Helaas zijn niet altijd alle apparaten in je netwerk te vertrouwen. Met enkele consumentenrouters kun je apparaten scheiden van de rest van je netwerk, bijvoorbeeld door het gastennetwerk te benutten. Dit heeft echter wat beperkingen. Liever zou je zelf labeltjes op het verkeer plakken door te werken met VLAN’s. Je hebt dan niet alleen gescheiden virtuele netwerken, maar je kunt met firewallregels ook de rechten voor apparaten beheren.

De meeste mensen zullen alle netwerkapparaten in huis gewoon aan elkaar knopen via ‘domme’ switches. Het is echter niet zonder risico’s. Misschien heb je een puber die ongecontroleerd alles op zijn laptop installeert. Of heb je wat apparaten uit China gehaald die je niet helemaal vertrouwt, zoals bepaalde ip-camera’s. Wellicht zou je die liever helemaal isoleren van je hoofdnetwerk of de toegang tot internet ontzeggen. Dat is voor ip-camera’s zelfs vrij logisch als je die centraal beheert.

Het kan ook zijn dat je webinterfaces of toegang tot een netwerkprinter liever afschermt voor andere gebruikers. Door een scheiding in je netwerk te maken, kun je dit allemaal voor elkaar krijgen. Maar dat is best een uitdaging. Met de aanwijzingen in dit artikel hopen we je goed op weg te helpen. We behandelen de mogelijkheden van consumentenrouters en laten zien hoe je met VLAN’s op een professionele manier een scheiding in het verkeer aan kunt brengen.

Consumentenrouters

Consumentenrouters, zoals de door internetproviders verstrekte exemplaren, zijn vaak beperkt als het gaat om de isolatie van netwerkapparaten. De Fritz!Box van AVM is een positieve uitzondering. Je kunt hiermee een gastnetwerk opzetten met een afgezonderd wifi-netwerk. Je zou het een hotspot kunnen noemen.

Het verschilt per router wat je precies met een gastnetwerk kunt. Soms kun je het ook beschikbaar maken via een netwerkpoort. Alle gastgebruikers hebben alleen toegang tot internet. Soms kun je ook de bandbreedte en gebruikstijden beperken voor apparaten op het gastnetwerk of de internettoegang beperken tot de standaardprotocollen voor web en e-mail.

Gasten kunnen niet bij de rest van je netwerk. Standaard kunnen ze ook niet met andere wifi-apparaten communiceren binnen het gastennetwerk, al kun je dit laatste optioneel veranderen, zodat onderlinge communicatie wél mogelijk is. Enkele routers (of losse toegangspunten) bieden alleen een isolatie op het niveau van wifi, wat eigenlijk hoofdzakelijk voorkomt dat wifi-gebruikers met elkaar kunnen communiceren.

Enkele voordelen

Een gastnetwerk kan nuttig zijn voor bezoekers of een opstandige puber. Het kan ook voor IoT-apparaten van pas komen die genoeg hebben aan een internetverbinding, zoals bepaalde slimme thermostaten, deurbellen en ip-camera’s. Het heeft één groot voordeel: je voorkomt dat een netwerkapparaat (of huisgenoot) andere apparaten kan ‘besmetten’.

Helaas wordt voor jouzelf het ontdekken, configureren en gebruiken van IoT-apparaten vaak complexer als ze geen deel uitmaken van je hoofdnetwerk. Soms los je dat op door een smartphone of tablet tijdelijk op het gastnetwerk te zetten, om bijvoorbeeld een slimme luidspreker in gebruik te nemen. Maar ook bij de normale bediening, zoals het streamen naar de luidspreker, moet je vaak weer het gastennetwerk op. En bovenstaande werkt alleen als er geen isolatie tussen gebruikers is op dit gastnetwerk.

©Jakub Zerdzicki

Lokale controle

Dat je in een gastennetwerk apparaten zoals IoT-apparaten beperkt tot alleen internet heeft een keerzijde. Je forceert bij sommige apparaten namelijk dat ze internet als omweg gebruiken, terwijl ze in een normale situatie voor lokale aansturing zouden hebben gekozen.

Een lokale aansturing, bijvoorbeeld met Home Assistant, heeft een grote meerwaarde. Het werkt vaak sneller en betrouwbaarder. Zelfs als een apparaat het ondersteunt, krijg je het niet voor elkaar als dat apparaat alleen internettoegang heeft. Je krijgt dan de situatie dat een verzoek voor het schakelen van een lamp via een app eerst naar een cloudserver gaat, die vervolgens de opdracht doorspeelt aan de schakelaar.

Als het mogelijk is, houd je dus alles liever lokaal. Daarbij zul je apparaten incidenteel wel toegang tot internet moeten geven, bijvoorbeeld voor een firmware-update. Zo voorkom je ook dat obscure ip-camera’s beelden doorspelen via vaak slecht beveiligde p2p-verbindingen.

©rh2010 - stock.adobe.com

Praktisch voorbeeld

Je hebt nu een idee van de (on)mogelijkheden van consumentenrouters. Maar hoe kun je een netwerkscheiding op een professionele manier aanpakken? Dan zul je met VLAN’s moeten werken. Enige planning is handig bij het herinrichten van je netwerk.

Begin met het bedenken van enkele VLAN’s, met per VLAN een getal: de VLAN-ID (of tag). De methode die we hier volgen, is één vertrouwd VLAN als hoofdnetwerk (met VLAN-ID 10), een VLAN voor IoT-apparaten (VLAN-ID 20) en een derde VLAN voor gasten (VLAN-ID 50). Verder hebben we een VLAN voor managementverkeer (VLAN-ID 11). Wellicht wil je nog meer aparte VLAN’s, bijvoorbeeld voor VoIP, ip-tv of ip-camera’s.

Vervolgens kies je per VLAN een subnet met privé-ip-adressen. Het is handig als je daarin de VLAN-ID herkent. Bijvoorbeeld 10.0.10.0/24 voor het hoofdnetwerk, 10.0.20.0/24 voor IoT en 10.0.50.0/24 voor gasten. We gebruiken hier de CIDR-notatie. Bij /24 hoort subnetmasker 255.255.255.0 waarbij voor in dit geval het hoofdnetwerk de reeks bruikbare ip-adressen loopt van 10.0.10.1 t/m 10.0.10.254.

Routersoftware

Hoe je VLAN’s configureert, hangt uiteraard af van de router die je gebruikt. Sommige bestaande routers van bijvoorbeeld Linksys kun je voorzien van de alternatieve OpenWrt-firmware. Afhankelijk van de gebruikte router kun je daarin met VLAN’s werken, al is de configuratie technisch wat meer een uitdaging.

Een professionele router is ook een optie. Je hebt dan vaak alle vrijheid om VLAN’s te maken en firewallregels in te stellen voor al het verkeer. Maar dat heeft nog steeds een zekere complexiteit. Binnen pfSense, dat we in onze testopstelling gebruiken, werkt deze opzet vrij intuïtief en de software is bovendien heel overzichtelijk. De grootste uitdagingen zijn het configureren van je inkomende internetverbinding en het doorgronden van de werking van VLAN’s zodat je deze kunt toepassen.

pfSense virtualiseren

De systeemeisen voor pfSense zijn niet heel veeleisend. Daarom kan het interessant zijn deze software te virtualiseren met bijvoorbeeld Proxmox VE. Deze virtualisatiesoftware laat je flexibel werken met virtuele machines en lichtgewicht Linux-containers. Je kunt pfSense handig in een virtuele machine installeren. De VLAN’s kun je over één netwerkpoort naar buiten aanbieden, maar je kunt ze dankzij de virtuele bridges ook intern gebruiken voor bijvoorbeeld een virtuele machine met Windows of Linux, of een simpele Linux-container.

Het is natuurlijk het mooist als pfSense zo direct mogelijk toegang tot internet heeft, ter vervanging van je router, in plaats van daaráchter (zoals bij dubbele NAT), maar dit laatste kan voor testdoeleinden eventueel wel.

Netwerkpoorten

Als je Proxmox VE gebruikt, kies je al bij de installatie een van de netwerkpoorten als managementinterface voor de software. Hier wordt automatisch een zogenoemde bridge voor gemaakt. Het voordeel is dat Proxmox VE altijd via die poort bereikbaar is, ook als pfSense offline is.

Verder maak je ook een bridge voor elke andere netwerkpoort aan. Al die bridges voeg je daarna als netwerkinterface toe aan de virtuele machine met pfSense. Hierna kun je deze bridges binnen pfSense verder configureren. Waar je nog wel op moet letten, is dat je voor bridges de optie VLAN Aware aanvinkt in Proxmox VE als er meerdere VLAN’s op worden gebruikt. We doen dat bijvoorbeeld voor de bridge die via de bijbehorende netwerkpoort alle VLAN’s naar buiten brengt. Handig is dat andere virtuele machines en Linux-containers in Proxmox VE de betreffende bridge ook als netwerkinterface kunnen gebruiken, waarbij je dan zelf de VLAN-ID kunt kiezen.

Switches

Heb je de router geconfigureerd voor verschillende VLAN’s, dan zul je die virtuele netwerken ook door je huis willen verspreiden richting eindgebruikersapparaten, via switches en eventueel wifi. Je kunt geen ‘domme’ switches gebruiken, ofwel unmanaged switches. Wat deze feitelijk doen, is inkomend verkeer op een bepaalde poort uitzenden, ofwel ‘broadcasten’, naar alle andere poorten. Er wordt verder niet naar het verkeer gekeken en dus ook niet naar de VLAN-tag. Je kunt er dus ook geen scheiding mee maken. Bij een managed switch kan dit wel. Via een configuratiepagina kun je de verschillende VLAN’s instellen en aangeven welke poorten bij welke VLAN(’s) horen.

Trunk- en toegangspoort

Op een managed switch zul je een poort doorgaans ofwel als trunkpoort ofwel als toegangspoort gebruiken. Een trunkpoort verwerkt feitelijk verkeer voor meerdere VLAN’s, bijvoorbeeld tussen een router en een switch, of tussen twee switches onderling. Het gaat (meestal) alleen om ‘tagged’ verkeer, dus steeds voorzien van een VLAN-tag.

Op een toegangspoort sluit je apparaten zoals pc’s en printers aan die zelf niets met VLAN-tags doen. Je levert verkeer op die poorten ‘untagged’ af, dus ontdaan van de VLAN-tag. Hierbij stel je voor elke poort in bij welk VLAN die poort hoort. Hiermee bepaal je dus of een poort bij je hoofdnetwerk hoort of een van de andere VLAN’s (zoals gasten of IoT).

Poortinstelling

Wat soms wordt vergeten, is dat je ook per poort moet aangeven op welk VLAN het inkomende verkeer moet worden ingedeeld, via de zogenoemde PVID. Al zal dat vaak hetzelfde VLAN zijn als het gekozen VLAN voor het uitgaande untagged verkeer. Onthoud simpelweg dat het labeltje (de VLAN-tag) dat je eraf hebt gehaald voor het uitgaande verkeer, er voor inkomend verkeer weer opgeplakt moet worden.

De door ons gebruikte switches van Zyxel zijn vrij intuïtief en overzichtelijk als het gaat om de configuratie van VLAN’s. Het onderste deel van de afbeelding laat zien hoe poort 4 en 5 als trunkpoort worden gebruikt. Op poort 1 en 3 zijn wifi-toegangspunten van Ubiquiti aangesloten, die via de switch overigens ook van voeding worden voorzien dankzij PoE (Power over Ethernet). Ze ontvangen het tagged verkeer voor de drie VLAN’s: het hoofdnetwerk (10), IoT (20) en gasten (50). Voor het managementverkeer voor deze toegangspunten gebruiken we VLAN-ID 11. Het verkeer leveren we ‘untagged’ af, een eis van deze toegangspunten. Verder is poort 2 beschikbaar om bijvoorbeeld een pc of printer op het hoofdnetwerk aan te sluiten. Let ook op de PVID-instelling in het bovenste deel van de afbeelding.

Firewallregels

Het instellen van firewallregels in pfSense vraagt ook wat denkwerk, maar is niet lastig, en je kunt het flexibel inrichten. De apparaten op het hoofdnetwerk geef je vaak de vrije hand. Voor de VLAN’s voor IoT en gasten kun je strikt zijn. Je zult veelal het verkeer naar alle andere VLAN’s blokkeren alsook belangrijke managementinterfaces. Voor gasten is alleen internettoegang nodig naast enkele cruciale server voor DHCP en DNS.

Voor IoT-apparaten zul je internettoegang doorgaans blokkeren, op enkele uitzonderingen na. Het is handig die ‘uitzonderingen’ in een lijstje te zetten. In pfSense kun je ze handig in een zogeheten alias opnemen. Voor die alias kun je dan één firewallregel maken die internettoegang toestaat voor die apparaten.

Ten slotte kun je natuurlijk nog uitzonderingen maken voor verkeer tussen VLAN’s. Denk aan een oppas die vanaf het gastennetwerk toegang tot de ip-camera in de babykamer mag hebben. Of een ip-camera die je toegang geeft tot een NVR.

Bij een inbouwkeuken zijn de meeste apparaten netjes weggewerkt. Een vaatwasser bijvoorbeeld is dan al voor je ingebouwd en door middel van een opzetdeur onzichtbaar van buitenaf. Maar wat nou als je een vrijstaande vaatwasser hebt, kun je die dan alsnog inbouwen in je bestaande keuken? Dit zijn de mogelijkheden.

Wil je dat je vaatwasser netjes opgaat in de rest van je keuken? Dan kun je ‘m inbouwen. zodat het er wat strakker uitziet. Je leest hoe je de ruimte voorbereidt, de water- en afvoeraansluiting maakt en hoe je het apparaat goed op z’n plek zet.

©ID.nl

De voorbereiding: meten is weten

Voordat je überhaupt begint met boren, zagen of sjouwen, is het slim om te bedenken waar je de vaatwasser precies wilt hebben. De meest logische plek is onder het aanrecht, het liefst zo dicht mogelijk bij de waterleiding en afvoer. Meestal haal je een keukenkastje weg om ruimte te maken. Let er wel op dat de vaatwasser daar ook echt past. Meet dus goed de hoogte, breedte en diepte van de plek waar hij moet komen. Houd altijd een beetje speling, zodat je de machine kunt schuiven en stellen.

Als er geen aparte kraan is in de buurt van de nieuwe plek voor de vaatwasser, dan moet je die nog aanleggen. Ook de afvoer moet geschikt zijn. Sommige sifons onder de gootsteen hebben al een aansluiting voor een vaatwasser, maar dat is niet altijd zo. In dat geval zul je de sifon moeten vervangen. Een sifon met een aparte aansluiting is te koop bij de meeste bouwmarkten. Tot slot is een geaard stopcontact nodig, liefst op dezelfde groep als de andere keukenapparaten.

De wateraansluiting maken

Als je al een kraan in de buurt hebt met een aansluiting voor een wasmachine of vaatwasser, dan ben je snel klaar. Je hoeft dan alleen maar de slang van de vaatwasser op de kraan te draaien. Zorg dat je dit stevig doet en gebruik eventueel teflontape op de schroefdraad om lekkage te voorkomen. Controleer of de aansluiting niet lekt door de kraan voorzichtig open te draaien.

©Mark Gamble

Heb je nog geen geschikte kraan, dan moet je die eerst laten installeren. Bij voorkeur laat je dat soort werkzaamheden uitvoeren door een loodgieter of installateur, maar als je zelf handig bent met water(leidingen) zou je het ook zelf kunnen doen.

Je sluit eerst de hoofdkraan af en laat je de leidingen leeglopen. Vervolgens snijd je een stuk uit de bestaande leiding, bijvoorbeeld met een pijpsnijder, en plaats je een T-stuk. Op dat T-stuk monteer je een extra leidingstuk naar een muurplaat, waar de nieuwe kraan op komt. Zorg dat je alles goed vastzet en gebruik teflontape om de schroefdraad waterdicht te maken. Als alles aangesloten is, kun je de hoofdkraan weer openen en controleer je of alles droog blijft.

De afvoer aansluiten op de sifon

Een vaatwasser pompt vuil water weg, en dat moet netjes worden afgevoerd. De makkelijkste manier is via de sifon onder de gootsteen. Heeft jouw sifon nog geen aansluiting voor een vaatwasser, dan kun je die vervangen door een model dat er wél een heeft.

©by_r@mann

De afvoerslang van de vaatwasser steek je vervolgens in de opening van de sifon. Die opening is vaak voorzien van een dopje dat je eerst moet verwijderen. De slang moet een stukje in de aansluiting worden geschoven, meestal zo’n tien tot vijftien centimeter. Daarna draai je er een slangklem omheen om te voorkomen dat de slang losschiet. Let goed op dat de slang niet knikt en nergens tegen scherpe randen aankomt. De afvoer moet namelijk vrij kunnen doorlopen, anders krijg je lekkage of een foutmelding van het apparaat.

Elektriciteit en veiligheid

De vaatwasser heeft stroom nodig, dus er moet een geaard stopcontact in de buurt zijn. Idealiter bevindt zich dat in hetzelfde keukendeel, zodat je de stekker zonder verlengsnoeren kunt aansluiten. Is er geen geschikt stopcontact, dan kun je overwegen om er een te laten aanleggen. Dat moet altijd door een erkend elektricien gebeuren, zeker in ruimtes met veel vocht zoals in keukens. Gebruik geen stekkerdozen of verlengsnoeren, want die zijn niet geschikt voor apparaten met een hoog vermogen. Zorg er ook voor dat de vaatwasser op een aparte groep zit als je al veel andere keukenapparaten hebt. Denk aan de oven, magnetron of koelkast. Die trekken allemaal veel stroom, en overbelasting kan gevaarlijk zijn.

©Tomasz - stock.adobe.com

Vaatwasser plaatsen

Nu de aansluitingen in orde zijn, kun je de vaatwasser op z’n plek schuiven. Doe dit voorzichtig, zeker als de aansluitingen aan de achterkant zitten. Laat voldoende ruimte over zodat je de slangen niet klemt of knikt tijdens het schuiven. Het is handig om iemand anders te laten meekijken naar de slangen terwijl je de machine op zijn plek zet.

Zodra de vaatwasser staat, stel je ‘m waterpas af. Aan de voorkant zitten meestal twee verstelbare pootjes die je kunt draaien. Sommige modellen hebben ook een verstelbare achterpoot, die je via de voorkant kunt bijstellen met een schroevendraaier. Een goede waterpas plaatsing is belangrijk: als de machine scheef staat, kan er water blijven staan of loopt het afwasprogramma niet goed.

©ID.nl

Controleer ook of de voorkant van de vaatwasser mooi aansluit bij de rest van je keuken. Bij een vrijstaand model dat je inbouwt, kan het zijn dat de voorkant iets uitsteekt.

De test: werkt alles zoals het hoort?

Voordat je je eerste volle vaat draait, is het slim om eerst een proefprogramma te laten draaien. Zet de kraan volledig open, sluit de deur van de vaatwasser, en kies een kort programma, bijvoorbeeld spoelen of voorwas. Let goed op tijdens het draaien: hoor je vreemde geluiden? Zie je water weglekken? Dan zit er misschien iets niet goed aangesloten.

©Monkey Business Images

Na afloop van het programma controleer je alle aansluitingen nog een keer. Zijn de slangen droog? Is er geen water op de vloer? Werkt het apparaat zoals het hoort? Dan ben je klaar en kun je de vaatwasser voortaan zorgeloos gebruiken.

Afwerking met frontjes en panelen

Wil je je vaatwasser mooi laten aansluiten bij de rest van je keuken, dan denk je al snel aan een frontje of paneel. Maar bij een vrijstaand model is dat niet altijd mogelijk. Die zijn namelijk ontworpen om los te staan en hebben vaak geen stevige deurconstructie of bevestigingspunten voor een kastfront. Bovendien zit het bedieningspaneel aan de voorkant, dus als het al mogelijk is om een frontje te plaatsen, dan dek je daarmee het bedieningspaneel af en dat heeft natuurlijk geen zin.

Toch kun je een vrijstaande vaatwasser netjes inbouwen. Bij sommige modellen kun je de bovenplaat verwijderen, waardoor hij onder het aanrecht past. Door hem tussen twee kastjes te plaatsen en de zijkanten af te werken met panelen, oogt het al veel rustiger. Let er wel op dat er genoeg ruimte overblijft voor ventilatie.

Bij modellen die wél geschikt zijn voor frontmontage kun je een frontpaneel met schroeven aan de deur bevestigen. Gebruik hiervoor de boormal of instructie uit de handleiding. Zorg ook dat de onderkant mooi aansluit bij de plint van je keuken, en werk de zijkanten af met passende panelen als dat nodig is. Ook zonder een echt kastfront kun je dus een vrijstaand model strak laten inbouwen. Met een beetje aandacht voor afwerking ziet het er al snel netjes en passend uit.

Tot slot

Een vrijstaande vaatwasser inbouwen is goed te doen, ook als je geen ervaren klusser bent. Het belangrijkste is dat je rustig de tijd neemt, alles goed opmeet, en stap voor stap werkt. Zorg voor veilige aansluitingen, plaats het apparaat waterpas en controleer of alles goed werkt. Met een paar uur werk heb je dan een strakke keuken en kun je jarenlang genieten van een mooi weggewerkte vaatwasser.

Samsung heeft op het gamingevenement Gamescom 2025 in Keulen een aantal nieuwe producten wereldkundig gemaakt. Het bedrijf presenteerde onder meer twee nieuwe Odyssey G7-monitors en liet daarnaast de nieuwste ontwikkelingen op het gebied van brilvrij 3D zien. Daarmee geeft Samsung een beeld van de richting waarin het zijn monitorlijn en gamingtechnologie verder ontwikkelt.

Nieuwe G7-monitoren: meer scherm, meer snelheid

De Odyssey G7-lijn krijgt uitbreiding met een 37-inch model met 4K-resolutie en een 40-inch ultrawide scherm met 5K2K-resolutie. Beide modellen zijn ontwikkeld voor next-gen gaming, met hoge verversingssnelheden, HDR10+ Gaming en ondersteuning voor FreeSync Premium Pro. Ze beschikken bovendien over slimme extra’s zoals Picture-in-Picture en CoreSync-verlichting die zich aanpast aan de actie op het scherm. Voor gamers betekent dit haarscherpe beelden, vloeiende actie en een scherm dat ook geschikt is voor multitasking en streaming.

Op de beursvloer laat Samsung bezoekers de nieuwe monitoren zelf ervaren met de game Genshin Impact, waarbij vooral het enorme 40-inch ultrawide model indruk maakt. De G7’s zijn inmiddels verkrijgbaar in Korea en de VS; Europa volgt in september.

©Samsung

Brilvrije 3D groeit door

Minstens zo opvallend is de aandacht voor de Odyssey 3D, Samsungs monitor die diepte-effecten kan tonen zonder dat daar een bril voor nodig is. Op Gamescom zijn onder andere de games Stellar Blade en Mongil: Star Dive in dit formaat te spelen. Het bijzondere van deze technologie is dat de 3D-weergave zich aanpast aan de game en zelfs instelbaar is voor de speler. Daardoor ontstaat een extra laag beleving die volgens Samsung de manier waarop we gamen ingrijpend kan veranderen.

De Odyssey 3D Hub, Samsungs eigen platform voor 3D-content, groeit intussen gestaag. Het aanbod telt nu ruim 25 titels en moet tegen het eind van het jaar boven de 50 games uitkomen, met grote namen als Lies of P: Overture en opnieuw Stellar Blade.

©Samsung

Oledmonitors voor topgames

Tot slot zet Samsung zijn oledmonitors stevig in de etalage. Bij de stand van World of Warcraft draaien tientallen pc's op de Odyssey OLED G6, een scherm dat razendsnel ververst (tot 500 Hz). Ook de game Crimson Desert van Pearl Abyss schittert op een combinatie van de G6 en de grotere Odyssey OLED G8 met 4K-resolutie en 240 Hz. Hiermee laat Samsung zien dat het voor zowel competitieve e-sporters als liefhebbers van grafisch uitgebreide werelden de ideale hardware in huis heeft.

Wat betekent dit voor gamers?

Met de introductie van de 40-inch 5K2K-monitor geeft Samsung gamers meer ruimte dan ooit. De beeldscherpte en verversingssnelheid maken dit scherm een serieuze optie voor wie helemaal in zijn game wil verdwijnen. Het idee van brilvrije 3D bewijst dat er naast hogere resoluties en snellere panelen nog steeds ruimte is voor nieuwe manieren van beleving. En wie puur op zoek is naar snelheid of contrast, vindt dat nu ook terug in de oledmodellen die op de beursvloer te zien zijn.