel DNS in: kies Cloudflare (1.1.1.1) of Quad9 (9.9.9.9). Dit versnelt en beveiligt je DNS-verkeer.
  4. Maak je eerste client aan met pivpn add. Geef een naam, bijvoorbeeld “laptop-lisbon”. Het configuratiebestand verschijnt in /home/pi/configs.

Wij gaan voor PiVPN: dat zet WireGuard netjes op en helpt bij beheer. Veelgemaakte fouten: vergeten een vast IP te reserveren, waardoor je na een reboot een ander adres krijgt. Ook: een verkeerde DNS kiezen die traag is. Tijd: 10–15 minuten. Ga je op reis naar Azië? Zorg dan dat je de beste VPN voor China bij de hand hebt.

Stap 3: Poorten openen en beveiligen

Je Pi moet vanaf internet bereikbaar zijn. Log in op je router (vaak 192.168.1.1 of 192.168.0.1) en zet port forwarding aan voor UDP-poort 51820 naar het vaste IP van je Pi.

  1. Zoek “Port forwarding” of “NAT” in je router en voeg een regel toe: protocol UDP, externe poort 51820, interne poort 51820, doeladres het vaste IP van je Pi.
  2. Controleer of je publieke IP-adres vast is of gebruik een dynamic DNS-service (bijvoorbeeld duckdns.org) als je een dynamisch IP hebt. Geef je Pi een domeinnaam zoals mijnvpn.duckdns.org.
  3. Beveilig je Pi: zet fail2ban aan (sudo apt install fail2ban) en configureer een basissjabloon. Zet de firewall aan met ufw: sudo ufw allow 22/tcp, sudo ufw allow 51820/udp, sudo ufw enable.
  4. Test of poort 51820 open staat via een online portchecker vanaf je telefoon (4G). Als het niet lukt, check dan of je modem in bridge-modus staat of dat er dubbele NAT is.

Gebruik geen UPnP; dat is minder veilig. Veelgemaakte fouten: poort openen naar verkeerd IP, vergeten dynamic DNS in te stellen, of firewall blokkeert alles. Tijd: 15–20 minuten.

Stap 4: Clientconfiguratie voor al je apparaten

Je hebt nu een configuratiebestand voor je eerste apparaat. Die kun je delen via QR-code of bestand.

  1. Op de Pi: pivpn -qr en kies het clientnummer. Laat je telefoon de QR-code scannen met de WireGuard-app. Sla de configuratie op.
  2. Test de verbinding: schakel 4G in, activeer de tunnel en bezoek https://whatismyipaddress.com. Je moet je thuispubic IP zien, niet die van je mobiele provider.
  3. Voeg meer clients toe voor je laptop en tablet. Gebruik duidelijke namen als “laptop-amsterdam” of “phone-chiangmai” voor overzicht.
  4. Stel “AllowedIPs” in: voor volledige tunneling thuis gebruik je 0.0.0.0/0; voor split-tunneling (alleen thuisnetwerk) geef je je thuissubnet op, bijvoorbeeld 192.168.1.0/24.

    5. WireGuard-apps zijn gratis voor iOS, Android, Windows, macOS en Linux. Veelgemaakte fouten: vergeten de tijd te synchroniseren op je Pi (WireGuard is tijdgevoelig), of verkeerde AllowedIPs kiezen waardoor internet niet werkt. Tijd: 10 minuten.

    Stap 5: Onderhoud en monitoring voor onderweg

    Als digitaal nomade wil je dat je server stabiel blijft zonder dat je elke week inlogt. Zet automatische updates aan en monitor je logs.

    1. Schakel onbeheerde upgrades in: sudo apt install unattended-upgrades en activeer ze. Zo blijft je Pi veilig zonder dat je continu inlogt.
    2. Check de status van WireGuard: sudo wg show. Je ziet welke clients verbonden zijn en wanneer ze voor het laatst contact hadden.
    3. Stel een simpel cronjob in voor reboots na updates: sudo systemctl restart wg-quick@wg0 of plan een wekelijkse reboot tijdens rustige uren.
    4. Houd resources in de gaten: htop toont CPU/ram. WireGuard is licht; een Pi 4 doet moeiteloos 50–100 Mbps, afhankelijk van belasting en netwerk.

    Veelgemaakte fouten: updates niet testen na reboot, of logs negeren terwijl er een misconfiguratie sluimert. Tijd: 5–10 minuten per week.

    Verificatie-checklist

    Loop deze lijst af voordat je je koffer pakt. Zo weet je zeker dat je betrouwbare VPN voor privacy stabiel en veilig draait.

    • Pi draait headless en heeft een vast IP in je thuisnetwerk.
    • WireGuard/PiVPN is geïnstalleerd en start automatisch op.
    • UDP-poort 51820 is geopend in je router en wijst naar het juiste IP.
    • Dynamic DNS is ingesteld bij een dynamisch thuis-IP.
    • Firewall staat aan (ufw) en only benodigde poorten zijn open.
    • Fail2ban draait en blokkeert brute-force pogingen.
    • Eerste client (telefoon) verbindt en toont je thuispubic IP.
    • Split-tunneling is ingesteld zoals je wilt (thuisnetwerk of alles).
    • Logs worden gecontroleerd en updates staan aan.
    • Je hebt een back-up van de Pi-configuratie en clientbestanden.

    Als je deze stappen hebt doorlopen, zit je overal ter wereld veilig op je eigen internet. Je hoeft nooit meer te twijfelen aan openbare wifi, en je thuissysteem is altijd binnen handbereik. Veel plezier met je vrijheid en veiligheid onderweg.

Volgende stap
Lees het complete overzicht
De complete gids voor eSIMs voor digital nomads in 2026 →
T
Over Tony de Bree

Tony is business coach en digitaal nomade expert met 25 jaar ervaring in locatie-onafhankelijk ondernemen, remote werken en financiële vrijheid.

Op de hoogte blijven?
Ontvang praktische tips en reviews. Geen spam.
Geen spam. Je gegevens worden niet gedeeld.