Een DNS leak test controleert of jouw internetverkeer veilig via je VPN-tunnel loopt, of dat je apparaat stiekem DNS-verzoeken rechtstreeks naar je internetprovider (ISP) stuurt. Als dit gebeurt, lekt je ware IP-adres of locatie alsnog uit, ondanks dat je VPN is ingeschakeld. Je lost dit op door je VPN-instellingen (zoals WireGuard of OpenVPN) strakker aan te passen, IPv6 goed te configureren, of in Windows 11 de netwerkfunctie Smart Multi-Homed Name Resolution (SMHNR) uit te schakelen. Zeker in 2026, nu websites steeds geavanceerdere browser-fingerprinting gebruiken, is het dichten van een DNS-lek essentieel voor je online privacy.
Wat is een DNS-lek precies?
Wanneer je een website bezoekt, zet een [INTERNAL:wat-is-een-dns-server] de ingetypte domeinnaam (bijvoorbeeld google.com) om in een numeriek IP-adres. Zonder VPN doet de DNS-server van je provider (zoals KPN, Ziggo, Odido of Delta) dit werk. Je provider kan op dat moment precies zien welke sites jij opvraagt en bezoekt.
Gebruik je een VPN? Dan is het de bedoeling dat al het netwerkverkeer, inclusief deze DNS-verzoeken, via de versleutelde tunnel van de VPN-dienst loopt. De DNS-server van de VPN-provider handelt dan de aanvragen af. Jouw eigen provider ziet in dat geval alleen een versleutelde stroom data naar één IP-adres (de VPN-server), maar kan niet zien wat die data inhoudt.
Een DNS-lek (DNS leak) ontstaat wanneer je apparaat de VPN-tunnel negeert of omzeilt voor DNS-verkeer. Je bestanden, videostreams en downloads zijn dan misschien nog wel versleuteld, maar je computer stuurt de vraag “Waar vind ik google.com?” nog steeds onversleuteld naar je lokale provider. Dit maakt je VPN-verbinding deels nutteloos.
De risico’s van een DNS-lek in 2026
- Volledig privacyverlies: Je internetprovider logt je browsegedrag en kan deze gegevens (afhankelijk van lokale wetgeving) delen met autoriteiten of adverteerders.
- Geoblokkades en streaming-fouten: Streamingdiensten zoals Netflix of Hulu zien je echte locatie via je DNS-server. Zelfs als je VPN-IP in Amerika staat, verraadt een Nederlandse DNS-server je locatie, waardoor je account tijdelijk geblokkeerd kan worden.
- Browser-fingerprinting risico’s: Moderne websites combineren je VPN IP-adres met je gelekte DNS-locatie. Komen deze twee regio’s niet overeen? Dan markeert het risicosysteem van de website jouw sessie als verdacht. Dit leidt vaak tot eindeloze CAPTCHA’s of geblokkeerde betalingen in webshops.
De 5 beste DNS leak test tools in 2026
Er zijn inmiddels tientallen websites waarmee je een DNS-lek kunt opsporen. Zorg dat je eerst verbonden bent met je VPN-server voordat je deze test-sites bezoekt. Dit zijn de vijf meest betrouwbare tools van dit moment.
1. ipleak.net (De gouden standaard)
Volgens netwerkexperts is ipleak.net in 2026 nog steeds de meest uitgebreide en betrouwbare tool op de markt. De interface is misschien wat gedateerd, maar de test is extreem grondig. Zodra je de pagina laadt, begint de test automatisch.
Wat test deze tool allemaal?
- IPv4 en IPv6 lekken: Ziet de site je echte IP-adres of alleen die van de VPN?
- DNS-adressen: Welke DNS-servers handelen jouw verzoeken af? Zie je hier de naam van je eigen provider (bijv. KPN B.V.) staan in de lijst met resultaten, dan heb je gegarandeerd een lek.
- WebRTC: Controleert of je browser je lokale en publieke IP-adres lekt via het STUN-protocol. Dit staat los van DNS, maar is net zo gevaarlijk.
- Torrent IP: Biedt een unieke magnet-link. Je voegt deze toe aan je torrent-client (zoals qBittorrent) om te checken of je P2P-verkeer stiekem je echte IP lekt.
2. dnsleaktest.com
Deze website richt zich puur en alleen op DNS. De tool is overgenomen door VPN-provider IVPN, maar is gratis voor iedereen te gebruiken en werkt met elke VPN. Je hebt op de homepage de keuze uit twee tests: een Standard test en een Extended test. De resultaten zijn overzichtelijk en tonen direct het IP-adres, de hostnaam en de ISP van de DNS-server die reageert.
3. BrowserLeaks
BrowserLeaks is perfect voor technische gebruikers en cybersecurity-onderzoekers. Naast een standaard DNS leak test, kijkt deze site zeer diep naar je browser-fingerprint. De site detecteert moeiteloos IPv6-lekken, wat bij veel oudere VPN-protocollen (en slecht geconfigureerde WireGuard-tunnels) nog steeds een groot probleem is in 2026.
4. ToDetect (All-in-one voor 2026)
ToDetect is een relatief nieuwe tool die in 2026 erg populair is geworden. Het platform kijkt niet alleen naar een simpel DNS-lek, maar analyseert de algehele consistentie van je verbinding. Als je IP-adres bijvoorbeeld in de Verenigde Staten ligt, maar je DNS-server staat in Nederland, markeert ToDetect dit direct als een hoog risico. Dit is cruciaal voor gebruikers die werken met buitenlandse accounts of internationale e-commerce.
5. Ingebouwde VPN-tools
Grote commerciële providers zoals NordVPN, ExpressVPN en Surfshark bieden eigen testpagina’s aan (bijvoorbeeld nordvpn.com/dns-leak-test). Deze zijn handig en snel, maar wees je ervan bewust dat ze geoptimaliseerd zijn voor hun eigen ecosysteem. Gebruik altijd een onafhankelijke tool zoals ipleak.net als second opinion om zeker te weten dat je veilig bent.
Vergelijking DNS Leak Tools (2026)
| Test Tool | DNS Test | IPv6 Test | WebRTC Test | Torrent IP Test | Browser Fingerprint |
|---|---|---|---|---|---|
| ipleak.net | Ja | Ja | Ja | Ja | Ja |
| dnsleaktest.com | Ja (Uitgebreid) | Nee | Nee | Nee | Nee |
| BrowserLeaks | Ja | Ja | Ja | Nee | Ja (Zeer diep) |
| ToDetect | Ja | Ja | Ja | Nee | Ja (Consistentie) |
| NordVPN/ExpressVPN | Ja | Ja | Ja | Nee | Nee |
Verschil tussen een Standard en Extended DNS leak test
Op sites zoals dnsleaktest.com zie je twee prominente knoppen: Standard en Extended. Het is belangrijk om te weten wanneer je welke test moet gebruiken.
De Standard Test
De standaard test is ontworpen voor snelheid. De website genereert 6 unieke, willekeurige domeinnamen (bijvoorbeeld a1b2c3d4.dnsleaktest.com) en vraagt jouw browser om deze te bezoeken. Omdat deze domeinen niet in een cache kunnen staan, moet je apparaat een live DNS-aanvraag doen. De testserver kijkt vervolgens welke DNS-server de aanvraag binnenkrijgt. Als dit alleen de servers van je VPN zijn, ben je in principe veilig. Deze test duurt ongeveer 2 tot 3 seconden en is perfect voor een snelle dagelijkse check.
De Extended Test
De uitgebreide test doet exact hetzelfde, maar dan 36 keer achter elkaar in 6 verschillende rondes. Waarom is dit nodig in 2026? Sommige besturingssystemen, zoals Windows 11, gebruiken meerdere DNS-servers tegelijk. Dit heet multihoming. Als de primaire DNS-server (van je VPN) het druk heeft en niet binnen enkele milliseconden reageert, stuurt Windows de aanvraag direct door naar de secundaire DNS-server (vaak je lokale ISP). Een standaard test van 3 seconden mist deze sporadische vertragingen vaak. De Extended test forceert je netwerk om langdurig aanvragen te doen, waardoor alle mogelijke DNS-paden en fallback-servers ontdekt worden. Doe altijd een Extended test als je je VPN of router net nieuw hebt geconfigureerd.
Belangrijkste oorzaken van DNS-lekken in 2026
Waarom lekt een DNS-verzoek überhaupt als je een VPN gebruikt? De versleutelde tunnel zou toch al het verkeer moeten opvangen? In de praktijk spelen besturingssystemen en netwerkprotocollen hier een storende rol in. Dit zijn de vier meest voorkomende oorzaken.
1. Windows 11 Smart Multi-Homed Name Resolution (SMHNR)
Microsoft heeft in Windows 10 en Windows 11 een functie ingebouwd genaamd Smart Multi-Homed Name Resolution (SMHNR). Het doel van deze functie is om webpagina’s zo snel mogelijk te laden. Windows doet dit door een DNS-verzoek niet alleen naar de primaire netwerkadapter te sturen, maar naar alle actieve netwerkadapters tegelijk. De DNS-server die als eerste antwoordt, wint.
Als je verbonden bent met een VPN, heb je twee actieve adapters: je fysieke wifi- of ethernetkaart, en je virtuele VPN-adapter (zoals een TAP- of TUN-interface). Windows stuurt het verzoek naar beide. Het resultaat? Je lokale provider krijgt de aanvraag ook binnen en ziet exact welke site je bezoekt. Dit is wereldwijd de absolute nummer één oorzaak van DNS-lekken op Windows-systemen.
2. IPv6-lekken negeren
We leven in 2026, maar veel VPN-providers en protocollen zijn nog steeds primair gebouwd rondom het oude IPv4-protocol. Als jouw internetprovider je thuisnetwerk voorziet van een IPv6-adres, en je bezoekt een moderne website die IPv6 ondersteunt, dan weet een slecht geconfigureerde VPN niet wat hij met dat verkeer aan moet. Het besturingssysteem ziet dat de VPN geen IPv6-route heeft, en stuurt het verkeer direct via je normale ISP naar buiten. Het [INTERNAL:ipv6-uitschakelen-windows] is vaak de snelste tijdelijke fix, maar een goede VPN-configuratie is beter.
3. Lokale netwerkprotocollen: LLMNR en mDNS
Naast de traditionele DNS-servers op het internet, gebruiken apparaten in je thuisnetwerk protocollen zoals LLMNR (Link-Local Multicast Name Resolution) en mDNS (Multicast DNS, op UDP poort 5353) om elkaar te vinden. Denk aan je draadloze printer of je smart-tv. Als Windows een domeinnaam niet direct kan oplossen, schreeuwt het via mDNS over je hele lokale netwerk: “Weet iemand het IP-adres van deze site?”. Dit multicast-verkeer ontsnapt vaak aan de VPN-tunnel en kan door iedereen op hetzelfde wifi-netwerk (bijvoorbeeld in een koffiezaak) worden uitgelezen.
4. Verkeerde WireGuard of OpenVPN configuratie
Als je handmatig een VPN instelt via de officiële WireGuard- of OpenVPN-client (in plaats van een kant-en-klare app van een VPN-boer), moet je zelf de DNS-servers opgeven in het configuratiebestand. Doe je dit niet, of gebruik je een split-tunneling setup zonder de juiste IP-ranges te blokkeren, dan valt je DNS-verkeer standaard terug op de instellingen van je router.
Hoe los je een DNS-lek op in Windows 11? (Stappenplan)
Windows vereist vaak handmatige aanpassingen onder de motorkap om volledig waterdicht te zijn. Volg deze stappen om je systeem te dichten tegen DNS-lekken.
Fix 1: Schakel SMHNR uit via Group Policy (Windows 11 Pro)
Heb je Windows 11 Pro, Enterprise of Education? Dan schakel je de agressieve DNS-resolutie eenvoudig uit via de Group Policy Editor:
- Druk op
Windows-toets + R, typgpedit.mscen druk op Enter. - Navigeer in het linkermenu naar Computerconfiguratie > Beheersjablonen > Netwerk > DNS-client.
- Zoek in de rechterlijst naar de beleidsregel Slimme multihomed-naamomzetting uitschakelen (In het Engels: Turn off smart multi-homed name resolution).
- Dubbelklik op deze regel, selecteer de optie Ingeschakeld (Enabled) en klik op Toepassen en OK.
- Start je computer opnieuw op of open Command Prompt en typ
gpupdate /force.
Fix 2: Schakel SMHNR uit via de Registry (Windows 11 Home)
Windows 11 Home heeft standaard geen Group Policy Editor. Je moet deze fix daarom via het Windows Register uitvoeren. Let op: maak altijd eerst een back-up van je register.
- Druk op
Windows-toets + R, typregediten druk op Enter. - Navigeer via de mappenstructuur naar:
HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftWindows NTDNSClient. (Als de map DNSClient niet bestaat, klik dan rechts op Windows NT, kies Nieuw > Sleutel en noem deze DNSClient). - Klik met de rechtermuisknop op een leeg vlak in het rechtervenster, kies Nieuw > DWORD (32-bits)-waarde.
- Geef deze exact de naam
DisableSmartNameResolution. - Dubbelklik op de zojuist gemaakte waarde en verander de Waardegegevens van 0 naar
1. - Start je computer opnieuw op om de wijziging door te voeren.
Fix 3: Blokkeer mDNS via Windows Firewall en PowerShell
Om te voorkomen dat je Windows-pc lokale DNS-verzoeken lekt via Multicast DNS, kun je inkomend en uitgaand mDNS-verkeer (op UDP poort 5353) blokkeren. Dit doe je het snelst via PowerShell:
- Klik op Start, typ
PowerShell, klik er met de rechtermuisknop op en kies Als administrator uitvoeren. - Plak het volgende commando om inkomend mDNS te blokkeren en druk op Enter:
New-NetFirewallRule -DisplayName "Block Incoming mDNS" -Direction Inbound -Action Block -Protocol UDP -LocalPort 5353 - Plak daarna dit commando om uitgaand mDNS te blokkeren:
New-NetFirewallRule -DisplayName "Block Outbound mDNS" -Direction Outbound -Action Block -Protocol UDP -RemotePort 5353
Let op: als je apparaten zoals een Chromecast of draadloze Apple-apparaten (Bonjour) in je netwerk gebruikt, kunnen deze na deze fix soms lastiger te vinden zijn vanaf je pc.
Fix 4: Stel een vaste, veilige DNS in op je fysieke netwerkadapter
Als fallback-mechanisme is het verstandig om te voorkomen dat je computer ooit terugvalt op de DNS van je provider. Stel daarom een veilige, onafhankelijke DNS in op je fysieke wifi- of ethernetadapter.
- Ga naar Instellingen > Netwerk en internet > Geavanceerde netwerkinstellingen.
- Klik op je actieve Wi-Fi of Ethernet adapter en kies Hardware-eigenschappen bekijken.
- Klik bij DNS-servertoewijzing op de knop Bewerken.
- Kies Handmatig, zet de schakelaar bij IPv4 aan.
- Vul bij Voorkeurs-DNS
1.1.1.1(Cloudflare) of9.9.9.9(Quad9) in. Kijk voor meer opties in ons overzicht van de [INTERNAL:beste-dns-servers-nederland]. - Sla de instellingen op. Zelfs als je VPN nu hapert, gaat je DNS-verzoek naar een privacyvriendelijke server in plaats van naar je ISP.
WireGuard en OpenVPN DNS-lekken in 2026 voorkomen
Gebruik je een losse WireGuard- of OpenVPN-client in plaats van de geautomatiseerde app van een commerciële VPN-provider? Dan ben je zelf verantwoordelijk voor de netwerkroutering. Een klein foutje in het configuratiebestand leidt direct tot een DNS-lek.
Fix 5: WireGuard AllowedIPs en DNS strak configureren
WireGuard is razendsnel, maar lekt standaard IPv6-verkeer als je dit niet expliciet door de tunnel stuurt. Open je WireGuard-configuratiebestand (bijvoorbeeld wg0.conf) in een teksteditor en controleer de volgende regels:
- DNS instellen: Zorg dat er in de
[Interface]sectie een DNS-regel staat die verwijst naar de interne DNS-server van de VPN (bijvoorbeeldDNS = 10.0.0.1). Staat deze er niet, dan gebruikt WireGuard de DNS van je lokale netwerk. - IPv6 forceren (AllowedIPs): Bij de
[Peer]sectie zie je de regelAllowedIPs. Vaak staat hier alleen0.0.0.0/0(wat al het IPv4-verkeer door de tunnel stuurt). Om IPv6-lekken te dichten, moet je dit aanpassen naar:
AllowedIPs = 0.0.0.0/0,::/0
Door ::/0 toe te voegen, dwing je het besturingssysteem om ook al het IPv6-verkeer door de WireGuard-tunnel te sturen. Test dit na het opslaan direct op ipleak.net.
Fix 6: OpenVPN block-outside-dns parameter
Bij OpenVPN op Windows kan het gebeuren dat de virtuele TAP-adapter niet de juiste prioriteit krijgt van het besturingssysteem. Om dit te overrulen, kun je een specifieke regel toevoegen aan je .ovpn configuratiebestand.
Open het bestand in Kladblok en voeg op een nieuwe regel onderaan het volgende toe:
block-outside-dns
Dit commando vertelt de OpenVPN-client dat hij via de Windows Filtering Platform (WFP) API alle DNS-verzoeken die buiten de VPN-tunnel proberen te ontsnappen, keihard moet blokkeren.
DNS-lekken op router-niveau oplossen (GL.iNet & Asus)
Steeds meer mensen draaien in 2026 een VPN direct op hun router (bijvoorbeeld op een GL.iNet travel router of een Asus router met Asuswrt-Merlin). Dit beschermt alle apparaten in huis. Toch kan ook hier een DNS-lek ontstaan als de DHCP-server van de router de verkeerde DNS-gegevens aan je apparaten uitdeelt.
GL.iNet routers (Firmware 4.x):
- Ga in het admin-paneel naar Global Options onder het VPN-menu.
- Zet de optie Block Non-VPN Traffic (Kill Switch) op ON.
- Zet de optie Allow Custom DNS to Override VPN DNS op OFF. Hierdoor dwing je de router om exclusief de DNS van de VPN-tunnel te gebruiken, ongeacht wat je lokaal hebt ingesteld.
Oplossingen voor macOS, iOS en Android
Mobiele apparaten en Apple-systemen gaan fundamenteel anders om met netwerkverkeer dan Windows. Functies zoals SMHNR bestaan hier niet, maar DNS-lekken komen door agressieve fallback-mechanismen nog steeds voor.
macOS: Kill Switch en Custom Profiles
Op een Mac (macOS Sequoia en nieuwer) kan het systeem lokaal ingestelde DNS-servers verkiezen boven de DNS van je VPN. Ga naar Systeeminstellingen > Netwerk > Wi-Fi > Details > DNS. Verwijder hier alle handmatig ingestelde DNS-servers (zoals 8.8.8.8 of 1.1.1.1). Laat het veld leeg, zodat macOS de DNS van de VPN-adapter accepteert. Zorg er daarnaast voor dat de ‘Kill Switch’ in je VPN-app altijd is ingeschakeld.
iOS (iPhone & iPad): IKEv2 en Always-On
iOS staat erom bekend dat het soms Apple-specifieke DNS-verzoeken (zoals checks voor push-notificaties of iMessage) buiten de VPN om stuurt. De enige betrouwbare manier om dit in 2026 te voorkomen, is door in je VPN-app te kiezen voor het WireGuard-protocol en de optie Blokkeer verbindingen zonder VPN in te schakelen. Gebruik je een handmatig IKEv2-profiel? Zorg dan dat je deze instelt via Apple Configurator, waarbij je de VPN forceert voor al het verkeer.
Android: Always-on VPN en Privé-DNS
Android heeft een krachtige, ingebouwde functie om lekken op systeemniveau te stoppen. Ga naar Instellingen > Netwerk en internet > VPN. Tik op het tandwiel-icoon naast je actieve VPN-app en schakel Altijd ingeschakelde VPN (Always-on VPN) en Verbindingen blokkeren zonder VPN in.
Let op: Android heeft ook een functie genaamd ‘Privé-DNS’ (Secure DNS). Als deze op ‘Automatisch’ of een specifieke provider staat, kan dit conflicteren met je [INTERNAL:vpn-dns-instellen]. Zet Privé-DNS tijdelijk uit (kies ‘Uit’) als je last blijft houden van DNS-lekken tijdens je tests.
WebRTC uitschakelen in je browser
Zoals eerder genoemd, kan WebRTC je echte IP-adres lekken, zelfs als je DNS op systeemniveau waterdicht is. Omdat dit in de browser gebeurt, moet je de browser zelf aanpassen.
- Mozilla Firefox: Typ
about:configin de adresbalk en druk op Enter. Accepteer de waarschuwing. Zoek naar de regelmedia.peerconnection.enableden dubbelklik erop om de waarde te veranderen van true naar false. WebRTC is nu volledig uitgeschakeld. - Google Chrome & Microsoft Edge: Chromium-gebaseerde browsers staan het in 2026 niet toe om WebRTC via een simpele instelling volledig uit te schakelen. Je moet hiervoor de officiële extensie WebRTC Network Limiter (uitgebracht door Google) installeren. Stel de extensie na installatie in op de optie “Use my proxy server (if present)” om IP-lekken te voorkomen zonder dat videobellen direct breekt.
Veelgestelde vragen
Wat is een DNS leak test?
Een DNS leak test is een online controle die verifieert of jouw apparaat DNS-verzoeken via de beveiligde VPN-tunnel verstuurt, of dat deze per ongeluk rechtstreeks naar je internetprovider (ISP) lekken. De test toont exact welke DNS-servers (en dus welke bedrijven) jouw internetverkeer afhandelen.
Is een DNS leak test veilig om uit te voeren?
Ja. Een test via gerenommeerde sites zoals ipleak.net of dnsleaktest.com is volledig veilig. De website stuurt simpelweg een paar unieke, onzichtbare domeinnamen naar je browser om te kijken vanaf welk IP-adres de resolutie-aanvraag binnenkomt. Er wordt geen malware of software op je apparaat geïnstalleerd.
Waarom zie ik meerdere IP-adressen bij ipleak.net?
Als je een Extended test doet, of als je VPN-provider een groot cluster van DNS-servers gebruikt voor load-balancing, is het normaal dat je meerdere IP-adressen in de resultaten ziet. Zolang al deze IP-adressen eigendom zijn van je VPN-provider (of het datacenter van de VPN) en niet van jouw eigen provider thuis (zoals KPN, Ziggo of Odido), is er geen sprake van een lek.
Voorkomen gratis VPN’s een DNS-lek?
Vaak niet. Veel gratis VPN’s (vooral de vage apps in de mobiele app stores) versleutelen alleen het webverkeer via TCP-poort 80 en 443, maar laten UDP-verkeer (zoals DNS op poort 53) ongemoeid. Hierdoor lekt je volledige browsegeschiedenis alsnog naar je provider. Wil je zekerheid, gebruik dan een premium VPN of bouw een eigen WireGuard-server.
Hoe test ik of ik specifiek een IPv6-lek heb?
Ga naar een testwebsite zoals browserleaks.com/ip of ipleak.net terwijl je VPN is ingeschakeld. Als je bovenaan de pagina naast een IPv4-adres (van je VPN) ook een IPv6-adres ziet staan dat afkomstig is van jouw lokale provider, heb je een IPv6-lek. Je lost dit op door IPv6 uit te schakelen op je netwerkadapter of ::/0 toe te voegen aan je WireGuard AllowedIPs-configuratie.
Wat is het verschil tussen een DNS-lek en een WebRTC-lek?
Een DNS-lek betekent dat je provider ziet welke websites je bezoekt omdat de naamsomzetting (het opzoeken van het IP-adres) buiten de VPN om gaat. Een WebRTC-lek vindt puur plaats in je browser: de browser geeft je echte lokale en publieke IP-adres actief door aan een website via het STUN-protocol. Hierdoor weet de website direct je ware locatie, zelfs als je VPN en DNS verder perfect en waterdicht zijn geconfigureerd.