Kende je deze geavanceerde router-instellingen al?
Je hebt een thuisnetwerk en dus heb je een router. Zo’n apparaat werkt goeddeels out-of-the-box of wellicht heeft je provider hem al voor je ingesteld. Toch kun je met een optimale configuratie de snelheid of de veiligheid verhogen of functies beschikbaar maken die handig zijn voor je netwerk. In dit artikel bespreken we een aantal van deze geavanceerde router-instellingen en geven we tips.
Er zijn tientallen routerfabrikanten en honderden routermodellen, dus kun je van ons helaas geen pasklare instructies verwachten. Het kan zelfs gebeuren dat je eigen routermodel met sommige van de vermelde functies niet overweg kan, ook niet na de nieuwste firmware-updates. Maar dat zullen uitzonderingen zijn.
We gaan hier zoveel mogelijk voorbij aan de voor de hand liggende zaken, zoals een stevig inlogwachtwoord voor je router of minimaal WPA2-encryptie voor je wifi. We focussen ons op drie aspecten. Eerst bekijken we diverse technieken om toestellen in je eigen netwerk van buitenaf bereikbaar te maken, gevolgd door een blik op diverse operationele modi waarbij we ook het nut van een extra router bekijken. Verder besteden we aandacht aan enkele technieken om de prestaties van je (draadloze) netwerk te verbeteren.
Bereikbaarheid
UPnP
De kans is zeer groot dat ook jouw router standaard met NAT (Network Address Translation) werkt. Dit zorgt ervoor dat je netwerktoestellen hetzelfde publieke ip-adres gebruiken om met het internet te communiceren. Googel op enkele van je netwerkclients bijvoorbeeld maar naar “what is my ip” en je ziet meteen wat we bedoelen. Dat biedt een voordeel qua veiligheid; de ip-adressen van je clients zijn niet zichtbaar voor de buitenwereld. Maar het nadeel is dat externe hosts niet zomaar kunnen communiceren met je netwerkclients.
Er zijn gelukkig oplossingen hiervoor, hoewel die niet allemaal even veilig zijn zonder extra beveiligingsmaatregelen. Zo bieden de meeste routers UPnP aan, oftewel Universal Plug and Play. Je hoeft deze functie alleen maar in te schakelen, waarna UPnP-compatibele apps automatisch de nodige poorten kunnen openzetten. Helaas kan die opzet ook door malware misbruikt worden als die erin slaagt netwerkclients te infecteren.
Verder blijken UPnP-implementaties bij sommige routers niet optimaal en soms zelfs blijkt deze functie standaard ook aan wan-zijde actief. Dit laatste kun je testen via https://kwikr.nl/badupnp. Om deze redenen raden we UPnP af.
Forwarden
Een veelgebruikte techniek om toestellen of services ook van buitenaf bereikbaar te maken is het forwarden van poorten, te vinden in je routerinstellingen als Port forwarding of Virtual server. Stel: je wilt een beveiligingscamera op afstand kunnen volgen. Dan hoef je maar naar de betreffende poort op het (vast toegekende) interne ip-adres van die camera te verwijzen, waarbij je als externe poort (Port from) bijvoorbeeld ook 80 kunt invullen, zodat je het interne poortnummer van de camera niet mee hoeft in te voeren in de webinterface-url. Als het mogelijk is, kun je de toegelaten externe hosts veiligheidshalve beperken tot specifieke mac- of ip-adressen. Op www.portforward.com/router.htm vind je instructies voor talrijke routermodellen.
Op zich is portforwarding niet onveilig, maar dat wordt het natuurlijk wel als er veiligheidslekken gevonden worden in het toestel dat via deze techniek van buitenaf bereikbaar is – denk aan IoT-apparaten. Daarom is het aan te raden om deze apparaten in een gescheiden subnet of vlan onder te brengen.
Een variant op deze portforwarding-techniek is porttriggering, hoewel dit in de praktijk niet zo vaak voorkomt. Het komt erop neer dat zodra – en zolang – een compatibele app data uitstuurt op een specifieke poort, er automatisch een of meer poorten voor de binnenkomende data worden geforward naar de pc waarop die app draait. In tegenstelling tot bij portforwarding hoef je hier dus niet zelf het ip-adres van de pc in te vullen; het ‘triggered’ en het ‘forwarded’ poortbereik volstaan. Porttriggering is iets veiliger dan portforwarding, aangezien de poorten automatisch gesloten (horen te) worden zodra je de app afsluit.
Porttriggering is iets veiliger dan portforwarding, maar minder gebruikelijk
-
DMZ
Je kunt het ook over een andere boeg gooien en bijvoorbeeld een toestel met services die je publiek toegankelijk wilt maken in de DMZ (‘demilitarized zone’) van je router onderbrengen. Alle externe aanvragen worden dan naar de poort doorgestuurd die je in de DMZ hebt ingevuld, behalve de pakketjes voor de poorten die je eventueel al voor portforwarding had ingesteld.
Zo’n DMZ-opzet kan bijvoorbeeld nuttig zijn om een extra router aan de router van je provider te hangen, wanneer deze laatste geen bridge-modus ondersteunt (zie de paragraaf ‘Brug- en repeatermodus’).
Meer nog dan bij portforwarding is het van groot belang dat een toestel dat je in de DMZ hebt geplaatst, goed afgeschermd is van de rest van je netwerk. Dat kun je bijvoorbeeld doen met een firewall, en/of door het apparaat in een apart subnet te plaatsen.
Een geheel andere – en doorgaans veiliger – aanpak om je netwerk op afstand te benaderen is het inrichten van een VPN-server. Dat kan op sommige routermodellen, waaronder bij de alternatieve routerfirmware van www.dd-wrt.com en www.openwrt.org. Ook de meeste NAS’en zijn via een app voorzien van deze mogelijkheid. Een van de betere protocollen is OpenVPN, maar de configuratie daarvan is niet zo eenvoudig. Om OpenVPN op Windows op te zetten heb je ook externe software nodig, zoals OpenVPN GUI.
Het is aan te raden een toestel in de DMZ goed af te scheiden van de rest van je netwerk
-
DDNS
Om via je router een interne client te bereiken, heb je normaliter wel het publieke ip-adres van je router/netwerk nodig. Helaas is dat bij de meeste thuisgebruikers een dynamisch toegekend ip-adres, dat je niet zelf kunt wijzigen.
Om dit euvel te vermijden, kun je een zogenaamde DDNS-service (Dynamic DNS) gebruiken. Je koppelt je publieke ip-adres dan aan een vaste hostnaam en een tool zorgt ervoor dat een gewijzigd ip-adres meteen aan die dienst wordt doorgegeven, zodat de koppeling intact blijft. Bekende DDNS-diensten zijn www.noip.com en www.dynu.com (ook gratis).
De meeste routers en NAS-toestellen bieden zo’n functie aan, waarbij je niet meer hoeft te doen dan het gekoppelde domein in te vullen evenals het login-ID van de betreffende DDNS-service. Je hebt er in principe verder geen omkijken meer naar.
Operationele modi
WISP
Een thuisnetwerk beschikt doorgaans over één NAT-router die via de wan-kabel met (het modem en) het internet is verbonden en via de ingebouwde switch aan je eigenlijke netwerk is gekoppeld. Een DHCP-service zorgt ervoor dat de clients een geldig ip-adres toebedeeld krijgen.
Dat is de standaardsituatie, maar het is niet de enige mogelijke operationele modus voor routers. Zo bieden sommige routers ook de zogenoemde WISP-modus aan (Wireless Internet Service Provider), waarbij je via de draadloze module een verbinding opzet met (een publiek wifi-hotspot van) je provider. Dat kan handig zijn in uitzonderlijke situaties, waarbij je niet via de gebruikelijke ethernetkabel op de wan-poort verbinding kunt maken. Vervolgens kun je de internetverbinding met je andere netwerktoestellen delen, via de kabel of draadloos. Houd er wel rekening mee dat de verbindingskwaliteit doorgaans minder goed is, met hogere latentietijden, meer jitter en sporadisch pakketverlies.
Voor deze modus hoef je alleen maar WISP-functie op je router in te schakelen. Ga dan wel even na of het wan-verbindingstype is ingesteld op Dynamic IP en of je wel degelijk met de hotspot bent verbonden.
Bridge- en repeatermodus
De meeste routers zijn ook voorzien van een bridge-modus. Dit is een functie die twee routers tegelijk in een netwerk toelaat. De router die in bridge-modus wordt geplaatst verliest daarbij wel behoorlijk wat functionaliteit. Het toestel stuurt uiteraard nog altijd data door, maar voert niet langer NAT-specifieke taken uit. De DHCP-service en vaak de ingebouwde firewall worden eveneens uitgeschakeld.
Deze modus kan handig zijn wanneer de router van je provider weinig functionaliteit biedt of zich in een weinig optimale locatie – zoals in de meterkast – bevindt voor je draadloze netwerk. Je plaatst die dan in bridgemodus en koppelt er vervolgens een eigen router aan. Een alternatief is dat je je eigen router in de DMZ van de router van je provider plaatst (zie de eerdere paragraaf hierover).
De meeste routers ondersteunen ook een wireless repeater-modus, ook wel ‘range extender’ genoemd. De bedoeling is duidelijk: een router in deze modus pikt het draadloze signaal van een andere router of draadloze toegangspunt op en herhaalt dit, zodat het signaal wordt versterkt. Houd er wel rekening mee dat routers kieskeurig kunnen zijn in deze modus en soms alleen met apparaten van dezelfde fabrikanten willen samenwerken.
Heeft je router standaard geen bridge- of wireless repeater-modus dan zijn er ook nog handmatige manieren om zo’n extra toestel toch een plaats te geven in je huidige netwerk.
Je kunt een extra router op allerlei manieren aan je netwerk koppelen
-
Twee routers (lan-lan)
In onze eerste opzet willen we dat alle pc’s en netwerkapparaten zich met beide routers kunnen verbinden, zodat je bestanden en andere bronnen binnen je hele netwerk kunt delen. Dat gaat in het kort als volgt: noteer om te beginnen het interne ip-adres van je eerste router – waarbij we ervan uitgaan dat die correct is geconfigureerd en probleemloos functioneert – en verbind een lan-poort van de extra router met je pc. Verbreek tijdelijk de verbinding tussen je pc en de eerste router.
Herstart vervolgens je pc, zodat die een ip-adres krijgt via de DHCP-service van de tweede router en open de webinterface van deze router. Geef die een vast ip-adres mee binnen het subnet van je eerste router, maar bij voorkeur wel buiten het DHCP-bereik. Op je tweede router vul je voor de standaard-gateway en de DNS-server telkens het interne ip-adres van je eerste router in. Sla de wijzigingen op en herstart de tweede router, waarna je hier de DHCP-service en eventueel ook de firewall uitschakelt.
Je mag nu de tweede router via de lan-poort verbinden met de rest van je netwerk. Je kunt nu je tweede router ook als draadloos toegangspunt laten fungeren, bijvoorbeeld met een verschillende SSID voor elk van de beschikbare frequentiebanden. Je stelt op beide routers bij voorkeur wel dezelfde wifi- en encryptiestandaard en hetzelfde wachtwoord in. Voor de 2,4GHz-band kun je het best uiteenlopende kanalen gebruiken, zoals 1 en 11.
Twee routers (lan-wan)
Het kan ook anders: je laat beide routers op verschillende subnetten werken. Zo’n constructie zorgt ervoor dat je vanuit het netwerk van de eerste (‘buitenste’) router niet zomaar de toestellen in het andere netwerk kunt bereiken. De omgekeerde richting kan nog wel – tenzij je met drie routers werkt, maar die opzet laten we hier verder buiten beschouwing. Aan het buitenste netwerk kun je dan bijvoorbeeld servers of IoT-apparaten koppelen of je gebruikt het als (draadloos) netwerk voor je kinderen of gasten.
Noteer het interne ip-adres van je primaire router en ga na of de DHCP-service wel is ingeschakeld. Vervolgens verbind je je pc via een ethernetkabel met je tweede router. Koppel de wan-poort van deze router aan een lan-poort op een switch of rechtstreeks aan je eerste router. Meld je aan bij de webinterface van de tweede router. Zorg ervoor dat het wan-connectietype hier staat ingesteld op automatische DHCP-configuratie, zodat die een extern ip-adres van je eerste router krijgt. Je kunt dit adres het best opnemen in de DHCP-reserveringen of statische leases van je eerste router.
Over naar de lokale netwerkinstellingen van de tweede router. Gebruik een ip-adres in een ander subnet dan dat van je eerste en schakel ook hier de DHCP-service in. Wellicht wil je deze router ook als draadloos toegangspunt laten fungeren; gebruik dan een ander SSID, kanaal en wachtwoord. Je kunt zelfs andere DNS-servers instellen op beide routers. Op de eerste, buitenste router kun je (voor je kinderen) bijvoorbeeld gefilterde DNS-servers van OpenDNS FamilyShield instellen: 208.67.220.123 en 208.67.222.123.
Dubbele portforwarding
In een opstelling zoals beschreven in de paragraaf ‘Twee routers (lan-wan)’ zul je merken dat de toestellen van het binnenste netwerk niet zomaar meer vanaf het buitenste netwerk bereikbaar zijn. Dit opzet schermt het binnenste netwerk wel beter af voor externe malversaties, maar toestellen of services in dit netwerk worden ook moeilijker bereikbaar via portforwarding.
Om dit op te lossen moet je een dubbele portforwarding uitvoeren. Op de eerste router stuur je de externe aanvragen door naar het wan-ip-adres van je tweede router en op deze router forward je dan zoals gewoonlijk naar het ip-adres van het beoogde toestel.
Prestaties
Snelheidstests
Je wilt op je (draadloze) netwerk natuurlijk de best mogelijke prestaties. Op het internet krijg je daarvoor steevast dezelfde tips aangereikt, zoals een optimale routerlocatie en dito antenneplaatsing, een wifi-kanaal met zo weinig mogelijk storing van naburige netwerken, en up-to-date firmware met goede ondersteuning voor recente wifi-standaarden, zoals 802.11ax (wifi 6) met multi-user-technologieën als OFDMA en MU-MIMO.
Hoe dan ook, om de snelheid te meten voor en na eventuele aanpassingen kun je diverse online snelheidstests inzetten, zoals www.tiny.cc/hispeedtest, www.speedtest.net of www.dslreports.com/speedtest. Bij alle drie zie je de (gemiddelde) upload- en downloadsnelheden (en bij de eerste ook de latentietijd), maar Dslreports laat je zelf het connectietype instellen (zoals Fiber, Cable, DSL of WISP) en test tevens op eventuele ‘bufferbloat’Via een van onze artikelen op de site van ons zusterblad PCM lees je hoe je dit met SMQ (Smart Queue Management) ook op enkele andere routers kunt tegengaan.
QoS
SMQ is een slimmere manier om data te bufferen, aangezien die met meerdere wachtrijen werkt. Helaas ondersteunen de meeste routers deze functie vooralsnog niet. In dit geval kun je het met QoS (Quality of Service) proberen. Het komt erop neer dat je specifiek verkeer voorrang geeft en een grotere hap van de bandbreedte toestaat. Een vorm van ‘traffic shaping’, waarbij data met minder prioriteiten gebufferd kunnen worden.
Zo zou je bijvoorbeeld torrent-downloads relatief minder bandbreedte kunnen laten gebruiken, omdat zo’n verbinding normaliter toch fouttolerant is – lees: ontbrekende bits worden nogmaals verstuurd. Bij VoIP, audiostreams of online gaming heb je wellicht juist liever geen haperingen.
Afhankelijk van je router zijn er verschillende varianten op QoS mogelijk. Bij traditioneel QoS ken je doorgaans een prioriteit toe (zoals 1 tot 7 of van High naar Low) aan zelf te bepalen toestellen, applicaties of protocollen en zal de router de beschikbare bandbreedte verdelen naargelang de toegekende prioriteiten.
Diverse routers, waaronder modellen van TP-Link, bieden tenslotte specifiek voor draadloze verbindingen de functie WMM (Wi-Fi Multimedia, of ook wel Wireless Multimedia). Deze kent bandbreedte toe naargelang het type verkeer. Zo krijgen voice en video standaard een hogere prioriteit dan achtergrondtaken als printen of downloaden.
Routerfabrikant ASUS heeft deze meer geautomatiseerde vorm van QoS ook naar ethernetverbindingen doorgetrokken, onder de naam Adaptive QoS. Je hoeft hier alleen maar de aangeboden presets naar prioriteit te ordenen. Experimenteer gerust met QoS, maar ga wel na of het daadwerkelijk de prestaties van het beoogde verkeer verbetert.
