Benader je thuisnetwerk vanaf internet

In elk thuisnetwerk zit minimaal één router. Vaak is deze gecombineerd met het modem, maar noodzakelijk is dat niet. De belangrijkste taak van een router is het routeren, dat wil zeggen het door een netwerk loodsen van een netwerkbericht of datapakketje om het van de ene plek op de andere te krijgen. Routers gebruiken daarvoor het IP-adres van de bestemming dat in elk netwerkpakketje staat. Ze beslissen dan heel snel of dat IP-adres op het thuisnetwerk hoort. Zo niet, dan stuurt de router het pakketje het netwerk van de provider op. De router doet echter nog veel meer. Een tweede belangrijke functie van een router is NAT (Network Address Translation): dit is het vervangen van het IP-adres van een netwerkpakketje door een ander IP-adres binnen het thuisnetwerk. Dit is noodzakelijk omdat een deel van alle bestaande IP-adressen alleen op het thuisnetwerk kan worden gebruikt en niet op internet.

De derde belangrijke functie van de router is de firewall. De router zal standaard elk bericht dat van het internet komt beoordelen en het enkel doorlaten als het een antwoord is op een bericht van een computer op het thuisnetwerk. Alle andere berichten worden geblokkeerd, zo beveiligt de firewall het thuisnetwerk tegen indringers. Samen zorgen deze functies voor een prima verbinding met internet, maar maken ze het benaderen van het thuisnetwerk vanaf het internet een stuk lastiger. Toch wil je sommige apparaten binnen je thuisnetwerk wel vanaf internet benaderen, bijvoorbeeld een NAS of een webcam.

01 Het eigen netwerk

Mogelijk weet je al het een en ander over je netwerk, maar voor portforwarding moet je in elk geval de IP-configuratie kennen van zowel de router als van het apparaat dat je wilt ontsluiten via internet. Om het netwerk te verkennen open je in Windows een opdrachtprompt: klik op de startknop, tik een deel van het woord opdrachtprompt en klik op de optie Opdrachtprompt. In het opdrachtpromptvenster voer je het commando ipconfig uit. Zo achterhaal je het eigen IP-adres, het subnetmasker, maar ook het IP-adres van de standaardgateway (dat is het adres van de router). Het IP-adres van de NAS of IP-camera zit in hetzelfde netwerk als de pc en de router. Je kunt ook een netwerkscanner als Angry IP Scanner gebruiken. Op je smartphone kun je een app als Fing (ook voor Android) gebruiken om deze informatie te verkrijgen.

Om het netwerk te leren kennen gebruik je de opdrachtprompt.

Ook met smartphone en een app als Fing kun je eenvoudig het IP-adres van de router vinden.

02 Inloggen op de router

Beheer van de router gaat altijd via de browser. Start de browser en typ in de adresbalk het IP-adres van de standaardgateway, bijvoorbeeld http://192.168.1.1. Log in met je gebruikersnaam en wachtwoord. Anders dan de apparaten in het thuisnetwerk, heeft een router niet één, maar twee IP-adressen. Het IP-adres aan de kant van het thuisnetwerk is het IP-adres van de router als standaardgateway. Daarnaast heeft de router nog een IP-adres aan de kant van het internet, vaak de WAN-poort geheten. Beide IP-adressen zijn te vinden in de configuratie van de router. Noteer de IP-adressen, later heb je allebei nodig. Als je alles goed hebt ingesteld, gebruik je het externe IP-adres (van de WAN-poort) om vanaf internet verbinding te maken met bijvoorbeeld je NAS of IP-camera.

De router heeft twee IP-adressen, een voor het interne netwerk (LAN) en een voor op internet (WAN).

03 Vast IP-adres

Voor portforwarding is het belangrijk dat het apparaat dat je via internet wilt gebruiken, zoals een NAS of IP-camera, altijd op hetzelfde IP-adres in het thuisnetwerk te vinden is. Het apparaat mag dus niet via DHCP zijn IP-adres krijgen, maar een vast IP-adres hebben. Dit wordt ook wel een 'static' IP-adres genoemd. In de configuratie van de NAS of IP-camera kun je zo'n vast IP-adres instellen. Log daarvoor in op de webinterface van het apparaat en open de netwerkconfiguratie.

Geef alle apparaten die je wilt kunnen bereiken vanaf internet een vast IP-adres op het thuisnetwerk.

04 De theorie van portforwarding

Om alles zo in te stellen dat iemand via internet de beelden van de IP-camera in het thuisnetwerk kan zien, moet je een aantal gegevens weten. Gezien vanaf het internet zijn dat: het IP-adres aan de WAN-kant van de router, het IP-adres op het thuisnetwerk van de IP-camera en het poortnummer waarop de webcamsoftware actief is op de IP-camera. Bij portforwarding open je dan een poort in de firewall van de router (dat kan poort 80 zijn of poort 5000) en die koppel je aan het IP-adres van de IP-camera en het poortnummer op de IP-camera.

Wanneer je vervolgens een browser opent en zorgt dat deze echt via internet verbinding maakt (dus niet via het interne netwerk) en het adres van de router in de adresbalk typt met het juiste poortnummer, dan zal de firewall die verbinding accepteren en doorzetten naar het IP-adres en het poortnummer dat je hebt opgegeven in de regel voor portforwarding. Vanaf stap 6 laten we je voor een aantal populaire merken routers zien hoe je portforwarding instelt.

De iPhone en notebook maken beide verbinding met een apparaat op het thuisnetwerk, via een verzoek aan de router met verschillende poortnummers.

IP-adressen

TCP/IP is het communicatieprotocol op je thuisnetwerk én internet. Wanneer je bijvoorbeeld een webpagina opent, dan gaat er een groot aantal netwerkpakketjes van de computer naar de webserver en terug. De basis daarvan is de IP-adressering. Elke computer, NAS of IP-camera heeft een IP-adres. Elk adres bestaat uit vier blokken van elk maximaal 3 cijfers, van 0 tot 255.

Alle adressen zitten dus tussen 0.0.0.0 en 255.255.255.255, in totaal 4.294.967.296 IP-adressen (2^32). Van al die adressen zijn een paar blokken alleen voor gebruik op privénetwerken, deze kunnen niet op internet worden gebruikt. Dit zijn 10.0.0.0 tot 10.255.255.255, 127.0.0.0 tot 127.255.255.255 en 192.168.0.0 tot 192.168.255.255. Dit geldt overigens voor IPv4. Er is inmiddels een opvolger in de vorm van IPv6, waarbij er genoeg IP-adressen beschikbaar zijn om ieder apparaat een uniek adres te geven. IPv6 wordt echter nog nauwelijks gebruikt.

05 Meerdere routers in het thuisnetwerk

In veel huizen hangt de eigen router achter een router van de internetprovider. Je hebt dan dus twee routers tussen de IP-camera en het internet en je moet dan ook op beide de portforwarding regelen. Je kunt dat heel precies doen door op Router1 een portforwarding-regel maken naar Router2 en van daar nog weer naar de IP-camera. Je kunt Router2 ook in de DMZ (demilitarized zone) van Router1 zetten, dan worden alle verbindingen die binnenkomen naar de tweede router doorgezet.

Zitten er twee routers in het netwerk, dan is op beide portforwarding noodzakelijk.

TCP/IP-poorten

Om een NAS of IP-camera te ontsluiten moet je behalve het IP-adres ook het poortnummer weten waarop de service van dat apparaat bereikbaar is. Een webserver draait bijvoorbeeld standaard op poortnummer 80 en een beveiligde webserver op poortnummer 443. Een apparaat in het netwerk heeft doorgaans één IP-adres met 65.536 mogelijke poortnummers. Zijn op een NAS meerdere diensten actief, bijvoorbeeld een webserver en een ftp-server, dan zal de webserver doorgaans op poort 80 werken en de ftp-server op poort 21. Je kunt echter in de configuratie van de NAS of IP-camera zelf met het poortnummer schuiven en de webserver bijvoorbeeld op poort 2000 draaien als je dat wilt. Tevens kun je aan de internetkant kiezen voor een andere poort dan binnen je netwerk.

Draait de webserver op de NAS bijvoorbeeld op poort 80, kun je die aan de buitenkant koppelen aan poort 5000. Daarom moet je bij elke regel voor portforwarding altijd een externe poort opgeven en een interne. De eerste is de poort op de router, de tweede die op de NAS. De poorten tot en met 1023 zijn gereserveerd voor standaardservices, de poorten boven de 1024 kun je altijd vrij gebruiken.

06 Portforwarding bij ASUS

ASUS behoort inmiddels tot de populairste routermerken. We gebruiken de RT-N66U, maar de firmware komt overeen met die van de meeste ASUS-routers. Log in op de webinterface van de router en blader naar WAN. Klik op Virtual Server/Port Forwarding. Kies bij Enable Port Forwarding voor Yes. Bij Famous Server List kun je nu een veelvoorkomende service kiezen zoals ftp of http (website) waarna de router al het goede poortnummer invult. Je kunt dit ook handmatig doen, dat is zelfs noodzakelijk bij niet-standaard poorten die niet in de lijst met voorgedefinieerde services zitten. Klik in de regel onder Port Forwarding List en type bij Service Name een naam voor deze dienst zodat die later duidelijk te herkennen is.

Toegang tot de webinterface van de NAS op poort 8080 is nu opengezet vanaf internet voor alle browsers op poort 80.

Bij Portrange zet je het poortnummer of de poortnummers waarmee je aan de WAN-kant aanklopt. Selecteer bij Local IP het juiste IP-adres uit de lijst of typ dit IP-adres zelf in. Vul bij Local Port het poortnummer in van de betreffende netwerkdienst op de NAS of IP-camera. Selecteer het protocol (TCP, UDP of BOTH) en bevestig met een klik op Add en Apply.

De ASUS-router weet welke apparaten op zijn interne netwerk zitten en deze kun je ook selecteren bij het configureren van de portforwarding.

TCP, UDP of beide

Bij elke regel voor portforwarding wordt gevraagd of het TCP, UDP of beide (Engels: both) is. TCP en UDP zijn allebei protocollen die het transport van netwerkpakketjes regelen. Het verschil tussen de twee is dat TCP zekerder is, van elk pakketje dat het verstuurt vraagt het om een bevestiging van ontvangst. UDP doet dat niet. Bovenliggende protocollen als http en ftp kunnen vaak met beide overweg. TCP heeft daarbij vaak de voorkeur. Welke je moet gebruiken is afhankelijk van het protocol. Bij twijfel, kies beide. Werkt het niet, wissel dan tussen de drie opties.

07 Portforwarding bij TP-Link

De webinterface van de TP-Link Archer C2 AC750 is gelijk aan die van veel andere routers van TP-Link. Log in op de router en open het menu NAT. Belangrijk is dat bij beide NAT-opties in dat venster de optie Enabled is geselecteerd. Is dat niet het geval, pas dat dan aan en klik op de knop Save. Klik dan op Forwarding / Virtual Server. TP-Link noemt elke machine die op het thuisnetwerk services aanbiedt op het internet een virtual server. Klik op Add new. Je moet nu een regel maken voor de firewall. Deze begint met de Service Port, dat is het externe poortnummer waarmee je vanaf internet aanklopt op de WAN-kant van de router. Bij IP Address komt het IP-adres van de NAS of IP-camera, bij Internal Port het poortnummer op de NAS of IP-camera waar de dienst op te bereiken is die je wilt kunnen gebruiken. Selecteer bij Protocol de juiste instelling (TCP of UDP) en bevestig met Save. De regel is meteen actief.

Twee portforwarding-regels op de TP-Link. Eenmaal binnenkomend poort 5000 naar poort 80 op de NAS en eenmaal binnenkomend poort 80 naar poort 80 op de IP-camera.

TP-Link biedt meerdere NAT-opties, maar de standaardinstelling werkt het beste voor portforwarding.

08 Portforwarding bij Sitecom

Sitecom is één van de populairste routermerken in Nederland. De interface van de door ons gebruikte X8 AC1750 is hetzelfde als veel andere Sitecom-routers. Log in op de beheerpagina van de router en schakel eerst over naar het Nederlands via het menu rechtsboven. De Sitecom heeft een tabblad genaamd Firewall, maar voor portforwarding moet je bij het tabblad Geavanceerd zijn. Klik op Virtuele Server en zet een vinkje voor de optie Virtuele Server aan.

Typ nu bij Lokaal IP het IP-adres van de NAS of de IP-camera op het thuisnetwerk. Bij Lokale poort zet je het poortnummer van de service op de NAS of IP-camera, bij Type kies je weer TCP, UDP of Beide, en bij Publieke poort zet je het poortnummer waarmee je vanaf internet verbinding maakt. Geef de regel een naam in het vak Commentaar en bevestig via Toevoegen en daarna Toepassen. Je kunt meerdere regels toevoegen, en via Selecteren later ook verwijderen.

Sitecom gebruikt de Virtuele Server-functie voor het toegang geven aan een systeem op het LAN vanaf het internet.

09 Portforwarding bij Netgear

We hebben voor Netgear de Nighthawk R7000 gebruikt, maar de interface komt overeen met andere Netgear-routers. Kies in de webinterface Geavanceerd / Geavanceerde instellingen. Klik op Poort doorsturen / poort activeren. Gaat het om een standaard poort, dan kun je die in het menu Servicenaam selecteren en daarna het IP-adres compleet maken. Klik dan op Toevoegen. Wil je meer maatwerk, bijvoorbeeld een niet-standaard poort of een andere poort aan de buitenkant van de router dan waar je naar doorzet op het LAN, klik dan op de wat minder goed zichtbare knop Aangepast service toevoegen. Typ een Servicenaam voor de herkenbaarheid en kies TCP, UDP of TCP/UDP. Je kunt één poort gebruiken door bij Externe beginpoort en Externe eindpoort hetzelfde poortnummer in te vullen, maar je kunt ook meerdere poorten ineens configureren door een reeks te maken met begin- en eindpoortnummers die niet gelijk zijn.

Netgear biedt veel configuratieopties voor de portforwarding op één overzichtelijke pagina.

Als je een andere poort op het LAN wilt gebruiken, haal je het vinkje weg bij Gebruik hetzelfde poortbereik voor interne poort en typ je de poortnummers in. Voer het IP-adres in of selecteer het apparaat in de lijst met Aangesloten apparaten en bevestig met Toepassen.

Wil je een standaard poortnummer één op één doorzetten van WAN naar LAN, dan kun je die selecteren uit het menu met standaard services.

10 Portforwarding met Linksys

Linksys is tegenwoordig onderdeel van Belkin, maar heel veel routers draaien nog software met vooral verwijzingen naar Cisco. Deze verschillen tussen de oudere en nieuwere modellen zijn vooral cosmetisch. Kies in de webinterface Beveiligingsconfiguratie weergeven en wijzigen. Voor portforwarding open je het derde tabblad Toepassingen en games. Linksys biedt de mogelijkheid een poortbereik door te sturen, maar kies voor Enkele poort doorsturen. Klik dan op Doorsturen één poort toevoegen. Geef de regel een naam bij Naam toepassing, voeg een Externe poort toe voor het poortnummer waarmee je vanaf het internet bij de router aanklopt, en een Interne poort, waarop de service actief is op de NAS of IP-camera.

Let er op dat je het vinkje Waar aan vinkt.

Selecteer bij Protocol de optie TCP, UDP of Beide en voeg het IP-adres toe. Let erop dat er een vinkje staat in de kolom Ingeschakeld en klik dan op Opslaan. Bevestig met Toepassen of OK onderop de pagina.

Gemiste kans: het overzicht van aangesloten apparaten kan niet gebruikt worden om eenvoudig een port te forwarden.

Verbinden met alternatieve poort

Wanneer je een website opent, maakt de browser contact met poort 80 van de webserver. Als je 'https' voor de naam van de site zet, dan is dat poort 443. Je kunt de browser echter ook forceren om met een andere poort contact te maken. Dat is noodzakelijk wanneer je zelf op de router als externe poort voor een service bijvoorbeeld poort 5000 hebt geconfigureerd. Om met een browser op een andere poort te verbinden dan de standaardpoort 80, zet je achter het IP-adres of de domeinnaam een dubbele punt en dan het poortnummer. In het geval van poort 5000 wordt dat bijvoorbeeld http://123.12.34.23:5000. Als IP-adres gebruik je het WAN-IP-adres van je router.