Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

VLAN's in het algemeen

Pagina: 1
Acties:

Vraag

donderdag 6 november 2025 12:06

Acties:
  • Tostie1987
  • Registratie: November 2010
  • Laatst online: 22-11 15:40

Tostie1987

Topicstarter
Hallo allemaal,

Een topic voor mijzelf wat ik al veel te lang heb uitgesteld zijn VLAN's. Ik heb tegenwoordig zoveel apparaten in huis, dat ik hier echt mee moet gaan werken. Ik maak gebruik van de TP-Link Deco Be85. Daarnaast heb een acht poorts 10 GbE switch van QNAP welke ook VLAN's in kan stellen.

Nu is mijn vraag niet zozeer (nog niet in ieder geval) hoe ik dat doe. Het zit er meer in welke apparaten ik op welke VLAN zet. Hoe categoriseer ik deze en waarom plaats ik deze in een bepaalde VLAN. De apparaten die ik allemaal in huis heb, zijn de volgende:

- Tv 1 (hoeft enkel naar het internet voor sporadische updates)
- Tv 2 (hoeft enkel naar het internet voor sporadische updates)
- Nvidia Shield tv 1 (moet naar de NAS kunnen)
- Nvidia Shield tv 2 (moet naar de NAS kunnen)
- Tapo H500 hub, om camera's te koppelen (moet ik via mijn telefoon kunnen benaderen)
- Robot stofzuiger (moet ik via mijn telefoon kunnen benaderen, moet via de Tapo H500 hub benaderd kunnen worden)
- Camera 1 (moet ik via mijn telefoon kunnen benaderen, moet via de Tapo H500 hub benaderd kunnen worden)
- Camera 2 (moet ik via mijn telefoon kunnen benaderen, moet via de Tapo H500 hub benaderd kunnen worden)
- Deurbel (moet ik via mijn telefoon kunnen benaderen, moet via de Tapo H500 hub benaderd kunnen worden)
- Deurbel chime (moet contact kunnen maken met de Tapo H500 hub)
- Computer 1 (moet internet hebben en thuis overal in kunnen)
- Computer 2 (moet internet hebben en thuis overal in kunnen)
- Verschillende tablets en telefoons moeten updates kunnen ontvangen en moeten contact kunnen hebben met de NAS)
- Philips Hue hub (moet updates kunnen ontvangen en moet de 'slimme lampen' aansturen. Hoeft absoluut geen contact te hebben met de NAS).
- Verschillende 'slimme' Philips Hue lampen (moeten enkel met de Hub verbonden worden)
- Airco's (moet ik kunnen benaderen via mijn telefoon, ik gebruik de app Smart air)
- Thuisbatterij (moet ik kunnen benaderen via de app)
- Energy display (moet de batterij kunnen benaderen en moet benaderbaar zijn via de app)
- P1 meter (moet updates ontvangen, benaderbaar zijn via telefoon en waardes doorgeven aan de app)
- Envoy omvormer (moet de zonnepanelen aansturen en zijn waardes afgeven aan de app)
- Verschillende switches (geven bedraad internet door aan apparaten)
- Versterker (moet updates kunnen ontvangen en moet benaderbaar zijn via de app op mijn telefoon)
- Nintendo Switch (moet updates kunnen ontvangen, geen contact nodig met thuisnetwerk)
- Printer (moet internet hebben en benaderbaar zijn via computers en telefoon)

Dit zijn min of meer de apparaten die ik heb. Hoe kan ik deze het beste categoriseren onder een of meerdere VLAN's?

Verder is dit wellicht belangrijk. Al mijn internet komt eerst binnen via een glasvezelkastje en gaat direct via VLAN 300 naar mijn Deco BE85 router. Deze deelt de adressen uit. Via de tweede poort gaat er een CAT6A kabel naar mijn QNAP 10 GbE switch. Daarop wil ik dan dus VLAN's laten draaien. Dit is een acht poort switch. In deze switch gaat dan onder andere de tweede Deco BE85, mijn computer, de tweede computer, de QNAP NAS en een tweede NAS (welke eigenlijk altijd uit staat, maar enkel voor backups is).

Afbeeldingslocatie: https://tweakers.net/i/qeQ4HOpDiL3ipo2rR30IqDMeXDc=/800x/filters:strip_icc():strip_exif()/f/image/biQjWb7RUqTa5UqrsdqDKqBz.jpg?f=fotoalbum_large

Dit is ongeveer hoe het nu is ingedeeld. De blauwe kastjes zijn de routers, de zwarte vierkante de switches. De switch beneden is unmanaged, de switch boven is managed en daar wil ik dus VLAN's op. De router in de kleinere slaapkamer boven fungeert als extra WiFi punt en geeft internet door aan de tv in de slaapkamer en de Nvidia Shield die daar staat.

Nou... ik hoop dat het duidelijk is. Wat zouden jullie op basis van bovenstaande informatie aanraden?

Groeten,

Jos

Beste antwoord (via Tostie1987 op 11-11-2025 14:31)

vrijdag 7 november 2025 10:53

  • MasterL
  • Registratie: Oktober 2003
  • Laatst online: 16:26

MasterL

Moderator Internet & Netwerken
Oef wat een reacties in dit topic..
Conceptueel kun je VLANS zien als twee aparte switches zonder een link met elkaar.
Om het even simpel te houden heb je 4 computers:
- 2x aangesloten op switch1 met subnet 192.168.1.0/24
- 2x aangesloten op switch2 met subnet 192.168.2.0/24

De twee computers in subnet 192.168.1.0/24 kunnen direct met elkaar communiceren zonder tussenkomst van een router, dit noemen we een broadcast domain.
Voor de twee computers in subnet 192.168.2.0/24 hetzelfde verhaal.
Hoe firewall je nu verkeer tussen beide computers in 192.168.1.0/24? Niet! De enige manier is om lokaal op
beide computers een (software) firewall oplossing te gebruiken. In 1 LAN/broadcast domain kun je geen centrale firewall gebruiken (jaja ACL's op een switch voor de mieren******).

Wat is dan het verschil tussen bovenstaande en VLANS? Niks...Het is 1 fysieke switch/1 kabel noem het maar op maar de logica is exact hetzelfde. Kabels/switches/fysieke apparaten zitten op layer 1 (L1) en VLANS op L2. Maar waarom dan LAN scheiden? Omdat je het verkeer door een firewall wil "dwingen".
In bovenstaand voorbeeld kunnen beide subnets niet met elkaar praten maar met een router wel. Je kunt een router gebruiken om het verkeer van 192.168.1.0/24 <> 192.168.2.0/24 te routeren en nu gaan we naar layer 3 (L3). De rol van de default gateway/route is om al het verkeer wat niet in jouw lokale subnet zit te sturen naar de default gateway (static routes uitgesloten). Dus stel je voor je hebt een computer met IP adres 192.168.1.10 en deze wil een verbinding maken met een computer 192.168.2.10 valt dit buiten zijn "eigen" subnet en wordt het pakket verstuurd naar de "default gateway" dus een router.
In die router zit vaak een firewall en hierin kun je regels opnemen, ik wil dat 192.168.1.10 kan verbinden met 192.168.2.10 maar alleen ICMP (ping) bijvoorbeeld en 192.168.2.10 mag nooit een connectie initiëren naar 192.168.1.10. Dit geeft dus controle..

VLANS geven op zich is geen security maar het geeft je de mogelijkheid om security toe te passen die je niet hebt als je alles in 1 LAN/subnet gooit. Je kunt 4094 VLANS aanmaken dat is het probleem niet maar vergis je niet dat dit een hoop administratie en firewall rules met zich meebrengt.
Alles in 1 LAN is makkelijk.. Elk apparaat is een apart VLAN is op z'n zachts gezegd irritant.
Vergeet niet dat heel veel apps (Chromecast, Spotfiy Connect, sommige printers etc) ervanuit gaan dat je in hetzeflde netwerk zit, dit werkt niet native als je dit verkeer in een ander (V)LAN plaats met een router ertussen.

Welk apparaat in welk netwerk/VLAN/Subnet is wat mij betreft het meest lastige stukje van de puzzel.
Hoe ik dit normaal indeel is om te beginnen met categoriseren:

1: Iedereen heeft altijd een IOT zooitje wat eigenlijk niks doet, een app heeft en verbinding nodig heeft met internet. Deze gooi ik altijd in 1 netwerk mocht het incidenteel nodig zijn om poorten open te zetten vanaf een client regel ik dat wel in de firewall.
2: PC's NAS e.d. deze gooi ik het liefste in 1 netwerk, waarom? Dit is een performance ding je wil snel files kunnen lezen en schrijven en routers/firewalls zorgen snel voor een bottleneck. 10Gbps switchen is niks, 10Gbps routen en firewallen is andere koek.
3: Telefoons, TV's etc. Bij voorkeur in 1 netwerk om gezeur te voorkomen met Chromecast en Spotify dingen. Het is te doen in andere VLANS maar je gaat dan MDNS proxy's e.d. en het maakt het onnodig complex imo.

Bovenstaande verschilt natuurlijk wel per situatie het gaat meer om wat je wil afschermen van de rest imo.

Alle reacties

donderdag 6 november 2025 13:03

Acties:
  • Ben(V)
  • Registratie: December 2013
  • Laatst online: 14:44

Ben(V)

Tostie1987 schreef op donderdag 6 november 2025 @ 12:06:
Een topic voor mijzelf wat ik al veel te lang heb uitgesteld zijn VLAN's. Ik heb tegenwoordig zoveel apparaten in huis, dat ik hier echt mee moet gaan werken.
Volgens mij moet je eerst bedenken wat het doel is dat je met vlan's wilt bereiken.
Vlan's opzetten omdat je veel apparaten hebt lijkt me nauwelijks een zinvolle reden.
En vlan's voor beveiliging is ook niet zinvol, daar gebruik je een firewall voor.

Dus vlan's omdat het kan blijft dan over O-)

PS
Dit lijkt me ook het verkeerde topic hiervoor, het topic "Netwerken" past hier beter bij.

[ Voor 7% gewijzigd door Ben(V) op 06-11-2025 13:05 ]

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

donderdag 6 november 2025 13:12

Acties:
  • Tostie1987
  • Registratie: November 2010
  • Laatst online: 22-11 15:40

Tostie1987

Topicstarter
Ben(V) schreef op donderdag 6 november 2025 @ 13:03:
[...]


Volgens mij moet je eerst bedenken wat het doel is dat je met vlan's wilt bereiken.
Vlan's opzetten omdat je veel apparaten hebt lijkt me nauwelijks een zinvolle reden.
En vlan's voor beveiliging is ook niet zinvol, daar gebruik je een firewall voor.

Dus vlan's omdat het kan blijft dan over O-)

PS
Dit lijkt me ook het verkeerde topic hiervoor, het topic "Netwerken" past hier beter bij.
Jazeker, ik dacht ook dat ik hem in dat topic had gelpaatst. Als een moderator dit ziet, dan mag deze inderdaad naar Netwerken worden verplaatst.

Het gaat mij om een stukje beveiliging en het beheren van het (aantal) verkeer. Je hoort steeds vaker dat IOT apparaten niet binnen het eigen privé netwerk zouden moeten zitten. Uit het oogpunt van veiligheid, lijkt het mij goed om deze apparaten te isoleren van de rest. Hierbij wil ik mijn NAS ook beter afschermen van het internet. De QNAP NAS blokkeert dagelijks wel 100.000 ping verzoeken.. Lijkt mij niet helemaal gezond. De meeste zijn intern, sommige IP-adressen komen (volgens IP-lookup) uit China.
Daarnaast is het mij ook opgevallen dat het netwerk soms traag is. Dit schijnt te kunnen liggen aan verkeer dat (even zwart wit gezien) overal een aanvraag doet. Terwijl met een VLAN tag je directer pakketten kunt doorsturen. Bij het monitoren van verkeer viel het mij ook op dat sommige apparaten aankloppen bij bijvoorbeeld mijn NAS, terwijl deze er helemaal niets mee te maken hebben.

donderdag 6 november 2025 13:26

Acties:
  • Ben(V)
  • Registratie: December 2013
  • Laatst online: 14:44

Ben(V)

vlan's zijn niet voor beveilig, dat is enkel een functionele scheiding.
Voor beveiliging gebruikt je een firewall waarin je regels opneemt welk device waar naartoe mag.
En vlan's zullen echt niets voor een overbelast netwerk doen, daarvoor moet je de oorzaak zoeken.

En die 100.000 ping "verzoeken" (ping is een probe en geen verzoek) kan alleen als je die Qnap open op het internet (via een port forward neem ik aan) hebt hangen, daar zit vermoedelijke je probleem dan.

Problemen los je enkel op door eerst de oorzaak te vinden en dan de oplossing te zoeken.
Zomaar met "verwachtte" oplossing gaan beginnen werkt bijna nooit.

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

donderdag 6 november 2025 13:32

Acties:
  • M2M
  • Registratie: Juli 2006
  • Laatst online: 12:09

M2M

medicijnman

Maar goedkope chinese IOT dingen in een apart netwerkje zetten is wel een goed idee en bovendien nog leuk ook om in te stellen. beetje spelen met je router en switch :)

Maargoed, @Ben(V) 's verhaal klopt wel redelijk, ware het niet dat sommige apparatuur niet echt een firewall heeft. Een random brak IOT ding die overgenomen wordt, kan zo je netwerk rond gaan. Zelfs met de beste firewall in je router kun je niet voorkomen dat het buiten de router om een connectie probeert te maken met andere brakke IOT dingen in je netwerk.

Je hele netwerk opdelen in kleine stukjes is dan ook weer wat overdreven.

-_-

donderdag 6 november 2025 13:36

Acties:
  • Tostie1987
  • Registratie: November 2010
  • Laatst online: 22-11 15:40

Tostie1987

Topicstarter
Wat zou je aanraden?

Ik zat zelf te denken aan een VLAN voor IOT apparaten. Moet ik ook een VLAN voor de bridges zoals de Tapo H500 hub, de Philips Hue bridge, de omvormer(s), de P1 meter? Of allemaal binnen hetzelfde VLAN laten draaien?

Plaats ik ook alle apparaten zoals mijn computer op een VLAN of doe ik daar verder niets mee?

donderdag 6 november 2025 13:57

Acties:
  • Pazo
  • Registratie: Mei 2006
  • Laatst online: 15:44

Pazo

Mroaw?

Ooit in een verleden ook eens met VLAN's aan het spelen geweest, en ingericht in 3 delen:

VLAN 1 alleen de router, switches en accesspoints (management VLAN)
VLAN 2 alle (zover mogelijk) betrouwbare apparatuur. PC's, telefoons, tablets etc.
VLAN 3 alle IoT apparatuur zoals camera's en ander randapparatuur.

Dat is dus best leuk om het gescheiden te hebben, maar ergens moest mijn server op VLAN 2 ook kunnen praten met de camera's op VLAN 3. Dus VLAN 2 moest met VLAN3 kunnen praten waardoor het eigenlijk gewoon open naar elkaar is ... :+

Firewall instellingen zou daarom wellicht beter zijn. Moet ik mij nog steeds een keer in verdiepen.

Grote Enphase topicIQ Gateway uitlezenPVOutput
PV 10,7kWp O/W • WP Panasonic KIT-WC07K3E5 7kW • Airco ME MSZ HR50VF 5kW • Gasloos per 11-2023

donderdag 6 november 2025 14:32

Acties:
  • FenixOrange
  • Registratie: Mei 2018
  • Laatst online: 15:06

FenixOrange

Een vlan is een segmentering van ethernet verkeer. Die vlans hebben dan ook een eigen ip subnet. (bijv vlan1 192.168.1.0/24, vlan2 192.168.2.0/24 etc). Als devices die in aparte vlans zitten, ondeling willen communiceren, dan moeten die vlans ergens bij elkaar komen ==> Router/Firewall
Een router routeert het verkeer tussen vlans, een firewall kan ook regels hebben welk verkeer is toegestaan of niet.
Niet alle managed switches die vlans ondersteunen hebben ook een ingebouwde router/firewall. Vaak zal je hiervoor een extra device nodig hebben die verbonden is aan alle vlans en daardoor dus kan routeren en filteren. Als je vlans over meerdere switches wil hebben zal je ook vlan trunking moeten aanzetten op de poorten die de switches onderling verbinden. Een managed switch kan de vlans dus niet delen met een unmanaged switch. Ook als er Wifi in het spel is zullen de Accesspoints vlans moeten ondersteunen (en indien bekabeld aangesloten dus ook een vlan trunk moeten gebruiken). Al met al is het implementeren van vlans niet direct heel simpel en zal goed doordacht moet worden.

donderdag 6 november 2025 14:38

Acties:
  • Ben(V)
  • Registratie: December 2013
  • Laatst online: 14:44

Ben(V)

Nogmaals een vlan zal je niet beschermen, vlan hopping is heel simpel.
Vlan's zijn functionele scheidingen en geen beveiliging.
En tegen netwerk (over)belasting helpen ze uiteraard helemaal niet, alles gaat nog steeds over dezelfde fysieke layer.
Voor beveiliging en afscherming heb je een goede firewall in je netwerk nodig met de juiste rules.

@M2M Iot device hebben uiteraard zelf geen firewall.
Je moet een firewall in je netwerk opnemen die dingen kan afschermen doordat bepaalde ipadressen maar naar bepaalde andere adressen mogen connecten en nergens anders heen.

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

donderdag 6 november 2025 14:53

Acties:
  • Tostie1987
  • Registratie: November 2010
  • Laatst online: 22-11 15:40

Tostie1987

Topicstarter
Ben(V) schreef op donderdag 6 november 2025 @ 14:38:
Nogmaals een vlan zal je niet beschermen, vlan hopping is heel simpel.
Vlan's zijn functionele scheidingen en geen beveiliging.
En tegen netwerk (over)belasting helpen ze uiteraard helemaal niet, alles gaat nog steeds over dezelfde fysieke layer.
Voor beveiliging en afscherming heb je een goede firewall in je netwerk nodig met de juiste rules.

@M2M Iot device hebben uiteraard zelf geen firewall.
Je moet een firewall in je netwerk opnemen die dingen kan afschermen doordat bepaalde ipadressen maar naar bepaalde andere adressen mogen connecten en nergens anders heen.
Misschien past dat dan met bij mij. Hoe zie ik wel IP adres bijvoorbeeld een hub wel heen mag een welke niet? En hoe pas ik dit aan in mijn router?
Overigens ga ik gebruikmaken van de QNAP qsw-l3208-2c6t.

donderdag 6 november 2025 14:54

Acties:
  • Dennism
  • Registratie: September 1999
  • Laatst online: 14:35

Dennism

M2M schreef op donderdag 6 november 2025 @ 13:32:
Zelfs met de beste firewall in je router kun je niet voorkomen dat het buiten de router om een connectie probeert te maken met andere brakke IOT dingen in je netwerk.

Je hele netwerk opdelen in kleine stukjes is dan ook weer wat overdreven.
Kan je daar niet gewoon device / client isolation voor gebruiken? Dat is wat ik regelmatig gebruik voor public / gast wifi implementaties bijvoorbeeld.

donderdag 6 november 2025 14:58

Acties:
  • Dennism
  • Registratie: September 1999
  • Laatst online: 14:35

Dennism

Tostie1987 schreef op donderdag 6 november 2025 @ 14:53:
[...]


Misschien past dat dan met bij mij. Hoe zie ik wel IP adres bijvoorbeeld een hub wel heen mag een welke niet? En hoe pas ik dit aan in mijn router?
Overigens ga ik gebruikmaken van de QNAP qsw-l3208-2c6t.
Dat bekijk je in de rule matrix van je firewall, wat je daar linkt is volgens mij een switch. Geen router / firewall.
Let wel dat lang niet alle routers geavanceerde firewall opties hebben.

donderdag 6 november 2025 18:23

Acties:
  • br00ky
  • Registratie: Januari 2014
  • Nu online

br00ky

Moderator Harde Waren
Schopje naar NT.

donderdag 6 november 2025 18:33

Acties:
  • FRIKANDEL14
  • Registratie: December 2013
  • Laatst online: 19-11 10:49

FRIKANDEL14

Als je die VLAN’s echt op firewall niveau wil afdwingen (en dus ook echt iets aan de segmentatie wil hebben), zou ik eens kijken naar een echte firewall, bijv. pfSense, OPNsense of een UniFi Gateway.
Daarmee kun je netjes bepalen welk VLAN met welk mag praten, en wat alleen naar internet mag.

Omdat je zei dat sommige apparaten door VLANs heen moeten kunnen communiceren, zou ik je aanraden om iets te nemen wat mDNS (Multicast DNS) ondersteunt. Daardoor kunnen je apparaten elkaar nog vinden en koppelen, zonder dat je alles handmatig hoeft in te stellen. Scheelt weer een hoop handmatig gepruts.

donderdag 6 november 2025 18:46

Acties:
  • laurens0619
  • Registratie: Mei 2002
  • Laatst online: 15:06

laurens0619

Gehackte iot apparatuur zal niet zo snel het lokale netwerk op gaan om andere devices te hacken. Sowieso zouden je apparaten op je lan niet zomaar gehackt moeten kunnen worden als er puur netwerk connectiviteit is.

Wat wel vaak voorkomt is dat de gehackte iot apparaten als bot worden ingezet om aanvalle richting het internet te doen.

Beste maatregel is geen troep te kopen en die op je lan te zetten.
Daarna is het goede practice om internet van je iot apparaten te blokkeren of te filteren naar alleen backend. Met dat laatste hou je alleen het probleem houden dat de apparatuur naar huis belt. Beste dus geen internet

Apparaten in apart vlan maar wel internet open (deze zie je het vaakst) is thuis redelijk zinloos.

Maar…. Wel leerzaam en “omdat het kan”.

Als jij dit wil moet je alleen je accesspoints vervangen omdat die geen vlans kunnen

CISSP! Drop your encryption keys!

donderdag 6 november 2025 19:57

Acties:
  • FredvZ
  • Registratie: Februari 2002
  • Laatst online: 11:40

FredvZ

Tostie1987 schreef op donderdag 6 november 2025 @ 13:12:
Hierbij wil ik mijn NAS ook beter afschermen van het internet. De QNAP NAS blokkeert dagelijks wel 100.000 ping verzoeken.. Lijkt mij niet helemaal gezond. De meeste zijn intern, sommige IP-adressen komen (volgens IP-lookup) uit China.
Die ping verzoeken komen daar niet zomaar.
Heb je het IP-adres van de NAS ingesteld als DMZ?

Spel en typfouten voorbehouden

donderdag 6 november 2025 20:45

Acties:
  • Tostie1987
  • Registratie: November 2010
  • Laatst online: 22-11 15:40

Tostie1987

Topicstarter
Afbeeldingslocatie: https://tweakers.net/i/FZ6bcArxgndnQ4DRBNnFLp7YEbM=/800x/filters:strip_exif()/f/image/5wk5D6LXJeehfIAzQNFnucKd.png?f=fotoalbum_large

donderdag 6 november 2025 20:53

Acties:
  • Tostie1987
  • Registratie: November 2010
  • Laatst online: 22-11 15:40

Tostie1987

Topicstarter
FredvZ schreef op donderdag 6 november 2025 @ 19:57:
[...]

Die ping verzoeken komen daar niet zomaar.
Heb je het IP-adres van de NAS ingesteld als DMZ?
Nee.

donderdag 6 november 2025 23:35

Acties:
  • Ben(V)
  • Registratie: December 2013
  • Laatst online: 14:44

Ben(V)

Dan heb je een portforwarding naar die Nas ingesteld anders kunnen daar nooit pings vanaf het internet aankomen.

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

vrijdag 7 november 2025 07:36

Acties:
  • skelleniels
  • Registratie: Juni 2005
  • Laatst online: 25-11 23:03

skelleniels

Ben(V) schreef op donderdag 6 november 2025 @ 14:38:
Nogmaals een vlan zal je niet beschermen, vlan hopping is heel simpel.
Vlan's zijn functionele scheidingen en geen beveiliging.
En tegen netwerk (over)belasting helpen ze uiteraard helemaal niet, alles gaat nog steeds over dezelfde fysieke layer.
Voor beveiliging en afscherming heb je een goede firewall in je netwerk nodig met de juiste rules.

@M2M Iot device hebben uiteraard zelf geen firewall.
Je moet een firewall in je netwerk opnemen die dingen kan afschermen doordat bepaalde ipadressen maar naar bepaalde andere adressen mogen connecten en nergens anders heen.
VLAN hopping is inderdaad heel simpel als je het niet juist instelt en alle VLAN's over alle poorten toelaat. Door een VLAN tag enkel toe te laten op poorten waar devices opzitten die op dat VLAN moeten kunnen ga je dat tegen.

Verder zeg je dat een firewall dient voor beveiliging met de juiste rules: die rules dienen net om verkeer tussen de VLANs mooi te blokkeren, maar dan heb je VLANs nodig uiteraard, die rules dienen niet enkel om verkeer van buitenaf te filteren...

Verder lees ik hier dat VLAN's niets met beveiliging te maken hebben, maar het is (zeker in bedrijfswereld) net een heel belangrijk onderdeel van beveiliging.

Maar het is zeker wel belangrijk om hier inderdaad eens over na te denken. Ik lees hier bvb dat het geen zin heeft omdat apparaten toch met elkaar moeten kunnen praten. Kijk als je inderdaad verkeer tussen VLAN5 en VLAN10 volledig openzet ben je verkeerd bezig. Maar als je dan met expliciete rules op je firewall gaat werken, gaat dat juist heel goed.

Het gaat er dan niet alleen om om bvb je guestwifi volledig toegang te geven tot het VLAN waar je printer in zit. Nee, je geeft enkel toegang tot IP printer en dan nog ook maar enkel de printpoort(meestal TCP9100), zo geef je guestwifi geen toegang tot managementinterface van die printer. Want via managementinterface met verouderde firmware/slecht wachtwoord kan bvb een login worden achterhaald voor scan to folder naar je NAS.

Zet al dat IoT spul inderdaad in een apart VLAN en stel een rule in dat je enkel vanaf jouw VLAN waar je telefoon in zit aan dat IoT VLAN kan en niet omgekeerd! Genoeg exploits in dat spul waar men vanaf internet dan op die camera's ed kan geraken, van daaruit verder manouvreren binnen het netwerk, maar dan blijft men tenminste binnen dat netwerk.

Verder je NAS die van buitenaf toegankelijk is ook apart zetten en enkel verkeer vanaf je pc's / telefoon naar die NAS toestaan. Omgekeerd heeft die NAS niets te zoeken naar je pc's. Geraakt er iets binnen op de NAS? Jammer voor wat daar op staat, maar verder in het netwerk geraken ze dan niet. Zet er een fatsoenlijke firewall voor die aan geolocations doet en beperk toegang vanuit Nederland(of België). Doe dat meteen ook voor andere portforwards.

Iedere security audit die ik zie passeren bij klanten heeft dezelfde basis: segmenteren, segmenteren en nogmaals segmenteren met juiste rules ertussen zodat je aan damage control kan doen bij een breach. Dit hoeft thuis niet zo streng uiteraard.

Lang verhaal kort: ik vind het net een heel goed idee van TS om te doen, maar het kan wel complex zijn om op te zetten als je het nog nooit hebt gedaan. Ik zou als volgt indelen:

VLAN pc's/interne wifi en printer(in bedrijven steken we die ook apart ivm bovenstaand voorbeeld)
VLAN IoT
VLAN NAS(doordat die van buitenaf toegankelijk is)
VLAN Guestwifi als je dat nodig hebt.

En dan tussen VLAN's enkel benodigde poorten en richtingen toestaan.

http://specs.tweak.to/16567

vrijdag 7 november 2025 10:53

Acties:
  • Beste antwoord
  • MasterL
  • Registratie: Oktober 2003
  • Laatst online: 16:26

MasterL

Moderator Internet & Netwerken
Oef wat een reacties in dit topic..
Conceptueel kun je VLANS zien als twee aparte switches zonder een link met elkaar.
Om het even simpel te houden heb je 4 computers:
- 2x aangesloten op switch1 met subnet 192.168.1.0/24
- 2x aangesloten op switch2 met subnet 192.168.2.0/24

De twee computers in subnet 192.168.1.0/24 kunnen direct met elkaar communiceren zonder tussenkomst van een router, dit noemen we een broadcast domain.
Voor de twee computers in subnet 192.168.2.0/24 hetzelfde verhaal.
Hoe firewall je nu verkeer tussen beide computers in 192.168.1.0/24? Niet! De enige manier is om lokaal op
beide computers een (software) firewall oplossing te gebruiken. In 1 LAN/broadcast domain kun je geen centrale firewall gebruiken (jaja ACL's op een switch voor de mieren******).

Wat is dan het verschil tussen bovenstaande en VLANS? Niks...Het is 1 fysieke switch/1 kabel noem het maar op maar de logica is exact hetzelfde. Kabels/switches/fysieke apparaten zitten op layer 1 (L1) en VLANS op L2. Maar waarom dan LAN scheiden? Omdat je het verkeer door een firewall wil "dwingen".
In bovenstaand voorbeeld kunnen beide subnets niet met elkaar praten maar met een router wel. Je kunt een router gebruiken om het verkeer van 192.168.1.0/24 <> 192.168.2.0/24 te routeren en nu gaan we naar layer 3 (L3). De rol van de default gateway/route is om al het verkeer wat niet in jouw lokale subnet zit te sturen naar de default gateway (static routes uitgesloten). Dus stel je voor je hebt een computer met IP adres 192.168.1.10 en deze wil een verbinding maken met een computer 192.168.2.10 valt dit buiten zijn "eigen" subnet en wordt het pakket verstuurd naar de "default gateway" dus een router.
In die router zit vaak een firewall en hierin kun je regels opnemen, ik wil dat 192.168.1.10 kan verbinden met 192.168.2.10 maar alleen ICMP (ping) bijvoorbeeld en 192.168.2.10 mag nooit een connectie initiëren naar 192.168.1.10. Dit geeft dus controle..

VLANS geven op zich is geen security maar het geeft je de mogelijkheid om security toe te passen die je niet hebt als je alles in 1 LAN/subnet gooit. Je kunt 4094 VLANS aanmaken dat is het probleem niet maar vergis je niet dat dit een hoop administratie en firewall rules met zich meebrengt.
Alles in 1 LAN is makkelijk.. Elk apparaat is een apart VLAN is op z'n zachts gezegd irritant.
Vergeet niet dat heel veel apps (Chromecast, Spotfiy Connect, sommige printers etc) ervanuit gaan dat je in hetzeflde netwerk zit, dit werkt niet native als je dit verkeer in een ander (V)LAN plaats met een router ertussen.

Welk apparaat in welk netwerk/VLAN/Subnet is wat mij betreft het meest lastige stukje van de puzzel.
Hoe ik dit normaal indeel is om te beginnen met categoriseren:

1: Iedereen heeft altijd een IOT zooitje wat eigenlijk niks doet, een app heeft en verbinding nodig heeft met internet. Deze gooi ik altijd in 1 netwerk mocht het incidenteel nodig zijn om poorten open te zetten vanaf een client regel ik dat wel in de firewall.
2: PC's NAS e.d. deze gooi ik het liefste in 1 netwerk, waarom? Dit is een performance ding je wil snel files kunnen lezen en schrijven en routers/firewalls zorgen snel voor een bottleneck. 10Gbps switchen is niks, 10Gbps routen en firewallen is andere koek.
3: Telefoons, TV's etc. Bij voorkeur in 1 netwerk om gezeur te voorkomen met Chromecast en Spotify dingen. Het is te doen in andere VLANS maar je gaat dan MDNS proxy's e.d. en het maakt het onnodig complex imo.

Bovenstaande verschilt natuurlijk wel per situatie het gaat meer om wat je wil afschermen van de rest imo.

maandag 10 november 2025 12:35

Acties:
  • Sleepie
  • Registratie: Maart 2001
  • Laatst online: 27-11 17:06

Sleepie

Zelf net mijn netwerk opnieuw ingedeeld in VLANs, mijn eerste idee was:
- Servers op een eigen VLAN (met ook de Home Assistant server)
- NAS op een eigen VLAN
- IOT devices (ook de TV en de Denon versterker) op een eigen VLAN
- Security devices (Reolink Doorbell en Security cam(s) op een eigen VLAN
- Client devices (PCs, Printers, Tablets, Telefoons) op een eigen VLAN

Zag er allemaal leuk uit, maar Chromecast werkt dus niet. Spotify werkt niet, de Denon App op mijn telefoon kan met geen mogelijkheid de Denon reciever vinden.....Denon integration in Home Assistant werkt ook niet....
(alles met Ubiquity switches en APs en een pfSense firewall)

Dus ik mag meteen terug naar de tekentafel, ik denk dat ik het idee van @MasterL hierboven ga toepassen en de TV, Telefoons, Tablets en Denon receiver(s) samen in een VLAN ga gooien en dan nog een apart VLAN voor overige IOT devices. Security twijfel ik nog over, dat lijkt allemaal goed te werken, dus dat blijft een eigen VLAN denk ik.

@MasterL Zou je de Home Assistant server dan ook in het TV/Telefoon/Tablet VLAN stoppen? Zit nu in het server VLAN bij mij, maar dat geeft ook problemen dus....

[ Voor 11% gewijzigd door Sleepie op 10-11-2025 12:36 ]

maandag 10 november 2025 13:17

Acties:
  • MasterL
  • Registratie: Oktober 2003
  • Laatst online: 16:26

MasterL

Moderator Internet & Netwerken
Ik kan daar geen antwoord op geven en ik denk dat niemand dat kan zonder de situatie te kennen.
Dit is gewoon het probleem van scheiding, het is omgekeerd evenredig met gebruikersgemak.
- Alles in 1 netwerk is makkelijk, alles kan direct met elkaar praten maar er is minder controle.
- Elk apparaat in een apart netwerk is "veilig" maar een zooitje werk om alles met elkaar te laten communiceren.

Hetzelfde met alle vormen van beveiliging, het is heel makkelijk om op je Google/MS/Apple account in te loggen zonder wachtwoord (natuurlijk onveilig) maar extreem onhandig als je bij elke sessie moet inloggen met een gebruikersnaam, wachtwoord, OTP, biometrische gegevens en het oplossen van CAPTCHA's.
IMO is security altijd omgekeerd evenredig met gebruikersgemak en iedereen moet zijn/haar tussenweg daarin vinden. Ik ken jouw situatie niet, Home Assistant kan je natuurlijk voor alles gebruiken en elke plugin heeft weer zijn eigen protocollen/communicatie methodes. Van pollen van een API (via derden) tot directe communicatie (Google TV). Als je advies wil over jouw specifieke situatie/plugins wat werkt nu/wel niet moet je even een eigen topic aanmaken.

maandag 10 november 2025 13:45

Acties:
  • Sleepie
  • Registratie: Maart 2001
  • Laatst online: 27-11 17:06

Sleepie

Ja, dat snap ik en ik zie ook waar het bij mij "fout" gaat (als in: te complex geworden om te managen). Ik had helemaal niet gedacht aan mDNS problemen als alles in aparte VLANs zit.
Dus ik ga verder puzzelen om dat aan de praat te krijgen, of ik stop alle devices die er last van hebben gewoon in 1 VLAN.

Hoe dan ook bedankt voor je post, want het heeft me (weer) aan het denken gezet over mn VLAN setup

maandag 10 november 2025 13:57

Acties:
  • MasterL
  • Registratie: Oktober 2003
  • Laatst online: 16:26

MasterL

Moderator Internet & Netwerken
Het is geen fout IMO je loopt tegen complicaties aan die je niet vooraf had bedacht dat is geen schande.
Je hebt nu 2 keuzes zoals je zelf al schrijft:
- 1 Alles in VLAN (minder "veilig").
- 2 Scheiden en met firewall rules en een mDNS proxy (tip Avahi) aan de gang (complex).

Zoals ik al schreef security is omgekeerd evenredig met gebruikersgemak..

maandag 10 november 2025 14:13

Acties:
  • DVX73
  • Registratie: November 2012
  • Laatst online: 15:28

DVX73

Betwijfel of je gezien je huidige apparaat adequaat VLAN's kan inrichten.

Mocht je besluiten netwerksegmentatie te gaan toepassen dan zal je nieuwe hardware moeten aanschaffen.

maandag 10 november 2025 17:21

Acties:
  • Drardollan
  • Registratie: Juli 2018
  • Laatst online: 14:58

Drardollan

Net als meerdere mensen hier snap ik niet zo goed wat je wil bereiken, je hebt een idee maar je mist de kennis én de apparatuur.

Het is zeker geen slecht idee om de goedkope Chinese zut te scheiden van de rest van je netwerk. Dat zou ik in jouw geval als doel hebben. De QNAP, PC's/laptops/etc. zijn allemaal vertrouwd en voeg je geen enkele beveiliging aan toe met VLANs.

Maar begin eens bij het begin, welke firewall ga je inzetten? Het ding op de QNAP heb je niks aan, dat is puur voor de QNAP zelf.

Automatisch crypto handelen via een NL platform? Check BitBotsi !

maandag 10 november 2025 20:14

Acties:
  • laurens0619
  • Registratie: Mei 2002
  • Laatst online: 15:06

laurens0619

Nvm

[ Voor 99% gewijzigd door laurens0619 op 10-11-2025 20:18 ]

CISSP! Drop your encryption keys!

dinsdag 11 november 2025 12:58

Acties:
  • Ben(V)
  • Registratie: December 2013
  • Laatst online: 14:44

Ben(V)

Als alternatief voor vlan's zou je ook twee subnets kunnen gebruiken.

Dat is (net als vlan's) niet volkomen veilig, maar geeft wel ongeveer dezelfde afscheiding als vlan's
Je hebt dan wel een tweede dhcp server voor dat tweede subnet nodig of je geeft alle iot device in dat subnet een fixed ipadres in dat tweede subnet.
Als je een fixed ip adres in die iot device zet en geen gateway adres kunnen die dingen ook het internet niet op.

Ps
Overigens ben ik van mening dat je geen wifi iot zou moeten gebruiken maar iets als Zigbee wat er voor ontworpen is en je wifi netwerk niet onnodig (over)belast.

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

dinsdag 11 november 2025 13:13

Acties:
  • Tostie1987
  • Registratie: November 2010
  • Laatst online: 22-11 15:40

Tostie1987

Topicstarter
Hallo allemaal,

Wat veel reacties. Bedankt!

Niet helemaal waar ik op had gehoopt. Ik had gehoopt op een 'hier, alsjeblieft' oplossing, maar uit de reacties blijkt dat dit er simpelweg niet is.

In mijn eerste schrijven heb ik getracht om een beeld te geven van mijn situatie en welke apparatuur ik heb. De vraag is eigenlijk ook tweeledig. Ik heb al de QNAP QSW-L3208-2C6T 10 GbE Lite managed switch. Deze ga ik gebruiken. Wat er ook gebeurt (al dan niet zonder VLAN's en ik hem gebruik alszijnde een unmanaged switch). Daarnaast was ook de vraag hoe ik met deze switch eventueel VLAN's kan gebruiken om zo mijn netwerk te beveiligen en versnellen.

Beveiligen vanwege de vele IOT apparaten als lampen, camera's, etc die ik in huis heb en waarbij het handig is om deze geen toegang tot het netwerk met meer gevoelige apparaten te geven.
Anders ook doordat ik veel lees over deze netwerken scheiden waardoor apparaten elkaar gemakkelijker en sneller vinden. Zo hoeft een apparaat geen ping aan een geheel netwerk te geven, maar enkel aan het (sub)netwerk waar deze in zit. Dit idee is geïnspireerd op wat ik in dit filmpje: https://www.youtube.com/watch?v=s_Ntt6eTn94 en dan met name wat er wordt gezegd op 8:20 over het pingen naar het gehele netwerk.

dinsdag 11 november 2025 13:13

Acties:
  • Drardollan
  • Registratie: Juli 2018
  • Laatst online: 14:58

Drardollan

Ben(V) schreef op dinsdag 11 november 2025 @ 12:58:
Als alternatief voor vlan's zou je ook twee subnets kunnen gebruiken.

Dat is (net als vlan's) niet volkomen veilig, maar geeft wel ongeveer dezelfde afscheiding als vlan's
Je hebt dan wel een tweede dhcp server voor dat tweede subnet nodig of je geeft alle iot device in dat subnet een fixed ipadres in dat tweede subnet.
Als je een fixed ip adres in die iot device zet en geen gateway adres kunnen die dingen ook het internet niet op.

Ps
Overigens ben ik van mening dat je geen wifi iot zou moeten gebruiken maar iets als Zigbee wat er voor ontworpen is en je wifi netwerk niet onnodig (over)belast.
2 subnets op 1 netwerk is sowieso al af te raden, maar een 2e DHCP server lijkt mij next-level vragen om problemen in je netwerk. En het geeft niet eens iets in de buurt van dezelfde afscheiding als VLAN's.

Nog los van allerlei andere problemen waar je tegenaan zal lopen met zo'n constructie. Het is voor mij heel simpel: of je scheidt de boel middels fysieke switches of via VLAN's en knoopt de boel aan elkaar met een deugdelijke router/firewall of je doet niks.

Eventueel een fixed IP instellen in je range zonder gateway is natuurlijk een optie die wel iets brengt, het zal de phone home voorkomen namelijk. Maar de vraag is of je apparatuur dan nog afdoende bruikbaar is.

[ Voor 8% gewijzigd door Drardollan op 11-11-2025 13:14 ]

Automatisch crypto handelen via een NL platform? Check BitBotsi !

dinsdag 11 november 2025 13:23

Acties:
  • Drardollan
  • Registratie: Juli 2018
  • Laatst online: 14:58

Drardollan

Tostie1987 schreef op dinsdag 11 november 2025 @ 13:13:
Niet helemaal waar ik op had gehoopt. Ik had gehoopt op een 'hier, alsjeblieft' oplossing, maar uit de reacties blijkt dat dit er simpelweg niet is.
Er zal een reden zijn dat netwerkbeheer een vak op zich is waar goede salarissen tegenover staan :+
In mijn eerste schrijven heb ik getracht om een beeld te geven van mijn situatie en welke apparatuur ik heb. De vraag is eigenlijk ook tweeledig. Ik heb al de QNAP QSW-L3208-2C6T 10 GbE Lite managed switch. Deze ga ik gebruiken. Wat er ook gebeurt (al dan niet zonder VLAN's en ik hem gebruik alszijnde een unmanaged switch). Daarnaast was ook de vraag hoe ik met deze switch eventueel VLAN's kan gebruiken om zo mijn netwerk te beveiligen en versnellen.
De switch doet er niet zoveel toe, als ze gemanged zijn is het goed. Deze QNAP is een behoorlijk dure oplossing die ik niet snel voor een thuissituatie zou aanraden. Een TP-Link had je de helft gekost. Nu je hem al hebt moet je hem uiteraard gebruiken.

Maar je gaat, als je het netjes inricht met VLAN's en een router/firewall tussen die VLAN's, wel je snelheid minstens halveren omdat er een apparaat bij moet, deze QNAP kan dat niet.
Beveiligen vanwege de vele IOT apparaten als lampen, camera's, etc die ik in huis heb en waarbij het handig is om deze geen toegang tot het netwerk met meer gevoelige apparaten te geven.
Het is juist het tegenovergestelde van handig, het is veel handiger en makkelijker om alles in 1 netwerk te hebben. Het scheiden van IOT apparatuur zou ik enkel doen vanuit veiligheid als je "goedkope" Chinse meuk hebt hangen. Het is vaak verstandig om dit te doen, maar handig is het niet.
Anders ook doordat ik veel lees over deze netwerken scheiden waardoor apparaten elkaar gemakkelijker en sneller vinden. Zo hoeft een apparaat geen ping aan een geheel netwerk te geven, maar enkel aan het (sub)netwerk waar deze in zit. Dit idee is geïnspireerd op wat ik in dit filmpje: https://www.youtube.com/watch?v=s_Ntt6eTn94 en dan met name wat er wordt gezegd op 8:20 over het pingen naar het gehele netwerk.
Voor een thuisnetwerk van deze omvang echt complete waanzin. Dit gaat via ARP en daar zijn genoeg slimme truukjes ingebouwd om de boel snel te houden. Als ARP een probleem op het netwerk gaat geven dan heb je het over netwerken met duizenden apparaten en zelfs dan zal het in een normale situatie gewoon prima werken waarschijnlijk.

Apparaten vinden elkaar niet sneller of makkelijker als je een netwerk van deze omvang verkleint. Dat zegt nog steeds niet dat er goede redenen zijn om het wel te doen, "gewoon leuk" of "willen leren", "veiligheid in huis vergroten" zijn natuurlijk prima redenen. Maar technisch zijn er geen goede redenen te bedenken in deze situatie.

[ Voor 4% gewijzigd door Drardollan op 11-11-2025 13:31 ]

Automatisch crypto handelen via een NL platform? Check BitBotsi !

dinsdag 11 november 2025 13:43

Acties:
  • Tostie1987
  • Registratie: November 2010
  • Laatst online: 22-11 15:40

Tostie1987

Topicstarter
Drardollan schreef op dinsdag 11 november 2025 @ 13:23:
[...]

Er zal een reden zijn dat netwerkbeheer een vak op zich is waar goede salarissen tegenover staan :+


[...]

De switch doet er niet zoveel toe, als ze gemanged zijn is het goed. Deze QNAP is een behoorlijk dure oplossing die ik niet snel voor een thuissituatie zou aanraden. Een TP-Link had je de helft gekost. Nu je hem al hebt moet je hem uiteraard gebruiken.

Maar je gaat, als je het netjes inricht met VLAN's en een router/firewall tussen die VLAN's, wel je snelheid minstens halveren omdat er een apparaat bij moet, deze QNAP kan dat niet.


[...]

Het is juist het tegenovergestelde van handig, het is veel handiger en makkelijker om alles in 1 netwerk te hebben. Het scheiden van IOT apparatuur zou ik enkel doen vanuit veiligheid als je "goedkope" Chinse meuk hebt hangen. Het is vaak verstandig om dit te doen, maar handig is het niet.


[...]

Voor een thuisnetwerk van deze omvang echt complete waanzin. Dit gaat via ARP en daar zijn genoeg slimme truukjes ingebouwd om de boel snel te houden. Als ARP een probleem op het netwerk gaat geven dan heb je het over netwerken met duizenden apparaten en zelfs dan zal het in een normale situatie gewoon prima werken waarschijnlijk.

Apparaten vinden elkaar niet sneller of makkelijker als je een netwerk van deze omvang verkleint. Dat zegt nog steeds niet dat er goede redenen zijn om het wel te doen, "gewoon leuk" of "willen leren", "veiligheid in huis vergroten" zijn natuurlijk prima redenen. Maar technisch zijn er geen goede redenen te bedenken in deze situatie.
Het gaat niet om de kosten. Ik heb de switch gekregen. Vandaar.

Eigenlijk zeg je dus van maak bijvoorbeeld 2 VLAN's. Zet op de ene VLAN de 'Chinese meuk' en de andere VLAN voor 'thuis' (apparaten zoals NAS, computer, etc)?

dinsdag 11 november 2025 14:28

Acties:
  • Drardollan
  • Registratie: Juli 2018
  • Laatst online: 14:58

Drardollan

Tostie1987 schreef op dinsdag 11 november 2025 @ 13:43:
[...]


Het gaat niet om de kosten. Ik heb de switch gekregen. Vandaar.
Ook al had je hem zelf gekocht, hij is er nu eenmaal dus moet je hem gebruiken. Dat is niet zo moeilijk, het is een prima ding volgens mij verder.
Eigenlijk zeg je dus van maak bijvoorbeeld 2 VLAN's. Zet op de ene VLAN de 'Chinese meuk' en de andere VLAN voor 'thuis' (apparaten zoals NAS, computer, etc)?
Dat is inderdaad wat ik zou doen. En dan zal je iets moeten met routing/firewalling. Anders kan je niet vanaf het normale thuis netwerk naar het IOT netwerk komen.

Automatisch crypto handelen via een NL platform? Check BitBotsi !

dinsdag 11 november 2025 18:53

Acties:
  • skelleniels
  • Registratie: Juni 2005
  • Laatst online: 25-11 23:03

skelleniels

Ben(V) schreef op dinsdag 11 november 2025 @ 12:58:
Als alternatief voor vlan's zou je ook twee subnets kunnen gebruiken.

Dat is (net als vlan's) niet volkomen veilig, maar geeft wel ongeveer dezelfde afscheiding als vlan's
Je hebt dan wel een tweede dhcp server voor dat tweede subnet nodig of je geeft alle iot device in dat subnet een fixed ipadres in dat tweede subnet.
Als je een fixed ip adres in die iot device zet en geen gateway adres kunnen die dingen ook het internet niet op.

Ps
Overigens ben ik van mening dat je geen wifi iot zou moeten gebruiken maar iets als Zigbee wat er voor ontworpen is en je wifi netwerk niet onnodig (over)belast.
Kijk ofwel doe je het goed(VLANs) ofwel doe je het niet, maar zoals jij het nu voorstelt is helemaal een recept voor problemen:
- 2 DHCP Servers in hetzelfde netwerk: dan heb je helemaal geen controle van op welk subnet je device gaat of niet
- Geen gateway: spannend, ok geen internettoegang, en dan? Dan kan je die IoT devices beter meteen weggooien.
- IPv4 is slechts 1 onderdeel van een netwerk, zelfs met een verkeerd IP adres kan kan een device nog vindbaar zijn(IPv6, broadcast, ARP). Simpelweg een ander IPv4 ingeven is geen scheiding, daar komen VLANs om de hoek kijken(en als je echt wil scheiden, moet je het fysiek doen)

2 subnetten binnen hetzelfde netwerk is helemaal geen alternatief dan VLANs gezien deze laatste zich op Layer 2 afspelen en Subnetten al Layer 3 zijn.
Je maakt het hiermee alleen maar nodeloos complexer. Eens je het principe van VLANs goed snapt, is het helemaal niet moeilijk meer om dit in te richten en te onderhouden. 2 subnetten in 1 VLAN is gewoon technisch fout

Ik snap niet waarom je zegt: dat is net als (vlans) niet volkomen veilig. Zoals al eerder gezegd: VLANs zijn net de basis om je netwerk te segmenteren en veilig te maken dmv policy rules waarbij je enkel verkeer toelaat tussen netwerken en naar binnen/buiten die wenselijk zijn.

http://specs.tweak.to/16567

dinsdag 11 november 2025 19:46

Acties:
  • laurens0619
  • Registratie: Mei 2002
  • Laatst online: 15:06

laurens0619

@Tostie1987
Het is al genoemd maar ik weet niet of het overgekomen is

als jij vlans wilt gaan doen dan moet je je wifi en huidige router gaan vervangen door iets wat vlans kan.
Je huidige apparatuur kan dat niet

CISSP! Drop your encryption keys!

vrijdag 14 november 2025 15:04

Acties:
  • ASS-Ware
  • Registratie: Februari 2007
  • Laatst online: 13:47

ASS-Ware

Ben(V) schreef op donderdag 6 november 2025 @ 13:03:
En vlan's voor beveiliging is ook niet zinvol, daar gebruik je een firewall voor.
Eh, wat valt er te firewallen als alles in 1 subnet zit?
Vlans zijn juist wel handig voor beveiliging want je kan voorkomen dat bepaalde apparaten bij je server/nas/computers kan komen.
En ja, daarbij speelt de firewall ook een rol.

woensdag 19 november 2025 10:42

Acties:
  • scorpio
  • Registratie: Februari 2000
  • Laatst online: 15:53

scorpio

@Tostie1987 Super blij dat dit topic door je is aangemaakt. _/-\o_

k speelde ook al tijdje met idee Vlan..maar doordat ik m'n hoofd niet meer zo goed kan gebruiken als voorheen (na herseninfarct) zocht ik naar een goed , begrijpelijk en behulpzame tutorial.
Van alles doorgespit,beluistert en bekeken.

Nu net hier beland en dit lijkt me goed te helpen..k reis mee , leer en doe ideeën op.
Zal vast goed komen
wat heb ik :

sinds een jaar Odido glasvezel 1G up en down.
Van daar uit gaan 2 utp 6a kabel naar de huiskamer 2x UTP contactdoos*

*1e UTP gaat naar een RAX 120 welke staat ingesteld als AP
Die geeft wifi door aan alles wat maar wifi nodig heeft mobieltjes, TV, PSP5,Stofzuiger , 3D printer etc etc
vanuit RAX120 gaat 1x UTP naar een NAS en 1x UTP naar een DENON versterker.
Wilde ook een utp naar TV doen destijds maar snelheid ervan was lager als de wifi snelheid in de tv :?

*2e UTP gaat naar mijn hobby kamer naar een Switch (4x 2.5 Gbe)
Daarvanuit gaan de UTP naar:
1 > PC
2 > AP voor betere wifi dekking door het huis ..(UTP+poe injector)
3 > Canon Laserprinter

Het werkt ..maar je ziet dat een beetje scheiding en netheid wenselijk is.

Daarvoor heb ik nu eindelijk besteld een Mini PC waarvan de bedoeling is dat die mijn Odido router gaat vervangen .
Ik weet al dat ik er OPNsense op ga zetten.
Maar weet verder nog niet hoe en welke indeling ik ga maken, denk dat het goed is om Vlan's aan te maken ..maar ook dat heb k nog nooit gedaan .

Het begin is er en wanneer ik de mini pc heb zal t allemaal wel (geleidelijk) goed komen.
K doe het rustig aan en wanneer ik af en toe hier een "domme" vraag stel bij deze op voorhand excuses ;)
K ga eens op papier zetten welke delen ik sowieso wil scheiden..IOT / PC.laptops/familie mobieltjes en tablets/ etc .
Dan weet ik iig hoeveel Vlan k nodig denk te hebben.

O ja , k heb al gezien dat ik op de RAX120 vwb wifi een guest kan maken dus ik kan daar alvast wat apparaten op zetten en scheiden v/d rest.
Verder denk/hoop ik met de minipc middels OPNsense de VLan te kunnen maken ..https://techexpert.tips/n...nsense-vlan-configuratie/

[ Voor 11% gewijzigd door scorpio op 19-11-2025 10:58 ]

To be or not to be - Shakespeare/ -To be is to do - Aristotle/- do bi do bi do- Sinatra

woensdag 19 november 2025 11:32

Acties:
  • lier
  • Registratie: Januari 2004
  • Laatst online: 16:50

lier

MikroTik nerd

Mooi voornemen @scorpio!

Misschien leuk om hiervoor een eigen topic te starten waarin je "begeleid" kan worden?
Vergeet niet dat alle apparatuur VLAN's moeten ondersteunen, dus ook de huidige switch (welke is dat?) en de RAX (vziw ondersteunt deze niet out-of-the-box VLAN).

Eerst het probleem, dan de oplossing

woensdag 19 november 2025 12:11

Acties:
  • scorpio
  • Registratie: Februari 2000
  • Laatst online: 15:53

scorpio

.

[ Voor 129% gewijzigd door scorpio op 19-11-2025 13:57 ]

To be or not to be - Shakespeare/ -To be is to do - Aristotle/- do bi do bi do- Sinatra

woensdag 19 november 2025 13:57

Acties:
  • scorpio
  • Registratie: Februari 2000
  • Laatst online: 15:53

scorpio

lier schreef op woensdag 19 november 2025 @ 11:32:
Mooi voornemen @scorpio!

Misschien leuk om hiervoor een eigen topic te starten waarin je "begeleid" kan worden?
Vergeet niet dat alle apparatuur VLAN's moeten ondersteunen, dus ook de huidige switch (welke is dat?) en de RAX (vziw ondersteunt deze niet out-of-the-box VLAN).
Heb mijn verhaal verplaatst naar Odido forum ..dank je ..

To be or not to be - Shakespeare/ -To be is to do - Aristotle/- do bi do bi do- Sinatra

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq