5 Vpn-routers review: veilige tunnels naar buiten en naar binnen

27 reacties
Inhoudsopgave
  1. 1. Inleiding
  2. 2. Waarom een vpn?
  3. 3. Buitenlandse diensten
  4. 4. Verschillende protocollen
  5. 5. Test
  6. 6. Draytek Vigor 2120 en Linksys LRT214
  7. 7. Sitecom WLR-4002B, TP-Link SafeStream TL-ER604W en Zyxel SBG3300-N
  8. 8. Specificaties en tabel
  9. 9. Conclusie
  10. 10. Besproken producten
  11. 11. Reacties

Inleiding

Binnen het thuisnetwerk heb je als vakkundig routergebruiker vaak alles wel redelijk op orde als het gaat om de veiligheid van de verbindingen, maar hoe zit het met de verbindingen van en naar buitenaf? Met behulp van een vpn-router kan je die in ieder geval goed afschermen. Wij zijn eens wat dieper in deze wereld gedoken.

Een vpn-verbinding kan opgezet worden in twee richtingen, van buiten naar binnen en van binnen naar buiten. Gebruik je een router voor het opzetten van deze verbinding, dan fungeert die in het eerste geval als vpn-server, in het tweede geval als vpn-client. Van oudsher worden deze zaken met name toegepast in zakelijke omgevingen. Als je bijvoorbeeld vanuit huis werkt en je logt in op het bedrijfsnetwerk, dan maak je verbinding met de vpn-server van de router die op de zaak staat. Andersom kan het zo zijn dat je de vpn-tunnel met de andere locatie vanuit jouw kant opzet, bijvoorbeeld om datacenters met elkaar te verbinden. Je router is dan een vpn-client. Deze verbinding wordt ook regelmatig aangeduid als een client-to-site-verbinding.

Vpn-verbindingen mogen dan hun wortels hebben in het zakelijke segment van de markt, voor ‘gewone’ consumenten gaat het ook steeds meer spelen. Niet in het minst omdat steeds meer fabrikanten het op hun (high-end-)routers aan gaan bieden. Met name de mogelijkheid om de router in te stellen als vpn-server en er dus van buitenaf bij te kunnen, wordt door fabrikanten zoals Asus en Netgear al geruime tijd aangeboden. We zien nu ook de eerste modellen met ingebouwde vpn-client-mogelijkheden op de markt verschijnen, waarmee je de router op afstand kunt verbinden met een vpn-server of –dienst en als zodanig al het verkeer dat via de router verloopt via een vpn laat verlopen. Dit is met name handig als je in een keer klaar wilt zijn en niet op ieder apparaat afzonderlijk de vpn-verbinding in wilt regelen. Er zijn daarnaast ook apparaten waarop het niet mogelijk is om een vpn-verbinding in te stellen, bijvoorbeeld spelconsoles. Wil je die ook op deze manier verbinding laten maken met de buitenwereld, dan zal je dat in de router in moeten stellen.

Asus RT-AC88U
Ook high-end consumentenrouters zoals de Asus RT-AC88U bieden steeds vaker uitgebreide vpn-mogelijkheden aan.

Waarom een vpn?

Een vraag die je jezelf kunt stellen, is waarom je je internetverbinding via een vpn zou willen laten lopen. Om het anonimiseren van internetverkeer hangt toch altijd een zweem van illegaliteit. Het is ook zeker zo dat ‘onion routing’ zoals aangeboden door Tor, en vpn-verbindingen gebruikt worden voor sinistere praktijken zoals het verspreiden van kinderporno. Toch kun je zeker niet categorisch stellen dat iedereen die gebruikmaakt van dit soort diensten, kwaad in de zin heeft. Er zijn ook behoorlijk wat mensen die een geheim telefoonnummer hebben zonder dat ze dit vanwege hun werk nodig hebben. Ze hebben dit simpelweg omdat ze niet graag open en bloot in het telefoonboek staan en bij het zelf plegen van telefoontjes hun eigen telefoonnummer niet niet willen tonen. Als je het aan dat type mens zou vragen, zouden ze waarschijnlijk het liefst ook zo anoniem mogelijk het internet op gaan.

Een vpn-verbinding zorgt sowieso voor een veel veiliger verbinding, met name als je vaak op plaatsen komt waar publieke hotspots aangeboden worden. Die zijn per definitie niet bepaald veilig. De opkomst van ssl-encryptie, die het verkeer tussen web server en browser en mail server en mail client beveiligt, is uiteraard al een goede zaak, maar een vpn-verbinding is nog altijd een stuk veiliger, omdat je hiermee alle data voorziet van encryptie, ook als de website die je bezoekt geen ssl gebruikt. Hou er echter wel rekening mee dat ook als je het verkeer via een vpn laat verlopen, er een korte periode is waarin je kwetsbaar bent. Je moet namelijk eerst verbinding maken met het internet voordat je de vpn-verbinding op kan zetten. In die paar seconden kan je mail client bijvoorbeeld al allerlei data verzonden en ontvangen hebben.

Buitenlandse diensten

Als je een router via vpn verbinding laat maken met een vpn-dienst, ga je niet met het door je provider uitgedeelde publieke ip-adres het internet op, maar wordt er een ip-adres toegewezen door die dienst. Het is in ieder geval niet illegaal (in Nederland) om met een ander ip-adres het internet op te gaan dan het adres dat is toegewezen door je provider. Het biedt echter wel de nodige voordelen. Zo is het mogelijk om via een vpn verbinding te maken met een dienst die je een ip-adres geeft waarmee het lijkt alsof je vanuit een ander land verbinding maakt met het internet. Dat biedt mogelijkheden als het gaat om het bekijken van content die geografisch is beperkt tot dat land (ook wel geofencing genaamd). Denk hierbij aan toegang tot BBC iPlayer, of de Amerikaanse versie van Netflix, waar veel meer te bekijken is dan op de Nederlandse variant. Ook dit is niet illegaal. Netflix heeft wel aangekondigd dat het hier tegen op gaat treden, omdat het niet strookt met de afspraken die het gemaakt heeft in de verschillende landen over wat er wel en wat er niet op Netflix bekeken kan worden. Of dit ook echt goed te bestrijden is, betwijfelen we overigens.


Met behulp van een stukje software kun je eenvoudig een vpn-verbinding opzetten vanaf je computer naar een server elders in de wereld.

Er zijn zoals gezegd allerlei legale redenen om een vpn-verbinding te gebruiken om verbinding te maken met het internet. Laten we echter niet om de hete brij heen draaien: veel mensen verbinden een enkele computer of hun hele thuisnetwerk met een externe vpn-server, omdat het dan niet mogelijk is om illegaal downloaden te monitoren en te detecteren.

Het is zeker zo dat er via Bittorrent en nieuwsgroepen (Usenet) ook legale bestanden aangeboden, gedownload en gedeeld worden, de uitzendingen van Hardware.Info TV zijn hier een goed voorbeeld van. Het zou ons echter verbazen als het gros van de gebruikers van dit soort diensten het laat bij legale downloads. Zeker gezien de recente verscherping van de regels in Nederland, waar downloaden lange tijd nog wel was toegestaan maar uploaden niet, kunnen we ons voorstellen dat vpn-verbindingen populairder zijn geworden. Een grote Usenet-aanbieder zoals Giganews biedt overigens al sinds jaar en dag de mogelijkheid om het verkeer tussen je computer en de servers van de dienst middels ssl van encryptie te voorzien. Daarnaast biedt het ook al lange tijd de VyprVPN-dienst aan, een OpenVPN-/ssl-gebaseerde vpn-dienst om al je andere verkeer ook te voorzien van encryptie.

Let wel, het gebruiken van een vpn-verbinding zelf is op geen enkele manier illegaal in onze regio. Datgene wat je ermee doet kan dat dus wel zijn.

Verschillende protocollen

Ga je eenmaal aan de slag met vpn-verbindingen, dan loop je al snel tegen de termen PPTP, IPSec, L2TP en OpenVPN aan. Dit zijn de protocollen/technologieën die worden gebruikt voor het opzetten van de vpn-tunnels. PPTP staat voor Point-to-Point Tunneling Protocol en is de meest basale variant. Het is een onder andere door Microsoft ontwikkeld protocol en wordt al gebruikt sinds Windows 95. In de loop der tijd zijn er al de nodige issues geweest met de encryptie van dit protocol. Is het je te doen om een zo veilig mogelijke vpn-verbinding, dan is dit niet de beste keuze. Wil je een verbinding die eenvoudig op te zetten is en waarvoor de ondersteuning in veel apparaten ingebakken is, dan is dit nog altijd een optie. Zolang je er maar rekening mee houdt dat het niet 100% dichtgetimmerd is. Let wel, we hebben het hier over een kwetsbaarheid waarbij een verbinding binnen enkele dagen kan worden gekraakt. Als je geen high-profile doelwit bent, kun je dit protocol op zich dus blijven gebruiken. Het is alleen niet nodig om dit te doen, gezien de alternatieven. Ook Microsoft raadt gebruikers aan om over te stappen naar een andere variant, ook al heeft het problemen met de MS-CHAP v2-authenticatie gepatched met behulp van PEAP.

L2TP staat voor Layer 2 Tunneling Protocol en is van zichzelf niet voorzien van encryptie. Daarvoor komt IPSec om de hoek kijken, waarmee 256 bit AES-encryptie mogelijk is. Daarmee is het aanzienlijk veiliger dan PPTP, terwijl ook L2TP/IPSec standaard wordt ondersteund door de meeste besturingssystemen, inclusief mobiele varianten. Het is iets ingewikkelder om in te stellen dan PPTP, waarvoor letterlijk niet meer dan een gebruikersnaam en wachtwoord nodig zijn (en een ip-adres waarmee de verbinding gelegd moet worden uiteraard). Bij het instellen speelt het IKE-protocol (Internet Key Exchange) een belangrijke rol. Dat protocol bepaalt of server en client een verbinding via L2TP/IPSec mogen maken. Dit vereist enige extra configuratie, maar is ook nog relatief eenvoudig in te stellen. Met het oog op het blokkeren van vpn-diensten, is het goed om te vermelden dat zowel L2TP/IPSec als PPTP relatief eenvoudig te blokkeren zijn, omdat beide gebruikmaken van vaste poorten en protocollen. Tot op heden zijn er geen grote hacks van L2TP/IPSec geweest, al zou de NSA naar verluidt inmiddels een manier hebben gevonden om het verkeer te ontcijferen.

De laatste manier om een vpn-tunnel op te zetten is met behulp van OpenVPN, op sommige routers ook wel aangeduid als SSL VPN. Dit is een open source-technologie die gebruikmaakt van OpenSSL en kan net zoals IPSec worden voorzien van 256 bit AES-encryptie. Tot nu toe is OpenVPN de veiligste vpn-technologie gebleken; er zijn in ieder geval nog geen bewezen kwetsbaarheden. Het maakt geen gebruik van vaste poorten en is dus vrijwel niet te blokkeren. Daarnaast kan het zo geconfigureerd worden dat het tcp-poort 443 gebruikt. Dat zorgt ervoor dat het verkeer niet te onderscheiden is van gewoon https-verkeer. Ook dit zorgt ervoor dat het verkeer vrijwel niet te blokkeren valt. Een klein nadeel van OpenVPN is dat het in geen enkel besturingssysteem is ingebouwd. Je hebt er dus altijd een apart stukje software voor nodig. Althans, als je het gebruikt op endpoints zoals computers en mobiele apparaten. Op routers komen we het wel steeds vaker tegen. Op de wat meer zakelijke modellen die we hebben getest voor dit artikel zien we het op twee van de vijf modellen, maar we hebben het inmiddels ook al gezien op onder andere de Asus RT-AC88U.

Test

Voor dit artikel hebben we vijf vpn-routers getest. We hebben hierbij gekeken naar kleinzakelijke modellen van maximaal 200 euro die daadwerkelijk als zodanig in de markt gezet worden. Uiteindelijk zijn we uitgekomen op vijf modellen, te weten de DrayTek Vigor 2120, Linksys LRT214, Sitecom WLR-4002B, TP-Link TL-ER604W en Zyxel SBG3300-N. De consumentenmodellen die inmiddels een steeds uitgebreidere ondersteuning bieden voor het opzetten van vpn-verbindingen, hebben we hier dus buiten beschouwing gelaten. We kunnen wel zeggen dat de mogelijkheden op consumentenrouters wat betreft vpn beduidend beperkter zijn dan op de modellen die we in dit artikel bespreken.

We hebben uiteraard gekeken welke mogelijkheden de verschillende modellen bieden, maar hebben ook een test gedaan om te kijken hoe snel een PPTP-tunnel van buiten naar binnen is. Hiermee simuleren we dus toegang tot het thuisnetwerk op afstand. We hebben gekozen voor PPTP met maximale encryptie. Dit hebben we allereerst gedaan omdat dit in theorie de snelste verbindingsmogelijkheid zou moeten zijn, aangezien die de minste overhead heeft. Daarnaast is het voor veel mensen waarschijnlijk nog altijd een populaire manier om een vpn-verbinding te leggen, omdat hij zeer eenvoudig in te stellen is. Nogmaals, PPTP is niet de veiligste manier op een vpn-verbinding op te zetten.

Om vast te kunnen stellen hoe snel de verbinding is, hebben we de te testen router aangesloten op een lan-poort van een Netgear R6400 en in de interface van de vpn-router de benodigde informatie ingevoerd die nodig is om een dergelijke verbinding op te zetten. Op een lan-poort van de vpn-router hebben we een nas-apparaat aangesloten en vervolgens een bestand van zo’n 140 MB van de nas naar een op een lan-poort van de Netgear R6400 aangesloten Windows-pc gekopieerd. Voor het daadwerkelijk opzetten van de vpn-tunnel hebben we de ingebouwde client van Windows gebruikt. Op deze manier hebben we dus de snelheid van de routers getest wanneer die ingezet worden als VPN-server, niet als client.

Draytek Vigor 2120 en Linksys LRT214

Het eerste wat opvalt aan de DrayTek Vigor 2120 is dat dit een pure router is, zonder draadloze verbindingsmogelijkheden. Er is trouwens wel een model met dual-band 802.11n wifi, mocht je daar interesse in hebben. De Vigor 2120 is met uitzondering van het ontbreken van wifi een behoorlijk uitgebreid apparaat. Naast vier lan-poorten en een wan-poort is de usb-poort geschikt voor het aansluiten van een 3G/4G-dongel.

DrayTek Vigor 2120

De mogelijkheden van de interface, die in het algemeen lekker overzichtelijk is, zijn zeer uitgebreid. Het is bijvoorbeeld mogelijk om meerdere subnetten aan te maken, voor het geval je een bepaald type verkeer wilt scheiden van de rest (denk aan het verkeer van een ip-camera). Op het gebied van vpn is zo goed als alles mogelijk wat je maar zou kunnen wensen. Er is niet alleen ondersteuning voor PPTP en L2TP/IPSec, maar ook voor OpenVPN, al heet dat hier SSL VPN. Je hoeft via deze methode geen speciaal stukje software te gebruiken, wat doorgaans gebruikelijk is bij OpenVPN, maar kan de vpn-verbinding vanuit een browser opzetten. Deze router presteert het best van de vijf bij onze vpn-test: 58 Mbps. De wan-lan-snelheid ligt met ruim 600 Mbps standaard overigens wel wat lager dan we tegenwoordig gewend zijn, al is dit nog altijd prima bruikbaar.

Linksys LRT214

De LRT214 van Linksys valt uiterlijk met name op door de dmz-poort. Hierop kun je een apparaat aansluiten dat je niet door de firewall van de router wil laten gaan, maar ongehinderd toegang wil geven tot het internet. Voor het overige zijn er geen aansluitingen te ontwaren op de metalen behuizing van deze router, of het moet die voor een Kensington-slot zijn.

Linksys LRT214

De interface is daarentegen juist zeer uitgebreid. Alle mogelijke vpn-protocollen worden ondersteund – inclusief OpenVPN – en Linksys heeft er met EasyLink VPN nog een propriëtaire vpn-mogelijkheid aan toegevoegd. Hiermee zou het opzetten van verbindingen met IPSec-encryptie eenvoudiger moeten zijn. De verschillende wizards leveren overigens ook al ruimschoots voldoende houvast. Bij onze test presteert deze router echter niet bepaald goed. We komen niet hoger dan 10 Mbps.

De WLR-4002B is al vrij oud, maar nog altijd goed te koop. Een groot voordeel van dit model ten opzichte van de andere deelnemers, is dat er standaard acht netwerkpoorten zijn aangebracht. Een ervan doet dienst als WAN-poort, de andere zeven zijn LAN-poorten. 

Sitecom WLR-4002B

Wat ons bij het testen van deze router met name opviel, was de gebrekkige ondersteuning door browsers. Meerdere browsers toonden alle tekstvelden als ‘undefined’ (zie screenshot). Dit zou ermee te maken kunnen hebben dat er al enige tijd niets aan ontwikkeling is gedaan bij deze router, terwijl de browsers de afgelopen jaren wel gewoon verder zijn gegaan. Je kunt de WLR-4002B net zoals alle andere modellen in deze test inzetten als server en als client, maar OpenVPN-ondersteuning ontbreekt. Deze router beschikt over wifi, maar alleen de 2,4GHz-band wordt ondersteund. De prestaties hiervan zijn overigens best aardig te noemen. Ook bij onze vpn-test doet hij het behoorlijk goed, met een throughput van ruim 34 Mbps.

TP-Link SafeStream TL-ER604W

Zoals we gewend zijn van TP-Link, biedt de TL-ER604W veel waar voor de investering. Voor gemiddeld iets meer dan 120 euro, ruwweg hetzelfde bedrag als je kwijt bent voor de DrayTek, heb je namelijk een vpn-router met single-band wifi. Daarnaast is het mogelijk om van een van de vier lan-poorten een tweede wan-poort te maken. Verder valt uiterlijk alleen het knopje op waarmee je wifi handmatig uit kan schakelen.

TP-Link TL-ER604W

Kijken we naar de vpn-mogelijkheden, dan moeten we net zoals bij de Sitecom ook hier OpenVPN-ondersteuning missen, maar verder zien we wel verrassend veel mogelijkheden, bijvoorbeeld de mogelijkheid om poortgebaseerde vlan’s in te stellen. Draadloos is deze router geen hoogvlieger, maar de vpn-prestaties bij onze test zijn vrij goed vergeleken met de rest van het veld: 29 Mbps. De wan-lan-snelheid zonder dat er een vpn-tunnel is geconfigureerd is overigens opvallend laag: 164 Mbps.

Zyxel SBG3300-N

De laatste vpn-router die we eens wat beter hebben bekeken, is de Zyxel SBG3300-N, wederom een model met single-band wifi. Opvallend aan dit model zijn de uitgebreide aansluitingsmogelijkheden. Zo zit er niet alleen een rj45- maar ook een rj11-aansluiting: er zit dus ook een adsl/vdsl-modem in deze router. Daarnaast zitten er twee usb 2.0-aansluitingen op, waarvan er eentje geschikt is voor een 3G/4G-dongel. In de doos zit verder nog behoorlijk wat extra’s. Zo is er voorzien in een verlengsnoertje voor de simkaartdongel en beugels met schroefjes om het apparaat mee op te hangen.

ZyXEL SBG3300-N

Dit is de eenvoudigst in te stellen router in de test als het gaat om pptp-tunnels. Het admin-wachtwoord van de router is tevens het wachtwoord voor de vpn-verbinding. Je kunt uiteraard ook andere gebruikersaccounts aanmaken. OpenVPN-ondersteuning ontbreekt. Qua draadloze prestaties doet deze router het beter en constanter dan de andere twee die hierover beschikken, maar de snelheid via de door ons aangemaakte vpn-verbinding valt tegen. Hoger dan 10 Mbps komen we jammer genoeg niet.

Specificaties en tabel

Hieronder zie je een tabel met daarin de belangrijkste specificaties en prestaties van de deelnemers aan deze test. 

  DrayTek Vigor 2120 Linksys LRT214 Sitecom WLR-4002B TP-Link TL-ER604W Zyxel SBG3300-N
Ethernet WAN-aansluiting Ja Ja Ja Ja Ja
Dual WAN Ja Nee Nee Ja Ja
Geïntegreerd ADSL-modem Nee Nee Nee Nee Ja
Ondersteuning voor 3G/4G-dongel Ja Nee Nee Nee Ja
Aantal LAN-aansluitingen 4 4 7 3/4* 4
LAN snelheid 1000 Mbps 1000 Mbps 1000 Mbps 1000 Mbps 1000 Mbps
Wifi 2,4 / 5 GHz Nee / Nee Nee / Nee Ja / Nee Ja / Nee Ja / Nee
PPTP Ja Ja Ja Ja Ja
LT2P Ja Ja Ja Ja Ja
IPSec Ja Ja Ja Ja Ja
SSL VPN / OpenVPN Ja Ja Nee Nee Nee
USB printerserver Ja Nee Nee Nee Nee
USB fileserver Ja Nee Nee Nee Ja
Doorvoersnelheid WAN -> LAN 630 Mbps 936 Mbps 336 Mbps 164 Mbps 944 Mbps
Doorvoersnelheid PPTP VPN-tunnel met encryptie 58 Mbps 10 Mbps 34 Mbps 29 Mbps 10 Mbps
Stroomverbruik aan 1,5 W 5,1 W 3,2 W 1,6 W 5,4 W
2P LAN -> WLAN drie notebooks tegelijkertijd 2,4 GHz (gem) n.v.t. n.v.t. 75 Mbps 55 Mbps 75 Mbps
2P WLAN -> LAN drie notebooks tegelijkertijd 2,4 GHz (gem) n.v.t. n.v.t. 56 Mbps 71 Mbps 65 Mbps
*Een van de lan-poorten kan worden geconfigureerd als tweede wan-poort     

Conclusie

Het opzetten van vpn-tunnels van en naar je thuisnetwerk kan op meerdere manieren nuttig zijn. Of het ook echt nodig is, zal grotendeels een persoonlijke afweging zijn. We zouden het in ieder geval altijd gebruiken als je vaak via openbare hotspots of andersoortige openbare netwerken het internet op gaat. Ben je op zoek naar een router die specifiek ontwikkeld is als vpn-router, dan is het goed om je te realiseren dat je dan in het kleinzakelijke segment van de markt terechtkomt. Ben je een zzp’er of heb je een klein bedrijfje, dan is dat geen verrassing natuurlijk. Als consument moet je er echter rekening mee houden dat de ontwikkelingen hier iets anders zijn verlopen dan op de consumentenmarkt. Je komt routers tegen zonder wifi en de wifi die wordt aangeboden is niet van het niveau dat je waarschijnlijk gewend bent. Van de modellen die we voor dit artikel hebben getest, zijn we het meest gecharmeerd van de DrayTek Vigor 2120. Die presteert het best van allemaal en gaat naar huis met een Hardware.Info Excellent Award. De TP-Link SafeStream TL-ER604W doet het voor ongeveer hetzelfde bedrag ook prima, maar haalt het qua prestaties niet bij de DrayTek. Dit staat een Hardware.Info Great Value Award niet in de weg. Gebruik dit model wel alleen als vpn-router, niet als ‘gewone’ router. Van de wan-lan-snelheden ga je met zeer snelle abonnementen niet gelukkig worden namelijk. Daarnaast is het goed om je te realiseren dat OpenVPN niet ondersteund wordt door dit model.


DrayTek Vigor 2120


TP-Link SafeStream TL-ER604W 


Besproken producten

Vergelijk alle producten

Vergelijk  

Product

Prijs

Excellent DrayTek Vigor 2120

DrayTek Vigor 2120

  • ###
Niet verkrijgbaar
Linksys LRT214

Linksys LRT214

  • ###

134,44 €

6 winkels
Sitecom WLR-4002B

Sitecom WLR-4002B

  • 802.11n (Wi-Fi 4)
Niet verkrijgbaar
Great Value TP-Link TL-ER604W

TP-Link TL-ER604W

  • 802.11n (Wi-Fi 4)
Niet verkrijgbaar
ZyXEL SBG3300-N

ZyXEL SBG3300-N

  • 802.11n (Wi-Fi 4)
  • Geïntegreerd ADSL-modem

193,95 €

2 winkels
0
*