9.3. De thuisrouter#
Concepten
thuisrouter (“residential gateway”), NAT-router, VPN, firewall, LAN, WAN, modem, switch
In dit gedeelte behandelen we de thuisrouter of ook wel residential gateway: de functie(s) die deze vervult, de fysieke aansluitingen, en de instellingen daarvan. Deze kennis moet je in staat stellen om de handleidingen van je thuisrouter (beter) te begrijpen, en het hoe en waarom van de aansluitingen en instellingen.
De thuisrouter verbindt het lokale netwerk met het internet. Deze routering wordt vaak gecombineerd met een aantal andere functies. In de figuur van rechts naar links:
(kabel/glasvezel)modem
firewall
(NAT)router
WiFi basisstation
Ethernet switch
Daarnaast bevat de thuisrouter soms ook functies voor telefonie en voor een netwerkschijf (NAS). Bovendien heeft de thuisrouter een webserver waarmee je de instellingen kunt aanpassen.
We beschrijven hieronder deze onderdelen als losse apparaten verbonden via Ethernet.
Het modem past het datasignaal aan aan het betreffende medium, bijvoorbeeld de (kabeltv-)coaxkabel of de glasvezelkabel. Het modem moduleert het signaal voor het betreffende medium, en demoduleert het signaal van dat medium.
De firewall zorgt ervoor dat bepaalde communicaties van buiten geweerd worden van het lokale netwerk, en omgekeerd. Dit is een belangrijk onderdeel van de beveiliging van het lokale netwerk. (De firewall is hier getekend als apart onderdeel. In de praktijk is deze geïntegreerd met de eigenlijke router.)
De router (of gateway) zorgt ervoor dat IP-pakketten van buiten het netwerk naar het juiste apparaat in het netwerk gestuurd worden, en dat lokale pakketen bestemd voor een apparaat in het publieke internet naar de volgende router gestuurd worden. Lokale pakketten met een lokale bestemming blijven lokaal. Deze router is meestal een NAT-router, waarmee alle lokale apparaten hetzelfde publieke IP-adres delen. In een volgend gedeelte leggen we de details van NAT-routering uit. Merk op dat deze op NAT-routering op de (transport)laag van het TCP/UDP-protocol plaatsvindt, en niet op de (netwerk)laag van het IP-protocol.
De Ethernet switch zorgt ervoor dat je meerdere Ethernetkabels op de thuisrouter kunt aansluiten. Bovendien worden Ethernet-pakketten alleen naar die aansluiting gestuurd waarmee het bestemmings-apparaat verbonden is.
Het WiFi basisstation zorgt voor de draadloze communicatie in het lokale netwerk, naast de bedrade communicatie via Ethernet.
9.3.1. Aansluitingen#
Externe verbinding. De thuisrouter heeft een aansluiting voor het “Wide Area Network” (WAN) van de internet-provider. Als de router een ingebouwd (coax)kabelmodem of glasvezelmodem heeft, dan heb je voor dat medium een speciale aansluiting. Een router zonder modem heeft een Ethernet-aansluiting met label “WAN”, voor de verbinding met het modem van de internet-provider.
Lokale verbindingen. Voor het lokale netwerk (LAN, local area network) heeft de router vaak meerdere Ethernet-aansluitingen.
Daarnaast zijn er, afhankelijk van het type thuisrouter, nog aansluitingen mogelijk voor telefonie - voor het aansluiten van een “vaste lijn” telefoon; en voor USB, bijvoorbeeld voor het aansluiten van een USB harde schijf of USB-stick die je dan als netwerkschijf (NAS) kunt gebruiken.
Een thuisrouter heeft gewoonlijk een ingebouwd WiFi basisstation, voor het draadloos verbinden van apparaten in het thuisnetwerk. Sommige thuisrouters hebben ook een DECT basisstation, voor het draadloos verbinden van telefoons en DECT IoT-apparaten.
9.3.2. Instellingen: webserver#
De instellingen van de thuisrouter kun je aanpassen via de website van deze router. Deze is beschermd met een wachtwoord: het is belangrijk om daarvoor een veilig wachtwoord te kiezen, en niet met een default-instelling zoals “admin - admin” te werken.
9.3.3. Instellingen: DHCP#
Hoe krijgt een apparaat in het thuisnetwerk een IP-adres toegewezen? Dit gebeurt meestal via het DHCP-protocol. Een apparaat meldt zich via DHCP aan bij het netwerk, en krijgt van de router een IP-adres toegewezen. Deze toewijzing is meestal tijdelijk (“dynamisch IP adres”): als het apparaat zich later weer aanmeldt, krijgt het soms een ander IP-adres.
DHCP geeft ook het adres van de gateway (thuisrouter) in het lokale netwerk; en het subnetmasker dat aangeeft welke bits het netwerkdeel vormen van het IP-adres.
Router-instellingen. In de router kun je instellen welke IP-adressen automatisch uitgedeeld kunnen worden door DHCP.
Je kunt in de router ook opgeven welke apparaten een vast (statisch) IP-adres moeten krijgen. Je geeft dan het MAC-adres van het apparaat op en het IP-adres. Je moet er in dat geval wel voor zorgen dat je eenzelfde IP-adres niet aan meer dan één apparaat toewijst.
Opmerking. Het DHCP-protocol wordt niet alleen in thuisnetwerken gebruikt: ook een ISP kan bijvoorbeeld gebruik maken van DHCP voor het toewijzen van het publieke IP-adres aan je thuisrouter. In dat geval heb je geen “statisch IP adres”.
9.3.4. Instelling: Firewall#
De thuisrouter bevat ook een firewall, die zowel verkeer van buiten naar binnen als omgekeerd kan blokkeren.
Het blokkeren van uitgaand verkeer is vaak bedoeld voor parental control, om bijvoorbeeld bepaalde diensten of websites te blokkeren voor de apparaten die door kinderen gebruikt worden.
Firewall per computer. Je eigen computer heeft ook een firewall, waarmee je de toegang tot je eigen computer kunt beperken, en waarmee je bijvoorbeeld programma’s op je computer toegang tot het internet kunt weigeren. Omdat het lokale netwerk waarin je computer verbonden is, niet altijd veilig is - denk aan een open WiFi netwerk in de trein, op school, of in een café, is het belangrijk om de toegang tot je eigen computer te beperken met een firewall. Soms is http-toegang zinvol, bijvoorbeeld als je een webserver op je computer draait; en soms, SSH, als je vanuit een andere computer wilt kunnen inloggen. Deze protocollen zijn behoorlijk goed te beveiligen. Maar je kunt er ook voor kiezen om je computer helemaal onzichtbaar te maken in het lokale netwerk, voor andere computers, met de “stealth” mode. In dat geval reageert je computer bijvoorbeeld ook niet op “ping” verzoeken.
NB: ook als je een VPN gebruikt is je computer nog steeds verbonden in een lokaal netwerk, met de andere poorten… Dat beveiligt je niet tegen het lokale netwerk. Alleen het verkeer via de VPN-tunnel is afgeschermd.
9.3.5. Instelling: NAT#
(Zie het gedeelte over NAT.)
9.3.6. Instelling: Gast-netwerk#
Een router heeft soms meerdere lokale netwerken, bijvoorbeeld een WiFi gastnetwerk. Daarmee kun je anderen thuis toegang geven tot het internet zonder dat je ze toegang heeft te geven tot je privé-netwerk.
In het gastnetwerk heeft de router een eigen IP-adres dat verschilt van het IP-adres in het normale lokale netwerk.