Netwerk opnieuw inrichten: VLAN nuttig?

Over circa 2 weekjes stap ik over van XS4ALL naar T-Mobile met internet (glas) en TV. Mede omdat ik dan een nieuwe IP-adres krijg en ik een aantal apparaten aan mijn netwerk heb hangen die ook extern te bereiken zijn, en in de afgelopen 6 jaar steeds allerlei apparaten toegevoegd zijn, wil ik mijn netwerk eigenlijk vanaf de grond af aan opnieuw opbouwen / inrichten op alles eens goed op orde en gestructureerd te krijgen. Ik zit daarbij ook te denk om gebruik te maken van VLANs, wat ik momenteel dus niet doe. Dat is iets nieuws voor mij, dus ik probeer mij zo goed mogelijk in te lezen door verschillende topics van mede tweakers en artikelen op internet te lezen, om mij zo alvast voor te bereiden.

Ik heb idee om 2 VLANs te maken. 1 VLAN voor de standaard / privé apparaten (zoals PCs, fileserver, telefoons, printers, TV, domotica etc), en 1 VLAN voor apparaten die ook vanaf buitenaf te bereiken zijn, zoals 2 IP camera's, Nextcloud server en PiAware SkyAware (vliegtuig tracker). Deze verdeling is volgens mij redelijk eenvoudig te realiseren.

Alleen nu is de vraag (en wellicht begrijp ik het VLAN nog niet helemaal), is er een mogelijkheid dat het apparaat in de ene VLAN kan communiceren met een apparaat in andere VLAN? Of haal je dan het concept van gescheiden netwerken / beveiliging onderuit?

Concreet: Ik heb een fileserver draaien (Windows PC 24/7) waarop een Hyper-V geïnstalleerd staat met Nextcloud erop. Tevens draait er BlueIris op die de beelden van mijn 2 IP-camera's verwerkt. Maar, alle computers in mijn netwerk halen hun data (documenten / films / muziek etc) van die fileserver af. En ik kan de opgeslagen beelden van mijn IP camara's bekijken, en bij de opslagmap van Nextcloud. Maar de IP camera's en Nextcloud zijn dus via het internet te bereiken. De reden dat ik die dus in een VLAN wil hebben, is dat bij een mogelijke hack de rest van het netwerk veilig is. Maar als de fileserver in VLAN A ook met de apparaten in VLAN B kan communiceren, dan lijkt me dat dus niet handig en is heeft het geen nut op met VLANs te gaan werken. Of zie ik dat verkeerd?
De fileserver moet dus eigenlijk met alle apparaten in beide VLANs kunnen praten, naar de VLANs niet met elkaar.

Is het mogelijk en zinvol om dit zo aan te gaan pakken, of kan ik mijn netwerk beter zonder VLANs laten omdat ik anders veel te ingewikkelde dingen op m'n hals ga halen? Als ik zoek op communicatie tussen VLANs kom ik o.a. uit op de term InterVLAN routing, maar vraag me af of dat het nu is.


Apparaten waar ik dit trouwens mee wil regelen:
Router: Asus AC88U (Merlin firmware)
Switch: Netgear Prosafe Gigabit Plus JGS524E (managed)
AP: Asus RP-AC87

@Ora et Labora Ja zowel de Asus als de Netgear ondersteunen VLANs.
Feitelijk zit de eerste VLAN al op de ASUS, nu bij XS4ALL en straks T-Mobile wordt het verkeer al verdeeld voor Internet en IPTV dmv VLANs. Maar ik denk dat ik de andere VLANs dan door de Netgear wil laten doen.

PFSense ben ik keer een op blauwe maandag een dag mee aan het klooien geweest, maar daarna mee gestopt. Heb eigenlijk geen behoefte om dat weer op te pakken, als het ook anders kan.

Maar wat bedoel je met:

Ora et Labora schreef op woensdag 22 april 2020 @ 15:32:
Als je het verkeer onderling niet gaat beveiligen heeft het geen enkel nut behalve dat je bijvoorbeeld verkeer kan priorizeren.

Wat of hoe zou je moeten beveiligen als ik de 2 VLANS wil realiseren zoals in de OP geformuleerd? Bedoel je dan door middel van firewall regels?

@BAJansen Ik denk dat het beter is om dat dan via de Netgear switch te doen, en niet via de Asus.

Als ik even snel visualiseer;




Maar dan nog de vraag, stel dat mijn IP camera of mijn Nextcloud dat in VLAN A hangt gehacked wordt, kunnen ze dan bij de fileserver komen die zowel VLAN A als VLAN B bedient, en daardoor ook de rest van VLAN B benaderen? En hoe is dat te voorkomen?

Bedankt allen voor jullie input, en bedankt @BAJansen voor de duidelijk uitleg.
Ik denk dat ik tot de conclusie ben gekomen dat dit iets te hoog gegrepen is voor mij, en het beter zonder VLANs kan laten.