ID.nl logo
Aparte netwerken maken voor een veilig thuisnetwerk: zo doe je dat!
© xiaoliangge - stock.adobe.com
Huis

Aparte netwerken maken voor een veilig thuisnetwerk: zo doe je dat!

Helaas zijn niet altijd alle apparaten in je netwerk te vertrouwen. Met enkele consumentenrouters kun je apparaten scheiden van de rest van je netwerk, bijvoorbeeld door het gastennetwerk te benutten. Dit heeft echter wat beperkingen. Liever zou je zelf labeltjes op het verkeer plakken door te werken met VLAN’s. Je hebt dan niet alleen gescheiden virtuele netwerken, maar je kunt met firewallregels ook de rechten voor apparaten beheren.

In dit artikel leggen we uit hoe je een netwerkscheiding op een professionele manier aanpakt. Dat doe je met VLAN's. Het volgende bespreken we:

  • Wat is de benodigde routersoftware? (Wij gaan aan de slag met pfSense)
  • Hoe verspreid je deze virtuele netwerken naar je apparaten?
  • Wat is de juiste poortinstelling?
  • Hoe stel je firewall-regels in?

Ook interessant: Kende je deze geavanceerde router-instellingen al?

De meeste mensen zullen alle netwerkapparaten in huis gewoon aan elkaar knopen via ‘domme’ switches. Het is echter niet zonder risico’s. Misschien heb je een puber die ongecontroleerd alles op zijn laptop installeert. Of heb je wat apparaten uit China gehaald die je niet helemaal vertrouwt, zoals bepaalde ip-camera’s. Wellicht zou je die liever helemaal isoleren van je hoofdnetwerk of de toegang tot internet ontzeggen. Dat is voor ip-camera’s zelfs vrij logisch als je die centraal beheert.

Het kan ook zijn dat je webinterfaces of toegang tot een netwerkprinter liever afschermt voor andere gebruikers. Door een scheiding in je netwerk te maken, kun je dit allemaal voor elkaar krijgen. Maar dat is best een uitdaging. Met de aanwijzingen in dit artikel hopen we je goed op weg te helpen. We behandelen de mogelijkheden van consumentenrouters en laten zien hoe je met VLAN’s op een professionele manier een scheiding in het verkeer aan kunt brengen.

Consumentenrouters

Consumentenrouters, zoals de door internetproviders verstrekte exemplaren, zijn vaak beperkt als het gaat om de isolatie van netwerkapparaten. De Fritz!Box van AVM is een positieve uitzondering. Je kunt hiermee een gastnetwerk opzetten met een afgezonderd wifi-netwerk. Je zou het een hotspot kunnen noemen.

Het verschilt per router wat je precies met een gastnetwerk kunt. Soms kun je het ook beschikbaar maken via een netwerkpoort. Alle gastgebruikers hebben alleen toegang tot internet. Soms kun je ook de bandbreedte en gebruikstijden beperken voor apparaten op het gastnetwerk of de internettoegang beperken tot de standaardprotocollen voor web en e-mail.

Gasten kunnen niet bij de rest van je netwerk. Standaard kunnen ze ook niet met andere wifi-apparaten communiceren binnen het gastennetwerk, al kun je dit laatste optioneel veranderen, zodat onderlinge communicatie wél mogelijk is. Enkele routers (of losse toegangspunten) bieden alleen een isolatie op het niveau van wifi, wat eigenlijk hoofdzakelijk voorkomt dat wifi-gebruikers met elkaar kunnen communiceren.

Met sommige consumentenrouters kun je een wifi-netwerk voor gasten opzetten.

Enkele voordelen

Een gastnetwerk kan nuttig zijn voor bezoekers of een opstandige puber. Het kan ook voor IoT-apparaten van pas komen die genoeg hebben aan een internetverbinding, zoals bepaalde slimme thermostaten, deurbellen en ip-camera’s. Het heeft één groot voordeel: je voorkomt dat een netwerkapparaat (of huisgenoot) andere apparaten kan ‘besmetten’.

Helaas wordt voor jouzelf het ontdekken, configureren en gebruiken van IoT-apparaten vaak complexer als ze geen deel uitmaken van je hoofdnetwerk. Soms los je dat op door een smartphone of tablet tijdelijk op het gastnetwerk te zetten, om bijvoorbeeld een slimme luidspreker in gebruik te nemen. Maar ook bij de normale bediening, zoals het streamen naar de luidspreker, moet je vaak weer het gastennetwerk op. En bovenstaande werkt alleen als er geen isolatie tussen gebruikers is op dit gastnetwerk.

©Jakub Zerdzicki

Een gastnetwerk kan ook handig zijn voor de configuratie van IoT-apparaten.

Wat is een gastnetwerk? Technisch bestaat er in de wereld van netwerken uiteraard niet zoiets als een gastnetwerk. Voor zulke gescheiden netwerken werkt een router intern met VLAN’s. Dat gebeurt vaak ook al voor inkomende verbindingen, bijvoorbeeld om internet, televisie en VoIP te scheiden vanaf het glasvezelnetwerk van KPN. Maar ook voor een gastnetwerk, dat een eigen subnet krijgt, ofwel een privéreeks ip-adressen.

Controleer maar eens welk ip-adres je krijgt: dit wijkt af van de ip-reeks van het hoofdnetwerk. Zo kan eenvoudig worden afgedwongen dat vanaf het gastnetwerk alleen internettoegang mogelijk is en geen toegang tot het hoofdnetwerk.

Lokale controle

Dat je in een gastennetwerk apparaten zoals IoT-apparaten beperkt tot alleen internet heeft een keerzijde. Je forceert bij sommige apparaten namelijk dat ze internet als omweg gebruiken, terwijl ze in een normale situatie voor lokale aansturing zouden hebben gekozen.

Een lokale aansturing, bijvoorbeeld met Home Assistant, heeft een grote meerwaarde. Het werkt vaak sneller en betrouwbaarder. Zelfs als een apparaat het ondersteunt, krijg je het niet voor elkaar als dat apparaat alleen internettoegang heeft. Je krijgt dan de situatie dat een verzoek voor het schakelen van een lamp via een app eerst naar een cloudserver gaat, die vervolgens de opdracht doorspeelt aan de schakelaar.

Als het mogelijk is, houd je dus alles liever lokaal. Daarbij zul je apparaten incidenteel wel toegang tot internet moeten geven, bijvoorbeeld voor een firmware-update. Zo voorkom je ook dat obscure ip-camera’s beelden doorspelen via vaak slecht beveiligde p2p-verbindingen.

©rh2010 - stock.adobe.com

Een ip-camera zul je niet altijd vrije toegang tot internet willen geven. 

Praktisch voorbeeld

Je hebt nu een idee van de (on)mogelijkheden van consumentenrouters. Maar hoe kun je een netwerkscheiding op een professionele manier aanpakken? Dan zul je met VLAN’s moeten werken. Enige planning is handig bij het herinrichten van je netwerk.

Begin met het bedenken van enkele VLAN’s, met per VLAN een getal: de VLAN-ID (of tag). De methode die we hier volgen, is één vertrouwd VLAN als hoofdnetwerk (met VLAN-ID 10), een VLAN voor IoT-apparaten (VLAN-ID 20) en een derde VLAN voor gasten (VLAN-ID 50). Verder hebben we een VLAN voor managementverkeer (VLAN-ID 11). Wellicht wil je nog meer aparte VLAN’s, bijvoorbeeld voor VoIP, ip-tv of ip-camera’s.

Vervolgens kies je per VLAN een subnet met privé-ip-adressen. Het is handig als je daarin de VLAN-ID herkent. Bijvoorbeeld 10.0.10.0/24 voor het hoofdnetwerk, 10.0.20.0/24 voor IoT en 10.0.50.0/24 voor gasten. We gebruiken hier de CIDR-notatie. Bij /24 hoort subnetmasker 255.255.255.0 waarbij voor in dit geval het hoofdnetwerk de reeks bruikbare ip-adressen loopt van 10.0.10.1 t/m 10.0.10.254.

Routersoftware

Hoe je VLAN’s configureert, hangt uiteraard af van de router die je gebruikt. Sommige bestaande routers van bijvoorbeeld Linksys kun je voorzien van de alternatieve OpenWrt-firmware. Afhankelijk van de gebruikte router kun je daarin met VLAN’s werken, al is de configuratie technisch wat meer een uitdaging.

Een professionele router is ook een optie. Je hebt dan vaak alle vrijheid om VLAN’s te maken en firewallregels in te stellen voor al het verkeer. Maar dat heeft nog steeds een zekere complexiteit. Binnen pfSense, dat we in onze testopstelling gebruiken, werkt deze opzet vrij intuïtief en de software is bovendien heel overzichtelijk. De grootste uitdagingen zijn het configureren van je inkomende internetverbinding en het doorgronden van de werking van VLAN’s zodat je deze kunt toepassen.

OpenWrt geeft je de mogelijkheid om een configuratie met VLAN’s te maken.

pfSense virtualiseren

De systeemeisen voor pfSense zijn niet heel veeleisend. Daarom kan het interessant zijn deze software te virtualiseren met bijvoorbeeld Proxmox VE. Deze virtualisatiesoftware laat je flexibel werken met virtuele machines en lichtgewicht Linux-containers. Je kunt pfSense handig in een virtuele machine installeren. De VLAN’s kun je over één netwerkpoort naar buiten aanbieden, maar je kunt ze dankzij de virtuele bridges ook intern gebruiken voor bijvoorbeeld een virtuele machine met Windows of Linux, of een simpele Linux-container.

Het is natuurlijk het mooist als pfSense zo direct mogelijk toegang tot internet heeft, ter vervanging van je router, in plaats van daaráchter (zoals bij dubbele NAT), maar dit laatste kan voor testdoeleinden eventueel wel.

Hardware voor pfSense Netgate, de ontwikkelaar van pfSense, biedt zelf hardware aan voor pfSense, ook wel appliances genoemd. Je zou ze als referentie kunnen gebruiken. De systeemeisen zijn niet heel hoog.

Bij onze testopstelling gebruiken we een mini-pc van Topton, verkrijgbaar via AliExpress, met vier 2,5Gbit/s-netwerkpoorten. Die extra snelheid is prettig, vooral omdat verkeer tussen VLAN’s onderling door de router heen gaat. Dit soort mini-pc’s zijn populair als router/firewall en bovendien opvallend voordelig. Voor de kale configuratie (zonder geheugen en opslag) betaalden we ongeveer 135 euro.

Hij heeft een snelle Intel Celeron N5105 quadcore-processor. We plaatsten twee DDR4-geheugenmodules van 16 GB en de Samsung 980 Pro M.2-ssd. Dit alles is eigenlijk overkill voor pfSense, al zorgt Proxmox VE ervoor dat we ook heel veel andere toepassingen mee kunnen laten draaien. De gekozen hardware blijkt zeer stabiel, en draait ook ‘in productie’, al hebben we aan de buitenkant wel een ventilator toegevoegd voor wat extra koeling.

Deze mini-pc van Topton blijkt een goede kandidaat voor onze testopstelling.

Netwerkpoorten

Als je Proxmox VE gebruikt, kies je al bij de installatie een van de netwerkpoorten als managementinterface voor de software. Hier wordt automatisch een zogenoemde bridge voor gemaakt. Het voordeel is dat Proxmox VE altijd via die poort bereikbaar is, ook als pfSense offline is.

Verder maak je ook een bridge voor elke andere netwerkpoort aan. Al die bridges voeg je daarna als netwerkinterface toe aan de virtuele machine met pfSense. Hierna kun je deze bridges binnen pfSense verder configureren. Waar je nog wel op moet letten, is dat je voor bridges de optie VLAN Aware aanvinkt in Proxmox VE als er meerdere VLAN’s op worden gebruikt. We doen dat bijvoorbeeld voor de bridge die via de bijbehorende netwerkpoort alle VLAN’s naar buiten brengt. Handig is dat andere virtuele machines en Linux-containers in Proxmox VE de betreffende bridge ook als netwerkinterface kunnen gebruiken, waarbij je dan zelf de VLAN-ID kunt kiezen.

Binnen pfSense configureer je alle bridges naar je voorkeuren.

Switches

Heb je de router geconfigureerd voor verschillende VLAN’s, dan zul je die virtuele netwerken ook door je huis willen verspreiden richting eindgebruikersapparaten, via switches en eventueel wifi. Je kunt geen ‘domme’ switches gebruiken, ofwel unmanaged switches. Wat deze feitelijk doen, is inkomend verkeer op een bepaalde poort uitzenden, ofwel ‘broadcasten’, naar alle andere poorten. Er wordt verder niet naar het verkeer gekeken en dus ook niet naar de VLAN-tag. Je kunt er dus ook geen scheiding mee maken. Bij een managed switch kan dit wel. Via een configuratiepagina kun je de verschillende VLAN’s instellen en aangeven welke poorten bij welke VLAN(’s) horen.

Je hebt voor het werken met VLAN’s een zogenoemde managed switch nodig.

Netwerkverkeer scheiden?

Dan heb je een managed switch nodig

Trunk- en toegangspoort

Op een managed switch zul je een poort doorgaans ofwel als trunkpoort ofwel als toegangspoort gebruiken. Een trunkpoort verwerkt feitelijk verkeer voor meerdere VLAN’s, bijvoorbeeld tussen een router en een switch, of tussen twee switches onderling. Het gaat (meestal) alleen om ‘tagged’ verkeer, dus steeds voorzien van een VLAN-tag.

Op een toegangspoort sluit je apparaten zoals pc’s en printers aan die zelf niets met VLAN-tags doen. Je levert verkeer op die poorten ‘untagged’ af, dus ontdaan van de VLAN-tag. Hierbij stel je voor elke poort in bij welk VLAN die poort hoort. Hiermee bepaal je dus of een poort bij je hoofdnetwerk hoort of een van de andere VLAN’s (zoals gasten of IoT).

Via een configuratiepagina configureer je de verschillende VLAN’s.

Poortinstelling

Wat soms wordt vergeten, is dat je ook per poort moet aangeven op welk VLAN het inkomende verkeer moet worden ingedeeld, via de zogenoemde PVID. Al zal dat vaak hetzelfde VLAN zijn als het gekozen VLAN voor het uitgaande untagged verkeer. Onthoud simpelweg dat het labeltje (de VLAN-tag) dat je eraf hebt gehaald voor het uitgaande verkeer, er voor inkomend verkeer weer opgeplakt moet worden.

De door ons gebruikte switches van Zyxel zijn vrij intuïtief en overzichtelijk als het gaat om de configuratie van VLAN’s. Het onderste deel van de afbeelding laat zien hoe poort 4 en 5 als trunkpoort worden gebruikt. Op poort 1 en 3 zijn wifi-toegangspunten van Ubiquiti aangesloten, die via de switch overigens ook van voeding worden voorzien dankzij PoE (Power over Ethernet). Ze ontvangen het tagged verkeer voor de drie VLAN’s: het hoofdnetwerk (10), IoT (20) en gasten (50). Voor het managementverkeer voor deze toegangspunten gebruiken we VLAN-ID 11. Het verkeer leveren we ‘untagged’ af, een eis van deze toegangspunten. Verder is poort 2 beschikbaar om bijvoorbeeld een pc of printer op het hoofdnetwerk aan te sluiten. Let ook op de PVID-instelling in het bovenste deel van de afbeelding.

De configuratiepagina van Zyxel is vrij intuïtief wat de configuratie van VLAN’s betreft.

Scheiding in wifi via SSID’s Het opzetten van wifi voor meerdere VLAN’s kan iets uitdagender zijn. Hoewel je voor elk VLAN een apart wifi-netwerk zou kunnen opbouwen, is het mooier om met toegangspunten te werken die meerdere SSID’s kunnen uitzenden en dus rekening houden met VLAN-tags. Denk aan semiprofessionele accesspoints van Ubiquiti UniFi of TP-Link Omada. Je ‘straalt’ dan via hetzelfde wifi-toegangspunt meerdere netwerken uit, elk met eigen SSID. Je levert alle VLAN’s (zoals het hoofdnetwerk, IoT en gasten) ‘tagged’ af op de accesspoints.

Voor de controllersoftware die dient voor het inregelen van de toegangspunten is het handig een apart VLAN te gebruiken. Merk op dat je dit managementverkeer ‘untagged’ op de toegangspunten moet aanleveren (samen met de ‘tagged’ VLAN’s) met ook weer de juiste PVID. Dat gaat wat intuïtiever als je ook bijbehorende switches van Ubiquiti of TP-Link gebruikt, maar dat is niet verplicht.

Met accesspoints van bijvoorbeeld Ubiquiti kun je SSID’s ook via wifi gebruiken.

Firewallregels

Het instellen van firewallregels in pfSense vraagt ook wat denkwerk, maar is niet lastig, en je kunt het flexibel inrichten. De apparaten op het hoofdnetwerk geef je vaak de vrije hand. Voor de VLAN’s voor IoT en gasten kun je strikt zijn. Je zult veelal het verkeer naar alle andere VLAN’s blokkeren alsook belangrijke managementinterfaces. Voor gasten is alleen internettoegang nodig naast enkele cruciale server voor DHCP en DNS.

Voor IoT-apparaten zul je internettoegang doorgaans blokkeren, op enkele uitzonderingen na. Het is handig die ‘uitzonderingen’ in een lijstje te zetten. In pfSense kun je ze handig in een zogeheten alias opnemen. Voor die alias kun je dan één firewallregel maken die internettoegang toestaat voor die apparaten.

Ten slotte kun je natuurlijk nog uitzonderingen maken voor verkeer tussen VLAN’s. Denk aan een oppas die vanaf het gastennetwerk toegang tot de ip-camera in de babykamer mag hebben. Of een ip-camera die je toegang geeft tot een NVR.

Layer3-switches In onze testopstelling gebruiken we relatief eenvoudige layer2-switches waarbij we alle firewallregels in pfSense configureren. Die regelt ook verkeer tussen VLAN’s. Als pfSense wegvalt, kun je nog steeds binnen hetzelfde VLAN communiceren, maar apparaten op een ander VLAN kun je niet (meer) bereiken.

Er bestaan ook layer3-switches. Die kunnen zelf verkeer tussen VLAN’s regelen en bieden ook extra’s als een DHCP-server en firewallregels. Ze maken je minder afhankelijk van pfSense en je kunt hogere snelheden bereiken voor verkeer tussen VLAN’s, dat niet meer langs pfSense hoeft. Maar de switches zijn veel duurder en de configuratie via de switches wordt veel complexer.

▼ Volgende artikel
Waar voor je geld: 5 vriezers met een grote inhoud van minstens 100 liter
© andov
Huis

Waar voor je geld: 5 vriezers met een grote inhoud van minstens 100 liter

Bij ID.nl zijn we dol op kwaliteitsproducten waar je niet de hoofdprijs voor betaalt. Een paar keer per week speuren we daarom binnen een bepaald thema naar zulke deals. Met een aparte vriezer kun je extra veel eten invriezen en voor langere tijd bewaren. Wij zochten vier vrijstaande vriezers voor je met een inhoud van minstens 100 liter.

Bij een koelkast is het vriesvak meestal beperkt van formaat. Kies je voor een losse vriezer, dan heb je veel meer ruimte. Modellen met meer dan 100 liter zijn geen uitzondering. Wij hebben vijf stuks voor je gevonden met flink wat ruimte.

Whirlpool W55ZM 112 W 2 N

De Whirlpool heeft een netto inhoud van 103 liter. Met een hoogte van 83,8 cm is het apparaat geschikt voor plaatsing onder een aanrechtblad. De vriezer beschikt over twee transparante lades en een vriesvak met klep. De draairichting van de deur is omkeerbaar, waardoor de vriezer flexibel te plaatsen is. De W55ZM heeft een invriescapaciteit van 4,5 kg per 24 uur en een bewaartijd bij stroomuitval van 16 uur. De vriezer behoort tot klimaatklasse SN-T, wat betekent dat hij goed functioneert bij omgevingstemperaturen tussen +10°C en +43°C, maar niet geschikt is voor onverwarmde ruimtes als een schuur of garage. Gezien het formaat is hij ook eerder geschikt voor plaatsing in de keuken.

Jaarlijks energieverbruik: 170 kWh
Netto inhoud: 103 liter
Bewaartijd bij stroomuitval:
16 uur
Geschikt voor schuur of garage
: Nee

Bosch GSN29VLEP 

Deze vrieskast heeft een royale inhoud van 200 liter en is afgewerkt in een roestvrijstalen look, waardoor hij er strak uitziet in elke keuken. Binnenin vind je vier handige, doorzichtige vrieslades, waaronder een extra ruime BigBox-lade voor grotere producten zoals pizza's of diepvriesgroenten. Dankzij de Supervriezen-functie worden nieuwe etenswaren snel ingevroren. Bij een eventuele stroomuitval hoef je je geen zorgen te maken: de vriezer houdt je producten tot wel 25 uur op de juiste temperatuur.

Jaarlijks energieverbruik: 221 kWh
Netto inhoud: 200 liter
Bewaartijd bij stroomuitval: 25 uur
Geschikt voor schuur of garage: Nee

Inventum VR1420

De Inventum VR1420 is een vrijstaande vrieskast met een netto inhoud van 160 liter. Hij beschikt over drie transparante lades en twee vriesvakken met kleppen. De draairichting van de deur is omkeerbaar, waardoor de vriezer flexibel te plaatsen is. Met een invriesvermogen van 7,2 kg per 24 uur en een bewaartijd bij stroomuitval van 9 uur biedt de VR1420 betrouwbare prestaties. Het geluidsniveau bedraagt 42 dB, wat als normaal wordt beschouwd voor dit type apparaat. De vriezer is geschikt voor plaatsing in ruimtes met temperaturen tot -10°C, zoals een garage. Het energielabel van de VR1420 is E, met een jaarlijks energieverbruik van 235 kWh.

Jaarlijks energieverbruik: 235 kWh
Netto inhoud: 160 liter
Bewaartijd bij stroomuitval: 9 uur
Geschikt voor schuur of garage: Ja

Beko RFNE448E45W

Deze Beko heeft een netto inhoud van maar liefst 404 liter. Met een hoogte van 192 cm, een breedte van 70 cm en een diepte van 77 cm biedt deze vriezer dus ruime opslagmogelijkheden. Het apparaat heeft acht transparante vrieslades, waaronder een ruime lade voor het opslaan van grotere producten. De draairichting van de deur kan aangepast worden aan de plaatsingsruimte. Bij stroomuitval blijft de temperatuur tot 30 uur op een veilig niveau. Deze vriezer is echter niet geschikt voor de schuur of garage. Wel heeft deze vriezer een iets zuiniger energielabel dan de meeste apparaten die hier besproken zijn, namelijk D.

Jaarlijks energieverbruik: 233 kWh
Netto inhoud: 404 liter
Bewaartijd bij stroomuitval: 30 uur
Geschikt voor schuur of garage: Nee

AEG OAG7M281EX

De AEG OAG7M281EX is een vrijstaande vrieskast uit de 7000-serie met een netto inhoud van 278 liter. Dankzij de NoFrost-technologie hoef je nooit meer handmatig te ontdooien. De MultiFlow-luchtcirculatie zorgt voor een stabiele temperatuur en luchtvochtigheid in de hele vriezer, wat de kwaliteit van je voedsel beschermt. De vriezer is uitgerust met vijf transparante lades en twee uitneembare glazen legplanken, wat flexibiliteit biedt bij het opbergen van grotere items. Dankzij de elektronische bediening met LED-indicatie kun je de temperatuur en andere instellingen precies regelen. De invriescapaciteit bedraagt 13 kilogram per 24 uur, ruim voldoende om ook na een grote boodschappenronde alles snel in te vriezen.

Jaarlijks energieverbruik: 248 kWh
Netto inhoud: 278 liter
Bewaartijd bij stroomuitval: 15 uur
Geschikt voor schuur of garage: Nee

▼ Volgende artikel
Review JBL Tour One M3 – Zeer complete hoofdtelefoon
© Rens Blom
Huis

Review JBL Tour One M3 – Zeer complete hoofdtelefoon

De JBL Tour One M3 is een over-ear-hoofdtelefoon met ANC-modus, waarin hij zoveel mogelijk omgevingsgeluiden minimaliseert om jou rustig te laten luisteren naar muziek of een podcast. JBL voorziet de hoofdtelefoon van nog veel meer functies. In deze review lees je onze ervaringen met de JBL Tour One M3 na drie weken intensief gebruik.

Uitstekend
Conclusie

De JBL Tour One M3 biedt premium draagcomfort, een uitstekende accuduur en krachtig geluid in een strak jasje. De ANC-modus werkt effectief, maar moet verschillende andere hoofdtelefoons voor zich dulden. Tot slot de Smart Tx: een slim ontworpen gadget waar de een veel plezier aan gaat beleven, en waar een ander geen behoefte aan heeft. Goed dat JBL de Tour One M3 met en zonder Smart Tx aanbiedt, voor een prijs vanaf 350 euro. Een stevige prijs, maar een gerechtvaardigde prijs naar onze mening.

Plus- en minpunten
  • Prettig, vouwbaar ontwerp
  • Geluidskwaliteit
  • Veel functies
  • Optionele Smart Tx-gadget kan echt nuttig zijn
  • ANC-modus is goed maar moet sommige concurrenten voor zich dulden

JBL heeft voor velen een wat stoerder imago, onder andere door de focus op krachtige luidsprekers en oordopjes en marketing gericht op een jongere doelgroep. Daar horen ook speciale hoofdtelefoons bij. De Tour One M3 is wat dat betreft een minder typisch JBL-product, want deze luxe hoofdtelefoon past qua adviesprijs (350 euro), uitstraling en functies meer bij mensen die in alle rust willen genieten. Bijvoorbeeld in de trein of in het vliegtuig. Ja, de Tour One M3 is zeker interessant voor (zaken)reizigers. Een domein waar traditioneel vooral Bose en Sony sterk in zijn.

Ontwerp en draagcomfort

De JBL Tour One M3 oogt zakelijk in zijn blauwe (getest), zwarte of zandachtige kleur en valt prettig over onze oren heen. De hoofdband is zacht en irriteert niet na een paar uur luisteren. We krijgen dan wel wat warme oren. Je kunt de bluetooth-hoofdtelefoon opvouwen. De knoppen op de schelpen voor de bediening vergen wat gewenning om op de tast te vinden, maar werken naar behoren.

©Rens Blom

Ook de meegeleverde opbergdoos is strak, sterk gebouwd en geeft een premium gevoel. In de doos zitten genoeg kabels om de hoofdtelefoon bekabeld te gebruiken, ook in het vliegtuig. Een usb-c-oplaadkabel is uiteraard ook aanwezig.

©Rens Blom

Geluidskwaliteit en ANC-modus

Heel belangrijk aan een dure hoofdtelefoon is de geluidskwaliteit. We vallen met de deur in huis: die is heel goed bij de JBL Tour One M3. De hoofdtelefoon klinkt krachtig, duidelijk en best ruimtelijk. Altijd knap aangezien de oorschelpen over je oren heen vallen en het geluid dus heel duidelijk je oren in gaat.

Wat we ook fijn vinden is dat JBL geen extra nadruk legt op de bas, iets dat het merk wel doet bij producten die meer op jongeren gericht zijn. Podcasts klinken ook lekker realistisch.

We zijn ook fan van de uitgebreide equalizer in de JBL Headphones-app die je op je smartphone kunt installeren. Wie raad weet met een equalizer, kan lekker pingelen in de app om de geluidskwaliteit van de Tour One M3 meer naar eigen hand te zetten.

©Rens Blom

De app van JBL biedt heel veel functies.

De ANC-modus is effectief in het onderdrukken van omgevingsgeluiden, vooral repetitieve geluiden als vliegtuigmotoren (wanneer we in het vliegtuig zitten) of voorbijrazende auto's (als we op circa dertig meter van een drukkere weg wandelen). We merken echter ook dat de Sonos Ace en Sony WH-1000XM5 nog beter zijn in het minimaliseren van niet-repetitieve geluiden, zoals luid pratende mensen achter je in het vliegtuig, joelende kinderen in de trein of knisperende verpakkingen in een kantoortuin. Met de JBL Tour One M3 op horen we dergelijke geluiden meer dan met de twee andere genoemde hoofdtelefoons. Voor onze volgende langere vlieg- en treinreizen kiezen we daarom liever voor een van die andere modellen. Niet omdat de accuduur van de Tour One M3 tegenvalt – die is ruim voldoende – maar vanwege de demping van omgevingsgeluid.

©Rens Blom

Accuduur

Over die accuduur gesproken: de Tour One M3 gaat zeker 35 uur mee bij het luisteren naar muziek met de ANC-modus aan. Zonder ANC komen daar nog tientallen uren bij. Opladen doet de hoofdtelefoon snel via zijn usb-c-poort. Vijf minuten opladen is goed voor ruim drie uur muziek luisteren.

Smart Tx is interessante gadget

Dan nog even over de Smart Tx, het kleine rechthoekige apparaatje dat werkt met de hoofdtelefoon. De Smart Tx heeft een accu die in de praktijk meerdere werkdagen meegaat, of langer als je de hoofdtelefoon minder vaak gebruikt. Op het aanraakgevoelige schermpje van de gadget zie je nuttige informatie over het gebruik van de hoofdtelefoon en je muziek. Je kunt ook allerlei instellingen veranderen. Met deze gadget binnen handbereik hoef je de JBL-app op je smartphone eigenlijk niet te openen.

©Rens Blom

Maar de gadget kan – gelukkig – meer. Je kunt 'm namelijk bekabeld via usb aansluiten op vele typen audiobronnen, van een computer en televisie tot het inflight-entertainmentsysteem in het vliegtuig. Na het koppelen en aanzetten van de Smart TX maakt deze automatisch verbinding met je Tour One M3 en stuurt het geluid draadloos door. Zo kun je dus een film kijken op het vliegtuigschermpje zonder dat je per ongeluk de kabel uit je hoofdtelefoon trekt als je je dekentje lekker warm om je benen vouwt.

©Rens Blom

Ook noemenswaardig is dat de Smart Tx ondersteuning biedt voor Auracast, een relatief nieuwe bluetooth-functionaliteit waarmee je geluid van één apparaat kunt streamen naar meerdere ondersteunde hoofdtelefoons, oordopjes en luidsprekers. JBL zet al langer in op Auracast, wat de Smart Tx-gadget extra nuttig maakt voor wie al andere moderne JBL-producten gebruikt.

Spreken de functies van de Smart Tx je niet aan? Je kunt de Tour One M3 los kopen voor een adviesprijs van 349 euro of in combinatie met de Smart Tx voor 399 euro. Fijn dat JBL je niet verplicht laat betalen voor een gadget die je misschien niet hoeft.

©Rens Blom

Conclusie: JBL Tour One M3 kopen?

De JBL Tour One M3 biedt premium draagcomfort, een uitstekende accuduur en krachtig geluid in een strak jasje. De ANC-modus werkt effectief, maar moet verschillende andere hoofdtelefoons voor zich dulden. Tot slot de Smart Tx: een slim ontworpen gadget waar de een veel plezier aan gaat beleven, en waar een ander geen behoefte aan heeft. Goed dat JBL de Tour One M3 met en zonder Smart Tx aanbiedt, voor een prijs vanaf 350 euro. Een stevige prijs, maar een gerechtvaardigde prijs naar onze mening.