Hebt u ook al zo’n fraaie NAS thuis staan? Of misschien bent u al een stap verder en snort er bij u een heuse Windows-home server? Indien uw antwoord op een van beide ja luidt, kent u vast het probleem. U bent op uw werk, bij vrienden of ergens aan de andere kant van de wereld, als u net dat ene brokje informatie nodig hebt dat thuis op een NAS of home server beschikbaar is. Alleen hoe komt u daar op afstand bij?

Als u dat gaat uitzoeken, komt u een tweetal problemen tegen. De eerste is dat de meeste providers u geen vast ip-adres - het nummer waaronder uw computer op afstand te benaderen is - geven. Het tweede is die o zo handige router die uw computer beschermt tegen alle aanvallen vanaf internet.

Stap 1

Stel dat u Jan Jansen in Lutjebroek wilt bellen. U zoekt dan diens telefoonnummer op en dankzij de wonderen der techniek hebt u even later de bewuste persoon aan de lijn. Computers doen exact hetzelfde als u naar bijvoorbeeld www.pcconsument.nl wilt surfen. Zij zoeken dan het bijbehorende telefoonnummer (lees: ip-adres) op en maken vervolgens verbinding met de server op 217.194.100.175, om dan te vragen naar de gewenste pagina’s. Inderdaad vragen, want een beetje server kan veel meer websites bevatten: onder het genoemde nummer zijn ook www.hub.nl of de websites van de andere uitgegeven bladen bereikbaar. Het telefoonboek van ip-nummers wordt trouwens beheerd door zogeheten DNS-servers.

Zodra u op internet aan het surfen bent, heeft u verbinding met een extern ip-adres. Extern? Tja, vanwege het gebrek aan ip-adressen (zie kader Niet ongelimiteerd) mag u al blij zijn dat u er een hebt gekregen. Om te zorgen dat u met meerdere computers via uw kabel- of adsl-aansluiting internet op kunt, gebruikt uw router een truc om de interne ip-adressen om te zetten naar het van uw provider gekregen externe ip-adres. In figuur 1 ziet u in rood hoe u uw interne ip-adres opvraagt via een opdrachtprompt en in blauw het resultaat. Alle computers op uw thuisnetwerk zullen alleen verschillen in het vierde getal.

Stap 2

Om uw externe ip-adres te achterhalen, kunt u het beste naar www.whatsmyip.org surfen. In figuur 2 ziet u dat deze inderdaad behoorlijk verschilt met die uit Stap 1.

Helaas hebben de meeste gebruikers - tenzij uw provider bijvoorbeeld XS4ALL of KPN heet - weinig aan het resultaat in. Het nummer kan maandenlang hetzelfde blijven, maar er komt een moment dat uw provider besluit om alles te hernummeren. Of dit het geval is, kunt u nalezen in de aanmeldingsbrief. Als hier een ip-nummer wordt gemeld, bent u een van de gelukkigen met een vast ip-adres. De enige mogelijkheid die uw provider dan heeft om dit te wijzigen, is u een brief sturen. Als uw provider geen ip-adres noemt, kunt u er rustig vanuit gaan dat u nummer elk moment kan wijzigen. Uw router is dan zodanig ingesteld dat deze elke dag, bij sommige providers nog vaker, aan een server bij uw provider vraagt of het nummer weer een dag gebruikt mag worden. Deze server kan het verzoek weigeren en een nieuw nummer teruggeven. Kortom: bijna alle lezers hebben een zogenoemd dynamisch ip-adres dat elk moment kan wijzigen.

Stap 3

Gelukkig is er prima te leven met een dynamisch ip-adres. Misschien dat u de truc zelf al kunt bedenken aan de hand van ons experiment om deze op te vragen. Inderdaad, u moet er gewoon voor zorgen dat uw router, NAS of home server regelmatig controleert of het externe ip-adres is gewijzigd. Zo ja, dan moet dit meteen worden doorgegeven aan een speciale DNS-server. Naast het beantwoorden van vragen om het ip-nummer, kan zo’n server ook een verzoek verwerken om de naam van uw computer te koppelen aan een nieuw ip-adres. Er zijn tientallen (google maar eens op dynamic DNS) van dit soort diensten op internet beschikbaar. De voorwaarden kunnen verschillen, dus het kan geen kwaad om die even te bestuderen. Wij hebben gekozen voor de eerste hit in het lijstje: www.dyndns.com.

Als eerste maakt u een account aan. Vervolgens kiest u een naam in een van de momenteel 88 domeinen die worden aangeboden. Omdat wij fan zijn van de strip Asterix en Obelix, werd het de laatste. Niet echt origineel, want deze naam was in meerdere domeinen al door andere gebruikers vastgelegd. Maar na wat experimenteren ontdekten we dat obelix.selfip.com nog beschikbaar was en deze hebben we dus voor dit artikel vastgelegd. In figuur 3 ziet u dat ook deze pagina uw externe ip-adres weet te achterhalen.

Stap 4

Bovenstaande is genoeg om na een druk op de knop Save changes onze computer van buitenaf te kunnen benaderen als obelix.selfip.com. U kunt dat controleren door in een opdrachtprompt het volgende in te tikken: ping obelix.selfip.com.

U zult weliswaar geen antwoord krijgen, maar in de uitvoer zult u wel het getoonde ip-adres in figuur 2 terugvinden. Tenminste, zolang onze provider niet gaat hernummeren. Om dat op te lossen, gaan we een zogeheten dynamische DNS-client installeren. Op de website vindt u versies voor Windows, Linux en Mac OSX. Ook is de kans groot dat uw router of NAS de truc kent. Wij hebben bijvoorbeeld een Thomson Speedtouch 576 van onze provider gekregen en onder het menu Toolbox staat de genoemde truc. In figuur 4 zie je wat wij hebben ingevuld en zodra dit is uitgevoerd, zien we in ons account bij DynDNS dat inderdaad een update is doorgevoerd.

Stap 5

Nu zit er een nadeel aan het gebruiken van je router, namelijk dat deze meestal slechts een beperkt lijstje met dynamische DNS-providers heeft. Omdat DynDNS een van de oudste is, zal deze niet snel ontbreken, maar het is wel iets om rekening mee te houden. Om te laten zien dat het ook anders kan, hebben we op onze Windows-machine ook even een client geïnstalleerd.

Wie de procedure heeft uitgevoerd, kan vanaf nu altijd zijn of haar computer bereiken, ook als deze een nieuw ip-adres krijgt. Daarmee hebben we een lastig probleem opgelost. Om uw documenten toegankelijk te maken, is meer nodig. Voor wie niet kan wachten, moet op Google maar eens naar portforwarding gaan zoeken.

Stap 6

Een goed voorbeeld van een situatie waar het handig is om uw netwerk voor de buitenwereld open te stellen, is wanneer u een zogeheten NAS-apparaat in huis hebt. Een NAS (Network Attached Storage) is een harde schijf met een netwerkaansluiting en zorgt ervoor dat u vanaf alle pc’s in huis toegang hebt tot dezelfde bestanden. Veel NAS-apparaten hebben ook een geïntegreerde webinterface of ftp-server, die mogelijkheden biedt om vanaf externe computers in te loggen. Wanneer u dat op een juist manier configureert, krijgt u op die manier vanaf waar dan ook ter wereld toegang tot alle bestanden die u op de NAS bewaart. Handig bijvoorbeeld wanneer u op kantoor net dat document nodig hebt dat u thuis hebt opgeslagen, maar ook wanneer u bij familie of kennissen digitale foto’s wilt laten zien die u thuis hebt opgeslagen.

Maar er zijn meerdere handige gebruiksmogelijkheden denkbaar. Wanneer u bijvoorbeeld een computer hebt die altijd aanstaat, bijvoorbeeld om bestanden te downloaden, zou u ook inloggen via Extern Bureaublad vanaf externe locaties mogelijk kunnen maken. Op die manier kunt u op uw werk uw pc thuis overnemen en bekijken wat de status is van u downloads of andere taken uitvoeren.

Stap 7

Het via DynDNS aanmaken van een mooie naam voor je thuisnetwerk (zoals besproken in de vorige editie) is slechts de eerste stap. Daarna moet je ervoor zorgen dat de apparaten die u open wilt stellen voor de buitenwereld daadwerkelijk op een juist manier met de buitenwereld verbonden zijn. Dat gaat met behulp van een trucje, genaamd port-forwarding.

Wanneer u een verbinding maakt vanaf een willekeurige plek op internet met het ip-adres (of de DynDNS-naam) van uw thuisnetwerk, dan komt u in eerste instantie uit bij de router, het centrale punt in uw thuisnetwerk. Het is dan de taak aan de router om aanvragen van buiten naar het juiste apparaat in uw thuisnetwerk door te sluiten. Voor een webinterface zal bijvoorbeeld internetverkeer op poort 80 moeten worden doorgezonden naar het betreffende apparaat. Voor ftp zijn dat poorten 20 en 21. Wie een Extern Bureaubladverbinding met een pc in z’n huis wil maken vanaf internet, moet poort 3389 doorsturen.

Deze instellingen doet u in het configuratiescherm van uw router. Dat ziet er bij elke router anders uit, maar het concept blijft hetzelfde: ga op zoek naar het port-forwardingscherm en geef daarna op welke poorten er doorverbonden moeten worden met welke pc’s of andere apparaten. Hiervoor moet u wel het interne ip-adres van de betreffende apparaten binnen uw thuisnetwerk te weten komen. Bij een computer is dat makkelijk te achterhalen bij de eigenschappen van de netwerkverbinding. Bij een NAS-apparaat is het ip-adres af te lezen in het configuratiescherm.
In afbeelding 6 ziet u een voorbeeld van de port-forwardingconfiguratie bij een Sitecom router. In dit geval willen we een NAS, die intern gebruikmaakt van ip-adres 192.168.0.10, extern kunnen benaderen via zowel de webinterface als via ftp. Daartoe verbinden we zowel poorten 20/21 als poort 81 met het genoemde ip-adres.

Stap 8

Zodra de port-forwarding goed is ingesteld, wordt je - wanneer je vanaf internet bijvoorbeeld via de webbrowser of via een ftp-programma contact zoekt met je thuisnetwerk - direct naar het gekozen apparaat in kwestie doorgeleid. Vanzelfsprekend zult u in je NAS-apparaat de web- of ftp-server ook moeten inschakelen.
Hier komt ook direct het risico om de hoek kijken. Als u een web- of ftp-server van je NAS-apparaat of de Extern Bureaubladverbinding van een pc beschikbaar stelt voor de buitenwereld is het natuurlijk zo dat niet alleen uzelf, maar ook anderen (en dus ook kwaadwilligen) verbinding kunnen maken. Goede beveiliging moet dan topprioriteit krijgen, om te voorkomen dat Jan en Alleman er met uw bestanden vandoor kunnen.
Stap een qua beveiliging is een open deur: zet alleen die poorten open die u daadwerkelijk gebruikt. Ofwel, als u alleen van de webinterface van bijvoorbeeld uw NAS-apparaat gebruik gaat maken, zet dan ook echt alleen poort 80 door en geen andere. Immers: elke poort die voor de buitenwereld open staat, is een potentieel beveiligingslek.
Nog veel belangrijker is dat u alles beveiligt met goede wachtwoorden. Veel mensen hebben bijvoorbeeld op hun NAS niet eens een wachtwoord staan en zolang u deze enkel vanaf computers binnen het eigen netwerk kunt benaderen, is dat niet eens zo’n probleem. Het wordt een ander verhaal als u er ook vanaf extern bij kunt. Een wachtwoord is dus een minimumeis. Kies verder ook altijd een moeilijk te raden wachtwoord. Voor de hand liggende of zeer korte wachtwoorden, zoals ‘1234’ of de naam van uw huisdier, zijn voor een hacker makkelijk te raden. Beter zijn wachtwoorden van minimaal zeven of acht karakters met een volstrekt willekeurige opsomming van (hoofd)letters en cijfers. Voor uzelf ook moeilijker te onthouden, maar wel veilig!