Let op: De enige reden dat deze methode werkt is omdat Netflix alleen grote diensten blokkeert, en een individuele dienst niet snel opmerkt. Het kan echter zomaar zijn dat je VPS plotseling wordt opgemerkt, of dat de provider die je gebruikt wordt afgesloten. Hou er dus rekening mee dat onderstaande methode niet waterdicht is en ieder moment kan worden geblokkeerd.

Netflix is een paar maanden geleden begonnen met het blokkeren van vpn- en proxy-diensten. De grote namen, zoals Torguard of Private Internet Access, zijn inmiddels niet meer te gebruiken met Netflix. Door een Virtual Private Server (VPS) te huren kun je echter je eigen kleinschalige vpn-service opzetten die Netflix niet zo snel zal blokkeren.

Je eigen server opzetten

Je hebt niet veel nodig om je eigen VPS te hosten. Het enige dat je nodig hebt is een IP-adres uit Amerika (als je het Amerikaanse aanbod wil zien), en genoeg bandbreedte om video’s te streamen.

Een VPS is niet duur. Instapmodellen vind je vanaf 5 dollar per maand. Voor die prijs krijg je meestal 512 MB RAM, 20 GB schijfruimte en minstens enkele honderden gigabytes aan netwerkverkeer. Je kunt je abonnement gewoon maandelijks opzeggen.

Installatie op je VPS

De meeste VPS-providers hanteren een vergelijkbare installatieprocedure. In het controlepaneel kies je welke Linux-distributie je wil installeren, waarna een custom image wordt klaargezet. Over het algemeen zijn dit erg minimale images met enkel de hoogst noodzakelijke tools. Voor dit artikel installeerden we Ubuntu 16.04 LTS.

Na de installatie krijg je het IP-adres en het root-wachtwoord van je server. Inloggen op je server doe je vanaf een Linux-client met het ssh-commando of via PuTTY onder Windows. Heb je PuTTY nog niet geïnstalleerd, download dan het .msi-bestand van www.Putty.org.

Start PuTTY en vul het IP-adres van je VPS in onder Host Name, vul een naam in voor de sessie onder Saved Sessions, en klik vervolgens op Save en Open. Accepteer de server key fingerprint – dit hoeft enkel de eerste keer – en vul de juiste inloggegevens in. In het vervolg hoef je enkel te dubbelklikken op de bewaarde sessie om de connectie te openen. Bij de eerste keer inloggen vraagt het systeem gelijk aan je om het root-wachtwoord te veranderen.

Je VPS beter beveiligen

De VPS installeren is relatief eenvoudig, maar we zijn nog niet helemaal klaar. Een VPS is bereikbaar via internet en zal al snel de aandacht trekken van malafide personen. Het is misschien niet eenvoudig om in een Linux-systeem in te breken (zeker niet als er nauwelijks services draaien), maar een betere beveiliging kan nooit kwaad. We geven je enkele tips om scriptkiddies buiten te houden.

1. Maak eerst een gewone gebruiker aan en gebruik het root-account enkel voor beheertaken.

useradd -m filip -s /bin/bash
passwd filip

De aanduiding filip in het commando is onze gebruikersnaam, vul daar je zelfgekozen gebruikersnaam in.

2. Open via het startmenu van Windows het tooltje PuTTYgen (dat werd samen met PuTTY geïnstalleerd) en klik op de knop Generate om een nieuw public/private keypair aan te maken. Vul vervolgens een wachtwoord (passphrase) in om die sleutel te beveiligen en kies één voor één de knoppen Save public key en Save private key.

3. Open vervolgens een tweede PuTTY-venster, selecteer de bewaarde sessie en klik op Load. Vervolgens ga je naar Connection / SSH / Auth in het linker deelvenster en selecteer je de eerder bewaarde private key (.ppk-bestand) met de Browse-knop. Onder Connection / Data / Auto-login username vul je de eerder aangemaakte gebruikersnaam in.

Ga daarna terug naar het Session-venster en klik op Save en Open om in te loggen met de nieuwe gebruiker. Je krijgt dan de foutmelding: "Server refused our key", dus log in met je wachtwoord.

4. Kopieer na het inloggen de public key uit PuTTYgen naar het authorized_keys-bestand (in PuTTY plak je tekst met een rechtermuisklik) met de volgende commando’s:

mkdir .ssh
chmod 700 .ssh
nano .ssh/authorized_keys

5. Open nogmaals een nieuwe PuTTY-sessie en controleer of je kan inloggen zonder je wachtwoord (je moet nu de key passphrase invoeren). Switch nadien naar de root-user met het su-commando su - .

6. Lukt dat probleemloos, pas dan volgende opties aan in /etc/ssh/sshd_config: PermitRootLogin no en PasswordAuthentication no, gevolgd door het commando service sshd reload .

7. Vanaf nu is het onmogelijk om rechtstreeks als root of zonder public key op je server in te loggen, dus dat is behoorlijk veilig! Tot slot stellen we nog enkele firewall-regels in:

ufw default deny incoming
ufw default allow outgoing
ufw allow ssh
ufw enable

Op die manier is enkel de ssh-server beschikbaar vanaf internet. Mocht je nadien extra services installeren, dan hoef je geen angst te hebben dat die meteen open staan voor het hele internet!

OpenVPN Access Server

OpenVPN vind je standaard in elke Linux-distributie terug. Het correct configureren van een OpenVPN-server is echter voer voor specialisten. Voor dit artikel gaat onze voorkeur dan ook uit naar OpenVPN Access Server. Dat is een alles-in-één package, gebaseerd op OpenVPN met een gebruiksvriendelijke webinterface. De enige beperking is dat de gratis versie slechts twee gelijktijdige logins ondersteunt. Wil je meerdere gebruikers tegelijkertijd toegang geven tot je VPN-server? Dan moet je ofwel een licentie kopen voor OpenVPN Access Server (96 dollar per jaar voor 10 gebruikers) ofwel overstappen naar het OpenVPN-pakket van je distributie. Je mist dan wel de handige webinterface en de eenvoudige client-configuratie.

Installatiepakketten voor Ubuntu en CentOS vind je op OpenVPN.net. Wij downloadden het pakket voor Ubuntu 14.x, dat ook prima in 16.04 werkt. Na de installatie stel je een wachtwoord in voor de OpenVPN-gebruiker en open je tijdelijk de firewall naar de webinterface vanaf jouw publieke IP-adres (die kun je vinden via www.GeoIPTool.com).

ufw allow from to any port 943

Configuratie

Surf vervolgens naar https://:943/admin, klik de certificaatwaarschuwing weg en log in met de OpenVPN-gebruiker en het eerder ingestelde wachtwoord. Accepteer de Algemene Voorwaarden en doorloop even de verschillende configuratiemogelijkheden via de navigatiebalk links. We beperken ons hier tot de belangrijkste instellingen:

1. Selecteer TLS 1.2 in plaats van 1.0 onder SSL Settings om je server minder kwetsbaar te maken.

2. Beschikt je VPS over meerdere IP-adressen, selecteer dan het juiste adres onder Server Network Settings.

3. Onder VPN Settings definieer je het netwerk waarbinnen OpenVPN IP-adressen mag uitdelen. Standaard is dit een /20-netwerk, wat overkill is voor thuisgebruik. Zelf verkiezen we hier een netwerk zoals 192.168.x.0/24, met 254 IP-adressen. Op de positie x kies je uiteraard een ander getal dan je bestaande LAN (bijvoorbeeld 10, terwijl je LAN 0 of 1 heeft)!

4. Vink onder User Permissions de optie Require user permissions record for VPN access aan. Vervolgens voeg je een record toe voor elke gebruiker die je toegang wilt geven. Vergeet ook niet om eerst een systeemgebruiker aan te maken en het wachtwoord in te stellen!

5. Klik bij de laatste wijziging op Update running server of gebruik het commando service openvpnas restart om de wijzigingen toe te passen.

6. Tot slot openen we nog twee extra poorten in de firewall: TCP-poort 443 en UDP-poort 1194:

ufw allow proto tcp to any port 443
ufw allow proto udp to any port 1194

Clients gebruiken één van beide poorten om een VPN-verbinding te openen. UDP-verbindingen zijn sneller dan TCP-verbindingen, maar werken mogelijk niet achter firewalls (zoals in een bedrijfsomgeving). TCP-poort 443 wordt daarentegen bijna nooit geblokkeerd door firewalls, aangezien dit de poort is voor regulier HTTPS-verkeer.

VPN-clients

De benodigde software en configuratiebestanden voor de clients download je rechtstreeks van je VPN-server. Die interface draait ook op poort 943 en is momenteel dus enkel bereikbaar voor clients in je thuisnetwerk. Open volgende url in je browser om je eerste VPN-client in te stellen: https://:943. Log in met je gebruikersnaam en wachtwoord, en download en installeer de OpenVPN Connect-software voor het juiste platform (Windows, Mac of Linux).

Open vervolgens OpenVPN Connect en log nogmaals in met je inloggegevens. Je hoeft hier verder niets te configureren. Een icoontje in het systeemvak duidt aan dat je verbonden bent met je VPN-server. In de admin-webinterface verschijnt jouw pc ook onder Current Users.

Surf in je browser naar www.geoiptool.com en je zult zien dat je via het IP-adres van je VPN-server surft. Heb je je clients eenmaal ingesteld, dan kun je de toegang tot poort 943 eventueel weer dichtschroeven via de firewall. Vind je de admin- en client-interfaces daarentegen erg handig, zet dan poort 943 open voor alle IP-adressen (en niet enkel voor jouw thuisadres).

Op Android-smartphones is de procedure vergelijkbaar. Download de OpenConnect-app in de Play Store en kies de optie Import / Import Access Server Profile uit het menu.
Vul vervolgens het IP-adres in van je VPN-server, samen met je gebruikersnaam en wachtwoord. Na het importeren van de configuratie en het servercertificaat vul je nogmaals je wachtwoord in om de VPN-verbinding te openen. Controleer nadien even via de browser of je effectief via je VPS surft en open daarna de Netflix-app. De OpenConnect-app is overigens ook beschikbaar voor iOS, maar niet voor Windows Phone.