Netwerksegmentatie thuis: VLANs, gastnetwerken en IoT isoleren
Voor wie is dit? Voor iedereen met IoT-apparaten, smart TV’s of bezoekers op het thuisnetwerk. Je hoeft geen netwerkexpert te zijn — begin met een gastnetwerk, dat is al een grote stap.
Netwerksegmentatie thuis: VLANs, gastnetwerken en IoT isoleren
Voor wie is dit? Voor iedereen met IoT-apparaten, smart TV’s of bezoekers op het thuisnetwerk. Je hoeft geen netwerkexpert te zijn — begin met een gastnetwerk, dat is al een grote stap.
Je thuisnetwerk is waarschijnlijk één groot plat netwerk: router → alles hangt er aan. Je laptop, telefoon, smart tv, IP-camera, slimme lamp, en de telefoon van je bezoeker zitten allemaal in dezelfde ruimte. Als één apparaat gecompromitteerd is, kan het alle andere apparaten zien en aanvallen.
Netwerksegmentatie lost dat op door apparaten in aparte zones te verdelen die niet met elkaar kunnen communiceren.
Wat je wint, en wat het kost
Je wint containment. Een slimme lamp, camera of bezoeker op je wifi krijgt dan niet automatisch zicht op je laptop, NAS of werkomgeving. Dat is een van de weinige thuismaatregelen die de schade van een gecompromitteerd apparaat echt kan beperken.
De prijs is complexiteit. Apparaten die voorheen vanzelf met elkaar praatten, doen dat niet meer zonder extra regels. Printers, Chromecast, AirPlay, Sonos en beheerinterfaces zijn vaak precies de dingen die daarna aandacht vragen.
Wanneer dit overkill is
Een volledig VLAN-ontwerp is niet de eerste stap voor elk huishouden. Als je router een degelijk gastnetwerk heeft en je risico vooral bestaat uit bezoekers en goedkope IoT, begin daar. Diepere segmentatie wordt pas echt de moeite waard zodra je veel apparaten, thuiswerk, NAS-opslag of gevoelige data op hetzelfde netwerk hebt.
Het probleem: één netwerk voor alles
Stel je voor dat je smart tv gecompromitteerd is — via een kwetsbare firmware-update of een kwaadaardige app. Op een plat netwerk kan die tv:
- Je NAS scannen en bestanden lezen
- Verkeer van je laptop onderscheppen
- Inlogpogingen doen op je router
- Je telefoon als aanvalsdoel gebruiken
Dat klinkt theoretisch, maar smart tv’s, IP-camera’s en andere IoT-apparaten draaien vaak op verouderde software zonder regelmatige updates. Het zijn de zwakste schakels in je netwerk.
De oplossingen: drie opties
Optie 1: gastnetwerk (eenvoudigst)
Een gastnetwerk is een apart WiFi-netwerk naast je hoofdnetwerk. Apparaten op het gastnetwerk:
- Hebben internettoegang
- Kunnen niet communiceren met apparaten op het hoofdnetwerk
- Kunnen elkaar ook niet bereiken (als client isolation aan staat)
Wanneer gebruiken: smart tv, streaming stick, IoT-apparaten, bezoekers.
Beperking: gastnetwerken zijn binair — je hebt één hoofdnetwerk en één gastnetwerk. Je kunt niet meerdere aparte zones maken met verschillende regels.
Instellen: vrijwel elke moderne router ondersteunt dit. Zoek in je routerinstellingen naar Gastnetwerk of Guest Network.
Optie 2: VLAN (flexibeler)
VLAN staat voor Virtual Local Area Network. Het is een manier om één fysiek netwerk op te splitsen in meerdere logisch gescheiden netwerken, elk met eigen regels.
Het verschil met een gastnetwerk:
- Een gastnetwerk is één vaste extra zone
- Met VLANs maak je zoveel zones als je wil, elk met eigen toegangsregels
Voorbeeld thuisopstelling:
| VLAN | Apparaten | Mag naar internet? | Mag naar andere VLANs? |
|---|---|---|---|
| VLAN 10 — Thuis | Laptop, telefoon | Ja | Nee |
| VLAN 20 — IoT | Smart tv, lampen, camera | Ja | Nee |
| VLAN 30 — Gasten | Telefoons bezoekers | Ja | Nee |
| VLAN 40 — NAS | Opslag, backup | Nee (optioneel) | Alleen VLAN 10 |
Elk VLAN heeft zijn eigen WiFi-naam (SSID) of kabelpoort. Apparaten in VLAN 20 zien nooit apparaten in VLAN 10 — ook al zitten ze op dezelfde router.
Wanneer gebruiken: als je meer controle wil dan een gastnetwerk biedt, of meerdere zones nodig hebt (werk, IoT, gasten, NAS).
Optie 3: fysiek apart netwerk (maximaal)
De tv of het IoT-apparaat krijgt een volledig aparte router of access point met eigen internetverbinding. Geen gedeelde hardware, geen gedeelde softwarelaag.
Wanneer gebruiken: voor apparaten die je absoluut niet vertrouwt, of voor hoog-risicogebruikers. Overkill voor de meeste thuissituaties.
Wat heb je nodig voor VLANs?
De meeste standaard ISP-routers ondersteunen thuis-VLANs maar beperkt of helemaal niet. Voor echte segmentatie heb je meestal een router nodig die het wel ondersteunt:
| Router | VLAN-ondersteuning | Moeilijkheid |
|---|---|---|
| GL.iNet (Beryl AX, Flint 2/3) | Ja Via OpenWrt | Middel |
| OPNsense / pfSense | Ja Volledig | Hoger |
| Ubiquiti UniFi | Ja Volledig | Middel–Hoger |
| Standaard ISP-router | Nee Geen of beperkt | — |
Voor de meeste thuisgebruikers is een GL.iNet router de praktische keuze: OpenWrt is ingebouwd, de interface is toegankelijk, en de hardware is betaalbaar.
VLANs instellen op GL.iNet
GL.iNet routers draaien OpenWrt, maar hebben ook een eigen beheerpaneel. Voor VLANs gebruik je de OpenWrt interface (LuCI).
Stap 1: open LuCI
Ga naar 192.168.8.1 → Advanced Settings → Open LuCI. Log in met je router-wachtwoord.
Stap 2: maak een nieuw VLAN en subnet aan
De exacte schermen verschillen per OpenWrt-versie en hardware. Op nieuwere systemen werk je vaak eerst onder Network → Devices of Bridge VLAN filtering, en koppel je daarna een aparte interface aan dat VLAN.
- Naam: bijv.
iot - VLAN-ID: bijv.
20 - IP-bereik: gebruik een apart subnet, bijv.
192.168.20.1/24voor VLAN 20
Stap 3: maak een aparte WiFi aan voor het VLAN
Ga naar Network → Wireless → Add.
- Geef het een aparte naam (SSID): bijv.
Thuis-IoT - Koppel het aan de nieuwe interface (bijv.
iot) - Zet client isolation aan zodat apparaten elkaar niet zien
Stap 4: stel firewallregels in
Ga naar Network → Firewall → Traffic Rules.
Voeg een regel toe die verkeer van het IoT-VLAN naar het hoofdnetwerk blokkeert:
- Source zone:
iot - Destination zone:
lan - Action: Reject
Het IoT-netwerk heeft dan wel internettoegang, maar kan niet bij je laptop of NAS.
Praktische toewijzing voor thuis
Hoofdnetwerk (vertrouwd): Laptop, desktop, telefoon, tablet, NAS
Gastnetwerk / VLAN: Smart tv, streaming sticks, slimme lampen, IP-camera, deurbel, spelcomputer, telefoons bezoekers
Nooit op hetzelfde netwerk als vertrouwde apparaten:
- Smart tv (ACR, trackers) — zie Smart TV privacy gids
- IP-camera’s (vaak slechte firmware)
- Slimme lampen en pluggen (veel cloudafhankelijke IoT-platformen sturen veel telemetrie naar de leverancier)
- Spelcomputers (groot aanvalsoppervlak, verbinden met externe servers)
Samenvatting
| Oplossing | Vereiste hardware | Moeilijkheid | Goed voor |
|---|---|---|---|
| Gastnetwerk | Elke moderne router | Laag | Smart tv, IoT, gasten |
| VLAN | Router met OpenWrt/VyOS/UniFi | Middel | Meerdere zones, meer controle |
| Fysiek apart netwerk | Extra router of switch | Laag–Middel | Maximale isolatie |
Begin met een gastnetwerk voor IoT-apparaten — dat lost het grootste probleem al op. VLANs zijn de volgende stap als je fijnere controle wil.
Volgende stap
Fijnmazigere zones
- OPNsense VLAN-segmentatie instellen — alleen als je verder bent dan gastnetwerk of GL.iNet-niveau
Aanvullende maatregelen
- GL.iNet reisrouter instellen — gastnetwerk en VPN op GL.iNet
- Smart TV privacy: ACR uitschakelen
- Privacy DNS gids — DNS-filtering combineren met segmentatie
- Tailscale mesh VPN gids — veilig thuisnetwerk bereiken vanaf buiten
Netwerkoverzicht
- Netwerk profiel gids — welk niveau past bij jou?