VPN server op je router in huis

Met een commerciële VPN-aanbieder kun je snel doen alsof je in een ander land woont, maar als je verbinding met thuis wilt maken, kan dat een stuk makkelijker met een VPN server op je eigen router thuis. Zo kun je bijvoorbeeld vanuit het buitenland toch content van NPO of VRT bekijken zonder de melding dat dit niet geoorloofd is vanuit het land waar je je bevindt.

Het grote voordeel van een VPN op je router is ten eerste natuurlijk dat dit niets kost. Je hoeft geen maandelijkse kosten af te dragen aan een commerciële partij voor een functie die gratis beschikbaar is. Je internetaansluiting moet wel een vast IP-adres hebben, of anders moet je er via een DynDNS-aanbieder voor zorgen dat je aansluiting altijd via dezelfde (domein)naam beschikbaar is.

Een voordeel van een VPN op je router in plaats van op bijvoorbeeld een NAS is dat het internetverkeer van het apparaat waar je verbinding mee maakt meteen doorgesluisd wordt naar internet. Als je met een VPN op een NAS werkt, dat gaat dat VPN-internetverkeer eerst van je router naar je NAS, en via de VPN-server aldaar weer terug naar je router en dan pas inter­net op. Dat zorgt voor extra dataverkeer binnen je netwerk en vertraging.

Bovendien heeft een VPN-verbinding via een NAS het extra nadeel dat je bij de router de verschillende poorten die nodig zijn voor het gebruikte VPN-­protocol (bijvoorbeeld 1194 voor OpenVPN) open moet zetten en moet doorsturen naar de NAS.

Bij een Fritzbox-router moet je voor iedere gebruiker een apart account aanmaken. Ga naar ‘System / FRITZ!Box Users’ om bij ‘User’ met ‘Add user’ de gebruiker ct-vpn aan te maken. Vink alle opties voor die gebruiker uit die niet nodig zijn, maar zorg ervoor dat ‘VPN’ aangevinkt is. Klik op ‘Apply’ om de instellingen te activeren. Klik op ‘Show VPN Settings’ voor een pop-up-overzicht van de VPN-instellingen voor mobiele apparaten. Laat dat extra venster even openstaan, want wat er bij ‘Shared secret’ staat heb je ­later nodig.

Bij ‘Internet / Permit Access’ zie je op het tabblad ‘VPN’ welke gebruikers via VPN contact met de router mogen maken. Alleen de gebruikers waar een vinkje voor staat mogen op dat moment inloggen. Op die manier kun je een gebruiker snel toegang verlenen of ontzeggen. Als een gebruiker een actieve VPN-­verbinding heeft, zie je bij ‘Address in the Internet’ via wel IP-adres hij contact maakt en bij ‘Remote Network’ het IP-adres dat hij binnen je lokale netwerk gekregen heeft – die benaming is dan ook wat ­verwarrend omdat dat IP-adres voor de VPN-verbinding wel remote is, maar voor jou als routerbeheerder een lokaal adres is.

Op hetzelfde tabblad kun je met ‘Add VPN Connection’ een VPN-verbinding configureren. Als je dat voor een enkele gebruiker wilt doen, kom je vanzelf weer op de Users-pagina uit en geldt de werkwijze zoals zonet beschreven. Je kunt daar echter ook een LAN-LAN-verbinding met een andere Fritzbox-router maken of je router verbinding laten maken met de VPN-server van je bedrijf. In het laatste geval moet je dan de inloggegevens van de VPN-server opgeven (username en pre-shared key en dergelijke) om je router een VPN-verbinding te laten maken met een externe server. Daarna is je hele lokale netwerk verbonden met het bedrijfsnetwerk, wat bijvoorbeeld handig kan zijn voor filialen om op het centrale netwerk te kunnen werken.

In de webinterface van een Fritzbox kun je zien of er iemand via VPN contact maakt.

Aan de routerkant zijn de instellingen dus te overzien. Als je een gebruiker hebt aangemaakt die via VPN toegang mag krijgen, is de VPN-server auto­matisch actief en staat hij te wachten op een verbinding. De poorten 53 (DNS), 500 (ISAKMP) en 4500 (NAT-traversal) die daarvoor nodig zijn, worden automatisch opengezet. Je hoeft je daar verder dus niet om te bekommeren.

Als je het configureren van de VPN-gebruikers en verbinding liever niet in de webinterface van de router doet, dan kun je daar het programma ‘Configure FRITZ!Box VPN Connection’ voor gebruiken. Installeer dat programma en klik op New. Selecteer ‘Configure VPN-conection for one user’ en vervolgens ‘Add new FRITZ!Box’.

Selecteer met wat voor apparaat je verbinding wilt maken (een computer of een iOS-apparaat) en geef het mailadres van de gebruiker op. Bij de ‘Name of your FRITZ!Box’ geef je de DynDNS-naam of de domein­naam op waar je Fritzbox-router mee bereikbaar is. Je kunt daar ook je openbare IPv4-adres invullen. Bij de IP-instellingen kun je kiezen of je in het lokale netwerk opgenomen wilt worden of dat er een apart subnetwerk moet worden gebruikt.

Vink tenslotte ‘Send all data over the VPN tunnel’ aan om via je router op internet te gaan. Er verschijnt een gedeelde sleutel die je moet kopiëren en plakken omdat je die later nodig hebt. Je moet op die plek ook een wachtwoord invullen waarmee je verbinding gaat maken. Daarna exporteer je het configuratiebestand, waarna je dat kunt mailen naar de betreffende gebruiker. Wees daar voorzichtig mee, want het wachtwoord of de key staat daar leesbaar in. Als je dat niet wilt, kun je bij het configureren ook een versleutelwachtwoord opgeven. Dat moet je dan eerst weer intypen voordat de router het configuratiebestand kan inlezen.

Bij ‘Internet / Permit Access’ kun je op het VPN-­tabblad via ‘Add VPN Connection’ dan met de optie ‘Import a VPN configuration from an existing VPN settings file’ de instellingen dan importeren.

Je router is klaar voor een VPN-verbinding, en je hebt alle gegevens die nodig zijn voor de externe gebruiker. Wil je met een mobiel iOS- of Android-apparaat verbinding met je thuisnetwerk maken, dan heb je het als het goed is nog openstaande browservenster met de ‘VPN Settings’ nodig.

Bij een iOS-apparaat ga je naar ‘Instellingen / VPN’ (of ‘Instellingen / Algemeen / VPN’ als je nog geen verbinding geconfigureerd hebt). Bij ‘Voeg VPN-­configuratie toe’ selecteer je ‘IPsec’ als type en vul je de gegevens verder in zoals die in het venster staan. Let bij het ‘Geheim’ goed op dat je de shared-key goed overtypt. Daarna is het een kwestie van de switch bij ‘Geen verbinding’ aanzetten en dan moet er een VPN-verbinding met thuis worden aangemaakt. Je ziet dan een VPN-­logo boven in beeld verschijnen.

Op een iPhone is de IPsec-verbinding snel ingesteld. Aan het VPN-logo bovenin kun je zien dat er verbinding is.

Bij Android werkt dat vergelijkbaar: ga naar ‘Instellingen / Wifi en internet / VPN’. Klik op het plusteken om een VPN-verbinding toe te voegen en vul je benodigde gegevens in. Tik op de ingestelde naam en maak de verbinding.

Bij een computer met macOS werkt het vergelijkbaar simpel. Ga bij de Systeemvoorkeuren naar Netwerk en klik linksonder op het plusteken. Als interface selecteer je VPN, als VPN-type ‘Cisco IPSec’ en vul je geen naam in. Vu het serveradres en de andere ge­gevens in. Bij ‘Instellingen identiteits­controle’ typ je het ‘Gedeeld geheim’ over en vul je de juiste groepsnaam in. Klik vervolgens op Verbind om de VPN-verbinding te starten. Als je ‘Toon VPN-status in menubalk’ aanvinkt, kun je met het VPN-pictogram op de menubalk te allen tijde zien of je via VPN verbonden bent en daar de verbinding ook makkelijk maken of verbreken.

Bij een Linux-pc is het instellen van een VPN-verbinding ook een fluitje van een cent. Al gaat dat wel op een Linux-manier: installeer het vpnc-pakket met sudo apt-get install vpnc. Maak vervolgens een tekstbestand aan met sudo nano /etc/vpnc/verbinding.­conf of een andere editor naar keuze, waarbij de naam ‘verbinding’ vrij te kiezen is. In dat bestand zet je

IPSec gateway <serveradres>
IPSec ID <groepsnaam>
IPSec secret <shared-secret>
Xauth username <gebruikersnaam>
Xauth password <gebruikerswachtwoord

Je kunt dan verbinding maken met het commando sudo vpnc verbinding (zonder .conf). Om die verbinding weer te verbreken, gebruik je sudo vpnc-disconnect.

Voor een notebook of pc met Windows gaat het helaas wat minder eenvoudig. AVM heeft wel het programma FRITZ!VPN (32- en 64-bit) om een verbinding met de router te maken, maar dat programma werkt (nog) niet met Windows 10. Na het starten komt de melding dat de AVM VPN driver niet gevonden wordt. AVM zegt te werken aan een oplossing en adviseert om in de tussen­tijd Shrew Soft VPN Client te gebruiken. De laatste versie 2.2.2 daarvan is al van juli 2013 en ondersteunt Windows 10 officieel niet, maar blijkt in de praktijk wel te werken.

Open na installatie hiervan de VPN Access Manager en klik op ‘Add’. Vul op het tabblad ‘General’ de VPN-hostnaam of het openbare IP-adres in. Op het tabblad Authentication selecter je bij ‘Authentication Method’ de optie ‘Mutual PSK + XAuth’. Op het tabblad ‘Local Identity’ selecteer je bij ‘Identification Type’ de optie ‘Key Identifier’ en bij ‘Key ID String’ vul je de gebruikersnaam in. Op het tabblad Credentials vul je bij ‘Pre Shared Key’ het shared-secret in. Klik daarna op Save om de instel­lingen op te slaan. Standaard zal dan al het internetverkeer doorgestuurd worden. Selecteer de net ingestelde verbinding bij de VPN Access Manager en klik op Connect. Na het invullen van de juiste naam en het wachtwoord heb je dan als het goed is alsnog verbinding met je thuisnetwerk.

Bij Windows is het instellen van een Fritzbox-VPN wat meer werk, daar heb je externe software voor nodig.

Het opzetten van een VPN-server binnen je eigen netwerk is geen gigantische klus. Vaak zijn er zelfs meerdere mogelijkheden om dat te realiseren en moet je goed kijken welke oplossing het meeste rendement zal hebben of het minste resources kost. Heeft je router een makkelijk te installeren en configureren VPN-server zoals bij een Fritzbox, dan heeft dat de voorkeur. Een NAS met VPN-functionaliteiten is ook een prima mogelijkheid, maar zal in de praktijk wat langzamer zijn.