PrivacyGear .nl
Actueel Zoeken EN
PrivacyGear .nl
Netwerk

OPNsense VLAN-segmentatie instellen: netwerk opdelen in zones

Voor wie is dit? Voor IT-professionals en thuisgebruikers die al OPNsense draaien en hun netwerk willen opdelen in geïsoleerde zones. Heb je een GL.iNet router of wil je weten of netwerksegmentatie iets voor jou is? Begin met de [netwerksegmentatie basisgids](/guides/netwerksegmentatie-vlan-thuis/).

OPNsense VLAN-segmentatie instellen: netwerk opdelen in zones

OPNsense VLAN-segmentatie instellen

Voor wie is dit? Voor IT-professionals en thuisgebruikers die al OPNsense draaien en hun netwerk willen opdelen in geïsoleerde zones. Heb je een GL.iNet router of wil je weten of netwerksegmentatie iets voor jou is? Begin met de netwerksegmentatie basisgids.

Netwerksegmentatie via VLANs verdeelt je thuisnetwerk in logische zones die elkaar niet kunnen bereiken. Een gecompromitteerd IoT-apparaat heeft dan geen toegang tot je NAS of werkbestanden.

Dit artikel gaat specifiek over OPNsense. Heb je een GL.iNet router met OpenWrt? Zie de netwerksegmentatie met VLANs gids.

Wat je wint, en wat het kost

Je wint fijnmazige controle over verkeer tussen netwerkzones. Met OPNsense kun je niet alleen privé, werk en IoT scheiden, maar ook expliciet bepalen welke zone wel of niet bij printers, NAS, internet of beheerinterfaces mag komen.

De prijs is dat je een echt netwerkontwerp moet onderhouden. VLANs, firewallregels, switchpoorten en access points moeten allemaal op elkaar aansluiten. Een kleine fout betekent al snel dat apparaten offline lijken of elkaar onverwacht toch kunnen bereiken.

Wanneer dit overkill is

Als je nog geen OPNsense draait of vooral basisisolatie zoekt voor bezoekers en IoT, begin met een gastnetwerk of een eenvoudigere routersetup. Deze gids is pas logisch zodra je bewust kiest voor een beheerder-achtige netwerklaag en bereid bent die ook te blijven onderhouden.

Wat je nodig hebt

  • OPNsense draaiend op een Protectli Vault, mini-PC, of virtuele machine
  • Een managed switch die 802.1Q VLANs ondersteunt (TP-Link TL-SG108E, Netgear GS308E, of vergelijkbaar)
  • Een access point dat meerdere SSIDs kan uitzenden (de meeste moderne AP’s ondersteunen dit)

Ontwerp: drie zones

Voor de meeste thuisgebruikers en thuiswerkers volstaan drie zones:

ZoneVLAN IDSubnetGebruik
Privé10192.168.10.0/24Laptops, telefoons, NAS
Werk20192.168.20.0/24Werklaptop, werktelefoon
IoT30192.168.30.0/24Smart TV, printers, camera’s, speakers

Het untagged verkeer (VLAN 1) laat je voor het beheernetwerk van de switch.

Stap 1 — VLANs aanmaken in OPNsense

Ga naar Interfaces → Other Types → VLAN.

Klik + om een VLAN toe te voegen:

  • Parent interface: de fysieke interface die naar je switch gaat (bijv. igb1 of em1)
  • VLAN tag: 10
  • Description: Privé

Herhaal voor VLAN 20 (Werk) en VLAN 30 (IoT).

Stap 2 — Interfaces toewijzen

Ga naar Interfaces → Assignments.

Voeg de drie nieuwe VLAN-interfaces toe:

  • igb1.10 → wijs toe → noem het PRIVE
  • igb1.20 → wijs toe → noem het WERK
  • igb1.30 → wijs toe → noem het IOT

Ga daarna naar elke interface en configureer:

  • Enable: aangevinkt
  • IPv4 configuration type: Static IPv4
  • IPv4 address: het gateway-adres voor dat subnet

Voorbeeld voor Privé:

  • IPv4 address: 192.168.10.1 /24

Herhaal voor Werk (192.168.20.1 /24) en IoT (192.168.30.1 /24).

Sla op en pas toe.

Stap 3 — DHCP inschakelen per interface

Ga naar Services → DHCPv4.

Selecteer elke interface en configureer:

  • Enable: aangevinkt
  • Range: bijv. 192.168.10.100 t/m 192.168.10.200
  • DNS servers: laat leeg (OPNsense vult zijn eigen IP in)

Herhaal voor alle drie interfaces.

Stap 4 — Managed switch configureren

Op je managed switch stel je per poort in of deze een VLAN tagged of untagged doorstuurt.

Uplink-poort (naar OPNsense): tagged voor alle VLANs (10, 20, 30) + untagged voor management VLAN 1.

Toegangspoorten (voor apparaten): untagged voor het VLAN van die zone.

Voorbeeld voor TP-Link TL-SG108E (via webinterface):

  • Poort 1 (uplink naar OPNsense): tagged 10, 20, 30
  • Poort 2-4 (privé-apparaten): untagged 10
  • Poort 5-6 (werk): untagged 20
  • Poort 7-8 (IoT): untagged 30

Stel ook de PVID (Port VLAN ID) per poort in op het bijbehorende VLAN.

Stap 5 — Access point configureren (meerdere SSIDs)

Configureer je access point met drie SSIDs, elk getagd met het juiste VLAN:

SSIDVLANWifi-wachtwoord
Thuis_Prive10Sterk wachtwoord
Thuis_Werk20Sterk wachtwoord
Thuis_IoT30Apart wachtwoord

Op Unifi: stel per SSID het VLAN in bij Advanced → VLAN ID. Op TP-Link EAP: Wireless → SSIDs → VLAN ID.

Stap 6 — Firewallregels instellen

Dit is het cruciale deel. Zonder firewallregels kunnen VLANs nog steeds onderling communiceren.

Ga naar Firewall → Rules.

Basisregel per interface: blokkeer inter-VLAN verkeer

Op de WERK-interface, voeg toe:

  • Action: Block
  • Interface: WERK
  • Protocol: any
  • Source: WERK net
  • Destination: PRIVE net
  • Description: Blokkeer werk → privé

Op de IOT-interface, voeg toe:

Action: Block

Interface: IOT

Protocol: any

Source: IOT net

Destination: PRIVE net

Description: Blokkeer IoT → privé

Action: Block

Interface: IOT

Protocol: any

Source: IOT net

Destination: WERK net

Description: Blokkeer IoT → werk

Regel: sta internet toe

Op elke interface, voeg toe (boven de blokkeringregels):

  • Action: Pass
  • Interface: [naam]
  • Protocol: any
  • Source: [naam] net
  • Destination: any
  • Description: Sta internet toe

OPNsense verwerkt regels van boven naar beneden — de “sta internet toe” regel moet boven de blokkeringen staan voor internet, maar de blokkeringen voor andere VLANs moeten specifieker zijn (destination = specifiek subnet).

Alternatief: gebruik aliassen

Maak een alias RFC1918 aan (Firewall → Aliases) met de privésubnetten 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16. Blokkeer dan op IoT: source = IoT net, destination = RFC1918. Dit blokkeert al het inter-LAN verkeer in één regel.

Stap 7 — Testen

Test isolatie: Verbind een laptop met het IoT-wifi. Probeer ping 192.168.10.1 (privé gateway) — dit moet falen.

Probeer ping 8.8.8.8 — dit moet werken (internet).

Test DHCP: Verbind een apparaat met elk wifi-netwerk. Controleer of het een IP-adres krijgt in het juiste subnet.

Optioneel: DNS per zone

OPNsense kan per interface andere DNS-servers aanbieden. Zo kun je op de IoT-interface een DNS-filter zoals AdGuard Home of Pi-hole draaien, en op de privézone gewone DNS.

Ga naar Services → DHCPv4 → [interface] → voer het DNS-server IP in.

Scenario: WERK-VLAN voor SSH naar productie

Als je thuis SSH-toegang hebt tot productieomgevingen — servers, cloud-infra, VPN naar kantoor — dan is je thuisnetwerk een onderdeel van het aanvalsoppervlak van je werkgever. Een gecompromitteerd IoT-apparaat of een geïnfecteerde persoonlijke laptop op hetzelfde netwerk kan als springplank dienen naar je werkverkeer.

Het WERK-VLAN uit de bovenstaande configuratie lost dit op. Dit zijn de aanvullende stappen:

Stap 1 — Alleen de werklaptop op VLAN 20

Verbind je werklaptop met de SSID Thuis_Werk (VLAN 20) of sluit hem aan op de switch-poorten die zijn ingesteld als untagged VLAN 20. Alle andere apparaten — persoonlijke laptop, telefoon, IoT — zitten op andere VLANs.

Stap 2 — Firewall: blokkeer PRIVE en IoT → WERK

Op de PRIVE-interface, voeg toe:

  • Action: Block
  • Interface: PRIVE
  • Protocol: any
  • Source: PRIVE net
  • Destination: WERK net
  • Description: Blokkeer privé → werk

Dit voorkomt dat een gecompromitteerd persoonlijk apparaat zijdelings je werkverkeer kan bereiken.

Stap 3 — Outbound NAT voor SSH-tunnels

SSH-verbindingen naar productie gaan via het WERK-subnet. OPNsense NAT zorgt dat uitgaand verkeer van 192.168.20.0/24 het juiste externe IP gebruikt. Controleer: Firewall → NAT → Outbound — bij automatische outbound NAT worden alle VLANs al meegenomen.

Stap 4 — DNS-filtering op WERK uitschakelen

Als je AdGuard Home of Pi-hole draait op het PRIVE-netwerk als DNS, overweeg het WERK-VLAN een directe DNS-server te geven (bijv. 9.9.9.9) zodat werkgerelateerde DNS-queries niet door een persoonlijke filter lopen.

Stap 5 — Tailscale of WireGuard op werklaptop

Als je via VPN verbinding maakt met kantoor, draait dat over het WERK-VLAN. Persoonlijke apparaten op PRIVE of IoT kunnen die VPN-tunnel niet bereiken en kunnen zich niet als jouw werkapparaat voordoen.

Resultaat: je persoonlijke apparaten en IoT hebben geen pad naar je werkverkeer — ook niet als één ervan gecompromitteerd raakt.

Volgende stap

Veilig thuisnetwerk bereiken vanaf buiten

Alternatieven

Per situatie

← Terug naar gidsen