Een eigen router

Hier staat de uitleg hoe je een eigen router kunt gebruiken op de glasvezel aansluiting van KPN en XS4ALL.

Als je wat minder verstand hebt van computernetwerken en/of niet de intentie hebt om hier wat tijd in te steken is het wellicht niet verstandig om verder te gaan.

Om de uitleg goed te kunnen volgen heb je basis kennis nodig van:
Switch configuratie zoals VLAN, verschil tussen TRUNK en ACCESS poorten.
Basis routing zoals weten wat een router eigenlijk doet.
En natuurlijk ... zorg dat je weet hoe je provider de glasvezel verbinding heeft opgebouwd.

Ter herinnering:

VLAN 6 = internet
VLAN 4 = IPTV (zowel bridged als routed)
VLAN 7 = telefonie

Dit is geen officiele handleiding en je provider zal je hierbij ook niet ondersteunen. Sterker nog, mocht je problemen ervaren zorg dan dat je het ook test met de opstelling zoals je provider het levert alvorens daar om hulp te vragen.

Aanbevolen hardware:
Switch: TP-Link SG3210 - Een uitgebreide managed switch met een backplane snelheid van 20Gbps, prijs rond de 90 euro.
Router: Mikrotik RB4011 - Een router (zonder wifi) met uitgebreide mogelijkheden en de kracht om 1Gbit aansluitingen te bedienen. Heeft 10 Gigabit poorten. Prijs rond de 170 euro. Er is ook een variant met ac-wifi voor 60 euro meer.
Router: Mikrotik CRS125-24G-1S-2HnD-IN - Volledig compatible met de oudere RB2011-serie, maar uitgebreidere switch configuratie met 24 Gigabit poorten. Ideaal voor een homelab met een kleiner budget. Kan prima 100Mbit aansluitingen verwerken, maar 200Mbit of meer gaat niet lukken. Prijs rond de 130 euro.
Router: Ubiquiti Edge Router Lite - Een kleine router met weinig extra's maar wel heel krachtig. Uitgebreid te configureren via web maar vooral CLI. Gedegen kennis van netwerken is wel nodig. Heeft geen WiFi. Prijs rond de 80 euro.

Let op: De Unify Security Gateway (USG) van Ubiquity is niet ideaal. Hoewel de hele integratie binnen het Unify eco-systeem perfect werkt, zijn de instel mogelijkheden van deze router beperkt in de interfaces en is configuratie op het niveau wat hier nodig is alleen mogelijk via een achterdeur (het plaatsen van een zorgvuldig opgebouwd config.gateway.json bestand) wat bijzonder ongemakkelijk werken is.

Gebruik van andere hardware is natuurlijk ook mogelijk. Denk voor routers aan bijvoorbeeld een Ubiquiti Edgerouter PoE of de topmodellen van Fritzbox, Draytek en Asus (hardware) maar ook aan PFSense (software). Koop je een consumenten router, hou dan rekening met beperkte mogelijkheden. Je zult zelf de juiste instellingen moeten invoeren op basis van de uitleg op deze website. En, let even op de aanbevelingen over wat de switch of router moet kunnen verder op deze pagina.

De voorbeelden op deze website gaan uit van de Mikrotik RB4011. Deze is krachtiger maar wel compatible met de oudere RB2011 en RB3011.

De aanpak

Let op dat je niet aan de kwetsbare glasvezelkabel zelf komt, maar gebruik maakt van de ethernetaansluiting die de FTU/NTU aanbiedt aan de klantzijde. Ook al biedt veel apparatuur de mogelijkheid (ook) via een SFP aansluiting rechtstreeks een glasvezelkabeltje aan te sluiten is dit absoluut niet de intentie van onderstaande schema's.

 

 Je gebruikt een router die met VLAN's en IGMP overweg kan. Je maakt gebruikt van routed IPTV, waarbij je decoders niet meer een aparte kabel nodig hebben of op een eigen VLAN hoeven te worden aangesloten. De opzet is als volgt:

Als we dit in een diagram op netwerk niveau weergeven, dan ziet het er zo uit:

 

 

Frequently Asked Questions

Kan ik elke router gebruiken?

Nee, niet gegarandeerd. Om te beginnen moet de router PPPoE ondersteunen. Dat is een absolute vereiste. Glasvezel is ook sneller dan traditionele ADSL verbindingen, er zijn routers op de markt die simpelweg de hogere snelheid niet kunnen bijhouden. Fabrikanten meten de maximale snelheid die de router aan kan en noemen dat "throughput". Zorg dat deze altijd hoger is dan je glasvezel aansluiting. Let op dat bij wireless routers vaak de snelheid van wireless op de doos staat, dat zegt NIKS over de snelheid van de router naar je glasvezelverbinding.
Daarnaast vereist de oplossing dat de router VLAN's ondersteunt en voldoende switchpoorten heeft om alle apparatuur aan te sluiten. Kijk je ook televisie, dan zal de router een IGMP proxy moeten hebben en IGMP snooping moeten ondersteunen.

Moet ik ergens een MAC adres clonen?

Absoluut niet! Het is niet nodig om het MAC adres van de Experiabox te clonen. Een gecloned adres zal zelfs zeker voor problemen zorgen wanneer de Experiabox ook aangesloten is, bijvoorbeeld voor het afhandelen van de telefonie. Er zijn dan twee apparaten met hetzelfde MAC adres in hetzelfde netwerk. Als je toch een clone adres gebruikt, zal telefonie simpelweg niet gaan werken. Niet doen dus.

Hoe moet ik op mijn router de internetverbinding configureren?

KPN en XS4ALL werkt met een PPPoE verbinding die wordt opgezet over VLAN6. Je moet je router dus niet configureren voor DHCP, PPPoA of andere methodes om een internet IP te verkrijgen. PPPoE vraagt om een gebruikersnaam en wachtwoord. Deze moet ingevuld zijn, maar de inhoud maakt niet uit: er is geen controle op gegevens. Krijg je geen enkele reactie van de KPN server bij het opzetten van de verbinding, dan zit je waarschijnlijk niet op het juiste VLAN. Ook is het niet mogelijk om meer dan 1 PPPoE sessie op te zetten per aansluiting.

Kan ik op de experiabox niet simpelweg DMZ aanzetten en hetzelfde resultaat bereiken?

DMZ (Demilitarized Zone) op de Experiabox zorgt er voor dat de router het inkomende verkeer routeert naar een enkel IP adres op het lokale netwerk. Dat zou dan het IP adres van een andere router kunnen zijn. Helaas is dit niet ideaal en ondergeschikt aan de op deze website beschreven oplossing. De DMZ implementatie betreft namelijk alleen maar TCP en UDP waarbij de Experiabox ook nog eens niet alle poorten doorzet. Daarnaast gebruik je door 2 routers achter elkaar te plaatsen dubbele NAT wat mogelijke complicaties oplevert met portforwarding.

Wat zijn de username en password die ik moet invullen bij PPPoE?

Dit maakt niet uit, als er maar iets staat ingevuld. Het mag dus niet leeg zijn, maar er is geen enkele controle op de inhoud.

Wat is er zo speciaal aan 'poort 3' op de experiabox?

Inmiddels niks meer. Een ouder model experiabox kon niet het verschil zien tussen computerapparatuur en een IPTV decoder, daarom werd vanuit KPN poort 3 vast ingesteld voor gebruik met decoders en de overige poorten waren voor internet apparatuur. Sinds eind 2013 kun je internet en iptv op elke poort en zelfs tegelijk aansluiten op de experiabox. Als je nog een hele oude experiabox hebt van voor 2013 kan dit relevant zijn.

Waar zijn methode 1 en methode 2 voor bridged-IPTV?

Voordat KPN en XS4ALL rond 2015 overgestapt zijn op het aanbieden van routed-IPTV, bestond er een voorkeur om IPTV te regelen via bridged-IPTV. Deze website beschreef daarvoor twee methodes. Sinds 2018 is bridged-IPTV niet langer de geprefereerde oplossing, dat is routed-IPTV, en zijn deze methodes verwijderd van deze website.

Waarom doet mijn net opgeleverde telefonie dienst het niet?

De diensten van de provider, in het bijzonder de telefonie dienst, kunnen alleen in de experiabox geactiveerd worden als deze op de WAN poort ook op internet aangesloten is op de glasvezeldienst. Dit is bij bovenstaande oplossingen echter niet het geval.
Internet is nodig in verband met 'provisioning', ofwel het configureren van de experiabox met de klant-specifieke data zoals telefoonnummer. Als dit niet gebeurt zal het 'voice' lampje op de router niet aangaan omdat het apparaat geen informatie heeft over het telefonie abonnement en deze dienst dan ook niet kan leveren.
Zorg er daarom voor dat je pas begint met eigen apparatuur als alle diensten met gebruik van de originele router een keer aktief zijn en werkend zijn geweest. Wanneer telefonie later wordt opgeleverd is het geen enkel bezwaar om de router in de tussentijd los te koppelen, maar sluit na oplevering voor een periode van een half uur de originele router rechtstreeks aan op de NTU. Schakel daarbij de router een keer uit en weer aan, zodat deze nieuw opstart. Een kwartiertje is voldoende tijd voor het ontvangen van de gegevens. Deze handeling moet ook later altijd uitgevoerd worden wanneer er iets wijzigt in het telefonieabonnement en uit voorzorg elke paar weken/maanden om altijd de laatste instellingen te ontvangen.

Ik heb een abonnement op basis van ADSL of VDSL, dus geen glasvezel. Wat nu?

De router wordt in deze gevallen ook gebruikt als modem die het DSL signaal omzet naar ethernet. Dat betekent dat het niet zonder meer mogelijk is om de router te vervangen door een eigen router, want de modem functionaliteit kan niet weggelaten worden. De situatie is daarmee significant anders. Deze website behandelt alleen glasvezel aansluitingen.

Moet ik verder nog ergens op letten bij het instellen van router en switch?

Ja, zorg dat je alle protocollen als CDP, STP, BGP en andere routing en switching protocollen uit hebt staan mochten jouw router en switch hiervan iets ondersteunen (grote kans van wel, dus let op). Let er ook op dat je de glasvezel verbinding niet per ongeluk koppelt aan je eigen interne netwerk.
Stel je managed switch en router dus goed in, dit is heel belangrijk. Hoewel je provider waarschijnlijk veel zal filteren, is het niet de bedoeling om door misconfiguratie 'troep' op de glasvezel verbinding te zetten. Het is afhankelijk van wat je doet misschien zelfs onveilig voor je thuisnetwerk.

Kan ik zelf mijn publieke IP adres wijzigen wat ik op internet heb?

Nee. Tijdens de PPPoE opbouw krijgt de router een IP adres uitgedeeld van je provider. Het is niet mogelijk deze zelf te wijzigen of een ander adres te configureren in de router. Dit IP adres zit gekoppeld aan de aansluiting. Het wijzigen van het MAC adres van de router heeft hier dan ook geen invloed op, in tegenstelling tot bij sommige andere providers.

Heb ik met deze oplossing ook IPv6 tot mijn beschikking?

Ja, mits je provider dit aanbiedt. In 2018 bood KPN dit niet aan, XS4ALL wel.