Thuisnetwerk inrichten met VLAN/Guest en mesh/accesspoints

Beste Tweakers,

Ik ben de inrichting van mijn thuisnetwerk aan het herzien en zou graag jullie inzichten hierover vragen, zowel over de "architectuur" als de daadwerkelijk instellingen.
Ik wil scheiding aanbrengen tussen apparaten en tegelijkertijd moet dit goed werken met meerdere netwerkpunten om voldoende dekking in huis te hebben.
Ik zoek een veilige doch pragmatische oplossing die ik als leek kan begrijpen, configureren en onderhouden.
Mijn eerste gedachte is om te splitsen in deze categorieën:

1. Privé apparaten (vertrouwde apparaten): 2 laptops, 2 smartphones, server, 2 muziekstreamers, Chromecast. Dit moet onderling goed communiceren.
2. Gasten: vertrouwde mensen maar ongecontroleerde apparatuur, dus liever weg van mijn privé-deel. Geen onderlinge communicatie nodig, wel toegang tot specifieke privé-apparaten.
3. IoT-apparaten - die vertrouw ik niet. Apparaten: omvormer van zonnepanelen, slimme thermostaat.

IoT-spul wil ik weghouden van elk ander verkeer. Dat leek me snel geregeld met een gasten-wifi, maar een deel van de apparaten is bekabeld aangesloten. Dat wordt handmatig een VLAN moeten opzetten met onderlinge isolatie. Lijkt me te doen.

De gasten-apparaten zou ik beperkt toegang willen geven tot apparaten in mijn privé-netwerk, bijvoorbeeld de Chromecast en een muziekstreamer. Geen toegang tot de server. Een snelle zoektocht leert me dat dit met NAT kan, alleen nog geen details hoe. Eigenlijk alle gast-apparaten zullen via WiFi verbinden. Daar is de keuze tussen een standaard gastennetwerk of een VLAN instellen - welke zou makkelijker zijn?
(Of geen netwerkscheiding maken tussen privé en gast apparaten, en toegang tot bepaalde privé-apparaten beperken. Daarvan zou ik niet zomaar weten hoe het moet.)

Of zijn er nog andere handige trucjes met de hardware die ik heb om dit te bereiken?

De hardware
Dan de vraag hoe dit werkt met de hardware die ik heb, en zo dat ik het liefst niet alles 3x moet instellen.
Ik heb 2x ASUS RT-AX92U mesh routers en een oudere RT-AC66U.
Eén AX-92u is het centrale punt waarop ook de glasvezel binnenkomt. De andere AX-92u wordt als mesh node danwel access point ingesteld, en de AC-66U had ik als access point bedacht.
De AX-92U kan bijvoorbeeld standaard 3 gastennetwerken aan, de AC-66U slechts één.

Hoe kan ik het zo instellen dat de draadloze apparaten naadloos wisselen tussen de netwerkpunten en dat de beoogde scheiding intact blijft, zonder dat ik op elk netwerkpunt alles handmatig moet instellen?
Mocht de AC-66U niet meekunnen in dit plan, dan zou ik eerst kunnen proberen of het zonder ook gaat, en anders vervangen door een nieuwere met mesh-ondersteuning.

Dankje, dat topic was nuttig leesvoer!

Wat ik eruit haal is dat het zeker slim is omeen apart VLAN voor de IoT-apparaten in te zetten.

De splitsing tussen eigen apparaten en gasten, maar wel bepaalde streaming toe te staan, is mogelijk onnodig ingewikkeld voor het doel.
Wat ik niet helemaal begrijp: kan ik de firewall van de router gebruiken om binnen het VLAN mijn server af te schermen van gast apparaten? Dat zou een simpelere implementatie zijn om extra beveiliging te krijgen.

V.w.b. de implementatie op de hardware moet ik iets beter snappen hoe het principe werkt van meerdere VLANs en access points. Mijn eerdere ervaring, met één draadloos netwerk, is dat het access point al het routeren overlaat aan de centrale router, vrij overzichtelijk.

Overigens zal ik bij de centrale router ook een switch moeten zetten vanwege de hoeveelheid aan bekabelde verbindingen. Mijn idee was om een onbeheerde switch te gebruiken zodat de router alle routering doet. Is dat handig?

Het is me inmiddels duidelijk dat ik nog meer moet inlezen op dit onderwerp. Hoe dan ook is VLANs met zowel bedrade als draadloze apparatuur over meerdere access points complexer dan ik dacht.
En volgens mij moet ik het sowieso over een andere boeg gooien, want in de configuratie van de Asus RT-AX92U zie ik geen optie voor VLAN onder de LAN-instellingen. Daarmee zou die optie helemaal komen te vervallen.

Splitsen van IoT en andere apparaten wil ik sowieso. Bezoekers in huis zijn in principe vertrouwd, dus zouden op ons "privé"-wifi erbij kunnen. Het liefst zou ik wel toegang tot de server afschermen voor bezoekers.
Daarmee verandert de oorspronkelijke vraag in deze twee vragen:

1. Hoe splits ik mijn IoT-apparaten (bedraad en draadloos) het beste van mijn privé-apparatuur? Mijn routers laten wel toe om een gasten-wifi in te stellen, maar dat is niet voldoende voor de bedrade apparaten. Een mogelijkheid is dat ik die optie wel gebruik, en de bedrade apparaten middels firewall-regels afzonder (maar dat is niet ideaal, zo lees ik in het eerdere VLAN-topic).
2. Hoe beperk ik de toegang tot bepaalde apparatuur binnen een LAN? Voornamelijk, alleen bepaalde apparaten mogen toegang krijgen tot mijn server.

Goed, ik heb het principe en de implementatie van VLANs verder onderzocht. Conclusie is dat mijn oorspronkelijke vraag een typisch geval van klok en klepel is; het gebruik van VLAN wordt veel gepredikt op het internet maar mijn hardware (en veel consumenten-hardware) ondersteunt dit niet.
Op z'n minst zal ik een centrale router met VLAN-tagging en een managed switch nodig hebben om het werkend te krijgen. Of ik moet overstappen naar een heel Ubiquiti-systeem, met de bijkomende kosten.

De oplossing voor nu: een "gasten"-wifi maken via de routers voor alle IoT-apparaten (in feite een VLAN, maar dan zonder uitgebreide controle erover). Bezoekers mogen op ons interne netwerk erbij. En mijn Ubuntu-server ga ik met de eigen firewall beter afschermen zodat alleen een aantal vertrouwde apparaten ermee mogen verbinden.

joris1000 schreef op dinsdag 11 november 2025 @ 17:35:
Het lijkt mij, dat je bezoekers in principe als "niet vertrouwd" moet zien.
Probleem is dat je nooit zeker weet of die personen geen virus meenemen naar jouw wifi

De bezoekers die ik toelaat vertrouw ik wel, hun apparaten niet per se inderdaad. Maar in dat opzicht kan ik de apparaten van mijn partner net zo weinig vertrouwen, ik controleer immers niet dagelijks wat er met die telefoon gebeurt.
Het "meest kritieke" deel is de server en de toegang daartoe kan ik wel inperken voor onbekende apparaten.

MasterL schreef op donderdag 13 november 2025 @ 15:12:
Verstandige keus denk ik, VLANS zijn een manier maar zeker niet de enige.
Veel gasten netwerken hebben zoiets als "client isolation" deze kunnen eigenlijk nergens bij (ook niet bij elkaar) maar alleen naar het internet.

Zoals ik het begrijp doet de standaard gasten-wifi functie op consumentenrouters dit, dus perfect voor het IoT-gebeuren.
De Ubuntu server kan ik beter afschermen voor intern verkeer middels IP tables.

Enige punt blijft dan nog de paar bekabelde IoT-apparaten. Die komen automatisch wel in mijn "privé"-domein terecht. Met de firewall op de router kan ik de toegang naar andere apparaten in het LAN helaas niet begrenzen.
Ik moet sowieso een switch kopen. Als ik gelijk een managed switch koop (deze bijvoorbeeld, zag ik vaker voorbij komen: https://tweakers.net/pric...igabit-plus-gs108ev3.html), kan ik daarmee mogelijk dat deel afvangen door alle bekabelde IoT-apparaten via de switch aan te sluiten.

MasterL schreef op donderdag 13 november 2025 @ 17:08:
Nee tenzij de switch ACL's ondersteund ik zou die kant niet opgaan vanwege financiën.
Misschien is segmenteren beter, in jouw lokale FW allow je IP-adressen die in een bepaalde "range" vallen en dan beheer je via DHCP/static welk apparaat in welke range zit. Perfect? nee te kraken ja makkelijk maar het geeft toch iets meer controle.

Een late reactie mijnerzijds, maar dat is een heel nuttig antwoord.
In dit geval ben ik het beste af met een unmanaged switch, en laat ik alles door de router afvangen? Of beter dat tientje extra uitgeven voor een managed switch om eventueel meer controle te hebben in de toekomst?

Re de firewall: met de "lokale FW" bedoel je dan de firewall op mijn server, om daarmee alleen bepaalde IPs toe te staan?
In de router heb nu al IP-adressen gereserveerd voor specifieke apparaten. Daar maak ik gebruik van door bijvoorbeeld één Samba share alleen toegankelijk te maken voor die twee IP adressen. Het is zeker niet waterdicht, maar het vergt toch meer stappen om bij de data te komen.

Helder, dan had ik het goed begrepen. Zo ga ik het doen dan!

MasterL schreef op donderdag 20 november 2025 @ 10:34:
Het probleem imo zit hierbij wel dat je jezelf erg beperkt tot twee netwerken (trusted/untrusted) dit is een beetje zwart/wit een optie grijs (gasten) is hierbij lastig.

Ik vind het grijze gebied sowieso lastig - maar nu wordt het meer theoretisch. Zoals ik in mijn openingspost omschreef is er ook nog de categorie "slimme" apparaten zoals streamers en casting apparatuur (reken ik niet onder IoT) die wel internetverbinding hebben en het liefst zoveel mogelijk afgeschermd zijn van privé apparaten, maar privé apparaten moeten er wel mee kunnen communiceren. Zelfs met VLANs was dat een ingewikkeld verhaal. Nogmaals, dat is vooral theoretisch want in mijn opstelling is er geen andere mogelijkheid dan die in mijn privé netwerk betrekken.

Ik ga ondertussen de firewalls in duiken: in de router om de toegang van mijn IoT te begrenzen, en in de server om toegang vanuit het LAN te beperken. Gastnetwerk voor de draadloze IoT is al ingesteld.

Weer een stap verder. Gastnetwerk voor draadloze IoT-apparaten is ingesteld, alleen de apparten nog overzetten. De firewall van mijn server is behoorlijk dichtgetimmerd nu: alles dicht, alleen mediaservers open, en belangrijke toegang zoals SSH gelimiteerd tot twee IP's (die in de router gereserveerd zijn op basis van MAC-adres). Tevens is er een Netgear GS308 onderweg, simpelweg om meer poorten te hebben.

Enige waar ik mee zit is dat de internetbridge van de zonnepanelen, het apparaat wat ik het minste vertrouw, enkel via LAN te verbinden is en dus in mijn privé-netwerk zit In een verdere zoektocht zag ik de oplossing om middels een tweede router een apart subnet op te zetten, en dat middels firewall af te schermen (https://superuser.com/que...one-machine-on-a-home-lan). Eigenlijk wat VLAN softwarematig doet, zoals ik het begrijp. Zou dat mogeijk zijn met managed opties van de GS308?

Alternatief, en dan ga ik weer terug naar mijn oorspronkelijke idee: ik zag dat met Merlin-firmware VLANs wel mogelijk zouden zijn op de ASUS routers. Er is een community versie voor de RT-AX92U. Maar dat zou een groter project worden..

Helder, bedankt voor de uitleg.
Het afschermen van dat ene bedrade IoT-apparaat is dus niet triviaal. Ik ga nakijken of die toch niet via WiFi te verbinden is, dan is dat probleem ook opgelost.