Port forwarding: misschien heb je er weleens van gehoord, maar waarschijnlijk weet je nog niet wat het nou echt is. Wij leggen het je uit. Hierbij gaan we specifiek in op het verband tussen VPN’s (Virtual Private Network; Virtueel Particulier Netwerk) en port forwarding. Werk het eigenlijk wel met VPN’s? Is port forwarding veilig? Je leert het allemaal in dit artikel!
In het kort: wat is port forwarding en werkt het met een VPN?
Port forwarding geeft je router de opdracht om specifieke gegevens toe te staan bepaalde controlesystemen te omzeilen. Het geeft externe diensten gemakkelijk toegang tot je apparaten. Het is echter niet erg veilig, en veel VPN’s bieden geen ondersteuning voor port forwarding.
Inhoudsopgave
Hoe werkt port forwarding?
Port forwarding werkt door het Network Address Translation (NAT)-systeem van een router verbindingen met specifieke poorten toe te laten staan. Je kunt het NAT-systeem zien als een bezorgdienst die het pakketje moet openen voordat het deze afgeeft. Port forwarding vertelt waar het pakketje moet worden afgeleverd zonder dat het wordt geopend. Lees verder voor een uitleg van het meer technische gedeelte.
Wat zijn poorten (en waarvoor dienen ze)?
Meer technisch gesproken zijn poorten adressen die een apparaat toewijst aan diensten en apps die input van buitenaf (meestal het internet) nodig hebben. Om wiskundige redenen lopen de poortnummers van 0 tot 65.535. De eerste 1024 worden traditiegetrouw toegewezen aan de meestgebruikte diensten.
POP3, het protocol dat een e-mailclient gebruikt om mail van de server op te halen, gebruikt bijvoorbeeld poort 110.
En wanneer de internetgegevens moeten worden verzonden en ontvangen wordt het poortnummer toegevoegd aan het IP (Internet Protocol)-adres van het apparaat (een soort huisadres van het apparaat, maar dan op het internet). Zo weten de verschillende betrokken processen waar elk gegevenspakket naartoe moet.
Als het IP 321.45.678.90 was en je een POP3-e-mailclient hebt gebruikt, dan worden de gegevens aan e-mailclient verstuurd naar 321.45.678.90:110.
Daarna krijg je echter te maken de NAT.
Wat doet de NAT?
Network Address Translation (NAT) bestaat omdat IP-adressen online schaars zijn. Alleen het IP-adres van je router is uniek. Het wordt het ‘openbare IP-adres’ genoemd, omdat het zichtbaar is voor online diensten. De aangesloten apparaten (telefoons, laptops, slimme wasmachines etc.) krijgen niet-unieke IP-adressen om alleen met de router te communiceren. Deze worden ook wel ‘privé-IP-adressen’ genoemd, omdat niemand op het internet ze kan zien.
Het NAT-systeem verzamelt gegevenspakketten van aangesloten apparaten, noteert hun adressen, plakt zijn eigen unieke adres erop en stuurt het online door. Wie met de router communiceert, ziet echter alleen het IP-adres van de router, terwijl de IP’s van de erop aangesloten apparaten onzichtbaar blijven. Het levert pas een probleem op als je verbinding wilt maken met dergelijke apparaten buiten je thuisnetwerk.
Wat heeft dit met port forwarding te maken?
Port forwarding vertelt de NAT om verbindingen van buitenaf te verwachten en toe te staan voor een specifieke IP- en poortcombinatie.. Door het op een router in te stellen, kun je gemakkelijk verbindingen maken met andere apparaten die op de router zijn aangesloten. Zo breid je je thuisnetwerk uit met al je geweldige gadgets.
Ben je op vakantie en wil je verbinding maken met je slimme kookplaat? Heb je toegang nodig tot je computer thuis terwijl je op kantoor bent? Of wil je je babycam controleren wanneer je van huis bent? Met port forwarding kan dat allemaal.
Werkt port forwarding met een VPN?
Ja. Hoewel port forwarding misschien niet noodzakelijk is voor de meeste gebruikers, zijn er redenen waarom het van pas kan komen.
Toegang tot je thuisnetwerk
Als je thuis een VPN hebt opgezet, wil je er misschien toegang tot hebben vanaf een andere locatie. Je hebt dan een VPN nodig die port forwarding ondersteunt.
Veilige servers en thuisnetwerken
Port forwarding met een VPN is cruciaal voor het opzetten van veilige servers en thuisnetwerken, maar is alleen relevant voor de meest gevorderde gebruikers.
Het bovenstaande maakt waarschijnlijk duidelijk waarom de meeste gebruikers geen port forwarding met een VPN nodig hebben. Als je het in je dagelijks leven niet bent tegengekomen, zal het installeren van een VPN daar waarschijnlijk niets aan veranderen.
Als het nodig is, bijvoorbeeld omdat je je website wilt hosten op een server thuis, kun je port forwarding handmatig instellen. Dit komt later in dit artikel nog aan bod. Het kan echter ook automatisch worden gedaan, wat voor de doorsnee gebruiker een stuk makkelijker is. Dit wordt gedaan met behulp van Universal Plug and Play.
Automatische port forwarding, oftewel Universal Plug and Play
UPnP – Universal Plug and Play is een verzameling protocollen (oftewel communicatieregels) die automatische port forwarding mogelijk maken. Hiermee kunnen apparaten op hetzelfde netwerk elkaar vinden, poorten openen en naadloos samenwerken.
Door de magie van ‘zero-configuration networking’, het creëren van netwerken die niet door een mens hoeven te worden opgezet, kan elk UPnP-compatibel apparaat van elke fabrikant met een netwerk worden verbonden, een IP-adres krijgen, zijn aanwezigheid kenbaar maken en andere apparaten leren kennen.
Dit is erg handig voor netwerken thuis en in kleine kantoren. UPnP komt echter niet van pas in bedrijfsomgevingen. Een groot aantal apparaten, die allemaal hun aanwezigheid en mogelijkheden op het lokale netwerk kenbaar maken, zou namelijk te veel verkeer veroorzaken.
Hoe wijdverbreid is UPnP? Uit onderzoek is gebleken dat 76% van de routers werkt met UPnP ingeschakeld. Media-apparaten stonden op de tweede plek met 27%. Goede kans dus dat jij ook een apparaat hebt waarop het wordt gebruikt.
UPnP is echter niet de enige manier om automatische port forwarding te regelen. Een beperkte maar wel veiligere oplossing is port triggering.
Port forwarding vs. port triggering
Port forwarding en port triggering zijn vergelijkbaar, maar werken verschillend. Bij port forwarding is de poort altijd open. Dat betekent dat apparaten buiten het netwerk op elk moment verbinding kunnen maken.
Bij port triggering wordt er een poort geopend wanneer een lokaal apparaat binnen het netwerk iets opvraagt van buiten het netwerk. De poort blijft lang genoeg open voor het antwoord en wordt na enige tijd gesloten. Het wanneer daarom wordt gevraagd door inkomende verbindingen. Daarom is het voor apparaten buiten het netwerk bijna onmogelijk om de poorten te openen.
Daarom is port triggering de mindere optie als je op afstand toegang wilt krijgen tot een webcam of desktopcomputer thuis.
Disclaimer: Surfshark is niet verantwoordelijk voor veiligheidsrisico’s die voortvloeien uit het gebruik van port forwarding.
Nadelen van port forwarding
Zoals eerder vermeld, bieden niet alle VPN-providers port forwarding-functionaliteit aan. Daar zijn verschillende redenen voor die met cybersecurity te maken hebben:
Het biedt hackers een ingang
Port forwarding biedt hackers mogelijkheden om digitaal in te breken. Ze hebben alleen je poorten en IP-adres nodig om je firewall te omzeilen.
Het omzeilt VPN-beveiliging
Stel dat je een VPN gebruikt om je verbinding te beveiligen. Je gegevens zijn versleuteld en je internetprovider is verborgen. Niemand weet waarvandaan je verbinding maakt. Als je gebruikt maakt van port forwarding, wat mogelijk is met sommige VPN’s, open je echter een naar je systemen dat zelfs de extra beveiligingslaag van je VPN-software omzeilt.
Het veroorzaakt privacyschending
Port-forwarding is op zichzelf al gevaarlijk, maar UPnP leidt tot nog meer veiligheidsrisico’s. Het feit dat het proces geautomatiseerd is, maakt het voor hackers en andere kwaadwillenden veel gemakkelijker om er misbruik van te maken. In januari 2019 een maakte een groep hackers gebruikt van zwakke plekken in UPnP-routers om Chromecasts, smart-tv’s en Google Homes video’s te laten afspelen waarin gebruikers worden opgeroepen zich te abonneren op PewDiePie op YouTube.
Het maakt je apparaten een hub voor hackers
Dit geval is eerder vervelend dan schadelijk, maar andere UPnP-exploits stelden hackers in staat blootgestelde apparaten te gebruiken in botnets, spamcampagnes en DDoS-aanvallen. En dan hebben we het nog niets een gehad over de mogelijkheden om malware te installeren, gegevens te stelen (zoals inloggegevens en foto’s) en toegang te krijgen tot je apparaten (zoals webcams).
Hoe stel ik port forwarding in op een router? – Windows 10
Als je toch gebruikt wilt maken van port forwarding, kan dit ook handmatig. Het is minder eenvoudig dan met Universal Plug and Play (daarom bestaat laatstgenoemde immers), maar uiteindelijk is het proces niet al te moeilijk.
- Eerst controleer je of je apparaat een vast IP-adres heeft. Begin daarom met het invoeren van PowerShell in de zoekbalk.
- Klik met de rechtermuisknop op PowerShell en kies Als administrator uitvoeren. Er wordt een venster geopend.
- Voer Get-NetIPConfiguration in en druk op Enter.
- Noteer de waardes naast:
- InterfaceIndex
- IPv4Address
- IPv4DefaultGateway
- DNSServer
- Voer nu -InterfaceIndex [the value of InterfaceIndex in Step #4] -IPAddress [the value of InterfaceIndex in Step #4] -PrefixLength 24 -DefaultGateway [the value of IPv4DefaultGateway in Step #4] in. Let op: Je hoeft de haakjes, aanhalingstekens en de punt niet in te voeren, alleen de getallen.
- Druk op Enter. Het vaste IP-adres is nu ingesteld.
- Voer nu Set-DnsClientServerAddress -InterfaceIndex [the value of InterfaceIndex in Step #4] -ServerAddresses [the value of DNSServer in Step #4] in. Let op: Je hoeft de haakjes, aanhalingstekens en de punt niet in te voeren, alleen de getallen. Druk op Enter. Het vaste IP-adres is nu ingesteld.
- Druk op Enter. De DNS-server is nu ingesteld.
De rest is een algemeen overzicht om te volgen. Specifieke verschillen hangen af van de gebruikte router.
- Log in op je router. Dit doe je meestal door je routeradres in te voeren in je browser.
- Noteer het IPv4-adres voordat je overschakelt van DHCP naar Handmatig.
- Zoek het tabblad voor port forwarding. De locatie en de naam zijn afhankelijk van de router, dus het kan even duren voor je het gevonden hebt.
- Voer de gewenste ingangs- en uitgangspoorten en het gewenste protocol in. Boven de 1000 en onder de 65.000 zit je in principe goed. Hier vind je een lijst met poorten die door een aantal van de meestgebruikte processen worden gebruikt.
- Voer het vaste IP-adres of het lokale IP-adres in van het apparaat waarvoor je port forwarding wilt openen.
- Klik op Inschakelen of een vergelijkbare knop op de gebruikersinterface van je router.
Port forwarding is nu ingeschakeld op je router.
Hoe stel ik port forwarding in op een router? – macOS
Wil je port forwarding instellen op macOS? Hier lees je hoe je dat doet.
- Zorg dat je een vast IP-adres hebt door de instructies op de website van Apple te volgen.
- Noteer het IPv4-adres voordat je overschakelt van DHCP naar Handmatig.
- Schakel over op Handmatig.
- Voer het IPv4-adres in op de regel waar nu 0.0.0.0 staat.
- Noteer het routeradres.
De rest is een algemeen overzicht om te volgen. Specifieke verschillen hangen af van de gebruikte router.
- Log in op je router. Dit doe je meestal door je routeradres in te voeren in je browser.
- Noteer het IPv4-adres voordat je overschakelt van ‘DHCP’ naar ‘Handmatig’.
- Zoek het tabblad voor port forwarding. De locatie en de naam zijn afhankelijk van de router, dus het kan even duren voor je het gevonden hebt.
- Voer de gewenste ingangs- en uitgangspoorten en het gewenste protocol in. Boven de 1000 en onder de 65.000 zit je in principe goed. Hier vind je een lijst met poorten die door een aantal van de meestgebruikte processen worden gebruikt.
- Voer het vaste IP-adres of het lokale IP-adres in van het apparaat waarvoor je port forwarding wilt openen.
- Klik op ‘Inschakelen’ of een vergelijkbare knop op de gebruikersinterface van je router.
Port forwarding is nu ingeschakeld op je router.
Port forwarding instellen voor een VPN-server
Heb je thuis een VPN-server en wil je deze met port forwarding op afstand toegankelijk wil maken via het internet? Volg dan deze instructies. Onthoud dat specifieke details erg afhankelijk zijn van de gebruikte router.
- Open de gebruikersinterface van je router. Dit doe je meestal door je het IP-adres van de router in te voeren in je browser.
- Zoek het tabblad/venster voor port forwarding. Je moet misschien even rondklikken.
- Afhankelijk van het type VPN-protocol dat je gebruikt, voer je het volgende in:
- PPTP: stel de Lokale poort in op 1723 en het Protocol op TCP voor de PPTP zelf, en Poort 47 en Protocol ‘Anders’ voor de GRE-tunnel;
- IPSec: stel voor de IPSec VPN-tunnel de Lokale poort in op 500 en het Protocol op UDP, en Poort 4500 met UDP-protocol voor de IPSec-tunnel;
- OpenVPN: Stel de Lokale poort in op 1194 en het Protocol op UDP;
- IKEv2: Stel de Poort in op 500 en het Protocol op UDP;
- WireGuard: Stel de Poort in op 51820 en het Protocol op UDP.
- Je kunt nu een VPN-verbinding opzetten op een andere computer met behulp van het openbare IP-adres van je VPN-server.
Disclaimer: Surfshark is niet verantwoordelijk voor veiligheidsrisico’s die voortvloeien uit het gebruik van port forwarding.
VPN-clients en port forwarding met een VPN
VPN’s kunnen port forwarding-functionaliteit ondersteunen. Sommige VPN’s staan volledige port forwarding toe. Andere ondersteunen alleen een aantal van de populairste poorten. In beide gevallen is het moeilijk om dit van tevoren te weten. Dus als port forwarding belangrijk voor je is, check dan de website van het VPN, neem contact op met de klantenservice of lees de veelgestelde vragen om erachter te komen.
Surfshark VPN biedt geen ondersteuning voor port forwarding. Deze beslissing is genomen met het oog op jouw veiligheid. Een poort openen betekent een gat in je cybersecurity waardoor toegang tot je apparaten mogelijk wordt.
Daarnaast kunnen mogelijk andere zwakke plekken worden ontdekt. Zo werd in 2015 ‘Port Fail’ onthuld. Dit was een neveneffect van port forwarding met een VPN, waarbij het echte IP-adres van de gebruiker online kon worden gelekt. Een VPN is juist bedoeld om je privacy te beschermen, inclusief je IP-adres. Door port forwarding niet te ondersteunen, voorkomt Surfshark dat het in de toekomst ten prooi valt aan zulke exploits.
Ja, het uitschakelen van port forwarding zal onhandig zijn voor sommige gebruikers. Dit weegt echter niet op tegen de extra veiligheid.
Conclusie: vermijd port forwarding
Port forwarding is bedoeld om internetcommunicatie soepeler te laten verlopen en apparaten elkaar te laten bereiken zonder firewallonderbrekingen. Poorten openstellen voor ongecontroleerde verbindingen van externe apparaten brengt echter diverse risico’s met zich mee, vooral als het proces geautomatiseerd is met UPnP. Daarom bieden toonaangevende VPN-providers, waaronder Surfshark, geen ondersteuning voor port forwarding. De veiligheid van de gegevens van onze gebruikers staat immers bovenaan.
Veelgestelde vragen
Is port forwarding met een VPN veilig?
Port forwarding is nooit veilig. Het opent een onveilig kanaal waarmee er van buitenaf toegang kan worden verkregen tot je apparaat.
Kun je worden gehackt via port forwarding?
Ja, want port forwarding laat een gapend gat achter in je cyberbeveiliging.
Verslechtert port forwarding mijn internetverbinding?
Port forwarding verslechtert je internetverbinding, tenzij je een fout maakt bij het inschakelen ervan. Het kan je echter wel kwetsbaar maken voor hackpogingen.