Hoe je een KNX-IP router veilig configureert voor extern gebruik

Portret van Joost van Leeuwen, Woontechnologie Ingenieur
Joost van Leeuwen
Woontechnologie Ingenieur
Technische Deep-Dives & Protocollen · 2026-02-15 · 6 min leestijd

Je KNX-IP router vanuit je luie stoel veilig benaderen? Dat klinkt als magie, maar het is best simpel als je weet hoe het werkt.

We gaan samen je router zo instellen dat je vanaf je vakantieadres je huis kunt bedienen, zonder dat Jan en alleman naar binnen gluurt. Denk aan het aanzetten van je Verwarming (HVAC), het dimmen van die mooie DALI-verlichting of checken of je alarm aan staat. Geen zorgen, we doen het stap voor stap, met een bak koffie erbij.

Wat je nodig hebt voordat we beginnen

Voordat we duiken in de instellingen, zorgen we dat de basis op orde is. Je hebt natuurlijk een KNX-IP router nodig.

Denk aan een model van Gira (zoals de Gira X1) of Jung (de Aline IP Router). Deze dingen kosten zo tussen de €250 en €400. Zorg dat je router al is aangesloten op je KNX-bus en dat je huis al een beetje 'slim' is ingericht.

Je hebt verder een stabiele internetverbinding nodig. Niet die oude router van je provider, maar een fatsoenlijke mesh-WiFi of een kabeltje naar de router.

Voor de veiligheid hebben we een VPN nodig. We gaan uit van WireGuard, omdat dat licht en snel is. Installatie is gratis. Heb je al een NAS van Synology of QNAP? Die kunnen vaak al een VPN-server draaien, ideaal.

Verder een laptop of PC met ETS 5 of 6 (de software om KNX te programmeren). Een licentie voor ETS kost geld, maar die heb je waarschijnlijk al.

Tot slot een notitieblok voor je wachtwoorden en IP-adressen. Niets is vervelender dan een half uur zoeken naar dat ene standaardwachtwoord.

Benodigdheden op een rij:
  • KNX-IP Router (bijv. Gira X1 of Jung Aline, €250-€400)
  • Stabiele internetverbinding (kabel is beter dan WiFi)
  • VPN-oplossing (WireGuard of Synology VPN Server)
  • Laptop met ETS 5/6 software
  • Notitieblok en pen

Stap 1: De lokale basis checken

Begin bij het begin. Sluit je laptop aan op hetzelfde netwerk als je KNX-IP router.

Open ETS en ga naar de configuratie van je router. De meeste routers hebben een standaard IP-adres, vaak 192.168.1.50 of 192.168.0.50.

Check de handleiding van je specifieke merk. Log in met de standaard credentials (vaak admin/admin). Zodra je binnen bent, check je of de router zichtbaar is op je netwerk. Ping het IP-adres vanaf je command prompt (ping 192.168.1.50). Krijg je reactie? Goed zo.

Nu pas ga je verder. Dit duurt ongeveer 5 minuten.

Veelgemaakte fout: vergeten om je laptop een vast IP-adres te geven, waardoor de verbinding telkens wegvalt. Stel je laptop in op een vast IP, bijvoorbeeld 192.168.1.100, met subnetmasker 255.255.255.0. Zo blijft de verbinding stabiel.

Dit voorkomt frustratie later. Als je router een webinterface heeft, open die dan in je browser.

Vaak is het simpel: typ het IP in en log in. Als je een Gira X1 hebt, moet je misschien eerst de Gira Project Assistant software installeren.

Bij Jung werkt de Aline app vaak soepeler. Zorg dat je de laatste firmware op je router hebt staan; updates duren zo'n 10-15 minuten en fixen veiligheidslekken.

Stap 2: VPN opzetten voor externe toegang

Nu het leuke gedeelte: we maken een veilige tunnel naar je huis. We gebruiken WireGuard, omdat het supersnel is en weinig resources vraagt.

Installeer WireGuard op je router als die dat ondersteunt (sommige Gira-modellen doen dit via een plugin), of op een NAS zoals een Synology DS220+ (kost zo'n €300). Als je geen NAS hebt, installeer WireGuard dan op een Raspberry Pi (€50). Open WireGuard en genereer een nieuwe sleutel. Dit duurt seconden.

Noteer je privé-sleutel en publieke sleutel ergens veilig. Stel het VPN-serveradres in op je router, bijvoorbeeld 10.0.0.1.

Op je telefoon of laptop installeer je de WireGuard-client en voeg je de configuratie toe met de publieke sleutel. Veelgemaakte fout: vergeten om poorten open te zetten in je firewall. WireGuard gebruikt standaard poort 51820 (UDP).

Open deze poort op je router of modem. Test eerst lokaal of het VPN werkt; ga pas daarna extern testen.

Dit proces duurt zo'n 20-30 minuten. Als je een Synology NAS gebruikt, ga naar Pakketbeheer en installeer 'VPN Server'.

Kies voor WireGuard, genereer de sleutels en download het configuratiebestand. Upload dit naar je client. Simpel en snel. Zorg dat je huisadres (bijv. 192.168.1.0/24) wordt gerouteerd via het VPN.

Stap 3: KNX-IP Router configureren voor extern gebruik

Terug naar je KNX-IP router. In de webinterface of ETS zoek je naar de instellingen voor 'IP Routing' of 'KNXnet/IP Tunneling'. Zodra je cloud-diensten aan KNX wilt koppelen via API's, zet je deze functies aan.

Stel het multicast-adres in op 224.0.23.12, de standaard voor KNX. Dit zorgt dat je router KNX-commando's doorstuurt naar je bus. Voor extern gebruik moet je de router toegang geven via je VPN.

Geef de router een vast IP in je lokale netwerk, bijv. 192.168.1.50.

In de VPN-configuratie voeg je dit IP toe als doel. Zo kun je vanaf je vakantieadres via de VPN verbinding maken en ETS openen alsof je thuis bent. Stel de beveiliging in: verander het standaardwachtwoord van je router naar iets sterks, minstens 12 tekens met cijfers en symbolen.

Bij Gira kun je dit doen in de Project Assistant; bij Jung via de Aline app. Dit duurt 5 minuten.

Veelgemaakte fout: zwakke wachtwoorden gebruiken, waardoor hackers makkelijk binnenkomen. Test de KNX-verbinding: open ETS, voeg een nieuwe tunneling-verbinding toe met het IP van je router. Scan de bus.

Als je je lichtschakelaars of thermostaat ziet, werkt het. Dit duurt 10 minuten. Als je DALI-verlichting hebt, check dan of je de DALI-gateway in de router ziet (bijv. een Gira DALI-module).

Stap 4: Extra beveiligingslagen toevoegen

Veiligheid eerst. Schakel onnodige services uit op je router, zoals UPnP (Universal Plug and Play), en ontdek de rol van kunstmatige intelligentie in proactief systeembeheer.

Dit voorkomt dat andere apparaten zomaar toegang krijgen. Ga naar de geavanceerde instellingen en zet het uit. Dit duurt 2 minuten.

Gebruik tweefactorauthenticatie (2FA) als je router dat ondersteunt, bijv. via een app als Google Authenticator.

Bij sommige high-end routers zoals de Crestron Home-router (vanaf €1000) is dit ingebouwd. Als je een Control4-systeem hebt, koppel dan je KNX-router via gateways voor extra encryptie. Monitor je netwerk.

Installeer een tool zoals Fing op je telefoon om te checken welke apparaten verbonden zijn. Of gebruik de logging in je router om verdachte activiteiten te zien.

Dit kost niets en duurt een paar minuten per week. Veelgemaakte fout: vergeten om je router te updaten.

Check elke 3 maanden op firmware-updates. Een update van Gira duurt 15 minuten en patcht kritieke lekken. Zorg ook dat je VPN-sleutels regelmatig vernieuwd, bijv. elke 6 maanden.

Verificatie-checklist

Als je klaar bent, loop dan deze checklist af om zeker te weten dat alles werkt. Dit voorkomt verrassingen als je onderweg bent.

  • Lokaal: Is de KNX-IP router zichtbaar in ETS? (Test: ping het IP en scan de bus.)
  • VPN: Werkt de VPN-verbinding vanaf je telefoon? (Test: verbind en check of je thuisnetwerk pingt.)
  • Extern: Kun je vanaf een ander netwerk (bijv. café-WiFi) ETS openen en KNX-commando's sturen?
  • Veiligheid: Is het wachtwoord veranderd? Is UPnP uit? Zijn poorten correct?
  • Specificaties: Zie je je DALI-verlichting, HVAC-thermostaat en alarmstatus in ETS?
  • Tijd: Heb je alles binnen 1 uur gedaan? Zo niet, check waar het misgaat.

Als alles groen is, ben je klaar. Je kunt nu vanaf je vakantieadres je huis besturen: dim de DALI-lampen, zet de verwarming aan via KNX, of check je beveiligingscamera's. Geniet ervan!

Portret van Joost van Leeuwen, Woontechnologie Ingenieur
Over Joost van Leeuwen

Woontechnologie ingenieur gespecialiseerd in KNX domotica, high-end beveiligingssystemen, dedicated home cinema en klimaatbeheersing voor luxe villa's en landgoederen.

Volgende stap
Bekijk alle artikelen over Technische Deep-Dives & Protocollen
Ga naar overzicht →