Gids voor Decentralized Tunneling & P2P Onion Routing

Decentralized Tunneling Protocol p2p onion routing web3 vpn bandwidth mining depin
D
Daniel Richter

Open-Source Security & Linux Privacy Specialist

 
20 maart 2026 10 min lezen
Gids voor Decentralized Tunneling & P2P Onion Routing

TL;DR

Dit artikel bespreekt de technische verschuiving van traditionele VPN's naar decentrale tunneling en P2P onion routing. We analyseren hoe DePIN en blockchain bandbreedte mining transformeren en waarom P2P-delen de toekomst is voor internetvrijheid zonder centrale controle.

De overstap van gecentraliseerde naar gedecentraliseerde tunneling

Heeft u ook wel eens dat ongemakkelijke gevoel wanneer u beseft dat uw "private" VPN-provider eigenlijk niets meer is dan een veredelde tussenpersoon die bovenop een berg van uw plaintext-logs zit? Het is bijna ironisch dat we het gesnoep van internetproviders (ISP's) hebben ingeruild voor één enkel zakelijk knelpunt, maar dat is precies de reden waarom de verschuiving naar gedecentraliseerde tunneling nu eindelijk doorbreekt bij de massa.

De traditionele VPN-architectuur is een overblijfsel van de client-server-mentaliteit uit het begin van de jaren 2000. U maakt verbinding met een "beveiligde" gateway, maar die gateway fungeert als een gigantisch uithangbord voor hackers en overheidsinstanties. Als die ene server uitvalt of in beslag wordt genomen, verdwijnt uw volledige privacy-schild van het ene op het andere moment.

  • Gecentraliseerde Honeypots: Wanneer miljoenen gebruikers hun verkeer routeren via een handvol datacenters van één enkel bedrijf, ontstaat er een "single point of failure" dat simpelweg te verleidelijk is voor kwaadwillenden om te negeren.
  • De Trust-paradox: In feite vertrouwt u op de blauwe ogen van een CEO in een belastingparadijs die belooft geen logs bij te houden. Maar zonder open-source audits van hun backend, tast u volledig in het duister.
  • Schaalbaarheidsproblemen: Is het u wel eens opgevallen dat uw snelheid op vrijdagavond keldert? Dat komt omdat gecentraliseerde nodes de grillige pieken van moderne 4K-streaming en zware ontwikkel workloads niet kunnen opvangen.

We bewegen ons nu richting een "Map & Encap"-logica waarbij het netwerk niet afhankelijk is van één centraal brein. In plaats van een centrale provider gebruiken we dVPN (Decentralized VPN) nodes waar iedereen bandbreedte kan delen. Deze architectuur — specifiek iets als APT (A Practical Tunneling Architecture) — stelt het internet in staat om te schalen door "edge"-adressen te scheiden van de "transit core".

Binnen het APT-framework maken we gebruik van Ingress Tunnel Routers (ITR) en Egress Tunnel Routers (ETR). Zie de ITR als de "ingang" die uw normale data ontvangt en deze verpakt in een speciale tunnel-header (encapsulatie). De ETR is de "uitgang" die de data bij de bestemming weer uitpakt. Default Mappers (DMs) fungeren als een soort gids; zij vertellen de ITR precies naar welke ETR het pakket gestuurd moet worden, zodat de core-routers niet elk afzonderlijk apparaat op aarde uit het hoofd hoeven te leren.

Diagram 1

Stel u een winkelketen voor die transactiegegevens van 500 locaties wil beveiligen zonder een fortuin uit te geven aan MPLS-verbindingen. In plaats van een centrale hub gebruiken ze een node-gebaseerde VPN-dienst waarbij elke winkel fungeert als een kleine tussenstap (hop) in een mesh-netwerk. Als het internet in één winkel wegvalt, herroutert het P2P-netwerk de tunnel automatisch via een naburige node.

Voor ontwikkelaars betekent dit werken met tools zoals WireGuard-interfaces die niet gebonden zijn aan een statisch IP-adres. Een configuratie op een beveiligde Linux-node zou er ongeveer zo uit kunnen zien:

[Interface]
PrivateKey = <YOUR_NODE_KEY>
Address = 10.0.0.5/32
ListenPort = 51820

[Peer]
PublicKey = <REMOTE_DVPN_NODE_KEY>
AllowedIPs = 0.0.0.0/0
Endpoint = 192.168.1.100:51820

PersistentKeepalive = 25

Deze opzet is vele malen veerkrachtiger omdat de "mapping" van de pakketbestemming verdeeld is over de mesh, in plaats van weggestopt in een database op een hoofdkantoor. Eerlijk gezegd is het hoog tijd dat we stoppen met toestemming vragen voor onze eigen privacy.

Binnenkort: Een diepe duik in P2P onion routing architectuur, waarbij we kijken hoe deze pakketten de oversteek daadwerkelijk overleven.

Diepe duik in de p2p onion routing-architectuur

Heb je je ooit afgevraagd hoe een datapakket drie verschillende VPN-tunnels en twee protocolconversies overleeft zonder zijn metadata of 'gezond verstand' te verliezen? Het is in feite digitale inception. Als we de architectuur niet perfect op orde hebben, stort het hele systeem in en blijven we zitten met een puinhoop van verloren pakketten en enorme latentie.

In een P2P onion routing-opstelling geven we niet simpelweg een 'hete aardappel' door. Elke node beslist hoe de data wordt "ingepakt". Wanneer we het hier over "onion"-lagen hebben, kijken we naar twee cruciale acties:

  • Encapsulatie: Een volledig IPv4-pakket nemen en dit in een IPv6-header stoppen (of andersom). De oorspronkelijke header wordt dan "data" voor de buitenste laag.
  • Conversie: Het daadwerkelijk herschrijven van de header, vergelijkbaar met wat er gebeurt bij NAT-PT. Dit is "destructiever", maar soms noodzakelijk voor verouderde hardware.

In een Web3 VPN kan je entry node je verkeer encapsuleren in WireGuard, terwijl een relay node een extra encryptielaag toevoegt voordat het de exit node bereikt. Dit maakt het veel lastiger te blokkeren dan traditionele Tor-netwerken, omdat de "mapping" niet op een openbare lijst met relays staat; deze wordt dynamisch ontdekt via het mesh-netwerk.

Diagram 2

Traditionele routing maakt gebruik van een "distance-vector" (hoeveel hops naar het doel?). Maar in een P2P onion-netwerk is dat onvoldoende. Je moet de status van het pakket kennen. Als ik een IPv4-pakket heb, kan ik dat niet zomaar naar een relay sturen die uitsluitend IPv6 ondersteunt.

Zoals beschreven in de studie van Lamali et al. (2019), gebruiken we in plaats daarvan een stack-vector. Dit vervangt de simpele "afstand" door een "protocol stack". Het vertelt de node: "Om dit pakket op zijn bestemming te krijgen, heb je deze specifieke volgorde van encapsulaties nodig." De studie bewees dat zelfs als een kortste pad exponentieel lang is, de maximaal benodigde hoogte van de protocol stack in feite polynomiaal is — specifiek maximaal λn², waarbij n het aantal nodes is.

Dit is een enorme doorbraak voor ontwikkelaars. Het betekent dat we geen configuratiebestand van 5.000 regels nodig hebben om geneste tunnels te beheren. De nodes "leren" de stack. Een zorgverlener die bijvoorbeeld verouderde IPv4-apparatuur van een afgelegen kliniek wil koppelen aan een modern IPv6-datacentrum, kan de P2P-nodes de tunnel-endpoints automatisch laten onderhandelen.

Als je een node aan het harden bent, kijk je waarschijnlijk naar hoe deze stacks eruitzien in je interfaces. Hier is een globaal idee van hoe een node een "cache hit" voor een specifieke stack zou kunnen afhandelen:

# De output van dit commando toont de exacte encapsulatievolgorde 
# (bijv. IPv4 verpakt in WireGuard verpakt in IPv6) zodat je het pad kunt debuggen.
dvpn-cli route-lookup --dest 10.0.0.5 --current-stack "ipv4.wireguard.ipv6"

ip link add dev dvpn0 type wireguard
wg setconf dvpn0 /etc/wireguard/stack_config.conf

De kracht hiervan is dat het mesh-netwerk de uitval zelf opvangt. Als een relay node offline gaat, vindt de stack-vector-logica het "kortst haalbare pad" met behulp van een andere set encapsulaties. Het is zelfherstellend. Eerlijk gezegd, als je dit eenmaal in actie hebt gezien, voelt het teruggaan naar statische VPN-tunnels als het gebruik van een draaischijftelefoon in een 5G-wereld.

Volgende stap: Beveiligingsuitdagingen bij gedecentraliseerde internettoegang, want het vertrouwen van willekeurige nodes is een vak apart.

Beveiligingsuitdagingen in gedecentraliseerde internettoegang

Wie denkt dat de overstap naar een P2P-netwerk alle beveiligingsproblemen als sneeuw voor de zon laat verdwijnen, komt bedrogen uit. In feite verruil je een centrale "corporate god-box" voor een digitaal Wilde Westen. De transitie van een gecentraliseerde VPN naar een gedecentraliseerde variant (dVPN) is fantastisch voor de privacy, maar brengt een geheel nieuwe reeks uitdagingen met zich mee.

Hoe vertrouw je de eerste node wanneer je verbinding maakt met het netwerk? Omdat er geen centrale lijst is, maken de meeste dVPN's gebruik van Seed Nodes of DHT (Distributed Hash Table) Bootstrapping. Je client maakt verbinding met enkele hardgecodeerde, bekende "seed"-adressen om een lijst van andere actieve peers op te halen, waarna het zelfstandig de rest van de mesh-structuur verkent.

Eenmaal binnen maken we gebruik van een Web of Trust-model waarbij nodes hun buren verifiëren:

  • Neighbor-to-Neighbor Verificatie: Voordat een node routeringsinformatie mag uitzenden, verifiëren peers de identiteit via bestaande verbindingen.
  • Signature Flooding: Zodra een cryptografische sleutel door voldoende vertrouwde buren is ondertekend, wordt deze door de gehele mesh verspreid.
  • Detectie van Rogue Nodes: Als een malafide node claimt verkeer te kunnen routeren voor een IP-reeks die hij niet beheert, ziet de werkelijke eigenaar dit conflicterende bericht en wordt er direct een alarm geactiveerd.

De grootste valkuil bij het delen van P2P-bandbreedte is churn (verloop). In tegenstelling tot een datacenter-server met een uptime van 99,99%, kan een dVPN-node bij iemand thuis plotseling verdwijnen omdat de kat over het netsnoer is gestruikeld. Om dit op te lossen, gebruiken we een systeem voor data-gestuurde storingsmeldingen. In plaats van dat het hele netwerk probeert een "perfecte" kaart bij te houden, wordt de storing lokaal afgehandeld op het moment dat een datapakket daadwerkelijk niet kan worden afgeleverd.

Diagram 4

De Default Mapper (DM) neemt het zware werk op zich door een nieuw pad te selecteren en de ITR opdracht te geven de lokale cache bij te werken. Dit proces leunt op de eerder genoemde λn²-efficiëntie om de herroutering razendsnel te laten verlopen.

Hierna: Op de hoogte blijven van de privacyrevolutie, waarin we dieper ingaan op het technisch onderhoud van deze gedistribueerde nodes.

Blijf op de hoogte van de privacy-revolutie

Het is bizar hoe snel het privacy-landschap verandert, nietwaar? Bijblijven betekent tegenwoordig meer dan alleen een blog lezen; het gaat erom dat je begrijpt hoe deze nieuwe protocollen daadwerkelijk met je datapakketten omgaan.

Binnen de dVPN-sector wordt er veel gesproken over "naar de maan gaan", maar de echte waarde zit in de technische specificaties. Hoe gaat een netwerk bijvoorbeeld om met IPv6-lekbeveiliging? Bij een traditionele VPN omzeilt IPv6-verkeer vaak de tunnel volledig, waardoor je echte IP-adres alsnog lekt. In een dVPN-context maken we vaak gebruik van NAT64 of 464XLAT. Dit dwingt IPv6-verkeer om op node-niveau vertaald te worden naar IPv4 (of vice versa), zodat het binnen het versleutelde "stack-vector" pad blijft in plaats van weg te glippen via een lokale gateway.

  • Volg de commits: Vertrouw niet blindelings op een website; controleer de GitHub. Als een project zijn WireGuard-implementatie of de logica voor node-discovery al zes maanden niet heeft bijgewerkt, is het waarschijnlijk een "zombie-project".
  • Audit-rapporten: Serieuze privacy-tools investeren in beveiligingsaudits door onafhankelijke derde partijen.
  • Community-forums: Gespecialiseerde developer-discords zijn de plekken waar de echte technische kennis wordt gedeeld.

Als je dit serieus aanpakt, ben je waarschijnlijk al aan het experimenteren met aangepaste configuraties. Hier is een snelle manier om te controleren of je huidige tunnel daadwerkelijk het gedecentraliseerde pad volgt:

ip route show dev dvpn0
traceroute -n -i dvpn0 1.1.1.1

Ik heb talloze opstellingen gezien waarbij mensen dachten dat ze "onzichtbaar" waren, terwijl een simpel verkeerd geconfigureerde API-aanroep hun echte IP-adres lekte. Het is een constant kat-en-muisspel.

Volgende onderwerp: De bandbreedte-marktplaats en DePIN-beloningen, want de elektriciteit moet ergens van betaald worden.

De bandbreedte-marktplaats en DePIN-beloningen

We hebben besproken hoe datapakketten zich verplaatsen, maar laten we eerlijk zijn: niemand gaat voor eeuwig een high-speed exit-node draaien uit pure goedheid. Dit is waar het concept van "Airbnb voor bandbreedte" om de hoek komt kijken, ook wel bekend als DePIN (Decentralized Physical Infrastructure Networks).

  • Bandbreedte-mining: Je verdient crypto-beloningen simpelweg door een node online te houden en verkeer door te sturen.
  • Getokeniseerde middelen: Door gebruik te maken van een eigen netwerktoken zijn microbetalingen mogelijk voor elke overgedragen megabyte.
  • Afstemming van prikkels: Beloningen worden gewogen op basis van uptime en de "kwaliteit van de dienstverlening" (Quality of Service).

De grootste technische uitdaging is: hoe weet je zeker dat een node niet liegt over de hoeveelheid verkeer die is verwerkt? Hiervoor gebruiken we Proof of Bandwidth-protocollen. Dit houdt in dat een "challenger"-node versleutelde testdata naar een "prover"-node stuurt en de respons meet. Als de cijfers niet kloppen, geeft het smart contract de betaling niet vrij.

Diagram 3

Als we de beloningen niet correct programmeren, zouden nodes prioriteit kunnen geven aan verkeer dat het meeste oplevert. Om dit te voorkomen, maken veel netwerken gebruik van "staking". Je moet tokens als onderpand (collateral) vastzetten. Lever je een slechte service, dan verlies je jouw stake.

Hierna: Praktische implementatie en de toekomst van Web3-internetvrijheid, waarin we alles samenbrengen.

Praktische implementatie en de toekomst van Web3-internetvrijheid

De toekomst van Web3-internetvrijheid zal niet tot stand komen door een plotselinge "omschakeling". Het wordt een geleidelijk, organisch proces waarbij gedecentraliseerde protocollen zij aan zij bestaan met onze huidige glasvezelverbindingen.

We hoeven het internet niet volledig opnieuw uit te vinden. De kracht van deze architecturale verschuiving is dat deze is ontworpen voor "unilaterale implementatie". Een individuele provider kan vandaag al beginnen met het aanbieden van deze diensten. We maken gebruik van Default Mappers (DM's) om deze "eilanden" van P2P-netwerken met elkaar te verbinden.

  • Co-existentie met legacy-apparatuur: Je thuisrouter hoeft niet eens te weten dat hij communiceert met een P2P-netwerk. Een lokale gateway handelt de "Map & Encap"-logica af.
  • Bruggen slaan: Wanneer een datapakket naar een "normale" website moet, verzorgt de egress-node (ETR) de decapsulatie.
  • Gebruiksvriendelijke abstractie: Voor de gemiddelde gebruiker ziet dit eruit als een eenvoudige app, terwijl op de achtergrond complexe stack-vector routing wordt beheerd.

Vanuit het perspectief van een developer is het doel om deze tunnels "automatisch" te maken. Hier is een kort overzicht van hoe een node een "island mapping" kan controleren:

dvpn-cli map-query --dest 192.168.50.1

[DEBUG] Cache miss. Querying DM anycast...
[INFO] Received MapRec: Destination reachable via ETR 203.0.113.5

Het ultieme doel is een netwerk dat nagenoeg onmogelijk uit te schakelen is. Door een blockchain-VPN te combineren met P2P onion-routing, creëer je een systeem zonder centrale uit-knop. Zoals eerder vermeld, zorgt de λn² complexiteit ervoor dat we diepgaande, gelaagde privacy kunnen bieden zonder dat het netwerk bezwijkt.

Diagram 5

De toekomst van het delen van bandbreedte gaat niet alleen over het besparen van een paar euro; het gaat over wereldwijde connectiviteit die digitale muren omzeilt. Het is momenteel nog wat onoverzichtelijk en de terminal-commando's kunnen lastig zijn, maar het fundament ligt er. Het internet was altijd al bedoeld om gedecentraliseerd te zijn — we bouwen nu eindelijk de architectuur om dat ook zo te houden. Hoe dan ook, het is tijd om te stoppen met praten en te beginnen met het opzetten van nodes. Blijf veilig daarbuiten.

D
Daniel Richter

Open-Source Security & Linux Privacy Specialist

 

Daniel Richter is an open-source software advocate and Linux security specialist who has contributed to several privacy-focused projects including Tor, Tails, and various open-source VPN clients. With over 15 years of experience in systems administration and a deep commitment to software freedom, Daniel brings a community-driven perspective to cybersecurity writing. He maintains a personal blog on hardening Linux systems and has mentored dozens of contributors to privacy-focused open-source projects.

Gerelateerde Artikelen

Cryptographic Accounting for P2P Bandwidth Sharing Economy
P2P Bandwidth Sharing

Cryptographic Accounting for P2P Bandwidth Sharing Economy

Learn how blockchain and cryptographic accounting power the P2P bandwidth sharing economy in dVPNs and DePIN projects for secure data monetization.

Door Viktor Sokolov 20 maart 2026 8 min lezen
common.read_full_article
Integration of Zero-Knowledge Proofs for Anonymous Node Authentication
Zero-Knowledge Proofs

Integration of Zero-Knowledge Proofs for Anonymous Node Authentication

Learn how Integration of Zero-Knowledge Proofs for Anonymous Node Authentication secures dVPN networks and protects bandwidth miners in the Web3 era.

Door Marcus Chen 20 maart 2026 9 min lezen
common.read_full_article
Zero-Knowledge Proofs for Anonymous Node Validation
Zero-Knowledge Proofs

Zero-Knowledge Proofs for Anonymous Node Validation

Learn how Zero-Knowledge Proofs (ZKPs) enable anonymous node validation in decentralized VPNs (dVPN) and DePIN networks to protect provider privacy.

Door Marcus Chen 19 maart 2026 7 min lezen
common.read_full_article
Sybil Attack Resistance in DePIN Architectures
Sybil Attack Resistance

Sybil Attack Resistance in DePIN Architectures

Learn how DePIN and dVPN networks stop Sybil attacks. Explore Proof-of-Physical-Work, hardware attestation, and tokenized bandwidth security trends.

Door Viktor Sokolov 19 maart 2026 9 min lezen
common.read_full_article