HAAL MEER UIT JE ROUTER
Een router is meestal al veelzijdig en compleet. Maar het kan altijd nog beter. We laten zien hoe je bij een Fritzbox de configuratie nog wat extra kunt oppoetsen, hem uitrust met OpenWrt en hoe je je router monitort met behulp van een Raspberry Pi.
Fritzboxen hebben de afgelopen 15 jaar met recht een goede plek bij de routers verworven. Het is niet voor niets dat je er bij XS4ALL standaard een krijgt. Ze zijn er voor allerlei soorten aansluitingen en zijn dankzij de wizards ook voor beginners makkelijk in te stellen. Voor ervaren gebruikers zijn er echter nog vrijheden genoeg. Maar de rood-witte apparaten kunnen nog beter, zoals je in deze artikelen kunt zien.
We helpen je eerst om het juiste model Fritzbox te kiezen, voor zover dat van toepassing is. We laten je zien op welke configuratiestappen je nog moet letten na het doorlopen van de wizard. Verder krijg je tips over het onderwerp VPN, oftewel de remote toegang tot je thuisnetwerk van ergens onderweg (zie ook het thema vanaf pagina 36), en het koppelen van meerdere netwerken die dan wederzijds toegang hebben.
In het volgende artikel maken we van een Fritzbox 4040 een OpenWrt-router. Die voegt allerlei interessante functies toe aan je netwerk die de Fritzboxontwikkelaars op ideeën zouden kunnen brengen, zoals een versleutelde en gevalideerde name-resolution en het moderne WireGuard-VPN.
Een Fritzbox meet intern veel netwerkparameters, bijvoorbeeld de belasting van je wifi-interfaces, maar bij de webinterface van de Fritzbox krijg je alleen maar de laatste minuten te zien. Als je wilt achterhalen waarom eergisteravond de update van Windows zo ellendig langzaam verliep, heb je een meer long-term oplossing nodig. Die rol kan een Raspberry Pi op zich nemen.
MODEL
AVM, de fabrikant van de Fritzbox-apparaten, vindt twee dingen heel belangrijk. Ten eerste komen er minder vaak nieuwe modellen dan bij andere fabrikanten, wat weer handig is voor het tweede voordeel: AVM update de firmware regelmatig met verbeteringen en functie-uitbreidingen, en doet dat in de regel ook langer dan in de thuisrouterbranche gebruikelijk is.
Daardoor kost een Fritzbox-router meestal wel wat meer dan een vergelijkbaar uitgeruste concurrent, maar dat vinden de kopers blijkbaar toch het geld waard. Een Fritzbox is dan ook minder snel afgeschreven – het feit dat er op Marktplaats.nl veel min
der Fritzboxen worden aangeboden dan routers van andere merken is natuurlijk een bewijs van de koude grond. Maar zelfs als je er mee kunt leven dat de support en het updaten van de firmware binnenkort zullen eindigen of al beëindigd zijn (zie de link op de laatste pagina van dit artikel), en je geen exorbitant snelle internetaansluiting hebt, volstaat een wat oudere tweedehands model ook prima.
Het lijkt misschien een triviale opmerking, maar kijk wel even goed of het aangeboden apparaat ook bij je internetaansluiting past. Als je van DSL via de telefoonlijn overstapt op internet via de kabel, dan heb je weinig aan een Fritzbox 7490. Je kunt die wel aansluiten achter de meegeleverde modem of router van de provider, maar het is energiezuiniger en netwerktechnisch beter om een Fritzbox alleen te laten regeren.
Ook bij een omgekeerde weg is het oppassen: zowel in Nederland als in België wordt supervectoring voor DSL al ingevoerd. Als je overstapt van kabel naar DSL, heb je wel een nieuwe Fritzbox nodig waarvan de geïntegreerde modem de snelheid van de aansluiting niet afremt. Anders blijven er van de beschikbare 500 Mbit/s wellicht nog maar 100 of 50 Mbit/s over.
Voor een kleine woning en een paar clients, oftewel een gemiddeld eenpersoons huishouden, hoef je geen topmodel met supersnel wifi te hebben (bijvoorbeeld de 7590 met 4 MIMO-streams tot 1733 Mbit/s), maar volstaat een 2-stream model ook prima (7530). Veel mensen hebben eigenlijk geen vaste telefoon meer maar alleen een smartphone, dus dan is telefonie via VoIP ook minder interessant.
Bij een grotere woning met meer personen mag het wel een router met een sneller wifi zijn, zeker als je de mesh-functie met extra basisstations (repeaters) wilt gebruiken voor meer wifidekking in het hele huis.
Als je niet met een bepaald budget rekening hoeft te houden, koop je het topmodel voor het desbetreffende aansluittype. Dan heb je een lange firmware-support en kun je er later ook nog wat voor terugkrijgen. Het moment van afscheid kan ook voor de huidige topmodellen 7590 en 6590/91 eerder zijn dan verwacht, want zeer waarschijnlijk zal AVM binnenkort een Fritzbox introduceren voor de volgende wifistandaard WiFi 6 (IEEE 802.11ax). Die standaard is op dit moment nog niet definitief, maar andere fabrikanten bieden daar ook al routers voor aan (zie bijvoorbeeld c’t 3/2019 op pagina 32).
Als je nieuwe Fritzbox eenmaal aan de stroom en aan internet hangt, dan neemt een installatiewizard je aan de hand mee. Maar die moet je ook bij het geheel nieuwe routerbesturingssysteem FritzOS 7.1 niet blind volgen.
WIZARD-HULP
Als de wizard aanbiedt om de instellingen van het wifi te veranderen, dan moet je een eigen netwerksleutel opgeven, want het standaard wachtwoord staat op het typeplaatje, dat meestal aan de onderkant van de router zit. Iedereen die fysiek toegang tot de router heeft kan dat wachtwoord intypen, waaronder dat kleine neefje dat even op internet moet omdat zijn notebook een virus schijnt te hebben. Dergelijke apparaten wil je niet op je interne netwerk hebben, die kun je beter toegang tot internet bieden via het gastaccount, dat je later activeert.
Als je je eigen wifi makkelijk wilt terugvinden tussen al die andere netwerken die er in de buurt zijn, dan kun je het wifi een andere naam geven. Per se nodig is dat echter niet.
VERVOLGSTAPPEN
Als de wizard klaar is, kom je in het hoofdmenu van de Fritzbox. Schakel eerst bij het menu-itempje met de drie puntjes rechtsboven het ‘Geavanceerd aanzicht’ in, waarmee de router je alle opties laat zien – ook de opties die je zeker in het begin niet zult gebruiken.
Een Fritzbox accepteert de wijzigingen van belangrijke instellingen pas na een extra bevestiging via een DECT-telefoon of het drukken op een van de knoppen van de router (of met de Authenticator-app van Google, al kan dat alleen als je de Fritzbox via internet instelt en niet vanuit je lokale netwerk). Maar desondanks moet je de lat voor nieuwsgierigen niet onnodig laag leggen. Verander daarom bij ‘Systeem / FRITZ!Box gebruiker’ op het tabblad ‘Aanmelding bij het thuisnetwerk’ het configuratiewachtwoord. Omdat dit op het typeplaatje afgedrukt staat, zou iedereen die fysiek bij je router zou kunnen komen alle instellingen kunnen wijzigen, waaronder de beperkingen op de uren dat internet open staat – zie ‘Internet / Filter’ voor het instellen van toegangsprofielen of het per apparaat instellen van een kinderslot.
Stel bij de gebruikers meteen ook een nieuwe gebruiker in, namelijk een die de configuratie mag bewerken. Dan heb je in elk geval een noodoplossing als je het zelf gekozen configuratiewachtwoord per ongeluk kwijt raakt. Dan moet je wel bij ‘Aanmelding bij het thuisnetwerk’ aanvinken dat je je lokaal met een gebruikersnaam en wachtwoord moet aanmelden, anders hoef je alleen het standaardwachtwoord in te vullen en word je automatisch als gebruiker ‘admin’ aangemeld.
Schakel bij de wifi-instellingen de WPS-functie uit als al je clients een keer verbonden zijn geweest. Anders zou iemand die bij de WPS-knop op de router kan komen met een willekeurig apparaat op je wifi kunnen komen. Dit is ook een mooi moment om op deze plek het gastnetwerk aan te zetten. Geef dat netwerk een geheel eigen wachtwoord.
Als je wifi-clients Protected Management Frames ondersteunen, activeer je die functie bij de router (‘WiFi / Veiligheid’ bij de ‘Andere veiligheidsinstellingen’ en daar ‘ondersteuning voor beveiligde aanmeldingen van WiFi-apparaten (PMF) activeren’. Dan zullen aanvallen met hacking-tools als de WiFi Pineapple (zie c’t 6, pagina 56) mislukken. Als je provider IPv6 aanbiedt, dan kun je bij ‘Internet / Toegangsgegevens’ op het tabblad ‘IPv6’ zien of je router dat overgenomen heeft.
Als je een externe usb-schijf als een NAS wilt gebruiken, dan zet je de usb-poorten via ‘Thuisnetwerk / USB-apparaten’ op het tabblad ‘USB-instellingen’ op de ‘Power mode’, oftewel USB 3.0. Een Fritzbox 7590 wordt daar niet meteen een snelheidsmonster mee zoals een echte NAS, maar komt bij het lezen van grote bestanden toch altijd nog tot een nette 50 MB/s.
INSTELLINGEN OVERZETTEN
Vergeet niet om de configuratie van je Fritzbox te back-uppen (‘Systeem / Back-up’) op het tabblad ‘Back-up maken’ als het systeem draait zoals je het wilt hebben. Ongetwijfeld komt er ooit een moment dat je daar je voordeel mee doet. De instellingen zijn bij een latere overstap naar een ander Fritzbox-model daar weer op terug te zetten. Je kunt kiezen voor welke segmenten je instellingen terug wilt zetten, bijvoorbeeld voor internettoegang, telefonie of wifi.
Controleer na het herstellen van de instellingen op een ander model of ook daadwerkelijk alles goed gegaan is. Bij ons werd af en toe IPv6 op de WANverbinding uitgezet, zodat dat protocol na een herstart inactief bleef. Ook ontbraken soms ingevulde DNSv6-servers, de ondersteuning voor PMF bij het wifi en de toegangsgegevens voor de internetaansluiting.
Daarnaast moet je eventueel nog de bij de oude router bekende DECT-telefoons opnieuw aanmelden. Om dat te doen, klik je bij ‘DECT / Draadloze telefoons’ op ‘Bekende apparaten opnieuw aanmelden’ en ga je elke telefoon apart weer aanmelden.
ANDERE NAAM
Omdat elke Fritzbox bij AVM’s DynDNS-dienst myfritz. net een individuele hostnaam krijgt, krijg je na het terugzetten van de instellingen op een nieuw apparaat een nieuwe registratiemail. Die moet je bevestigen voordat je de router via myfritz.net kunt bereiken.
Bij remote toegang via VPN kan het hinderlijk zijn dat de Myfritz-naam verandert bij het wisselen van router. Dan kun je bij een andere DynDNS-dienst een CNAME instellen – quasi een alias – naar de Myfritznaam en die CNAME gebruiken op de clients. Als de remote toegang bij de configuratie van de Fritzbox vrijgegeven is, dan zet je dat alias ook bij de DNSRebind-beveiliging (‘Thuisnetwerk / Netwerk / Netwerkinstellingen’).
Helaas dekt een door de Fritzbox verkregen certificaat van Let’s Encrypt die naam niet af, zodat de browser bij HTTPS-toegang van buitenaf een waarschuwing zal geven. Maar dan hoef je alleen de waarde voor de CNAME te corrigeren bij wisselen van router, en niet bij alle clients handmatig het doel aan te passen.
De CNAME’s werken wel voor buitendienstmedewerkers die zich onderweg via VPN willen verbinden met het bedrijfs- of thuisnetwerk. Maar voor een andere manier van werken met VPN, namelijk een LAN-LAN-koppeling van twee routers, geldt de Myfritznaam. Als de om te wisselen router dus een spil is in een VPN-netwerk met meerdere filialen, dan moet je erop rekenen dat sommige routers geherconfigureerd moeten worden. Een actieve remote configuratie kan dan wat tijd en moeite besparen. AVM meldt dat bij toekomstige FritzOS-versies de CNAME’s ook bij LAN-LANVPN’s toegestaan gaan worden.
HALVE VPN-GATEWAY
Een bij FritzOS 7.1 handige nieuwe functie voor een LAN-LAN-VPN staat bij ‘Internet / Toegang verlenen’ op het tabblad ‘VPN’. Klik op de knop ‘VPN-verbinding toevoegen’, selecteer LAN-LAN-koppeling en ‘Verder’. Onderaan bij de ‘Geavanceerde instellingen voor het netwerkverkeer’ staat dan de optie ‘Alle netwerkverkeer via de VPN-verbinding sturen’. Daarmee wordt de Fritzbox een VPN-gateway en wordt al het IPv4-dataverkeer dat uit je lokale (wifi)netwerk naar buiten wil, doorgestuurd naar de remote tegenpartij. Dat is natuurlijk alleen zinvol als je een voldoende snelle uplink hebt. Die optie mag je logischerwijs ook maar aan één kant activeren (zie ook het artikel op pagina 36).
Dan gaat wel het IPv4-verkeer door de datatunnel, maar dat van IPv6 niet, want IPsec-clients zoals in de Fritzbox transporteren alleen het oude protocol, net zoals die in Windows, macOS, iOS en Android.
Dat wordt dan een probleem als de router waar je deze instelling inschakelt via beide protocollen met internet verbonden is, oftewel een dualstack-aansluiting heeft. Moderne besturingssystemen geven IPv6 namelijk de voorkeur bij het opbouwen van een verbinding, en dat gaat dan buiten de VPN-tunnel om. Dan zit je dus onbeveiligd en niet anoniem op internet. De enige oplossing daarvoor op dit moment is IPv6 op de Fritzbox uit te schakelen.
Helaas is het ook met FritzOS 7.1 nog zo dat minstens één router bij een LAN-LAN-verbinding een openbaar IP-adres op internet moet hebben. VPN-verbindingen van mobiele VPN-clients met een Fritzbox aan een DS-Lite-aansluiting, wat je vaak ziet bij internet via de kabel, mislukken dan ook net als voorheen. Bij AVM staat IPv6 als transportprotocol nog op de agenda voor latere versies van FritzOS.
FRITZ-VPN MET WINDOWS 10
De VPN-tool ‘FRITZ!VPN’ is er sinds het najaar van 2018 ook voor Windows 10. Dat vergemakkelijkt het configureren van een VPN op een notebook een heel stuk, maar heeft daarbij wel te kampen met dezelfde IPv6-problemen als de LAN-LAN-koppeling. Als je een remote verbinding met een Fritzbox wilt maken, moet je gedurende de rest van het traject IPv6 dan ook wel weer uitzetten.
De in Android geïntegreerde VPN-dienst deed het bij de test beter. Op een Android 6-smartphone werd het transport via IPv6 gestopt, waardoor alle apps gedwongen worden al het dataverkeer via IPv4 door de tunnel te sturen. Bij whatismyip.com was er geen IPv6adres meer bij toegang via een browser, hoewel de wifiverbinding er nog wel een had.
AVM’s Myfritz-app voor Android stuurt bij het activeren van de VPN-verbinding alleen het verkeer voor het thuisnetwerk door de tunnel. Dat is ook precies wat de app belooft, maar daardoor is hij wel minder geschikt voor het beveiligen van de privésfeer bij bijvoorbeeld hotspots. Dan kun je beter VPNcilla gebruiken. Die stuurt als je dat wilt al het IPv4-verkeer naar het VPN. Verder zijn daar meerdere VPN-verbindingen bij te definiëren, waartussen je met een enkele vingertip kunt wisselen. Als je vaak een VPN gebruikt of tussen VPN’s wilt wisselen, is de vier euro die de app kost goed besteed.
Een klein probleempje voor de VPN-configuratie bij niet-Windows-clients heeft AVM helaas nog niet zonder restverschijnselen opgelost: de Fritzbox gebruikt voor remote toegang een groepswachtwoord (IPsec Shared Secret), dat je op de client moet zien te krijgen. Dat kun je in elk geval kopiëren en plakken vanuit de webinterface in de browser.
Maar als je dat niet kunt, rest je weinig anders dan het wachtwoord over te schrijven. Een aantal tekens zijn afhankelijk van het gekozen font en het besturingssysteem echter makkelijk te verwarren (O en 0, de hoofdletter O en het cijfer 0) en l en 1 (kleine l en cijfer 1). Als je geen verbinding kunt maken, kan het lonen dat nog even goed te controleren.
FRITZ-VPN-PERFORMANCE
Op een ouder notebook met Windows 10 konden we bij drie Fritzboxen (7590, 7580 en 4040) een VPN-datasnelheid van maximaal 46 Mbit/s halen, met wat verschillen afhankelijk van de richting. Daarbij deden de 7590 en 7580 het even goed (32 tot 46 Mbit/s), en lag de 4040 daar wat onder (21 tot 31 Mbit/s).
Bij een LAN-LAN-koppeling liep de datarate duidelijk terug: meer dan 14 tot 18 Mbit/s in de ene en 5,5 tot 8,1 Mbit/s in de andere richting zat er niet in. De drie genoemde Fritzboxen deden het daarbij even goed, ook bij het gebruik van verschillende modellen waren er geen noemenswaardige verschillen.
Dergelijke snelheden zijn vergeleken met de downstream van gangbare internetaansluitingen wat aan de lage kant. AVM wil daar bij toekomstige FritzOSversies verandering in brengen door daar hardwareondersteunde versleuteling te gaan gebruiken. Als je een hoge performance bij een site-to-site-VPN nodig hebt, moet je andere routers gaan gebruiken of VPN-gateways achter de Fritzboxen gaan zetten. Dat zouden ook 4040-Fritzboxen kunnen zijn met OpenWrt en WireGuard. Hoe je dat doet, is te lezen in het laatste artikel van deze serie.
RONDLOPEND MESH
Met een mesh-wifi bestaande uit een Fritzbox en repeaters zet je een snel draadloos netwerk op dat naadloos te gebruiken is. Als mesh-node kun je ook een oudere Fritzbox gebruiken waar FritzOS 7 nog op kan. Let er bij ‘WiFi / Mesh-repeater’ wel op dat er maar één Fritzbox als ‘Mesh-master’ is ingesteld. De andere moeten op ‘Mesh-repeater’ staan.
Voor een mesh-wifi gelden dezelfde optimalisatietips als voor gewone wifinetwerken. De basisstations moeten een zo vrij mogelijk ‘zicht’ hebben op hun mesh-collega’s. Ze een beetje draaien of verschuiven kan een verbinding al duidelijk verbeteren. Dat kun je in het mesh-overzicht bij ‘Thuisnetwerk / Mesh’ zien aan de hand van de getoonde datasnelheden.
Om ervoor te zorgen dat een repeater bij bijvoorbeeld een 100Mbit/s-internetverbinding de data zonder grote verliezen kan doorsturen, is een minstens dubbel zo grote bruto-link naar de Fritzbox nodig, oftewel 200 Mbit/s of meer. Hoe snel de draadloze verbinding op dit moment is, kun je bij de Fritzbox zien in het mesh-overzicht.
Als het draaien of verplaatsen niets uithaalt, dan moet de repeater dichter bij de router komen te staan. Bij direct in een stopcontact geplugde repeaters kies je een ander stopcontact om de stand te wijzigen. De optimale positie is met een losse voeding zoals bij de nieuwe Fritz-repeater 3000 (zie de test in c’t 5 op pagina 37) natuurlijk veel makkelijker te vinden.