Netwerksegmentatie thuis: VLANs, gastnetwerken en IoT isoleren
Je smart tv, deurbel en slimme lamp horen niet op hetzelfde netwerk als je laptop en telefoon. We leggen uit wat VLANs zijn, wanneer je ze nodig hebt, en hoe je ze instelt.
Netwerksegmentatie thuis: VLANs, gastnetwerken en IoT isoleren
Je thuisnetwerk is waarschijnlijk één groot plat netwerk: router → alles hangt er aan. Je laptop, telefoon, smart tv, IP-camera, slimme lamp, en de telefoon van je bezoeker zitten allemaal in dezelfde ruimte. Als één apparaat gecompromitteerd is, kan het alle andere apparaten zien en aanvallen.
Netwerksegmentatie lost dat op door apparaten in aparte zones te verdelen die niet met elkaar kunnen communiceren.
Het probleem: één netwerk voor alles
Stel je voor dat je smart tv gecompromitteerd is — via een kwetsbare firmware-update of een kwaadaardige app. Op een plat netwerk kan die tv:
- Je NAS scannen en bestanden lezen
- Verkeer van je laptop onderscheppen
- Inlogpogingen doen op je router
- Je telefoon als aanvalsdoel gebruiken
Dat klinkt theoretisch, maar smart tv’s, IP-camera’s en andere IoT-apparaten draaien vaak op verouderde software zonder regelmatige updates. Het zijn de zwakste schakels in je netwerk.
De oplossingen: drie opties
Optie 1: gastnetwerk (eenvoudigst)
Een gastnetwerk is een apart WiFi-netwerk naast je hoofdnetwerk. Apparaten op het gastnetwerk:
- Hebben internettoegang
- Kunnen niet communiceren met apparaten op het hoofdnetwerk
- Kunnen elkaar ook niet bereiken (als client isolation aan staat)
Wanneer gebruiken: smart tv, streaming stick, IoT-apparaten, bezoekers.
Beperking: gastnetwerken zijn binair — je hebt één hoofdnetwerk en één gastnetwerk. Je kunt niet meerdere aparte zones maken met verschillende regels.
Instellen: vrijwel elke moderne router ondersteunt dit. Zoek in je routerinstellingen naar Gastnetwerk of Guest Network.
Optie 2: VLAN (flexibeler)
VLAN staat voor Virtual Local Area Network. Het is een manier om één fysiek netwerk op te splitsen in meerdere logisch gescheiden netwerken, elk met eigen regels.
Het verschil met een gastnetwerk:
- Een gastnetwerk is één vaste extra zone
- Met VLANs maak je zoveel zones als je wil, elk met eigen toegangsregels
Voorbeeld thuisopstelling:
| VLAN | Apparaten | Mag naar internet? | Mag naar andere VLANs? |
|---|---|---|---|
| VLAN 10 — Thuis | Laptop, telefoon | ✅ | ❌ |
| VLAN 20 — IoT | Smart tv, lampen, camera | ✅ | ❌ |
| VLAN 30 — Gasten | Telefoons bezoekers | ✅ | ❌ |
| VLAN 40 — NAS | Opslag, backup | ❌ (optioneel) | Alleen VLAN 10 |
Elk VLAN heeft zijn eigen WiFi-naam (SSID) of kabelpoort. Apparaten in VLAN 20 zien nooit apparaten in VLAN 10 — ook al zitten ze op dezelfde router.
Wanneer gebruiken: als je meer controle wil dan een gastnetwerk biedt, of meerdere zones nodig hebt (werk, IoT, gasten, NAS).
Optie 3: fysiek apart netwerk (maximaal)
De tv of het IoT-apparaat krijgt een volledig aparte router of access point met eigen internetverbinding. Geen gedeelde hardware, geen gedeelde softwarelaag.
Wanneer gebruiken: voor apparaten die je absoluut niet vertrouwt, of voor hoog-risicogebruikers. Overkill voor de meeste thuissituaties.
Wat heb je nodig voor VLANs?
Een standaard ISP-router ondersteunt geen VLANs. Je hebt een router nodig die het wel ondersteunt:
| Router | VLAN-ondersteuning | Moeilijkheid |
|---|---|---|
| GL.iNet (Beryl AX, Flint 2/3) | ✅ Via OpenWrt | Middel |
| OPNsense / pfSense | ✅ Volledig | Hoger |
| Ubiquiti UniFi | ✅ Volledig | Middel–Hoger |
| Standaard ISP-router | ❌ Geen of beperkt | — |
Voor de meeste thuisgebruikers is een GL.iNet router de praktische keuze: OpenWrt is ingebouwd, de interface is toegankelijk, en de hardware is betaalbaar.
VLANs instellen op GL.iNet
GL.iNet routers draaien OpenWrt, maar hebben ook een eigen beheerpaneel. Voor VLANs gebruik je de OpenWrt interface (LuCI).
Stap 1: open LuCI
Ga naar 192.168.8.1 → Advanced Settings → Open LuCI. Log in met je router-wachtwoord.
Stap 2: maak een nieuw VLAN aan
Ga naar Network → Interfaces → Add new interface.
- Naam: bijv.
iot - Protocol: Static address of DHCP client
- IP-bereik: gebruik een apart subnet, bijv.
192.168.20.1/24voor VLAN 20
Stap 3: maak een aparte WiFi aan voor het VLAN
Ga naar Network → Wireless → Add.
- Geef het een aparte naam (SSID): bijv.
Thuis-IoT - Koppel het aan de nieuwe interface (bijv.
iot) - Zet client isolation aan zodat apparaten elkaar niet zien
Stap 4: stel firewallregels in
Ga naar Network → Firewall → Traffic Rules.
Voeg een regel toe die verkeer van het IoT-VLAN naar het hoofdnetwerk blokkeert:
- Source zone:
iot - Destination zone:
lan - Action: Reject
Het IoT-netwerk heeft dan wel internettoegang, maar kan niet bij je laptop of NAS.
Praktische toewijzing voor thuis
Hoofdnetwerk (vertrouwd): Laptop, desktop, telefoon, tablet, NAS
Gastnetwerk / VLAN: Smart tv, streaming sticks, slimme lampen, IP-camera, deurbel, spelcomputer, telefoons bezoekers
Nooit op hetzelfde netwerk als vertrouwde apparaten:
- Smart tv (ACR, trackers) — zie Smart TV privacy gids
- IP-camera’s (vaak slechte firmware)
- Slimme lampen en pluggen (Tuya-gebaseerde apparaten sturen data naar China)
- Spelcomputers (groot aanvalsoppervlak, verbinden met externe servers)
Samenvatting
| Oplossing | Vereiste hardware | Moeilijkheid | Goed voor |
|---|---|---|---|
| Gastnetwerk | Elke moderne router | Laag | Smart tv, IoT, gasten |
| VLAN | Router met OpenWrt/VyOS/UniFi | Middel | Meerdere zones, meer controle |
| Fysiek apart netwerk | Extra router of switch | Laag–Middel | Maximale isolatie |
Begin met een gastnetwerk voor IoT-apparaten — dat lost het grootste probleem al op. VLANs zijn de volgende stap als je fijnere controle wil.
Zie ook:
- GL.iNet reisrouter instellen — praktische stappen voor gastnetwerk en VPN op GL.iNet
- Smart TV privacy: ACR uitschakelen — waarom je tv op een apart netwerk hoort
- Privacy DNS gids — DNS-filtering combineren met netwerksegmentatie
- Netwerk dreigingsprofiel gids — welk niveau past bij jou?