Helaas zijn niet altijd alle apparaten in je netwerk te vertrouwen. Met enkele consumentenrouters kun je apparaten scheiden van de rest van je netwerk, bijvoorbeeld door het gastennetwerk te benutten. Dit heeft echter wat beperkingen. Liever zou je zelf labeltjes op het verkeer plakken door te werken met VLAN’s. Je hebt dan niet alleen gescheiden virtuele netwerken, maar je kunt met firewallregels ook de rechten voor apparaten beheren.

De meeste mensen zullen alle netwerkapparaten in huis gewoon aan elkaar knopen via ‘domme’ switches. Het is echter niet zonder risico’s. Misschien heb je een puber die ongecontroleerd alles op zijn laptop installeert. Of heb je wat apparaten uit China gehaald die je niet helemaal vertrouwt, zoals bepaalde ip-camera’s. Wellicht zou je die liever helemaal isoleren van je hoofdnetwerk of de toegang tot internet ontzeggen. Dat is voor ip-camera’s zelfs vrij logisch als je die centraal beheert.

Het kan ook zijn dat je webinterfaces of toegang tot een netwerkprinter liever afschermt voor andere gebruikers. Door een scheiding in je netwerk te maken, kun je dit allemaal voor elkaar krijgen. Maar dat is best een uitdaging. Met de aanwijzingen in dit artikel hopen we je goed op weg te helpen. We behandelen de mogelijkheden van consumentenrouters en laten zien hoe je met VLAN’s op een professionele manier een scheiding in het verkeer aan kunt brengen.

Consumentenrouters

Consumentenrouters, zoals de door internetproviders verstrekte exemplaren, zijn vaak beperkt als het gaat om de isolatie van netwerkapparaten. De Fritz!Box van AVM is een positieve uitzondering. Je kunt hiermee een gastnetwerk opzetten met een afgezonderd wifi-netwerk. Je zou het een hotspot kunnen noemen.

Het verschilt per router wat je precies met een gastnetwerk kunt. Soms kun je het ook beschikbaar maken via een netwerkpoort. Alle gastgebruikers hebben alleen toegang tot internet. Soms kun je ook de bandbreedte en gebruikstijden beperken voor apparaten op het gastnetwerk of de internettoegang beperken tot de standaardprotocollen voor web en e-mail.

Gasten kunnen niet bij de rest van je netwerk. Standaard kunnen ze ook niet met andere wifi-apparaten communiceren binnen het gastennetwerk, al kun je dit laatste optioneel veranderen, zodat onderlinge communicatie wél mogelijk is. Enkele routers (of losse toegangspunten) bieden alleen een isolatie op het niveau van wifi, wat eigenlijk hoofdzakelijk voorkomt dat wifi-gebruikers met elkaar kunnen communiceren.

Met sommige consumentenrouters kun je een wifi-netwerk voor gasten opzetten.

Enkele voordelen

Een gastnetwerk kan nuttig zijn voor bezoekers of een opstandige puber. Het kan ook voor IoT-apparaten van pas komen die genoeg hebben aan een internetverbinding, zoals bepaalde slimme thermostaten, deurbellen en ip-camera’s. Het heeft één groot voordeel: je voorkomt dat een netwerkapparaat (of huisgenoot) andere apparaten kan ‘besmetten’.

Helaas wordt voor jouzelf het ontdekken, configureren en gebruiken van IoT-apparaten vaak complexer als ze geen deel uitmaken van je hoofdnetwerk. Soms los je dat op door een smartphone of tablet tijdelijk op het gastnetwerk te zetten, om bijvoorbeeld een slimme luidspreker in gebruik te nemen. Maar ook bij de normale bediening, zoals het streamen naar de luidspreker, moet je vaak weer het gastennetwerk op. En bovenstaande werkt alleen als er geen isolatie tussen gebruikers is op dit gastnetwerk.

©Jakub Zerdzicki

Een gastnetwerk kan ook handig zijn voor de configuratie van IoT-apparaten.

Lokale controle

Dat je in een gastennetwerk apparaten zoals IoT-apparaten beperkt tot alleen internet heeft een keerzijde. Je forceert bij sommige apparaten namelijk dat ze internet als omweg gebruiken, terwijl ze in een normale situatie voor lokale aansturing zouden hebben gekozen.

Een lokale aansturing, bijvoorbeeld met Home Assistant, heeft een grote meerwaarde. Het werkt vaak sneller en betrouwbaarder. Zelfs als een apparaat het ondersteunt, krijg je het niet voor elkaar als dat apparaat alleen internettoegang heeft. Je krijgt dan de situatie dat een verzoek voor het schakelen van een lamp via een app eerst naar een cloudserver gaat, die vervolgens de opdracht doorspeelt aan de schakelaar.

Als het mogelijk is, houd je dus alles liever lokaal. Daarbij zul je apparaten incidenteel wel toegang tot internet moeten geven, bijvoorbeeld voor een firmware-update. Zo voorkom je ook dat obscure ip-camera’s beelden doorspelen via vaak slecht beveiligde p2p-verbindingen.

©rh2010 - stock.adobe.com

Een ip-camera zul je niet altijd vrije toegang tot internet willen geven. 

Praktisch voorbeeld

Je hebt nu een idee van de (on)mogelijkheden van consumentenrouters. Maar hoe kun je een netwerkscheiding op een professionele manier aanpakken? Dan zul je met VLAN’s moeten werken. Enige planning is handig bij het herinrichten van je netwerk.

Begin met het bedenken van enkele VLAN’s, met per VLAN een getal: de VLAN-ID (of tag). De methode die we hier volgen, is één vertrouwd VLAN als hoofdnetwerk (met VLAN-ID 10), een VLAN voor IoT-apparaten (VLAN-ID 20) en een derde VLAN voor gasten (VLAN-ID 50). Verder hebben we een VLAN voor managementverkeer (VLAN-ID 11). Wellicht wil je nog meer aparte VLAN’s, bijvoorbeeld voor VoIP, ip-tv of ip-camera’s.

Vervolgens kies je per VLAN een subnet met privé-ip-adressen. Het is handig als je daarin de VLAN-ID herkent. Bijvoorbeeld 10.0.10.0/24 voor het hoofdnetwerk, 10.0.20.0/24 voor IoT en 10.0.50.0/24 voor gasten. We gebruiken hier de CIDR-notatie. Bij /24 hoort subnetmasker 255.255.255.0 waarbij voor in dit geval het hoofdnetwerk de reeks bruikbare ip-adressen loopt van 10.0.10.1 t/m 10.0.10.254.

Routersoftware

Hoe je VLAN’s configureert, hangt uiteraard af van de router die je gebruikt. Sommige bestaande routers van bijvoorbeeld Linksys kun je voorzien van de alternatieve OpenWrt-firmware. Afhankelijk van de gebruikte router kun je daarin met VLAN’s werken, al is de configuratie technisch wat meer een uitdaging.

Een professionele router is ook een optie. Je hebt dan vaak alle vrijheid om VLAN’s te maken en firewallregels in te stellen voor al het verkeer. Maar dat heeft nog steeds een zekere complexiteit. Binnen pfSense, dat we in onze testopstelling gebruiken, werkt deze opzet vrij intuïtief en de software is bovendien heel overzichtelijk. De grootste uitdagingen zijn het configureren van je inkomende internetverbinding en het doorgronden van de werking van VLAN’s zodat je deze kunt toepassen.

OpenWrt geeft je de mogelijkheid om een configuratie met VLAN’s te maken.

pfSense virtualiseren

De systeemeisen voor pfSense zijn niet heel veeleisend. Daarom kan het interessant zijn deze software te virtualiseren met bijvoorbeeld Proxmox VE. Deze virtualisatiesoftware laat je flexibel werken met virtuele machines en lichtgewicht Linux-containers. Je kunt pfSense handig in een virtuele machine installeren. De VLAN’s kun je over één netwerkpoort naar buiten aanbieden, maar je kunt ze dankzij de virtuele bridges ook intern gebruiken voor bijvoorbeeld een virtuele machine met Windows of Linux, of een simpele Linux-container.

Het is natuurlijk het mooist als pfSense zo direct mogelijk toegang tot internet heeft, ter vervanging van je router, in plaats van daaráchter (zoals bij dubbele NAT), maar dit laatste kan voor testdoeleinden eventueel wel.

Deze mini-pc van Topton blijkt een goede kandidaat voor onze testopstelling.

Netwerkpoorten

Als je Proxmox VE gebruikt, kies je al bij de installatie een van de netwerkpoorten als managementinterface voor de software. Hier wordt automatisch een zogenoemde bridge voor gemaakt. Het voordeel is dat Proxmox VE altijd via die poort bereikbaar is, ook als pfSense offline is.

Verder maak je ook een bridge voor elke andere netwerkpoort aan. Al die bridges voeg je daarna als netwerkinterface toe aan de virtuele machine met pfSense. Hierna kun je deze bridges binnen pfSense verder configureren. Waar je nog wel op moet letten, is dat je voor bridges de optie VLAN Aware aanvinkt in Proxmox VE als er meerdere VLAN’s op worden gebruikt. We doen dat bijvoorbeeld voor de bridge die via de bijbehorende netwerkpoort alle VLAN’s naar buiten brengt. Handig is dat andere virtuele machines en Linux-containers in Proxmox VE de betreffende bridge ook als netwerkinterface kunnen gebruiken, waarbij je dan zelf de VLAN-ID kunt kiezen.

Binnen pfSense configureer je alle bridges naar je voorkeuren.

Switches

Heb je de router geconfigureerd voor verschillende VLAN’s, dan zul je die virtuele netwerken ook door je huis willen verspreiden richting eindgebruikersapparaten, via switches en eventueel wifi. Je kunt geen ‘domme’ switches gebruiken, ofwel unmanaged switches. Wat deze feitelijk doen, is inkomend verkeer op een bepaalde poort uitzenden, ofwel ‘broadcasten’, naar alle andere poorten. Er wordt verder niet naar het verkeer gekeken en dus ook niet naar de VLAN-tag. Je kunt er dus ook geen scheiding mee maken. Bij een managed switch kan dit wel. Via een configuratiepagina kun je de verschillende VLAN’s instellen en aangeven welke poorten bij welke VLAN(’s) horen.

Je hebt voor het werken met VLAN’s een zogenoemde managed switch nodig.

Trunk- en toegangspoort

Op een managed switch zul je een poort doorgaans ofwel als trunkpoort ofwel als toegangspoort gebruiken. Een trunkpoort verwerkt feitelijk verkeer voor meerdere VLAN’s, bijvoorbeeld tussen een router en een switch, of tussen twee switches onderling. Het gaat (meestal) alleen om ‘tagged’ verkeer, dus steeds voorzien van een VLAN-tag.

Op een toegangspoort sluit je apparaten zoals pc’s en printers aan die zelf niets met VLAN-tags doen. Je levert verkeer op die poorten ‘untagged’ af, dus ontdaan van de VLAN-tag. Hierbij stel je voor elke poort in bij welk VLAN die poort hoort. Hiermee bepaal je dus of een poort bij je hoofdnetwerk hoort of een van de andere VLAN’s (zoals gasten of IoT).

Via een configuratiepagina configureer je de verschillende VLAN’s.

Poortinstelling

Wat soms wordt vergeten, is dat je ook per poort moet aangeven op welk VLAN het inkomende verkeer moet worden ingedeeld, via de zogenoemde PVID. Al zal dat vaak hetzelfde VLAN zijn als het gekozen VLAN voor het uitgaande untagged verkeer. Onthoud simpelweg dat het labeltje (de VLAN-tag) dat je eraf hebt gehaald voor het uitgaande verkeer, er voor inkomend verkeer weer opgeplakt moet worden.

De door ons gebruikte switches van Zyxel zijn vrij intuïtief en overzichtelijk als het gaat om de configuratie van VLAN’s. Het onderste deel van de afbeelding laat zien hoe poort 4 en 5 als trunkpoort worden gebruikt. Op poort 1 en 3 zijn wifi-toegangspunten van Ubiquiti aangesloten, die via de switch overigens ook van voeding worden voorzien dankzij PoE (Power over Ethernet). Ze ontvangen het tagged verkeer voor de drie VLAN’s: het hoofdnetwerk (10), IoT (20) en gasten (50). Voor het managementverkeer voor deze toegangspunten gebruiken we VLAN-ID 11. Het verkeer leveren we ‘untagged’ af, een eis van deze toegangspunten. Verder is poort 2 beschikbaar om bijvoorbeeld een pc of printer op het hoofdnetwerk aan te sluiten. Let ook op de PVID-instelling in het bovenste deel van de afbeelding.

De configuratiepagina van Zyxel is vrij intuïtief wat de configuratie van VLAN’s betreft.

Met accesspoints van bijvoorbeeld Ubiquiti kun je SSID’s ook via wifi gebruiken.

Firewallregels

Het instellen van firewallregels in pfSense vraagt ook wat denkwerk, maar is niet lastig, en je kunt het flexibel inrichten. De apparaten op het hoofdnetwerk geef je vaak de vrije hand. Voor de VLAN’s voor IoT en gasten kun je strikt zijn. Je zult veelal het verkeer naar alle andere VLAN’s blokkeren alsook belangrijke managementinterfaces. Voor gasten is alleen internettoegang nodig naast enkele cruciale server voor DHCP en DNS.

Voor IoT-apparaten zul je internettoegang doorgaans blokkeren, op enkele uitzonderingen na. Het is handig die ‘uitzonderingen’ in een lijstje te zetten. In pfSense kun je ze handig in een zogeheten alias opnemen. Voor die alias kun je dan één firewallregel maken die internettoegang toestaat voor die apparaten.

Ten slotte kun je natuurlijk nog uitzonderingen maken voor verkeer tussen VLAN’s. Denk aan een oppas die vanaf het gastennetwerk toegang tot de ip-camera in de babykamer mag hebben. Of een ip-camera die je toegang geeft tot een NVR.

Bij ID.nl zijn we gek op producten waar je niet de hoofdprijs voor betaalt. Een paar keer per week speuren we daarom binnen een bepaald thema naar zulke deals. Een all-in-one-printer is een handig apparaat voor het scannen, kopiëren en printen van documenten en foto's. De allerbeste afdrukkwaliteit krijg je met een laserprinter. Wij vonden vijf betaalbare modellen voor je.

Een laserprinter maakt gebruik van toner in plaats van inkt om afdrukken te produceren. Toner is een fijn poeder dat met hoge temperaturen op het papier wordt gesmolten. Dit proces zorgt ervoor dat je met grote toners kunt printen, wat betekent dat je langere tijd kunt blijven afdrukken zonder de toner te hoeven vervangen. Laserprinters zijn vaak snel en efficiënt, waardoor ze uitstekend zijn voor gebruik op kantoor. Maar ook als je thuis veel print, bijvoorbeeld als zzp'er, kan een laserprinter uitkomst bieden.

HP Color Laser 179fnw

De HP Color Laser MFP 179fnw is een van de kleinste kleurenlaserprinters in zijn klasse en is daardoor ideaal voor thuisgebruik en plekken waar niet veel plek voor een printer is. Met functies zoals printen, scannen, kopiëren en zelfs nog faxen biedt deze 4-in-1 printer een hoop veelzijdigheid. De afdruksnelheid bedraagt tot 18 pagina's per minuut in zwart-wit en 4 ppm in kleur, met een resolutie van 600 x 600 dpi.

Dankzij de automatische documentinvoer (ADF) voor 40 pagina's en wifi-verbinding is deze printer gebruiksvriendelijk en multi-inzetbaar. Hoewel de afdruksnelheid lager ligt dan bij sommige concurrenten, is zijn compacte formaat juist een pluspunt.

Brother DCP 1610W

De Brother DCP-1610W is een compacte zwart-wit laserprinter die printen, kopiëren en scannen combineert. Met een afdruksnelheid van 20 pagina's per minuut en een resolutie van 2400 x 600 dpi levert hij haarscherpe resultaten. Dankzij wifi-connectiviteit kunnen meerdere gebruikers eenvoudig draadloos printen.

De papierlade biedt plaats aan 150 vellen en het apparaat is voorzien van anti-jam-technologie om papierstoringen tot een minimum te beperken. In vergelijking met de HP Color Laser MFP 179fnw biedt deze printer geen kleurafdrukken, maar hij is wel een stuk sneller met zijn afdrukken.

HP Laserjet Pro 2Z622

De HP LaserJet Pro 2Z622 is geschikt voor onder meer kantooromgevingen. Met afdruksnelheden tot 42 pagina's per minuut en functies zoals dubbelzijdig printen, scannen, kopiëren en faxen is dit een lekker veelzijdige 4-in-1-laserprinter. Het apparaat ondersteunt zowel bekabelde als draadloze netwerken en biedt geavanceerde beveiligingsfuncties.

Canon i-SENSYS MF272wd

De Canon i-SENSYS MF272dw is een monochrome laserprinter en drukt af met en snelheid van 29 pagina's per minuut. Met een resolutie van 2400 x 600 dpi levert hij snelle en scherpe resultaten. Dankzij automatische dubbelzijdige afdrukken, wifi- en ethernetverbinding is hij veelzijdig inzetbaar.

In vergelijking met de Brother DCP-1610W levert deze Canon i-SENSYS MF272dw snellere prestaties en meer connectiviteitsopties, hoewel hij geen kleurendruk ondersteunt; dan moet je toch echt bij de HP Color Laser MFP 179fnw zijn.

Xerox B225 A4

De Xerox B225 is een zwart-wit all-in-one-laserprinter die printen, kopiëren en scannen combineert. Met een afdruksnelheid van maar liefst 34 pagina's per minuut en een eerste afdruktijd van slechts 6,4 seconden is hij goed in te zetten als je veel en vaak print. De printer beschikt over automatische dubbelzijdige afdrukken, een papierlade voor 250 vellen en kan via wifi of een vaste netwerkverbinding met je thuisnetwerk worden verbonden.

Garmin heeft de Instinct 3 - Tactical Edition aangekondigd, een nieuwe serie tactische smartwatches die verkrijgbaar zijn met een AMOLED-scherm of een display op zonne-energie.

De smartwatches zijn volgens Garmin ontworpen voor gebruik in uitdagende omgevingen en voorzien van een met metaal versterkte rand voor extra duurzaamheid, een rucking-activiteit voor training en ingebouwde LED-verlichting op zowel de 45mm als 50mm modellen. De batterijduur van het AMOLED-model kan oplopen tot 24 dagen in smartwatchmodus, terwijl de modellen op zonne-energie onder ideale omstandigheden onbeperkt kunnen functioneren.

Robuust ontwerp

De Instinct 3 - Tactical Edition is voorzien van een stevige constructie met een metalen versterkte rand, een behuizing van met vezels versterkt polymeer en een krasbestendig scherm. De smartwatches zijn gebouwd volgens de MIL-STD 810 norm voor thermische en schokbestendigheid en zijn waterdicht tot 100 meter. De ingebouwde zaklamp biedt variabele lichtsterktes, een groene modus om het natuurlijke nachtzicht te behouden en een stroboscoopmodus voor locatiebepaling in moeilijk terrein. Voor nachtelijk gebruik is er een NVG-modus (Night Vision Goggle) die het scherm dimt tot een niveau dat functioneel blijft voor de gebruiker maar vrijwel onzichtbaar is voor anderen.

Uitgebreide functionaliteit

De Instinct 3 - Tactical Edition beschikt over diverse speciale functies, waaronder rucking-activiteit waarmee gebruikers het gewicht van hun bepakking kunnen invoeren voor beter inzicht in hun fysieke inspanning. Deze functie kan ook worden gebruikt bij activiteiten zoals trailrunning, wandelen en hiken. Alle modellen bevatten de Applied Ballistics solver en zijn compatibel met de Applied Ballistics Quantum app.

De smartwatches zijn verkrijgbaar in twee formaten: 45mm of 50mm met display op zonne-energie, en een 50mm-variant met AMOLED-scherm. De zonne-efficiëntie is verbeterd met een grotere, efficiëntere zonnelens. Vergeleken met het vorige model heeft het nieuwe 50mm model op zonne-energie een vijf keer langere batterijduur in GPS-modus bij opladen via zonlicht.

De smartwatch biedt multi-band GPS met SatIQ technologie voor nauwkeurige positiebepaling met geoptimaliseerde batterijduur. Voor gezondheidsmonitoring houdt de Instinct 3 stappen, hartslag, slaap, zuurstofsaturatie via de pols, hartslagvariabiliteit en meer bij.

Gebruikers ontvangen e-mails, sms'jes en meldingen direct op het horloge wanneer dit is gekoppeld met een compatibele Apple of Android smartphone.

Navigatie en veiligheid

Gebruikers kunnen navigeren met een 3-assig kompas, barometrische hoogtemeter en multi-band GPS. De Instinct 3 kan worden gekoppeld met de Garmin Explore App voor gedetailleerde kaarten, waypoints en routes.

Voor gebruik op gevoelige locaties biedt de Stealth Mode de mogelijkheid om draadloze communicatie uit te schakelen terwijl het horloge nog steeds activiteitsgegevens verzamelt zonder locatiegegevens op te slaan. De Kill Switch kan alle gebruikersgeheugen wissen als de veiligheid in het geding komt. Andere functies zijn weergave van twee posities tegelijkertijd op één scherm, Jumpmaster en geprojecteerde waypoints.

Trainingsfuncties

De Instinct 3 - Tactical Edition bevat sportapps voor rucken, wandelen, hardlopen, klimmen, jagen, skiën en meer. De TracBack-functie helpt bij het uitstippelen van een route terug naar het beginpunt. Naast buitensportapps bevat de smartwatch ook apps voor HIIT, cardio, hardlopen op binnen- en buitenbanen, basketbal en andere activiteiten.

Gebruikers kunnen trainingsplannen volgen met Garmin Coach voor hardlopen en fietsen, of workouts maken uit meer dan 1.600 oefeningen in de Garmin Connect app. De smartwatch volgt ook intensiteitsminuten, VO2 max en hersteltijd.

Veiligheidsfuncties zoals incidentdetectie en Assistance kunnen een bericht met de GPS-locatie van de gebruiker naar contactpersonen sturen in noodsituaties, wanneer het horloge gekoppeld is met een smartphone.

Beschikbaarheid en prijzen

Het Instinct 3 - Tactical Edition AMOLED-model is vanaf 30 april te bestellen op Garmin.com voor een adviesprijs van 599,99 euro. De modellen op zonne-energie beginnen bij een adviesprijs van 499,99 euro.

Bekijk andere Garmin-producten op Kieskeurig.nl: