Je hebt een thuisnetwerk en dus heb je een router. Zo’n apparaat werkt goeddeels out-of-the-box of wellicht heeft je provider hem al voor je ingesteld. Toch kun je met een optimale configuratie de snelheid of de veiligheid verhogen of functies beschikbaar maken die handig zijn voor je netwerk. In dit artikel bespreken we een aantal van deze geavanceerde router-instellingen en geven we tips.

Er zijn tientallen routerfabrikanten en honderden routermodellen, dus kun je van ons helaas geen pasklare instructies verwachten. Het kan zelfs gebeuren dat je eigen routermodel met sommige van de vermelde functies niet overweg kan, ook niet na de nieuwste firmware-updates. Maar dat zullen uitzonderingen zijn.

We gaan hier zoveel mogelijk voorbij aan de voor de hand liggende zaken, zoals een stevig inlogwachtwoord voor je router of minimaal WPA2-encryptie voor je wifi. We focussen ons op drie aspecten. Eerst bekijken we diverse technieken om toestellen in je eigen netwerk van buitenaf bereikbaar te maken, gevolgd door een blik op diverse operationele modi waarbij we ook het nut van een extra router bekijken. Verder besteden we aandacht aan enkele technieken om de prestaties van je (draadloze) netwerk te verbeteren.

Bereikbaarheid

UPnP

De kans is zeer groot dat ook jouw router standaard met NAT (Network Address Translation) werkt. Dit zorgt ervoor dat je netwerktoestellen hetzelfde publieke ip-adres gebruiken om met het internet te communiceren. Googel op enkele van je netwerkclients bijvoorbeeld maar naar “what is my ip” en je ziet meteen wat we bedoelen. Dat biedt een voordeel qua veiligheid; de ip-adressen van je clients zijn niet zichtbaar voor de buitenwereld. Maar het nadeel is dat externe hosts niet zomaar kunnen communiceren met je netwerkclients.

Er zijn gelukkig oplossingen hiervoor, hoewel die niet allemaal even veilig zijn zonder extra beveiligingsmaatregelen. Zo bieden de meeste routers UPnP aan, oftewel Universal Plug and Play. Je hoeft deze functie alleen maar in te schakelen, waarna UPnP-compatibele apps automatisch de nodige poorten kunnen openzetten. Helaas kan die opzet ook door malware misbruikt worden als die erin slaagt netwerkclients te infecteren. 

Verder blijken UPnP-implementaties bij sommige routers niet optimaal en soms zelfs blijkt deze functie standaard ook aan wan-zijde actief. Dit laatste kun je testen via https://kwikr.nl/badupnp. Om deze redenen raden we UPnP af.

©PXimport

Forwarden

Een veelgebruikte techniek om toestellen of services ook van buitenaf bereikbaar te maken is het forwarden van poorten, te vinden in je routerinstellingen als Port forwarding of Virtual server. Stel: je wilt een beveiligingscamera op afstand kunnen volgen. Dan hoef je maar naar de betreffende poort op het (vast toegekende) interne ip-adres van die camera te verwijzen, waarbij je als externe poort (Port from) bijvoorbeeld ook 80 kunt invullen, zodat je het interne poortnummer van de camera niet mee hoeft in te voeren in de webinterface-url. Als het mogelijk is, kun je de toegelaten externe hosts veiligheidshalve beperken tot specifieke mac- of ip-adressen. Op www.portforward.com/router.htm vind je instructies voor talrijke routermodellen.

Op zich is portforwarding niet onveilig, maar dat wordt het natuurlijk wel als er veiligheidslekken gevonden worden in het toestel dat via deze techniek van buitenaf bereikbaar is – denk aan IoT-apparaten. Daarom is het aan te raden om deze apparaten in een gescheiden subnet of vlan onder te brengen.

Een variant op deze portforwarding-techniek is porttriggering, hoewel dit in de praktijk niet zo vaak voorkomt. Het komt erop neer dat zodra – en zolang – een compatibele app data uitstuurt op een specifieke poort, er automatisch een of meer poorten voor de binnenkomende data worden geforward naar de pc waarop die app draait. In tegenstelling tot bij portforwarding hoef je hier dus niet zelf het ip-adres van de pc in te vullen; het ‘triggered’ en het ‘forwarded’ poortbereik volstaan. Porttriggering is iets veiliger dan portforwarding, aangezien de poorten automatisch gesloten (horen te) worden zodra je de app afsluit.

©PXimport

DMZ

Je kunt het ook over een andere boeg gooien en bijvoorbeeld een toestel met services die je publiek toegankelijk wilt maken in de DMZ (‘demilitarized zone’) van je router onderbrengen. Alle externe aanvragen worden dan naar de poort doorgestuurd die je in de DMZ hebt ingevuld, behalve de pakketjes voor de poorten die je eventueel al voor portforwarding had ingesteld.

Zo’n DMZ-opzet kan bijvoorbeeld nuttig zijn om een extra router aan de router van je provider te hangen, wanneer deze laatste geen bridge-modus ondersteunt (zie de paragraaf ‘Brug- en repeatermodus’).

Meer nog dan bij portforwarding is het van groot belang dat een toestel dat je in de DMZ hebt geplaatst, goed afgeschermd is van de rest van je netwerk. Dat kun je bijvoorbeeld doen met een firewall, en/of door het apparaat in een apart subnet te plaatsen.

Een geheel andere – en doorgaans veiliger – aanpak om je netwerk op afstand te benaderen is het inrichten van een VPN-server. Dat kan op sommige routermodellen, waaronder bij de alternatieve routerfirmware van www.dd-wrt.com en www.openwrt.org. Ook de meeste NAS’en zijn via een app voorzien van deze mogelijkheid. Een van de betere protocollen is OpenVPN, maar de configuratie daarvan is niet zo eenvoudig. Om OpenVPN op Windows op te zetten heb je ook externe software nodig, zoals OpenVPN GUI.

©PXimport

DDNS

Om via je router een interne client te bereiken, heb je normaliter wel het publieke ip-adres van je router/netwerk nodig. Helaas is dat bij de meeste thuisgebruikers een dynamisch toegekend ip-adres, dat je niet zelf kunt wijzigen.

Om dit euvel te vermijden, kun je een zogenaamde DDNS-service (Dynamic DNS) gebruiken. Je koppelt je publieke ip-adres dan aan een vaste hostnaam en een tool zorgt ervoor dat een gewijzigd ip-adres meteen aan die dienst wordt doorgegeven, zodat de koppeling intact blijft. Bekende DDNS-diensten zijn www.noip.com en www.dynu.com (ook gratis). 

De meeste routers en NAS-toestellen bieden zo’n functie aan, waarbij je niet meer hoeft te doen dan het gekoppelde domein in te vullen evenals het login-ID van de betreffende DDNS-service. Je hebt er in principe verder geen omkijken meer naar.

©PXimport

Operationele modi

WISP

Een thuisnetwerk beschikt doorgaans over één NAT-router die via de wan-kabel met (het modem en) het internet is verbonden en via de ingebouwde switch aan je eigenlijke netwerk is gekoppeld. Een DHCP-service zorgt ervoor dat de clients een geldig ip-adres toebedeeld krijgen.

Dat is de standaardsituatie, maar het is niet de enige mogelijke operationele modus voor routers. Zo bieden sommige routers ook de zogenoemde WISP-modus aan (Wireless Internet Service Provider), waarbij je via de draadloze module een verbinding opzet met (een publiek wifi-hotspot van) je provider. Dat kan handig zijn in uitzonderlijke situaties, waarbij je niet via de gebruikelijke ethernetkabel op de wan-poort verbinding kunt maken. Vervolgens kun je de internetverbinding met je andere netwerktoestellen delen, via de kabel of draadloos. Houd er wel rekening mee dat de verbindingskwaliteit doorgaans minder goed is, met hogere latentietijden, meer jitter en sporadisch pakketverlies.

Voor deze modus hoef je alleen maar WISP-functie op je router in te schakelen. Ga dan wel even na of het wan-verbindingstype is ingesteld op Dynamic IP en of je wel degelijk met de hotspot bent verbonden.

©PXimport

Bridge- en repeatermodus

De meeste routers zijn ook voorzien van een bridge-modus. Dit is een functie die twee routers tegelijk in een netwerk toelaat. De router die in bridge-modus wordt geplaatst verliest daarbij wel behoorlijk wat functionaliteit. Het toestel stuurt uiteraard nog altijd data door, maar voert niet langer NAT-specifieke taken uit. De DHCP-service en vaak de ingebouwde firewall worden eveneens uitgeschakeld.

Deze modus kan handig zijn wanneer de router van je provider weinig functionaliteit biedt of zich in een weinig optimale locatie – zoals in de meterkast – bevindt voor je draadloze netwerk. Je plaatst die dan in bridgemodus en koppelt er vervolgens een eigen router aan. Een alternatief is dat je je eigen router in de DMZ van de router van je provider plaatst (zie de eerdere paragraaf hierover).

De meeste routers ondersteunen ook een wireless repeater-modus, ook wel ‘range extender’ genoemd. De bedoeling is duidelijk: een router in deze modus pikt het draadloze signaal van een andere router of draadloze toegangspunt op en herhaalt dit, zodat het signaal wordt versterkt. Houd er wel rekening mee dat routers kieskeurig kunnen zijn in deze modus en soms alleen met apparaten van dezelfde fabrikanten willen samenwerken.

Heeft je router standaard geen bridge- of wireless repeater-modus dan zijn er ook nog handmatige manieren om zo’n extra toestel toch een plaats te geven in je huidige netwerk.

©PXimport

Twee routers (lan-lan)

In onze eerste opzet willen we dat alle pc’s en netwerkapparaten zich met beide routers kunnen verbinden, zodat je bestanden en andere bronnen binnen je hele netwerk kunt delen. Dat gaat in het kort als volgt: noteer om te beginnen het interne ip-adres van je eerste router – waarbij we ervan uitgaan dat die correct is geconfigureerd en probleemloos functioneert – en verbind een lan-poort van de extra router met je pc. Verbreek tijdelijk de verbinding tussen je pc en de eerste router. 

Herstart vervolgens je pc, zodat die een ip-adres krijgt via de DHCP-service van de tweede router en open de webinterface van deze router. Geef die een vast ip-adres mee binnen het subnet van je eerste router, maar bij voorkeur wel buiten het DHCP-bereik. Op je tweede router vul je voor de standaard-gateway en de DNS-server telkens het interne ip-adres van je eerste router in. Sla de wijzigingen op en herstart de tweede router, waarna je hier de DHCP-service en eventueel ook de firewall uitschakelt.

Je mag nu de tweede router via de lan-poort verbinden met de rest van je netwerk. Je kunt nu je tweede router ook als draadloos toegangspunt laten fungeren, bijvoorbeeld met een verschillende SSID voor elk van de beschikbare frequentiebanden. Je stelt op beide routers bij voorkeur wel dezelfde wifi- en encryptiestandaard en hetzelfde wachtwoord in. Voor de 2,4GHz-band kun je het best uiteenlopende kanalen gebruiken, zoals 1 en 11.

©PXimport

Twee routers (lan-wan)

Het kan ook anders: je laat beide routers op verschillende subnetten werken. Zo’n constructie zorgt ervoor dat je vanuit het netwerk van de eerste (‘buitenste’) router niet zomaar de toestellen in het andere netwerk kunt bereiken. De omgekeerde richting kan nog wel – tenzij je met drie routers werkt, maar die opzet laten we hier verder buiten beschouwing. Aan het buitenste netwerk kun je dan bijvoorbeeld servers of IoT-apparaten koppelen of je gebruikt het als (draadloos) netwerk voor je kinderen of gasten.

Noteer het interne ip-adres van je primaire router en ga na of de DHCP-service wel is ingeschakeld. Vervolgens verbind je je pc via een ethernetkabel met je tweede router. Koppel de wan-poort van deze router aan een lan-poort op een switch of rechtstreeks aan je eerste router. Meld je aan bij de webinterface van de tweede router. Zorg ervoor dat het wan-connectietype hier staat ingesteld op automatische DHCP-configuratie, zodat die een extern ip-adres van je eerste router krijgt. Je kunt dit adres het best opnemen in de DHCP-reserveringen of statische leases van je eerste router.

Over naar de lokale netwerkinstellingen van de tweede router. Gebruik een ip-adres in een ander subnet dan dat van je eerste en schakel ook hier de DHCP-service in. Wellicht wil je deze router ook als draadloos toegangspunt laten fungeren; gebruik dan een ander SSID, kanaal en wachtwoord. Je kunt zelfs andere DNS-servers instellen op beide routers. Op de eerste, buitenste router kun je (voor je kinderen) bijvoorbeeld gefilterde DNS-servers van OpenDNS FamilyShield instellen: 208.67.220.123 en 208.67.222.123.

©PXimport

Dubbele portforwarding

In een opstelling zoals beschreven in de paragraaf ‘Twee routers (lan-wan)’ zul je merken dat de toestellen van het binnenste netwerk niet zomaar meer vanaf het buitenste netwerk bereikbaar zijn. Dit opzet schermt het binnenste netwerk wel beter af voor externe malversaties, maar toestellen of services in dit netwerk worden ook moeilijker bereikbaar via portforwarding. 

Om dit op te lossen moet je een dubbele portforwarding uitvoeren. Op de eerste router stuur je de externe aanvragen door naar het wan-ip-adres van je tweede router en op deze router forward je dan zoals gewoonlijk naar het ip-adres van het beoogde toestel.

Prestaties

Snelheidstests

Je wilt op je (draadloze) netwerk natuurlijk de best mogelijke prestaties. Op het internet krijg je daarvoor steevast dezelfde tips aangereikt, zoals een optimale routerlocatie en dito antenneplaatsing, een wifi-kanaal met zo weinig mogelijk storing van naburige netwerken, en up-to-date firmware met goede ondersteuning voor recente wifi-standaarden, zoals 802.11ax (wifi 6) met multi-user-technologieën als OFDMA en MU-MIMO.

Hoe dan ook, om de snelheid te meten voor en na eventuele aanpassingen kun je diverse online snelheidstests inzetten, zoals www.tiny.cc/hispeedtest, www.speedtest.net of www.dslreports.com/speedtest. Bij alle drie zie je de (gemiddelde) upload- en downloadsnelheden (en bij de eerste ook de latentietijd), maar Dslreports laat je zelf het connectietype instellen (zoals Fiber, Cable, DSL of WISP) en test tevens op eventuele ‘bufferbloat’Via een van onze artikelen op de site van ons zusterblad PCM lees je hoe je dit met SMQ (Smart Queue Management) ook op enkele andere routers kunt tegengaan.

©PXimport

QoS

SMQ is een slimmere manier om data te bufferen, aangezien die met meerdere wachtrijen werkt. Helaas ondersteunen de meeste routers deze functie vooralsnog niet. In dit geval kun je het met QoS (Quality of Service) proberen. Het komt erop neer dat je specifiek verkeer voorrang geeft en een grotere hap van de bandbreedte toestaat. Een vorm van ‘traffic shaping’, waarbij data met minder prioriteiten gebufferd kunnen worden. 

Zo zou je bijvoorbeeld torrent-downloads relatief minder bandbreedte kunnen laten gebruiken, omdat zo’n verbinding normaliter toch fouttolerant is – lees: ontbrekende bits worden nogmaals verstuurd. Bij VoIP, audiostreams of online gaming heb je wellicht juist liever geen haperingen.

Afhankelijk van je router zijn er verschillende varianten op QoS mogelijk. Bij traditioneel QoS ken je doorgaans een prioriteit toe (zoals 1 tot 7 of van High naar Low) aan zelf te bepalen toestellen, applicaties of protocollen en zal de router de beschikbare bandbreedte verdelen naargelang de toegekende prioriteiten.

Diverse routers, waaronder modellen van TP-Link, bieden tenslotte specifiek voor draadloze verbindingen de functie WMM (Wi-Fi Multimedia, of ook wel Wireless Multimedia). Deze kent bandbreedte toe naargelang het type verkeer. Zo krijgen voice en video standaard een hogere prioriteit dan achtergrondtaken als printen of downloaden. 

Routerfabrikant ASUS heeft deze meer geautomatiseerde vorm van QoS ook naar ethernetverbindingen doorgetrokken, onder de naam Adaptive QoS. Je hoeft hier alleen maar de aangeboden presets naar prioriteit te ordenen. Experimenteer gerust met QoS, maar ga wel na of het daadwerkelijk de prestaties van het beoogde verkeer verbetert.

©PXimport

Met de L'OR Barista Absolu zet je thuis zowel warme als gekoelde koffie, om er naar eigen recept ijskoffie van te maken. In deze review bespreken we gebruiksgemak, smaak en consistentie, of de Enjoy Over Ice-stand en Intensity Boost echt verschil maken én of het prijskaartje van 129 euro (adviesprijs) dat waard is.

Design & bouw

De L’OR Barista Absolu is een compacte koffiemachine die werkt met de welbekende capsules. Hij weegt net geen 3,5 kilo en is 28,3 centimeter hoog, 16,2 centimeter breed en 39,6 centimeter diep. Het testexemplaar is uitgevoerd in matgrijs, met aan de achterzijde een waterreservoir met klepje en handig hengsel, en met een capaciteit van 1,2 liter. Bovenop zit een hendel die je naar boven kunt trekken om de capsule op de juiste plek in de machine te doen; daarachter zitten de bedieningsknoppen.

Aan de voorzijde onder het koffietuitje zit een opvangreservoir dat je los kunt halen. Deze is niet in hoogte te verstellen, maar wel los te halen om er een grote mok onder te zetten; handig bij de XXL-koffies. Als je het hele paneel naar voren trekt, zie je het bakje waar gebruikte capsules in vallen. Kortom: een overzichtelijk apparaat.

©Saskia van Weert

Handleiding & meegeleverde capsules

Er zit geen uitgebreide handleiding bij, alleen een boekje waarin met tekeningen wordt aangegeven hoe de machine werkt. Dat is voldoende duidelijk. Ook zit er bij de testmachine een doosje met tien originele L’OR-XXL-capsules om de machine mee te leren kennen.

©Saskia van Weert

Bediening & opties

De bediening en het aantal opties is eveneens vrij overzichtelijk. De Absolu kan overweg met twee formaten capsules: normaal en XXL. Het apparaat herkent het formaat automatisch, daar hoef je als gebruiker niets voor te doen. Er zitten vijf knoppen op. De drie grotere knoppen zijn voor ristretto, espresso en lungo. Daarachter zitten twee kleinere knoppen: links voor ijskoffie en rechts voor extra sterke koffie.

Wie zin heeft in koffie zorgt voor een gevuld waterreservoir, een capsule op de juiste plek en met een druk op de knop gaat de machine aan de gang. Hij is niet per se supersnel; het zetten van een lungo met een XXL-capsule duurt van het indrukken van de knop tot aan de laatste druppels ruim anderhalve minuut.

©Versuni

Iced coffee in de praktijk

De functie waarmee de Absolu wordt aangeprezen, is de ijskoffie. In de beleving van het testteam zijn dat zoete, vaak calorierijke lekkernijen om lekker van te genieten: een combinatie van koffie, zuivel en bijvoorbeeld karamelsaus. De verwachtingen zijn hooggespannen, maar na het bestuderen van de handleiding worden die toch wel flink getemperd.

Wat de machine doet als je de Enjoy Over Ice-knop indrukt en de gewenste hoeveelheid koffie (klein, middel of groot) kiest, is lauwe koffie produceren in een glas of mok waar je zelf eerst ijsklontjes in hebt gedaan. Het voordeel is dat de smaken van de koffie niet worden aangetast door de hitte en dat de koffie extra romig is. Maar je zult zelf aan de slag moeten met toevoegingen en toppings.

©Versuni

Eindoordeel

De Barista Absolu is een gebruiksvriendelijk, compact apparaat met een smaakvol uiterlijk. Hij is beschikbaar in wit, grijs en zwart, en past daardoor prima bij de meeste keukens. Het aantal gebruiksopties is overzichtelijk: ristretto, espresso of lungo in normaal of XXL-formaat, extra sterk of lauw om ijskoffie mee te maken. Er kan eigenlijk niks misgaan tijdens het gebruik. Hij werkt met capsules die na gebruik gemakkelijk worden weggegooid door het opvangbakje in een vuilnisbak te legen.

Ben je een liefhebber van dit type koffie, dan is het een prima apparaat. De functie waarmee hij wordt aangeprezen, namelijk de ijskoffie, stelt helaas teleur. Fijnproevers waarderen waarschijnlijk het behoud van de aroma's door de koffie lauw te zetten, maar als je aan de slag gaat met slagroom en zoete sausjes valt dit voordeel helemaal weg. Speciaal voor de ijskoffie hoef je hem niet te kopen, je kunt even goed je kopje koffie in de koelkast zetten als je zin hebt in een luxe ijskoffie.

Naast Chrome is Microsoft Edge een van de populairste webbrowsers. Edge bouwt voort op dezelfde basis als Chrome, maar onderscheidt zich vooral met extra functies voor veiligheid en privacy. Daarmee verklein je de kans dat websites je volgen of gevoelige gegevens onderscheppen.

Lees ook: Alternatieve browsers: surf ook eens op een andere golf

Voorkom tracking

Klik in de rechterbovenhoek op de drie puntjes om het menu te openen. Selecteer Instellingen en kies in de linkerkolom Privacy, zoeken en services. Daar vind je de optie Traceringspreventie. Zorg dat deze bescherming is ingeschakeld. Je kunt kiezen uit drie niveaus van traceringspreventie: Basis, Gebalanceerd en Strikt. Trackers worden meestal gebruikt om je gepersonaliseerde advertenties te sturen, maar ze geven ook andere persoonlijke gegevens door, zelfs aan websites die je nog nooit hebt bezocht. Kies je Basis, dan staat Edge de meeste trackers toe, het andere uiterste is Strikt, dat het merendeel van de trackers blokkeert. De eerste optie lijkt ons niet veilig en Strikt kan ervoor zorgen dat bepaalde websites niet naar behoren werken. Daarom raden we de optie Gebalanceerd aan als standaardinstelling.

Onder deze drie niveaus vind je de lijst van websites waarvan trackers alvast zijn geblokkeerd.

Scareware-blokker

Sluit het venster Traceringspreventie en open het onderdeel Beveiliging, dat iets lager staat. Daar activeer je de Scareware-blokker. Scareware is een methode waarbij hackers je proberen bang te maken met nepwaarschuwingen. Via deze meldingen stellen ze dan voor om software te downloaden die de zaak kan herstellen of dien je een bepaald nummer te bellen van een zogenaamde Microsoft-helpdesk. Als je de Scareware-blokker activeert, sta je toe dat Microsoft AI gebruikt om dit soort scams te detecteren en te blokkeren.

Betalingsmethoden

Bij Privacy, zoeken en services / Privacy activeer je ook de optie Niet volgen-verzoeken verzenden. Het effect is afhankelijk van de betreffende website. Websites kunnen beslissen om je browsegegevens toch te blijven verzamelen. Eronder vind je de optie Toestaan dat sites controleren of betalingsmethoden zijn opgeslagen. Hoewel het handig is om je betaalmethoden in een webbrowser op te slaan, raden we dit nooit aan. Ten slotte schakel je bij Privacy, zoeken en services / Privacy de bescherming in: Mogelijk ongewenste apps blokkeren.