Netwerk herzien, hulp bij keuze hardware.

Over het algemeen heeft de router van je provider een firewall ingebouwd. Als je die up to date houdt zou dat voldoende moeten zijn.
Wat voor een veiligheids incident heb je gehad?

Voor de setup die je noemt heb je een router nodig die met vlans om kan gaan. Dan kom je uit bij bijvoorbeeld mikrotik, de unifi lijn van ubiquiti of de edgerouter lijn van ubiquiti.
Het meest gebruiks vriendelijk is de unifi lijn, de andere 2 hebben best wel een leer curve. Unifi kan alles wat je wil en er zijn talloze youtube videos en andere handleidingen te vinden die precies uitleggen hoe je bereikt wat jij wil.

Mac filtering op wifi kan je je bij afvragen wat het nut is. Beter is gewoon een sterk wifi wachtwoord.

Ik neem even aan dat je geen hub maar een switch hebt. Deze zal je mogelijk ook moeten vervangen. Alleen managed switches kunnen met vlans omgaan.
Al met al wordt je netwerk er best gecompliceerd van. Je kan je ook afvragen of het er echt heel veel veiliger van gaat worden, zeker als je aangeeft dat je er niet veel verstand van hebt.
Het voordeel van de router van je provider is dat zij verantwoordelijk zijn voor updates en veiligheidslekken (als het goed is) redelijk snel gepatched zullen worden.
Beter is (denk ik) om wat algemene regels aan te houden:
- gebruik sterke unieke wachtwoorden en waar mogelijk 2 staps verificatie
- Let bij IoT apparatuur goed op de reputatie van het merk wat betreft veiligheids updates ed
- verander standaard wachtwoorden meteen. Zéker bij (IoT) apparaten die via internet bedienbaar zijn
- zet automatische updates aan
Met deze “common sense” stappen en de router van je provider (met automatische updates) ben je al heel ver op weg.

[ Voor 40% gewijzigd door Kasper1985 op 11-11-2025 23:44 ]

"een veiligheidsincident" is een onwerkbaar vaag begrip; zo is het niet mogelijk om zinnig advies te kunnen geven.

Wat is er gebeurd en waar werd het door veroorzaakt?
Is de voedingsadapter van je router ontploft? Is je NAS besmet geweest met een crypolocker virus? Is een wachtwoord van je gelekt door phising?

De beste en nieuwste apparatuur kan nog steeds zo lek zijn als een mandje als de beheerder van t spul niet weet wat ie aan het doen is. Een PEBKAC situatie los je niet op door netwerkshop.nl leeg te kopen.

Door je in topicstart niet heel concreet te zijn over hoe en wat en door veel totaal niet revelante dingen te benoemen (bv de tags voor je VLANS) krijg ik toch ietswat het idee dat PEBKAC zeker niet zomaar uitgesloten is

Hoop dat je mijn directheid constructief opvat. Start eens met het beschrijven van het "incident", mogelijke oorzaken en een uitgebreid overzicht van wat je nu hebt en wat je anders wilt hebben en/of waar je vragen over hebt. Dan willen en kunnen we je veel beter adviseren.

@liveandlearn wat je wilt is prima mogelijk, maar wat andere ook al aangeven. Hoe complexer je apparatuur en topology wordt, hoe makkelijker het fout kan gaan.

Ik ben dus eigenlijk wel benieuwd wat je 'veiligheids incident' is geweest, zou je dat willen toelichten? Op die manier kunnen we ook eens kijken of er wellicht een andere oplossing is voor je probleem.

Je wil allemaal leuke dingen met vlan's enzo, waarom specifiek deze vlan's? Omdat de clients/ap's daar nu al op zitten?

Je wil een niet helemaal triviale opstelling, ga je die zelf inrichten?

liveandlearn schreef op woensdag 12 november 2025 @ 16:52:
[...]

Vijd het best beschamend. Vooruit dan met de billen bloot dan maar. Het incident stond vrij los van mijn netwerk mijn prive microsoft account was gehacked. Te veel goed willen doen voor werk en dan prive nogal nalatig geweest. Heb net 2 jonge kindjes zit heel weinig achter de pc enz. Had nog geen passkeys aangemaakt was gewoon stom had er tijd voor moeten maken. Is ook mijn stomme fout al was het vreemd dat ik geen sms kreeg normaal ontvang ik die bij inloggen als 2e factor. Op mijn laptop heb ik toegang tot onedrive maar geen sync. Defender sloeg aan en onedrive begon bestanden lokaal te zetten. Heb meteen lan uitgegooid en apparaat uitgezet. Wipe gedaan. Maargoed heb er klappert van gehad mentaal en ben wellicht beetje schrikkerig geworden. Heb op pc ingelogd en de heb account direct geoffload op een nvme. Was snelste en geoffload op de nas en pc en nas zolang maar even uitgeschakeld daarna.

Ik had online aangegeven alle apparaten uit te loggen. Blijkt in de praktijk niet te werken en kan ook de logging ervan niet inzien of iemand mobiel onedrive heeft aangemeld. Maargoed. Dit staat hier los van. Ik heb gewoon data (digitale documenten en fotos videos van gezin) die op de nas staan en heb een periodieke offside offload. Alleen door dit ben ik me wel zorgen gaan maken en zou ik het wat meer gescheiden willen hebben qua netwerk. Zodat ik wat ik belangrijk vind los kan houden van het web. Was behoorlijk verbaasd dat dit kon zomaar kon al helemaal dat het uitloggen van alle apparaten gewoon niet werkt.

Kan dus niks terug zien van hetgeen zich op de laptop heeft voorgedaan. Ik wil meer controle en auditing. Ik zit meer te denken aan segmentatie in mijn thuis netwerk om de cruciale delen webloos te houden waar nodig. Ik ben te veel gaan inzetten in de online omgeving en dat wil ik terug schalen.

Al met al schaam me rot dat me dit gebeurd is. Had waarschijn kunnen voorkomen.

Ik kan er geen touw aan vast knopen en mijn gevoel zegt dat er helemaal niks aan de hand was.

Je eerste post gaat op geen enkel vlak betere beveiliging bieden. Als je nu bang bent voor de cloud is het een kwestie van de data lokaal op een NAS zetten en geen poorten naar binnen toe openzetten.

liveandlearn schreef op woensdag 12 november 2025 @ 20:23:
[...]

Er was zeker vanalles aan de hand. Logins in Spanje, Amerika en Roemernia, credentials waren aangepast naar e.a. .ru mail adres. Logins met een Mac en iOS device heb niks van apple. Maargoed daar gaat het verhaal niet om.

Had bewust niet het incident benoemd qua inhoud omdat daar de focus niet op lag. Het was enkel de trigger om het huidige netwerk eens te herzien. Maar er werd door iedereen om gevraagd. Misschien had ik die regel weg moeten laten. Ben niet goed in de kunst van het weglaten helaas.

Ik ben niet geheel groen op netwerk gebied het is gewoon niet mijn dagelijks werk dus zal ik meer moeten inlezen. Ik ben gewoon opzoek naar andere hardware en zoek enkel daarin wat tips. Vroeger had ik alles van linksys (adsl tijd) Ik heb geen idee wat de goede spulletjes zijn tegenwoordig.

Het is meteen een good practise wat meer met networking te doen. Probeer het wat beter op te zetten dan nu. Als ik een switch die vlan ondersteund moet hebben dan is dat zo.

Dus schiet me er alsjeblieft niet te veel in af. Heb gewoon 15 tor 20 jaar niks meer in netwerken gedaan. De vraag zit em in de hardware.😊.

Op zich is hier niets gebeurd (voor zover het me duidelijk is) dat je met netwerksegmentatie echt op gaat lossen.
Echter is het natuurlijk ontzettend leuk en leerzaam om dit lekker te gaan doen; ik ben dit nu ook met Mikrotik aan het doen nadat ik het in ubiquiti had gedaan.

Mijn tip, al je echt wat wil leren: koop een mikrotik routertje (de goedkoopste hAP AC3 is al prima voor 100mbit en 5 poorten) en ga het adhv RTFM en Youtube uitrollen. Superleuk om te doen en je leert wat.
Is een klik-kant-en-klaar-ding sneller? Probably.

In feite wil je hetzelfde als wat ik wil:

Hier wonen ongeveer 60 devices op het netwerk, een zooitje switches en APs. Wat vertrouwde clients, wat onvertrouwde clients, wat iot (niet vertrouwd dus) en wat camera's.
Allemaal wil ik ze in een apart vlan stoppen, en dan nog een management VLAN dat overal bij kan.

Dit had ik prima werkend op Ubiquiti, maar nu dus nieuwe mikrotik spulletjes bezig. Overigens echt niet duur als je ziet wat je krijgt.
Je kunt je APs hergebruiken en je switches ook als ze maar 802.1Q (VLAN-standaard) compliant zijn.

[ Voor 10% gewijzigd door Boudewijn op 12-11-2025 21:25 ]

Ja ubiquiti is echt best makkelijk opzetten, maar niet enorm aanpasbaar. Ook vind ik het vrij duur voor wat je krijgt, maar de integratie is prachtig.

MT is een forse leercurve , maar heel erg configureerbaar. Daarbij echt veel hardware/performance voor weinig geld. Die hAP AC3 is een router met 5 poorten en een AP. Kost iets van 50-60 euro.


TIp 1 om mee te beginnen:

- Maak eens een tekening van hoe je netwerk eruit komt te zien. Welke VLAN-id's en welke netwerken wonen waar.
- Hierbij niet per se precies uitschrijven wat er op woont maar gewoon puur per categorie, of wat voorbeelden
- Schrijf wat op over welke verbindingen tussen de subnetten mogelijk zijn

Op basis hiervan kun je straks een plan maken, compleet los van de hardware die je daadwerkelijk gaat kopen.

Als Mikrotik gebruiker zal ik geen Mikrotik adviseren, het is met dat leuke spul te makkelijk om de deur wijdt open te zetten.

@liveandlearn je ben nog niet echt concreet in wat er nu fout gegaan is: "payload op je laptop", "wachtwoord gelekt" is allemaal nog steeds erg vaag. Als dat door een zeroday kwam van een programma wat niet meer geüpdatet word of een verouderde Windows versie heb je er niks aan dingen om al je apparaten in VLAN's in te delen. Je client device zelf is een veel interessanter doelwit voor ellende en veel makkelijker te exploiteren dan eerst je netwerk infiltreren.

Als je zoiets wilt voorkomen in de toekomst en daar graag advies bij wilt zou ik eerst eens kritisch kijken en en bezem door je apparaten, software en services halen. Bv Windows 7 is anno 2025 echt niet meer aan te raden en dat nog willen draaien zonder goede reden of zonder goede aanvullende maatregelen roept bij mij enkele vooroordelen op over wat jij verstaat onder "verstandig beveiligingsbeleid"

[ Voor 3% gewijzigd door kwibox op 12-11-2025 22:14 ]

Hij schrijft niet dat het niet betrouwbaar is. Hij schrijft dat je makkelijk je configuratie zo kunt doen dat je gaten in je beveiliging creëert. En ja dat kan inderdaad omdat heel veel te configureren is, en je dus ook domme dingen kunt doen.

Je problemen hebben denk ik idd weinig met je netwerk te maken; hoop nu wel voor je dat het nu op orde is en dat je zeker weet dat er niks meer draait en niemand behalve jij nog toegang heeft. Dus o.a. wachtwoorden aanpassen en authorisaties voor derden logins/apps/apparaten intrekken.
--
Ik ben juist bijzonder tevreden met mijn 3 mikrotiks, nog nooit zulke consistent snelle routers gehad.

Reden dat ik ze niet adviseer is dat ze een draak zijn om te configuren voor een leek en daarbij is het te gemakkelijk om per abuis de boel open te zetten.

Voor je idee; mijn mikrotiks kwamen niet eens met standaard instellingen (geen DHCP, geen bridge interface, geen NAT, geen firewall enz enz). Bij eerste gebruik moest ik ze rechtstreeks met een ethernet kabel inpluggen en via het MAC adres een static ip instellen om uberhaupt via je webbrowser het ding in te kunnen stellen.

Het standaard KPN modemrouter is een veel veiligere keus, ook omdat je KPN daarmee deels verantwoordelijk maakt voor de veiligheid van je netwerk.
--
Als je exact en realtime wilt zien wat (de data zelf) er over een netwerk voor data gaat zul je aan DPI inspection moeten doen met whireshark via bv port mirroring, geen sinecure.

Wireshark lokaal packages sniffen is vele malen makkelijker. Alle data van al je netwerdevices sniffen in realtime is geen triaviale klus en daar heb je heel wat processing power voor nodig. Daarom kunnen de meeste routers dat niet zomaar (ook mijn mikrotik niet) een port mirror en dan analyse op een 3e client is dan makkelijker.

Al je data verkeer binnen je netwerking tot in details analyseren in realtime is als consument niet te realiseren en is denk ik een doel die je uit je hoofd moet zetten. Ook in bedrijfsnetwerken is echte realtime DPI een zelfszaamheid.

Veel makkelijker is dus lokaal sniffen met whirehark, maar dat is natuurlijk in principe reactief. Als enkel een port/destination adress/process van een data communicatie voldoende is heb je wireshark ip niet eens nodig. Vrijwel alle OS'en en veel routers hebben ingebouwde tools daarvoor.
--
Als je perse je KPN modem wilt vervangen: de prosumer (jij dus) is beter af met spul van Ubiquiti; makkelijker in te stellen, vriendelijkere guides/tutorial en vaak goede standaard instellingen die vaak al redelijk aansluiten bij de wensen. Ook zaken zoals VLANS zijn goed en eenvoudig in te stellen als je dat wil. Ze kosten misschien iets meer, maar daar krijg je veel gebruiksgemak voor terug.

Mijn tips:
-Eerst de basis in orde, zie post van @Kasper1985
-Dan eens nadenken wat je precies wilt: wil je bepaalde apparaten gescheiden van de rest van je netwerk (met bv een VLAN)? Bedenk dan wel dat bv IoT spul isoleren niet altijd zin heeft zonder de functionaliteit aan te tasten. Je TV of chromecast in een VLAN betekend dat je enkel vanaf dat zelfde VLAN kan streamen of het device kan aansturen (tenzij je met inter VLAN routing gaat werken oid)
- een simpel gastennetwerk maken kan je kpn router ook (functioneerd hetzelde als een vlan)
- met mooi aangepast netwerk komt ook met niet vrijblijven onderhoud; firmware updaten, mac access lijsten bijhouden enz. Geen dagtaken maar toch iets dat zo nu en dan moet gebeuren. Houd het dus zo simpel mogelijk.

[ Voor 20% gewijzigd door kwibox op 13-11-2025 08:57 ]

Ik wil je niet (nog verder) bang maken maar:
- VLANS thuis knutselen is super leerzaam en leuk maar security technisch is de toegevoegde waarde beperkt als je naar het threat model kijkt van een thuis situatie
- Het knutselen met geavenceerde apparatuur kan er ook juist voor zorgen dat je zaken minder veilig maakt als je niet precies weet wat je doet

Dus als je dus doel lekker spelen met netwerken/knutselen is dan zeker doen maar ben je bewust van de risico's.

Overigens als je nu al redelijk "n00b" bent dan inderdaad niet aan Mikrotik beginnen. Veuls te complex.
Ubiquiti is dan een betere

Bedenk ook dat wifi en vlan geen vrienden zijn.
Het maximale wat je kunt bereiken is een apart SSID voor elk Vlan maken en die aan elkaar koppelen in je AP's, maar dan heb je wel AP's nodig die dat ondersteunen en dat doen ze niet allemaal.

Ben(V) schreef op donderdag 13 november 2025 @ 10:24:
Bedenk ook dat wifi en vlan geen vrienden zijn.

Je hebt, vziw, twee opties (afgezien van verschillende SSID's):

- PPSK (wat voorbehouden is aan WPA2-PSK, tenzij je veel geld uitgeeft)
- obv MAC addressen VLAN's toewijzen (access lists)

Voordeel van de laatste is dat WPA3-PSK prima ondersteund wordt, risico is spoofing.

Beiden zijn opties waarbij de tweede makkelijk te omzeilen is.
Maar geen van twee hebben iets met vlans te maken wat op zich prima is want vlan's zijn vrij nutteloos voor beveiliging.
Vlan hopping is erg simpel.

Ben(V) schreef op donderdag 13 november 2025 @ 10:37:
Beiden zijn opties waarbij de tweede makkelijk te omzeilen is.
Maar geen van twee hebben iets met vlans te maken wat op zich prima is want vlan's zijn vrij nutteloos voor beveiliging.
Vlan hopping is erg simpel.

Maar vlan hoppig is toch alleen mogelijk als je zaken tagged aanbiedt?

Zover ik weet, in de VLAN achtige topics, zijn het eigenlijk altijd untagged situaties
Dus bv een SSID wat uitkomt op een untagged vlan

Of UTP poorten die untagged uitkomen bij een client

kun je dan nog steesd vlan hoppen? (double tag bv?)

Ben(V) schreef op donderdag 13 november 2025 @ 10:24:
Bedenk ook dat wifi en vlan geen vrienden zijn.
Het maximale wat je kunt bereiken is een apart SSID voor elk Vlan maken en die aan elkaar koppelen in je AP's, maar dan heb je wel AP's nodig die dat ondersteunen en dat doen ze niet allemaal.

Je hebt inderdaad draadloos net zoals bedraad apparatuur nodig dat VLANs snapt. Maar juist op de manier dat je beschrijft matcht WiFi prima met VLANs en PBAC, een WiFi WLAN komt wat dat betreft helemaal overeen met een bedrade switchpoort qua opties, en met 802.1X (WPAx-Enterprise) kun je net zo goed op deviceniveau zaken toekennen mocht je zo ver willen gaan.

Dat gezegd, ik sluit me bij @laurens0619 aan: veel knopjes en complex gesegmenteerde topology stelt je in staat zaken uitermate secuur te regelen, maar als je configuratie verprutst zet je er ook veel meer mee open dan je bij een minder ingewikkeld netwerk-ontwerp.

_{Mooi voorbeeld: weet niet of het anno 2025 nog zo is, maar paar jaar terug stond bij Mikrotik IPv6 per default uit. Met een enkele druk op de knop zet je het aan. Alleen wordt dan nog geen default configuratie geladen, met als gevolg dat er ook geen firewall op actief is. Als je het daarbij laat zijn alle apparaten op je LAN rechtstreeks via IPv6 van buitenaf benaderbaar. Om dat te fixen moet je ofwel op dat moment zelf een minimale 'drop all' rule instellen, of nadat je IPv6 aangezet hebt de default configuratie laden waarmee je een dergelijke rule als uitgangspunt krijgt.}

Ik zou daarom *eerst* (zoals @Boudewijn al tipte) meer over netwerken en security gaan leren met een simpel apparaat die je achter je huidige router kunt hangen, en pas als je daar de nodige kennis en ervaring mee opgedaan hebt overwegen om met een dergelijk apparaat als hoofdrouter te draaien.

dion_b schreef op donderdag 13 november 2025 @ 14:48:

_{Mooi voorbeeld: weet niet of het anno 2025 nog zo is, maar paar jaar terug stond bij Mikrotik IPv6 per default uit. Met een enkele druk op de knop zet je het aan. Alleen wordt dan nog geen default configuratie geladen, met als gevolg dat er ook geen firewall op actief is. Als je het daarbij laat zijn alle apparaten op je LAN rechtstreeks via IPv6 van buitenaf benaderbaar. Om dat te fixen moet je ofwel op dat moment zelf een minimale 'drop all' rule instellen, of nadat je IPv6 aangezet hebt de default configuratie laden waarmee je een dergelijke rule als uitgangspunt krijgt.}

Even gekeken in mijn labje bij een apparaat dat van de week gereset is: het staat standaard aan. Ik ben zo'n nerd die een config-loos apparaat wil, dus die staat gewoon volkomen open naar internet als je het device direct aan internet hangt. Gevalletje "remote systeembeheer door de Chinezen/botjes" binnen 5 minuten. Voordeel is wel dat er ook geen pakketten geforward worden als je niets doet
IPv6 uitzetten danwel firewallen is wel een pro-tip . Uberhaupt firewallen.

[ Voor 5% gewijzigd door Boudewijn op 13-11-2025 15:54 ]

liveandlearn schreef op donderdag 13 november 2025 @ 18:56:
[...]

Ik wil de kpn modem ook niet vervangen. Dacht eerder daar een router achter te zetten. Vanwege glasvezel vraag ik me af of dat ook wel gaat. Vroeger had ik mijn router in de dmz gezet. Waardoor het kpn apparaat enkel de modem is. Dat is natuurlijk te overwegen ik weet ook niet of je dmz kan combineren met de router functies in de kpn modem. Vroeger konden die dingen veel minder natuurlijk.

Als je een router neemt met SFP kun je meestal wel iets met een glasvezelmodule doen. Dan moet je je wel even inlezen wat voor frequenties KPN gebruik (ik verwacht single-mode voor glas van buitenaf maar check dat zelf).

Boudewijn schreef op donderdag 13 november 2025 @ 19:39:
[...]

Als je een router neemt met SFP kun je meestal wel iets met een glasvezelmodule doen. Dan moet je je wel even inlezen wat voor frequenties KPN gebruik (ik verwacht single-mode voor glas van buitenaf maar check dat zelf).

Verschilt enorm, KPN heeft een lappendeken van netwerken - AON, GPON, XGS-PON. Hier info van KPN over hoe dat uit te zoeken etc https://www.kpn.com/service/eigen-apparatuur

De hele aanleiding klinkt als een zwak wachtwoord of een hergebruikt wachtwoord. Dat probleem ga je met alle hardware van de wereld niet oplossen. Nergens lees ik dat je inderdaad gehackt zou zijn op je eigen netwerk.

mjax schreef op donderdag 13 november 2025 @ 19:56:
De hele aanleiding klinkt als een zwak wachtwoord of een hergebruikt wachtwoord. Dat probleem ga je met alle hardware van de wereld niet oplossen. Nergens lees ik dat je inderdaad gehackt zou zijn op je eigen netwerk.

Dit schreef ik gisteren om 20:12 ook al . Ik denk dat de situatie tweeledig is; enerzijds dat de TS zijn lesje op het gebied van password hygiene/hergebruik wel geleerd heeft anderzijds lijkt hij gewoon lekker te willen nerden met netwerkhardware. Wat prima is natuurlijk maar een compleet ander doel/eisen en complexiteit kent.

liveandlearn schreef op donderdag 13 november 2025 @ 21:27:

Ik heb nog geen tijd genomen een mooie tekening te maken en uiteraard gaat het me on welke toegang ik wil verlenen. Waar moet wat bijkunnen. Alleen moet ik het dan beetje beperkt houden als ik dat hier zou delen wantja dan ligt alles nog open en bloot op het web 🤣. Moet geen raadsel maken en de antwoorden op een forum zetten. Tot nu toe wel fijn te zien dat iemand me snapt 🫡

Ik denk dat je meer veiligheid wint door je tekening hier te delen en wat advies te krijgen dan door alles geheim te houden. Je dreiging is (verwacht ik) toch voornamelijk botjes en dergelijke en geen handmatige actoren.

liveandlearn schreef op zondag 23 november 2025 @ 22:49:
[...]

Spijker en kop.
Heb ook nog collegas gesproken en denk dat het Ubiquiti gaat worden. 1 collega is er erg over te spreken. Heb helaas geen visio bij de hand. De tekening blijf ik jullie nog even schuldig.

draiw.io is ook een prima alternatief, en nog gratis ook

Ubiquiti is prima leuk voor als je net begint.