Helaas zijn niet altijd alle apparaten in je netwerk te vertrouwen. Met enkele consumentenrouters kun je apparaten scheiden van de rest van je netwerk, bijvoorbeeld door het gastennetwerk te benutten. Dit heeft echter wat beperkingen. Liever zou je zelf labeltjes op het verkeer plakken door te werken met VLAN’s. Je hebt dan niet alleen gescheiden virtuele netwerken, maar je kunt met firewallregels ook de rechten voor apparaten beheren.

De meeste mensen zullen alle netwerkapparaten in huis gewoon aan elkaar knopen via ‘domme’ switches. Het is echter niet zonder risico’s. Misschien heb je een puber die ongecontroleerd alles op zijn laptop installeert. Of heb je wat apparaten uit China gehaald die je niet helemaal vertrouwt, zoals bepaalde ip-camera’s. Wellicht zou je die liever helemaal isoleren van je hoofdnetwerk of de toegang tot internet ontzeggen. Dat is voor ip-camera’s zelfs vrij logisch als je die centraal beheert.

Het kan ook zijn dat je webinterfaces of toegang tot een netwerkprinter liever afschermt voor andere gebruikers. Door een scheiding in je netwerk te maken, kun je dit allemaal voor elkaar krijgen. Maar dat is best een uitdaging. Met de aanwijzingen in dit artikel hopen we je goed op weg te helpen. We behandelen de mogelijkheden van consumentenrouters en laten zien hoe je met VLAN’s op een professionele manier een scheiding in het verkeer aan kunt brengen.

Consumentenrouters

Consumentenrouters, zoals de door internetproviders verstrekte exemplaren, zijn vaak beperkt als het gaat om de isolatie van netwerkapparaten. De Fritz!Box van AVM is een positieve uitzondering. Je kunt hiermee een gastnetwerk opzetten met een afgezonderd wifi-netwerk. Je zou het een hotspot kunnen noemen.

Het verschilt per router wat je precies met een gastnetwerk kunt. Soms kun je het ook beschikbaar maken via een netwerkpoort. Alle gastgebruikers hebben alleen toegang tot internet. Soms kun je ook de bandbreedte en gebruikstijden beperken voor apparaten op het gastnetwerk of de internettoegang beperken tot de standaardprotocollen voor web en e-mail.

Gasten kunnen niet bij de rest van je netwerk. Standaard kunnen ze ook niet met andere wifi-apparaten communiceren binnen het gastennetwerk, al kun je dit laatste optioneel veranderen, zodat onderlinge communicatie wél mogelijk is. Enkele routers (of losse toegangspunten) bieden alleen een isolatie op het niveau van wifi, wat eigenlijk hoofdzakelijk voorkomt dat wifi-gebruikers met elkaar kunnen communiceren.

Enkele voordelen

Een gastnetwerk kan nuttig zijn voor bezoekers of een opstandige puber. Het kan ook voor IoT-apparaten van pas komen die genoeg hebben aan een internetverbinding, zoals bepaalde slimme thermostaten, deurbellen en ip-camera’s. Het heeft één groot voordeel: je voorkomt dat een netwerkapparaat (of huisgenoot) andere apparaten kan ‘besmetten’.

Helaas wordt voor jouzelf het ontdekken, configureren en gebruiken van IoT-apparaten vaak complexer als ze geen deel uitmaken van je hoofdnetwerk. Soms los je dat op door een smartphone of tablet tijdelijk op het gastnetwerk te zetten, om bijvoorbeeld een slimme luidspreker in gebruik te nemen. Maar ook bij de normale bediening, zoals het streamen naar de luidspreker, moet je vaak weer het gastennetwerk op. En bovenstaande werkt alleen als er geen isolatie tussen gebruikers is op dit gastnetwerk.

©Jakub Zerdzicki

Lokale controle

Dat je in een gastennetwerk apparaten zoals IoT-apparaten beperkt tot alleen internet heeft een keerzijde. Je forceert bij sommige apparaten namelijk dat ze internet als omweg gebruiken, terwijl ze in een normale situatie voor lokale aansturing zouden hebben gekozen.

Een lokale aansturing, bijvoorbeeld met Home Assistant, heeft een grote meerwaarde. Het werkt vaak sneller en betrouwbaarder. Zelfs als een apparaat het ondersteunt, krijg je het niet voor elkaar als dat apparaat alleen internettoegang heeft. Je krijgt dan de situatie dat een verzoek voor het schakelen van een lamp via een app eerst naar een cloudserver gaat, die vervolgens de opdracht doorspeelt aan de schakelaar.

Als het mogelijk is, houd je dus alles liever lokaal. Daarbij zul je apparaten incidenteel wel toegang tot internet moeten geven, bijvoorbeeld voor een firmware-update. Zo voorkom je ook dat obscure ip-camera’s beelden doorspelen via vaak slecht beveiligde p2p-verbindingen.

©rh2010 - stock.adobe.com

Praktisch voorbeeld

Je hebt nu een idee van de (on)mogelijkheden van consumentenrouters. Maar hoe kun je een netwerkscheiding op een professionele manier aanpakken? Dan zul je met VLAN’s moeten werken. Enige planning is handig bij het herinrichten van je netwerk.

Begin met het bedenken van enkele VLAN’s, met per VLAN een getal: de VLAN-ID (of tag). De methode die we hier volgen, is één vertrouwd VLAN als hoofdnetwerk (met VLAN-ID 10), een VLAN voor IoT-apparaten (VLAN-ID 20) en een derde VLAN voor gasten (VLAN-ID 50). Verder hebben we een VLAN voor managementverkeer (VLAN-ID 11). Wellicht wil je nog meer aparte VLAN’s, bijvoorbeeld voor VoIP, ip-tv of ip-camera’s.

Vervolgens kies je per VLAN een subnet met privé-ip-adressen. Het is handig als je daarin de VLAN-ID herkent. Bijvoorbeeld 10.0.10.0/24 voor het hoofdnetwerk, 10.0.20.0/24 voor IoT en 10.0.50.0/24 voor gasten. We gebruiken hier de CIDR-notatie. Bij /24 hoort subnetmasker 255.255.255.0 waarbij voor in dit geval het hoofdnetwerk de reeks bruikbare ip-adressen loopt van 10.0.10.1 t/m 10.0.10.254.

Routersoftware

Hoe je VLAN’s configureert, hangt uiteraard af van de router die je gebruikt. Sommige bestaande routers van bijvoorbeeld Linksys kun je voorzien van de alternatieve OpenWrt-firmware. Afhankelijk van de gebruikte router kun je daarin met VLAN’s werken, al is de configuratie technisch wat meer een uitdaging.

Een professionele router is ook een optie. Je hebt dan vaak alle vrijheid om VLAN’s te maken en firewallregels in te stellen voor al het verkeer. Maar dat heeft nog steeds een zekere complexiteit. Binnen pfSense, dat we in onze testopstelling gebruiken, werkt deze opzet vrij intuïtief en de software is bovendien heel overzichtelijk. De grootste uitdagingen zijn het configureren van je inkomende internetverbinding en het doorgronden van de werking van VLAN’s zodat je deze kunt toepassen.

pfSense virtualiseren

De systeemeisen voor pfSense zijn niet heel veeleisend. Daarom kan het interessant zijn deze software te virtualiseren met bijvoorbeeld Proxmox VE. Deze virtualisatiesoftware laat je flexibel werken met virtuele machines en lichtgewicht Linux-containers. Je kunt pfSense handig in een virtuele machine installeren. De VLAN’s kun je over één netwerkpoort naar buiten aanbieden, maar je kunt ze dankzij de virtuele bridges ook intern gebruiken voor bijvoorbeeld een virtuele machine met Windows of Linux, of een simpele Linux-container.

Het is natuurlijk het mooist als pfSense zo direct mogelijk toegang tot internet heeft, ter vervanging van je router, in plaats van daaráchter (zoals bij dubbele NAT), maar dit laatste kan voor testdoeleinden eventueel wel.

Netwerkpoorten

Als je Proxmox VE gebruikt, kies je al bij de installatie een van de netwerkpoorten als managementinterface voor de software. Hier wordt automatisch een zogenoemde bridge voor gemaakt. Het voordeel is dat Proxmox VE altijd via die poort bereikbaar is, ook als pfSense offline is.

Verder maak je ook een bridge voor elke andere netwerkpoort aan. Al die bridges voeg je daarna als netwerkinterface toe aan de virtuele machine met pfSense. Hierna kun je deze bridges binnen pfSense verder configureren. Waar je nog wel op moet letten, is dat je voor bridges de optie VLAN Aware aanvinkt in Proxmox VE als er meerdere VLAN’s op worden gebruikt. We doen dat bijvoorbeeld voor de bridge die via de bijbehorende netwerkpoort alle VLAN’s naar buiten brengt. Handig is dat andere virtuele machines en Linux-containers in Proxmox VE de betreffende bridge ook als netwerkinterface kunnen gebruiken, waarbij je dan zelf de VLAN-ID kunt kiezen.

Switches

Heb je de router geconfigureerd voor verschillende VLAN’s, dan zul je die virtuele netwerken ook door je huis willen verspreiden richting eindgebruikersapparaten, via switches en eventueel wifi. Je kunt geen ‘domme’ switches gebruiken, ofwel unmanaged switches. Wat deze feitelijk doen, is inkomend verkeer op een bepaalde poort uitzenden, ofwel ‘broadcasten’, naar alle andere poorten. Er wordt verder niet naar het verkeer gekeken en dus ook niet naar de VLAN-tag. Je kunt er dus ook geen scheiding mee maken. Bij een managed switch kan dit wel. Via een configuratiepagina kun je de verschillende VLAN’s instellen en aangeven welke poorten bij welke VLAN(’s) horen.

Trunk- en toegangspoort

Op een managed switch zul je een poort doorgaans ofwel als trunkpoort ofwel als toegangspoort gebruiken. Een trunkpoort verwerkt feitelijk verkeer voor meerdere VLAN’s, bijvoorbeeld tussen een router en een switch, of tussen twee switches onderling. Het gaat (meestal) alleen om ‘tagged’ verkeer, dus steeds voorzien van een VLAN-tag.

Op een toegangspoort sluit je apparaten zoals pc’s en printers aan die zelf niets met VLAN-tags doen. Je levert verkeer op die poorten ‘untagged’ af, dus ontdaan van de VLAN-tag. Hierbij stel je voor elke poort in bij welk VLAN die poort hoort. Hiermee bepaal je dus of een poort bij je hoofdnetwerk hoort of een van de andere VLAN’s (zoals gasten of IoT).

Poortinstelling

Wat soms wordt vergeten, is dat je ook per poort moet aangeven op welk VLAN het inkomende verkeer moet worden ingedeeld, via de zogenoemde PVID. Al zal dat vaak hetzelfde VLAN zijn als het gekozen VLAN voor het uitgaande untagged verkeer. Onthoud simpelweg dat het labeltje (de VLAN-tag) dat je eraf hebt gehaald voor het uitgaande verkeer, er voor inkomend verkeer weer opgeplakt moet worden.

De door ons gebruikte switches van Zyxel zijn vrij intuïtief en overzichtelijk als het gaat om de configuratie van VLAN’s. Het onderste deel van de afbeelding laat zien hoe poort 4 en 5 als trunkpoort worden gebruikt. Op poort 1 en 3 zijn wifi-toegangspunten van Ubiquiti aangesloten, die via de switch overigens ook van voeding worden voorzien dankzij PoE (Power over Ethernet). Ze ontvangen het tagged verkeer voor de drie VLAN’s: het hoofdnetwerk (10), IoT (20) en gasten (50). Voor het managementverkeer voor deze toegangspunten gebruiken we VLAN-ID 11. Het verkeer leveren we ‘untagged’ af, een eis van deze toegangspunten. Verder is poort 2 beschikbaar om bijvoorbeeld een pc of printer op het hoofdnetwerk aan te sluiten. Let ook op de PVID-instelling in het bovenste deel van de afbeelding.

Firewallregels

Het instellen van firewallregels in pfSense vraagt ook wat denkwerk, maar is niet lastig, en je kunt het flexibel inrichten. De apparaten op het hoofdnetwerk geef je vaak de vrije hand. Voor de VLAN’s voor IoT en gasten kun je strikt zijn. Je zult veelal het verkeer naar alle andere VLAN’s blokkeren alsook belangrijke managementinterfaces. Voor gasten is alleen internettoegang nodig naast enkele cruciale server voor DHCP en DNS.

Voor IoT-apparaten zul je internettoegang doorgaans blokkeren, op enkele uitzonderingen na. Het is handig die ‘uitzonderingen’ in een lijstje te zetten. In pfSense kun je ze handig in een zogeheten alias opnemen. Voor die alias kun je dan één firewallregel maken die internettoegang toestaat voor die apparaten.

Ten slotte kun je natuurlijk nog uitzonderingen maken voor verkeer tussen VLAN’s. Denk aan een oppas die vanaf het gastennetwerk toegang tot de ip-camera in de babykamer mag hebben. Of een ip-camera die je toegang geeft tot een NVR.

Bij ID.nl zijn we dol op kwaliteitsproducten waar je niet de hoofdprijs voor betaalt. Een paar keer per week speuren we binnen een bepaald thema naar zulke deals. Ben je op zoek naar een grote televisie voor een scherpe prijs? Vandaag hebben we vijf interessante modellen voor je gespot.

Philips 75PUS7009/12

Voor een Philips-televisie van 75 inch is dit 2024-model erg goedkoop. Je kunt als alternatief ook een kleiner maatje overwegen, namelijk 65 inch of 55 inch. In tegenstelling tot duurdere televisies van het bekende elektronicamerk ondersteunt dit exemplaar geen Ambilight. Wie toch niet op deze achtergrondverlichting zit te wachten, haalt een prima led-tv in huis. Met een resolutie van 3840 × 2160 pixels en een beelddiagonaal van 1,89 meter zie je in films, series en documentaires volop details.

Als je de 75PUS7009/12 met wifi of een bekabeld netwerk verbindt, heb je toegang tot diverse bekende apps. Het relatief nieuwe smartplatform Titan OS is hiervoor verantwoordelijk. Je kunt onder meer NLZiet en Videoland installeren. Verder bevat de afstandsbediening rechtstreekse knoppen voor Disney+, Netflix, Amazon Prime Video en YouTube. Uiteraard sluit je net zo makkelijk allerlei externe apparaten aan, zoals een soundbar, gameconsole en/of tv-ontvanger. Deze televisie bevat onder meer drie HDMI-ingangen, twee usb-poorten en een optische aansluiting. Tot slot heeft de 75PUS7009/12 een lage invoervertraging, zodat je snelle (multiplayer)games kunt spelen.

Hisense 75U79KQ

Hisense hanteert voor deze 75inch-televisie een adviesprijs van 1799 euro, maar enkele webwinkels vragen minder dan de helft van dit bedrag. Ondanks de relatief lage aanschafprijs heeft de 75U79KQ een aantal interessante pijlers. Zo is de maximale vernieuwingsfrequentie van 144 hertz voor fervente gamers een pluspunt. De geanimeerde beelden verschijnen hierdoor vloeiend op het scherm. Verder maakt deze smart-tv gebruik van minileds. Die zijn zo groot als een rijstkorrel. Duizenden minileds zijn verdeeld over honderden dimzones. Het resultaat van deze techniek is een natuurgetrouwe kleurenweergave met realistische contrasten.

Voor het gebruik van streamingdiensten is de ondersteuning voor Dolby Vision (IQ) en HDR10+ een uitkomst. Geschikte films en series hebben een gedetailleerder kleurverloop. De 75U79KQ kiest op basis van het omgevingslicht automatisch de beste beeldinstellingen. Daarnaast is de Filmmaker-modus een interessante optie. Daarmee kijk je naar een film zoals de regisseur dat oorspronkelijk bedoeld heeft. Als smartplatform is VIDAA U 7 op deze televisie aanwezig. Hiervoor zijn alle bekende (inter)nationale video-apps beschikbaar. Dankzij AirPlay-ondersteuning kun je vanaf een Apple-apparaat ook nog eigen beeldmateriaal streamen. Naast deze 75inch-uitvoering is de smart-tv ook in een kleinere versie van 55 inch te koop.

Samsung UE85DU7100KXXN

Met een indrukwekkend beelddiagonaal van 2,15 meter volg je voortaan sportwedstrijden, tv-programma's en films op de voet. Behalve dit betaalbare 85inch-model is de Samsung-televisie ook in diverse kleinere uitvoeringen te koop. Kies als alternatief bijvoorbeeld een formaat van 75 inch, 65 inch of 55 inch. Zoals we van Samsung gewend zijn, tref je alle bekende videodiensten in het Tizen-smartplatform. Voeg bijvoorbeeld NPO Start, Videoland en Viaplay aan de app-bibliotheek toe. De bekende namen Netflix, Amazon Prime Video en Disney+ kun je bovendien vlot oproepen, want de afstandsbediening heeft hiervoor eigen knoppen.

Het scherm van de UE85DU7100KXXN telt 3840 × 2160 pixels, waardoor je games en video's in de hoogste resolutie kunt afspelen. Er is ook nog ondersteuning voor HDR10+ ingebakken. Moderne videostreams hebben hierdoor een subtieler kleurverloop. Voor het aansluiten van externe bronnen bevat de achterzijde drie HDMI-poorten en een usb-aansluiting. Houd er rekening mee dat een optische uitgang ontbreekt. Sommige audiosystemen kun je om die reden niet aansluiten. Tot slot pas je de hoogte en breedte van de bijgesloten standaard eenvoudig aan. Zo creëer je voldoende plek voor een soundbar.

Lees ook: Dit zijn de beste apps voor jouw smart-tv

LG 65UT73006LA

Deze 65inch-televisie van Samsung heeft een goede prijs-kwaliteitverhouding. Dankzij de Alpha 5 AI Gen7-processor verschijnen er scherpe 4K-beelden op het scherm. De genoemde chipset optimaliseert op eigen houtje de helderheid en audioweergave, zodat je hiervoor niet zelf de instellingen in hoeft te duiken. Voor liefhebbers van films is de zogenoemde Filmmaker-modus een welkome toevoeging. Daarnaast ondersteunt de televisie ook HDR10, zodat je onder meer in de beste kwaliteit naar Netflix- en Disney+-streams kunt kijken.

Speel je graag videospellen, dan komen de Game Optimizer en het Game Dashboard goed van pas. Je wijzigt daarmee onder andere rap de verversingssnelheid, waarna je zonder haperingen kunt spelen. In het overzichtelijke webOS-smartplatform voeg je alle bekende apps toe. Nuttig om te weten is dat LG voor de 65UT73006LA de komende vijf jaar vier verse webOS-upgrades uitrolt. Ook na aanschaf gaat deze smart-tv dus met zijn tijd mee. Als je 65 inch te groot vindt, kun je een kleiner formaat van 55 inch, 50 inch of 43 inch overwegen.

LG OLED65B42LA

Voor oled-begrippen is deze 65inch-televisie van LG scherp geprijsd. Daarnaast kun je de smart-tv ook in een kleinere of grotere versie van respectievelijk 55 inch of 77 inch kopen. Het voordeel van een oled-tv is dat iedere pixel individueel wordt aangestuurd. De Alpha 8 AI-videoprocessor kan de pixels ook tijdelijk uitschakelen. Ten opzichte van andere schermtechnieken toont dit oledpaneel zo nodig pikzwarte beelden (en niet donkergrijs). Zeker in combinatie met de HDR-formaten Dolby Vision en HDR10 zien films en series er zéér realistisch uit.

De OLED65B42LA is een ideale televisie voor het kijken van sportwedstrijden en spelen van games. Wegens een hoge vernieuwingsfrequentie van 120 hertz heb je geen last van hinderlijke schokjes. Zelfs de snelste actiebeelden verschijnen vloeiend op het scherpe oledscherm. Ook op het gebied van connectiviteit is er geen reden tot klagen. Zo sluit je aan de hand van vier HDMI-ingangen en twee usb-poorten allerlei externe apparaten aan. Ten slotte is de aanwezigheid van het gebruiksvriendelijke webOS-smartplatform met vijf ondersteuning een pluspunt. Benieuwd naar ervaringen van andere gebruikers? Lees dan deze reviews. De breed gewaardeerde smart-tv scoort een gemiddeld cijfer van een 8,6!

Of je nu houdt van gourmetten met pannetjes of alles direct op de grillplaat klaarmaakt: als iedereen klaar is en de plaat is afgekoeld, maak je hem in een paar stappen weer grondig schoon.

Lees ook: 🧀 Ze smelten de kazen! Waarom raclette dé topper is voor de feestdagen

Vroeger gebruikten we een gourmetstel vooral met de pannetjes. Tegenwoordig kun je meer: op de bovenplaat kun je vlees en groenten grillen, terwijl je op de verdieping daaronder bijvoorbeeld kleine omeletten of pannenkoekjes bakt in de pannetjes. Beide oppervlakken zijn gelukkig vrij makkelijk schoon te maken. Dat is niet alleen hygiënisch, maar houdt je gourmetstel ook netjes. Ingebrande vetvlekken of etensresten zien er tenslotte niet zo fris uit.

©Patrick

Pannetjes schoonmaken

Na het gourmetten kunnen de pannetjes er flink gebruikt uitzien. Vul de gootsteen of een teiltje met warm water en een scheutje afwasmiddel. Leg de pannetjes erin en laat ze 5 tot 10 minuten weken. Maak ze daarna schoon met een zachte doek, zoals een microvezeldoekje. Droog de pannetjes goed af en laat ze nog even aan de lucht drogen, bij voorkeur met de handvatten omhoog. Let op: hebben je pannetjes houten handgrepen? Die mogen vaak niet volledig onder water. Reinig deze pannetjes voorzichtig in een sopje, waarbij de handgrepen uit het water blijven steken. Zo voorkom je dat het hout beschadigt.

Bakplaat schoonmaken

Begin met schoonmaken als de bakplaat nog handwarm is. Met keukenpapier verwijder je eenvoudig de vettige resten die nog niet zijn gestold. Neem daarna een vochtige doek om het oppervlak helemaal schoon te maken. Vermijd schuursponsjes, schoonmaakspray of staalwol, want die kunnen de coating beschadigen of krassen veroorzaken.

Als het apparaat volledig is afgekoeld, kun je de buitenkant en randen schoonmaken met een licht vochtige doek. Vergeet het snoer niet, want daar zitten vaak vetspetters op. Spray een dubbelgevouwen stuk keukenpapier licht in met een ontvetter en veeg het snoer daarmee schoon. Zorg ervoor dat de stekker droog blijft om risico op kortsluiting te voorkomen..

©Lukassek

Eettafel schoonmaken

Als je gourmetstel schoon is en je goed hebt geventileerd om de gourmetlucht uit huis te krijgen, is er misschien nog één klusje: de eettafel inspecteren. Bij gourmetten komen er altijd vetspetters vrij. Idealiter heb je een werptafelkleed gebruikt, want dat kan meteen na het eten de vuilnisbak in. Hoe je vetvlekken kunt verwijderen uit stoffen tafelkleden en servetten, lees je hieronder. Heb je verlichting boven de eettafel hangen? Die lampen kunnen dan ook behoorlijk vet worden, dus vergeet ze niet af te nemen met een vetoplossende spray en keukenpapier.