9 tips om alles uit je router te halen
Een router hoeft in principe weinig meer te doen dan datapakketjes van het ene netwerk naar het andere verzenden, maar moderne routers hebben vaak allerlei extra functies en opties die een beter beheer mogelijk maken. We stellen je een aantal van die handige routerextra's voor.
In dit artikel focussen we ons op een aantal andere configuratie-opties waar veel gebruikers nauwelijks of niet aan toekomen, maar die je netwerk - zonder bijkomende kosten of kabels - wel beter presterend, veiliger of efficiënter kunnen maken. Gezien dergelijke functies niet op alle routermodellen aanwezig zijn en ze in diverse routers vaak net op een andere manier geïmplementeerd zijn, houden we het in dit artikel noodzakelijkerwijs wat algemener.
Tip 1: Gasttoegang
Stel, er komen geregeld kennissen over de vloer die graag van je wifi-verbinding gebruik zouden maken. Je kunt hen natuurlijk wel het wachtwoord van je draadloze netwerk geven, maar wellicht vermijd je dat liever. Bovendien loop je dan het risico dat ze 'per ongeluk' op je gedeelde netwerkmappen terechtkomen. Met behulp van meerdere routers of met VLAN's (zie ook kader 'VLAN') is het weliswaar mogelijk een apart netwerk (subnet) te creëren, maar als je router 'gasttoegang' ondersteunt, is dat veel gemakkelijker.
Bij de meeste routers volstaat het de functie te activeren en een naam en een wachtwoord voor dat gastnetwerk te bedenken. Sommige routers hebben ook de mogelijkheid een maximum aantal gasten in te stellen dat simultaan van dat draadloze netwerk gebruik mag maken. In veel gevallen dienen de gebruikers dan eerst hun browser te openen om daar het gastwachtwoord in te vullen. Heel wat modellen voorzien tevens in 'wireless isolation' (ook wel AP/Client/Station Isolation genoemd of Access Intranet off, of Internet access only), wat maakt dat de clients niet met andere apparaten op dat netwerk kunnen communiceren: ze kunnen eigenlijk alleen maar het internet op. Let wel, deze functie kan bepaalde draadloze toepassingen verstoren, zoals Google Chromecast.
©PXimport
'Access intranet' op Disable zetten op een ASUS-router, zorgt ervoor dat apparaten op het gastnetwerk niet met elkaar kunnen communiceren.
Tip 2: MAC-filtering
De beste manier om ongewenste gebruikers van je draadloze netwerk te weren is WPA2-beveiliging (AES) met een onvoorspelbaar wachtwoord. Eventueel kun je deze beveiliging ook combineren met MAC-filtering (media access control), waarbij alleen vertrouwde toestellen op je draadloze netwerk worden toegelaten. Dat gebeurt dan op basis van het unieke MAC-adres of fysieke adres van de netwerkchip van het apparaat. De meeste routers houden een lijst bij van toestellen die op het moment zelf (en vaak ook eerder) met de router zijn verbonden, inclusief het MAC-adres van die toestellen. Uiteraard kun je het MAC-adres van elk gewenst toestel ook 'lokaal' opvragen.
Op een Windows-apparaat kan dat via het opdrachtregelcommando ipconfig /all, op een Android-apparaat vind je deze informatie via Instellingen > Over de telefoon > Status. In iOS vind je het MAC-adres bij Instellingen > Algemeen, achter het kopje Wi-Fi-adres.
Gewapend met de nodige MAC-adressen, activeer je vervolgens MAC filtering op je router en geef je te kennen dat uitsluitend de toestellen waarvan je het MAC-adres invult, op het netwerk zijn toegelaten. Deze beveiliging op zich is zeker niet sluitend, maar kan wel nuttig zijn in combinatie met WPA2 (Personal).
©PXimport
MAC-filtering kan zinvol zijn in combinatie met een degelijke beveiliging als WPA2.
Back-up
Voor je aan de configuratie van je router begint te sleutelen, is het verstandig eerst een back-up van de huidige configuratie-instellingen te maken. Loopt er onverhoopt iets fout, dan kun je altijd nog terugkeren naar je vorige configuratie. Dat advies geldt overigens ook wanneer je de firmware van je router gaat updaten. Wij hebben het bijvoorbeeld zelf al meegemaakt dat zo'n update (op een Cisco Linksys EA6400) de DNS-instellingen verknoeide. Nagenoeg elke router voorziet gelukkig in zo'n back-upfunctie. Je router terugschakelen naar die configuratie is doorgaans niet moeilijker dan de herstelfunctie te activeren en naar je back-upbestand te verwijzen.
©PXimport
Zo goed als elke router laat je toe je huidige configuratie te back-uppen en te herstellen.
Tip 3: Poortdoorverwijzing
Stel, je hebt een of meer apparaten in je netwerk die van buitenaf (internet) bereikbaar moeten zijn. Bijvoorbeeld een NAS. Wanneer die apparaten zich achter een router bevinden, kan dit problemen geven. Daar bestaan echter diverse oplossingen voor, waarvan we de belangrijkste in dit artikel kort toelichten: port forwarding, port triggering, UPnP en DMZ. Port forwarding, oftewel poortdoorverwijzing - ook wel eens virtual server genoemd - is een functie die je vrijwel op elke router aantreft. Het houdt in dat je een inkomende poort doorlust naar een (al dan niet andere) poort op een specifiek adres binnen je eigen netwerk. Stel, je hebt op een apparaat met IP-adres 192.168.0.20 een webserver draaien op poort 8080 en je wilt die server bereikbaar maken vanaf het internet, dan maak je je router bijvoorbeeld duidelijk dat alle binnenkomende verkeer op poort 80 (de standaard http-poort) naar poort 8080 op het toestel met adres 192.168.0.20 moet worden gestuurd.
Weet je niet goed waar je deze functie moet zoeken op je router of hoe je die moet instellen? De kans is groot dat je de juiste instructies hier vindt.
©PXimport
Port forwarding: handig om een server op een client van buitenaf bereikbaar te maken.
Tip 4: Dynamisch DNS
Om het apparaat van buitenaf te kunnen bereiken, moet je dus wel eerst de router adresseren. In principe gebeurt dat via het (wat lastig te onthouden) WAN IP-adres van je router. Nog lastiger wordt het als je provider je geen vast, maar een dynamisch IP-adres heeft toegekend: dat adres kan dan in principe op elk moment wijzigen. Het zou veel handiger zijn als je je router te allen tijde kon bereiken via een gewoon webadres? Dat kan (gratis) met behulp van een 'dynamic DNS-service' (DDNS) als www.no-ip.com. Creëer een account en pas de configuratie optioneel aan via Manage my hosts. Het juiste WAN IP-adres kun je aflezen van de setup-informatie van je router of door vanaf je netwerk te surfen naar www.whatismyip.com.
Bij een dynamisch IP-adres komt het er dan op aan de 'connectie' tussen je gekozen subdomeinnaam (zoals computertotaal.ddns.net) en het WAN IP-adres actueel te houden. Dat kan door de bijhorende clienttool op een van je netwerkapparaten te installeren, of door de juiste DDNS-informatie in je router in te vullen. Die brengt dan meteen de DDNS-provider op de hoogte bij een gewijzigd WAN IP-adres. Houd er wel rekening mee dat je router dan ook die provider - in ons voorbeeld www.no-ip.com - moet ondersteunen.
©PXimport
DDNS-registratie op je router: vooral ook handig bij een dynamisch toegekend IP-adres.
Tip 5: Port triggering
Een nadeel vanuit veiligheidsoogpunt van port forwarding is dat de betreffende poort altijd blijft openstaan, tenzij je die doorverwijzingsregel (of de port forwarding-functie zelf) telkens weer zou uitschakelen op je router. Een iets veiliger alternatief is port triggering, althans wanneer de applicatie (server) die functie ondersteunt. Het komt er dan op neer dat de nodige poorten automatisch worden opengezet zodra die applicatie hierom verzoekt. Na afloop van de sessie of na een zelf in te stellen time-out worden die poorten dan vanzelf weer gesloten. Bij port triggering stuurt de betreffende applicatie namelijk data via een welbepaalde (trigger)poort uit, waarna een andere poort voor de binnenkomende data automatisch naar de juiste pc - de vragende partij - wordt doorgestuurd. In dit scenario hoef je daarom niet eens het IP- of MAC-adres van die pc in te vullen.
©PXimport
Port triggering: wakker schudden via de ene poort, data ontvangen via een andere.
Tip 6: UPnP & DMZ
Er zijn nog andere mogelijkheden om lokale servers (of zaken als videoconferencing of remote-play met Playstation) te benaderen. Eén ervan is UPnP (Universal Plug and Play), een verzameling gestandaardiseerde protocollen die het mogelijk maakt dat apparaten met elkaar kunnen communiceren, bijvoorbeeld voor het afspelen van video's of muziek vanaf een ander apparaat. Indien je applicatie UPnP ondersteunt, dan volstaat het in principe deze functie in te schakelen in je router. Die zorgt er dan voor dat de nodige poorten automatisch geopend worden zodat die applicatie ook vanaf het internet bereikbaar is. Hoe comfortabel UPnP ook is, deze protocolset wordt niet bepaald als erg veilig beschouwd.
Er zijn namelijk al vaker beveiligingslekken ontdekt waardoor kwaadwilligen vanaf het internet toegang krijgen tot netwerken. Je zult dus zelf de afweging moeten maken. Een andere oplossing is DMZ activeren. Dat staat voor 'demilitarized zone', hoewel de term in deze context niet echt correct is gebruikt. Wanneer je deze functie activeert en hier het IP- of MAC-adres van een netwerkclient invult, dan worden eigenlijk alle poorten tegelijk naar die pc geforward. Dat houdt meteen in dat die pc blootstaat aan (alle risico's van) het internet. Daarom doe je er goed aan die pc (via een firewall) gescheiden te houden van de rest van je netwerk. De meeste routers laten je wel toe zelf in te vullen vanaf welke externe IP-adressen je DMZ bereikbaar moet zijn; dat is net weer wat veiliger.
©PXimport
Een DMZ staat 'open en bloot' en verbind je dus niet zomaar met de rest van je netwerk.
VLAN
Duurdere routers voorzien ook in een wat geavanceerde functie om je netwerk te segmenteren in zogenoemde VLAN's (Virtual LAN's). In thuisnetwerken is het zelden zinvol om met VLAN's te werken, tenzij je hiermee wilt experimenteren of om op die manier een gescheiden gastnetwerk te creëren (indien je router zelf niet in zo'n functie voorziet: zie tip 1). Het opzetten van VLAN's is redelijk complex en vergt gewoonlijk ook (mede afhankelijk van de opbouw van je netwerk) het inzetten van een of meer (duurdere) 'managed' switches die met VLAN (frame tagging) overweg kunnen. Het gebruik van VLAN's valt om die reden buiten het bestek van dit artikel.
©PXimport
Een relatief eenvoudige netwerkopstelling met DMZ en VLAN's.
Tip 7: DHCP reservering
Sommige apparaten, zoals een NAS, een netwerkprinter of -camera, kun je het beste een vast IP-adres geven. Nu kun je dat adres natuurlijk zelf wel invullen in de netwerkinstellingen van het apparaat en het DHCP-bereik van je router buiten die pool van vaste IP-adressen houden, maar dan moet je er wel zelf op letten dat je bijvoorbeeld geen IP-adressen dubbel toekent. Een handig alternatief is dan DCHP-reservering ('address reservation'). Hierbij wordt automatisch een bepaald IP-adres - uit het DHCP-bereik - aan het MAC-adres van een toestel gekoppeld. Op die manier is dat toestel verzekerd van telkens weer hetzelfde IP-adres. Uiteraard mag je dit adres niet zelf invullen op een ander toestel. Sommige routers bieden ook ARP binding aan. Deze functie is vergelijkbaar, maar wanneer je hier een ander toestel handmatig toch ook van een al toegekend IP-adres zou voorzien, dan zal de router dat (voor verzoeken vanaf het internet) negeren. Deze functie is dus net iets veiliger omdat hiermee ongein als het zogenoemde ARP spoofing (oftewel ARP poisoning) wordt bemoeilijkt.
©PXimport
Vast toegekende IP-adressen binnen het DHCP-bereik.
Tip 8: QOS - WMM
Zit je thuis met een paar gebruikers die er niet voor terugdeinzen geregeld zowat alle beschikbare bandbreedte op te eisen waardoor je Netflix-stream of je YouTube-video's niet meer vooruit te branden zijn? Dan is het tijd om de hulp van 'traffic shaping' oftewel QoS (Quality of Service) op je router in te roepen. Deze functie zorgt ervoor dat een specifiek toestel of een specifieke service op je netwerk een bepaalde prioriteit krijgt, waardoor een bepaalde bandbreedte (min of meer) gegarandeerd wordt. Bij bittorrent-downloads mag dat gerust wat minder zijn, gezien zo'n verbinding fouttolerant is (lees: ontbrekende bits worden opnieuw doorgestuurd), maar met audio- of videostreams, VoIP of online gaming wil je liever geen haperingen.
In zijn eenvoudigste vorm stel je bij QoS het type verkeer in en ken je dat een prioriteit (zoals High, Medium of Low) toe. Bij de wat beter uitgeruste modellen kun je ook aangeven om welke applicaties of zelfs poorten het precies gaat. Bepaalde routermodellen ondersteunen ook de standaard Wi-Fi Multimedia (WMM) die automatisch bandbreedte toekent naargelang het type verkeer (van hoge naar lage prioriteit: voice, video, andere applicaties, achtergrondtaken als afdrukken en downloaden). Deze vorm van QoS geldt echter alleen voor draadloze connecties. Nieuwere modellen voorzien in een meer 'intelligente' vorm van QoS, die zowel geldt voor een draadloze als een bekabelde verbinding. Bij Asus heet dat bijvoorbeeld 'Adaptive QoS'. Deze functie analyseert het dataverkeer en kan op basis van het verkeerstype en van de ingestelde maximum upload- en downloadlimieten, in een optimale dataprioritering voorzien.
©PXimport
De router analyseert het dataverkeer en prioriteert op basis van het datatype, waardoor je bijvoorbeeld bepaalt dat VoIP-verkeer altijd voorgaat.
Tip 9: Ouderlijk toezicht & antimalware
Gezien je router een centrale plaats in je netwerk inneemt (immers, het is de 'gateway' van en naar het internet) is dit een ideale plek om ook verkeer van en naar bepaalde apparaten te monitoren. Sommige routerfabrikanten bieden daarom ook een of andere vorm van antimalware aan - wat niet betekent dat die nu zomaar de antivirustool op je pc kan vervangen. Bij (sommige modellen van) Asus bijvoorbeeld heet deze module AiProtection. Naast een veiligheidsscan met concrete suggesties voor een beter beveiligde router, bevat deze ook nog de mogelijkheid om verkeer afkomstig van malafide sites te blokkeren. Dat laatste gebeurt op basis van een online database afkomstig van antivirusproducent Trend Micro. Verder bevat deze module ook een optie om het uitsturen van persoonlijke informatie afkomstig van een geïnfecteerde pc naar externe servers te blokkeren. Deze module heeft ook nog enkele opties voor ouderlijk toezicht en het is mogelijk specifieke clients de toegang tot bepaalde inhoudscategorieën (zoals Adult, P2P and File Transfer en Streaming and Entertainment) te ontzeggen. Ook hiervoor wordt Trend Micro aangesproken.
Functies voor ouderlijk toezicht vind je overigens bij meerdere routerfabrikanten terug. Vaak beperkt die zich echter tot de mogelijkheid de webtoegang van specifieke clients tot bepaalde tijdstippen te beperken en de toegang tot zelf in te vullen url's te blokkeren.
©PXimport
Je router kan de internettoegang voor specifieke clients op bepaalde tijden blokkeren.
Alternatieve firmware
Heeft jouw router bepaalde functies die we hier bespreken niet, dan kan het geen kwaad even op de site van de producent te controleren of er inmiddels nieuwere firmware is die dat hiaat opvult. Eventueel kun je overwegen alternatieve firmware als de erg populaire DD-WRT te installeren, uiteraard indien je router voor die firmware geschikt is. Op de genoemde site kun je ook nagaan of je router compatibel is met DD-WRT. Deze firmware voegt vaak nuttige functies toe, zoals de ondersteuning van VPN, de mogelijkheid om de toegang tot het gastnetwerk tot bepaalde tijdstippen te beperken of om de bandbreedte en het dataverbruik van individuele apparaten te monitoren. Zo kun je grootverbruikers snel identificeren en hoef je niet op iedere pc monitoringsoftware (zoals het gratis GlassWire) te installeren.
Tot slot, het is ook altijd mogelijk met behulp van een (wat oudere) pc en gratis software als pfSense (op basis van FreeBSD) je eigen router te configureren. Het spreekt voor zich dat zo'n scenario vooral gevorderde gebruikers zal aanspreken.
©PXimport
Ga eerst na in hoeverre jouw router overweg kan met de DD-WRT-firmware.
