Netwerkopzet voor thuis inclusief tv, smart home, gasten

Voor mijn twee-onder-een-kap ben ik zoekende naar een goede opzet die voldoet aan de volgende eisen/wensen:

• aansluiting op glasvezel (KPN) met TV en telefonie
• goede wifi, makkelijk uitbreidbaar indien slechte dekking
• gasten-wifi
• ondersteuning voor huis/tuin/keuken apparatuur: laptops, tablets, telefoons, mediaspelers, printer etc,
• smart-home gedeelte (Home Assistant) op Raspberry PI met AdGuard, wifi-schakelaars (Shelly), warmtepomp (Heishamon), zonnepanelen (SolarEdge Modbus)
• Synology NAS van buiten benaderbaar
• veilig en robuust
• smart-home gedeelte liefst alleen via vpn te benaderen vanuit buiten

Eigenlijk niet zo heel veel bijzonders zou je zeggen, gewoon een huis met bovengemiddelde netwerkwensen.

Op dit moment heb ik de Experiabox v10a op het hoogste niveau met gewoon- en gastenwifi (en een 8p switch Netgear GS108E) voor extra aansluitingen) met daarachter een oude router (Linksys WRT54G2) met wifi die op een subnet alle smart-home dingen heeft (inclusief Raspberry Pi).

Ik ben zoekende naar een betere oplossing omdat ik last heb van de voornamelijk de volgende knelpunten:

• Het smart-home gedeelte is weliswaar afgeschermd middels de router vanaf het hoofdnetwerk, maar de andere kant op geldt dat niet. Dus een gehackte Shelly zou gewoon mijn laptop, telefoon, NAS etc. kunnen benaderen.
• Ik heb nu drie wifi's verdeeld over twee apparaten. Zowel het hoofd-wifi als het smart-homewifi heeft zwakke gebieden. Er zouden dan een hoop extra apparaten bij moeten komen om dat beter te krijgen. Het wifi van de LinkSys is vooral niet al te best.
• Experiabox biedt geen vpn. Synology NAS wel, maar als ik daarop kom zit ik niet op het thuisnetwerk (ik kan dan alleen de NAS zelf benaderen).
• Liefst heb ik de controle over welke apparatuur van waaruit te bedienen is. Is toch wel handig als Home Assistant praktisch overal bij kan maar individuele componenten van smart-home systeem hoeven elkaar weer niet te zien.

De vraag is, wat is hier nu wijsheid? Heb ik hier nu 3 VLANs nodig (default, gast en smart-home) met ieder een eigen wifi SSID? Of kunnen VLANs ook op één wifi? Mijn switch ondersteunt wel VLANs, heb ik daar wat aan? Ik had gehoopt dat bijvoorbeeld een Fritz!box uitkomst zou bieden (4060 ziet er goed uit) omdat die meer mogelijkheden biedt dan Experiabox terwijl die goed ondersteund wordt door KPN (tv+telefoon via DECT), maar ik geloof dat VLANs niet tot de opties behoren. En kan deze 3 wifi-netwerken in de lucht houden (ze hebben het wel over 2.400 Mbit/s + 2.400 Mbit/s + 1.200 Mbit/s dus zijn dat er 3?)? En wat voor wifi-extenders kunnen tegelijkertijd 3 wifi's uitbreiden? Ik zag Ubiquity Dream Machine voorbij komen, maar deze biedt mindere ondersteuning voor KPN (TV en telefoon)? Of ontkom ik er niet aan een extra router met wifi voor smart-home en dan twee range extenders? Het mag best wat kosten (paar 100 EUR) voor goede functionaliteit maar we moeten ook weer niet overdrijven. Ook heb ik geen behoefte aan een heleboel energieslurpende componenten die 24/7 aan staan.

Alvast bedankt voor jullie feedback!

ijske schreef op donderdag 13 januari 2022 @ 21:06:
Je hebt dus 3 vlan's nodig in je netwerk
Vlan (Virtual LAN) is een techniek waarbij elk pakket gelabeld door je netwerk word gestuurd ..

Qua componenten heb je wel een router nodig die die vlan's kan voorzien van de nodige pakketten..
Switch heb je al een geschikte (de GS108E is managed en kan dus vlan's transporteren)
Accespoints zijn erg cheap te vinden , TP-link eap225 is een cheap maar best wel goeie vlan capable accespoint... je kan daar geloof ik 8 netwerken op instellen

Je gaat hier vooral een leercurve tegemoet, maar je gaat er zoveel uithalen... eenmaal je voorbij het "hoe zorg ik dat mijn vlan10 overal terecht komt dmv vlan taggen/untaggen" issue bent, kan je met de firewall gaan spelen.
Dan kan je regeltjes maken zoals "vlan30 mag wel op internet, maar mag niet praten met vlan10"

Dit soort (managed) access points is nieuw voor me. Heb je daar nog een soort master voor nodig van waaruit het beheer gedaan wordt? Kan één access points de genoemde drie wifi's in één klap verzorgen, en is er daarvoor geen router met wifi nodig?

ijske schreef op vrijdag 14 januari 2022 @ 17:14:
[...]


neen er is geen master nodig , de router gaat ervoor zorgen dat internet tot in de 3 vlan's loopt
jij moet wel kijken dat op de switches alle netwerken getransporteerd worden..

zo'n managed accespoint gaat inderdaad 3 netwerken uitzenden dan
bv
VLAN10 = Wifi thuis
VLAN20 = Wifi IOT
VLAN30 = Wifi Buurman

Wat heb je dan nodig als bron/Master ? een vlan-capabele router .. ik gebruik zelf een Cisco RV340 thuis, maar je kan vast een berg alternatieven vinden .. Ubiquiti, Mikrotik, TP-Link ...

vele tweakers vinden hier Ubiquiti dus inderdaad de sh1t , omdat alle componenten mooi integreren met elkaar, en je eindigd dan met een sexy interface op je smartphone..
Ik vond dat niet boeiend.. ik wou iets wat rackmountable, snel en rocksolid was.

Oké in principe kan zo'n access point dus meerdere wifi netwerken verzorgen en koppelen aan even zovele vlan's (gaat dat wel allemaal over één ethernet kabel?). Mijn switch ondersteunt wel vlans maar is geen dhcp server, dus heb ik daar nog een nieuwe router voor nodig. Alleen als ik wil blijven bellen (voip) moet ik wat beter zoeken. Kan ook de experiabox laten staan en dan een router toevoegen.

Interface vind ik niet zo belangrijk maar efficiency en eenvoud des te meer. Dus liefst niet de oplossing die ik nu zie: glasvezel modem > experiabox > router > switch > access point, dwz vijf apparaten.

Ben(V) schreef op zondag 16 januari 2022 @ 11:21:
[...]


Het werkt dus niet lokaal, maar wel degelijk met cloud services.
En proberen zo'n device te isoleren met vlan's schiet je waarschijnlijk je doel voorbij, want je wilt bijvoorbeeld video's van je Nas kunnen bekijken op die TV.
En overigens zijn TV's potentieel veel meer hackable dan een shelly, want die tv heeft een os en cpu capaciteit wat zo'n shelly niet heeft.

Beter is gewoon je lan als veilig te zien en zorgen dat die devices niet naar buiten kunnen.
Dat kun je over het algemeen prima in je ISP router regelen maar als je het luxe wilt maken koop je daar een hardware firewall voor.
In een Ziggo Connectbox kun je bijvoorbeeld mac filters definiëren die devices de toegang tot het internet ontzeggen, ik vermoed dat router van andere ISPO's dat ook wel kunnen.

Ik kan mijn televisie wel van het netwerk afhalen of toegang tot internet ontzeggen, maar dan kan ie bijvoorbeeld niet meer op YouTube, NPO extra, Pathé thuis. Of firmware updates ontvangen.

In principe zou het geen probleem hoeven zijn als apparaten zelf dingen opzoeken op het internet zolang ze andersom niet zijn te benaderen lijkt me. Maar ja stel iemand op het lokale netwerk bezoekt een verkeerde website (via laptop, telefoon), die zou dan wel toegang hebben tot zo'n tv/shelly/printer/luidspreker/... die natuurlijk niet de laatste beveiligingupdate heeft gehad. Eigenlijk zie ik mijn lan niet perse als veilig dus.