Helaas zijn niet altijd alle apparaten in je netwerk te vertrouwen. Met enkele consumentenrouters kun je apparaten scheiden van de rest van je netwerk, bijvoorbeeld door het gastennetwerk te benutten. Dit heeft echter wat beperkingen. Liever zou je zelf labeltjes op het verkeer plakken door te werken met VLAN’s. Je hebt dan niet alleen gescheiden virtuele netwerken, maar je kunt met firewallregels ook de rechten voor apparaten beheren.

De meeste mensen zullen alle netwerkapparaten in huis gewoon aan elkaar knopen via ‘domme’ switches. Het is echter niet zonder risico’s. Misschien heb je een puber die ongecontroleerd alles op zijn laptop installeert. Of heb je wat apparaten uit China gehaald die je niet helemaal vertrouwt, zoals bepaalde ip-camera’s. Wellicht zou je die liever helemaal isoleren van je hoofdnetwerk of de toegang tot internet ontzeggen. Dat is voor ip-camera’s zelfs vrij logisch als je die centraal beheert.

Het kan ook zijn dat je webinterfaces of toegang tot een netwerkprinter liever afschermt voor andere gebruikers. Door een scheiding in je netwerk te maken, kun je dit allemaal voor elkaar krijgen. Maar dat is best een uitdaging. Met de aanwijzingen in dit artikel hopen we je goed op weg te helpen. We behandelen de mogelijkheden van consumentenrouters en laten zien hoe je met VLAN’s op een professionele manier een scheiding in het verkeer aan kunt brengen.

Consumentenrouters

Consumentenrouters, zoals de door internetproviders verstrekte exemplaren, zijn vaak beperkt als het gaat om de isolatie van netwerkapparaten. De Fritz!Box van AVM is een positieve uitzondering. Je kunt hiermee een gastnetwerk opzetten met een afgezonderd wifi-netwerk. Je zou het een hotspot kunnen noemen.

Het verschilt per router wat je precies met een gastnetwerk kunt. Soms kun je het ook beschikbaar maken via een netwerkpoort. Alle gastgebruikers hebben alleen toegang tot internet. Soms kun je ook de bandbreedte en gebruikstijden beperken voor apparaten op het gastnetwerk of de internettoegang beperken tot de standaardprotocollen voor web en e-mail.

Gasten kunnen niet bij de rest van je netwerk. Standaard kunnen ze ook niet met andere wifi-apparaten communiceren binnen het gastennetwerk, al kun je dit laatste optioneel veranderen, zodat onderlinge communicatie wél mogelijk is. Enkele routers (of losse toegangspunten) bieden alleen een isolatie op het niveau van wifi, wat eigenlijk hoofdzakelijk voorkomt dat wifi-gebruikers met elkaar kunnen communiceren.

Met sommige consumentenrouters kun je een wifi-netwerk voor gasten opzetten.

Enkele voordelen

Een gastnetwerk kan nuttig zijn voor bezoekers of een opstandige puber. Het kan ook voor IoT-apparaten van pas komen die genoeg hebben aan een internetverbinding, zoals bepaalde slimme thermostaten, deurbellen en ip-camera’s. Het heeft één groot voordeel: je voorkomt dat een netwerkapparaat (of huisgenoot) andere apparaten kan ‘besmetten’.

Helaas wordt voor jouzelf het ontdekken, configureren en gebruiken van IoT-apparaten vaak complexer als ze geen deel uitmaken van je hoofdnetwerk. Soms los je dat op door een smartphone of tablet tijdelijk op het gastnetwerk te zetten, om bijvoorbeeld een slimme luidspreker in gebruik te nemen. Maar ook bij de normale bediening, zoals het streamen naar de luidspreker, moet je vaak weer het gastennetwerk op. En bovenstaande werkt alleen als er geen isolatie tussen gebruikers is op dit gastnetwerk.

©Jakub Zerdzicki

Een gastnetwerk kan ook handig zijn voor de configuratie van IoT-apparaten.

Lokale controle

Dat je in een gastennetwerk apparaten zoals IoT-apparaten beperkt tot alleen internet heeft een keerzijde. Je forceert bij sommige apparaten namelijk dat ze internet als omweg gebruiken, terwijl ze in een normale situatie voor lokale aansturing zouden hebben gekozen.

Een lokale aansturing, bijvoorbeeld met Home Assistant, heeft een grote meerwaarde. Het werkt vaak sneller en betrouwbaarder. Zelfs als een apparaat het ondersteunt, krijg je het niet voor elkaar als dat apparaat alleen internettoegang heeft. Je krijgt dan de situatie dat een verzoek voor het schakelen van een lamp via een app eerst naar een cloudserver gaat, die vervolgens de opdracht doorspeelt aan de schakelaar.

Als het mogelijk is, houd je dus alles liever lokaal. Daarbij zul je apparaten incidenteel wel toegang tot internet moeten geven, bijvoorbeeld voor een firmware-update. Zo voorkom je ook dat obscure ip-camera’s beelden doorspelen via vaak slecht beveiligde p2p-verbindingen.

©rh2010 - stock.adobe.com

Een ip-camera zul je niet altijd vrije toegang tot internet willen geven. 

Praktisch voorbeeld

Je hebt nu een idee van de (on)mogelijkheden van consumentenrouters. Maar hoe kun je een netwerkscheiding op een professionele manier aanpakken? Dan zul je met VLAN’s moeten werken. Enige planning is handig bij het herinrichten van je netwerk.

Begin met het bedenken van enkele VLAN’s, met per VLAN een getal: de VLAN-ID (of tag). De methode die we hier volgen, is één vertrouwd VLAN als hoofdnetwerk (met VLAN-ID 10), een VLAN voor IoT-apparaten (VLAN-ID 20) en een derde VLAN voor gasten (VLAN-ID 50). Verder hebben we een VLAN voor managementverkeer (VLAN-ID 11). Wellicht wil je nog meer aparte VLAN’s, bijvoorbeeld voor VoIP, ip-tv of ip-camera’s.

Vervolgens kies je per VLAN een subnet met privé-ip-adressen. Het is handig als je daarin de VLAN-ID herkent. Bijvoorbeeld 10.0.10.0/24 voor het hoofdnetwerk, 10.0.20.0/24 voor IoT en 10.0.50.0/24 voor gasten. We gebruiken hier de CIDR-notatie. Bij /24 hoort subnetmasker 255.255.255.0 waarbij voor in dit geval het hoofdnetwerk de reeks bruikbare ip-adressen loopt van 10.0.10.1 t/m 10.0.10.254.

Routersoftware

Hoe je VLAN’s configureert, hangt uiteraard af van de router die je gebruikt. Sommige bestaande routers van bijvoorbeeld Linksys kun je voorzien van de alternatieve OpenWrt-firmware. Afhankelijk van de gebruikte router kun je daarin met VLAN’s werken, al is de configuratie technisch wat meer een uitdaging.

Een professionele router is ook een optie. Je hebt dan vaak alle vrijheid om VLAN’s te maken en firewallregels in te stellen voor al het verkeer. Maar dat heeft nog steeds een zekere complexiteit. Binnen pfSense, dat we in onze testopstelling gebruiken, werkt deze opzet vrij intuïtief en de software is bovendien heel overzichtelijk. De grootste uitdagingen zijn het configureren van je inkomende internetverbinding en het doorgronden van de werking van VLAN’s zodat je deze kunt toepassen.

OpenWrt geeft je de mogelijkheid om een configuratie met VLAN’s te maken.

pfSense virtualiseren

De systeemeisen voor pfSense zijn niet heel veeleisend. Daarom kan het interessant zijn deze software te virtualiseren met bijvoorbeeld Proxmox VE. Deze virtualisatiesoftware laat je flexibel werken met virtuele machines en lichtgewicht Linux-containers. Je kunt pfSense handig in een virtuele machine installeren. De VLAN’s kun je over één netwerkpoort naar buiten aanbieden, maar je kunt ze dankzij de virtuele bridges ook intern gebruiken voor bijvoorbeeld een virtuele machine met Windows of Linux, of een simpele Linux-container.

Het is natuurlijk het mooist als pfSense zo direct mogelijk toegang tot internet heeft, ter vervanging van je router, in plaats van daaráchter (zoals bij dubbele NAT), maar dit laatste kan voor testdoeleinden eventueel wel.

Deze mini-pc van Topton blijkt een goede kandidaat voor onze testopstelling.

Netwerkpoorten

Als je Proxmox VE gebruikt, kies je al bij de installatie een van de netwerkpoorten als managementinterface voor de software. Hier wordt automatisch een zogenoemde bridge voor gemaakt. Het voordeel is dat Proxmox VE altijd via die poort bereikbaar is, ook als pfSense offline is.

Verder maak je ook een bridge voor elke andere netwerkpoort aan. Al die bridges voeg je daarna als netwerkinterface toe aan de virtuele machine met pfSense. Hierna kun je deze bridges binnen pfSense verder configureren. Waar je nog wel op moet letten, is dat je voor bridges de optie VLAN Aware aanvinkt in Proxmox VE als er meerdere VLAN’s op worden gebruikt. We doen dat bijvoorbeeld voor de bridge die via de bijbehorende netwerkpoort alle VLAN’s naar buiten brengt. Handig is dat andere virtuele machines en Linux-containers in Proxmox VE de betreffende bridge ook als netwerkinterface kunnen gebruiken, waarbij je dan zelf de VLAN-ID kunt kiezen.

Binnen pfSense configureer je alle bridges naar je voorkeuren.

Switches

Heb je de router geconfigureerd voor verschillende VLAN’s, dan zul je die virtuele netwerken ook door je huis willen verspreiden richting eindgebruikersapparaten, via switches en eventueel wifi. Je kunt geen ‘domme’ switches gebruiken, ofwel unmanaged switches. Wat deze feitelijk doen, is inkomend verkeer op een bepaalde poort uitzenden, ofwel ‘broadcasten’, naar alle andere poorten. Er wordt verder niet naar het verkeer gekeken en dus ook niet naar de VLAN-tag. Je kunt er dus ook geen scheiding mee maken. Bij een managed switch kan dit wel. Via een configuratiepagina kun je de verschillende VLAN’s instellen en aangeven welke poorten bij welke VLAN(’s) horen.

Je hebt voor het werken met VLAN’s een zogenoemde managed switch nodig.

Trunk- en toegangspoort

Op een managed switch zul je een poort doorgaans ofwel als trunkpoort ofwel als toegangspoort gebruiken. Een trunkpoort verwerkt feitelijk verkeer voor meerdere VLAN’s, bijvoorbeeld tussen een router en een switch, of tussen twee switches onderling. Het gaat (meestal) alleen om ‘tagged’ verkeer, dus steeds voorzien van een VLAN-tag.

Op een toegangspoort sluit je apparaten zoals pc’s en printers aan die zelf niets met VLAN-tags doen. Je levert verkeer op die poorten ‘untagged’ af, dus ontdaan van de VLAN-tag. Hierbij stel je voor elke poort in bij welk VLAN die poort hoort. Hiermee bepaal je dus of een poort bij je hoofdnetwerk hoort of een van de andere VLAN’s (zoals gasten of IoT).

Via een configuratiepagina configureer je de verschillende VLAN’s.

Poortinstelling

Wat soms wordt vergeten, is dat je ook per poort moet aangeven op welk VLAN het inkomende verkeer moet worden ingedeeld, via de zogenoemde PVID. Al zal dat vaak hetzelfde VLAN zijn als het gekozen VLAN voor het uitgaande untagged verkeer. Onthoud simpelweg dat het labeltje (de VLAN-tag) dat je eraf hebt gehaald voor het uitgaande verkeer, er voor inkomend verkeer weer opgeplakt moet worden.

De door ons gebruikte switches van Zyxel zijn vrij intuïtief en overzichtelijk als het gaat om de configuratie van VLAN’s. Het onderste deel van de afbeelding laat zien hoe poort 4 en 5 als trunkpoort worden gebruikt. Op poort 1 en 3 zijn wifi-toegangspunten van Ubiquiti aangesloten, die via de switch overigens ook van voeding worden voorzien dankzij PoE (Power over Ethernet). Ze ontvangen het tagged verkeer voor de drie VLAN’s: het hoofdnetwerk (10), IoT (20) en gasten (50). Voor het managementverkeer voor deze toegangspunten gebruiken we VLAN-ID 11. Het verkeer leveren we ‘untagged’ af, een eis van deze toegangspunten. Verder is poort 2 beschikbaar om bijvoorbeeld een pc of printer op het hoofdnetwerk aan te sluiten. Let ook op de PVID-instelling in het bovenste deel van de afbeelding.

De configuratiepagina van Zyxel is vrij intuïtief wat de configuratie van VLAN’s betreft.

Met accesspoints van bijvoorbeeld Ubiquiti kun je SSID’s ook via wifi gebruiken.

Firewallregels

Het instellen van firewallregels in pfSense vraagt ook wat denkwerk, maar is niet lastig, en je kunt het flexibel inrichten. De apparaten op het hoofdnetwerk geef je vaak de vrije hand. Voor de VLAN’s voor IoT en gasten kun je strikt zijn. Je zult veelal het verkeer naar alle andere VLAN’s blokkeren alsook belangrijke managementinterfaces. Voor gasten is alleen internettoegang nodig naast enkele cruciale server voor DHCP en DNS.

Voor IoT-apparaten zul je internettoegang doorgaans blokkeren, op enkele uitzonderingen na. Het is handig die ‘uitzonderingen’ in een lijstje te zetten. In pfSense kun je ze handig in een zogeheten alias opnemen. Voor die alias kun je dan één firewallregel maken die internettoegang toestaat voor die apparaten.

Ten slotte kun je natuurlijk nog uitzonderingen maken voor verkeer tussen VLAN’s. Denk aan een oppas die vanaf het gastennetwerk toegang tot de ip-camera in de babykamer mag hebben. Of een ip-camera die je toegang geeft tot een NVR.

Op de bank, het bed, het aanrecht en soms zelfs op je bord. Wie huisdieren heeft, herkent het wel: huisdierharen liggen werkelijk óveral. De oplossing? Een kruimeldief! Maar pas op: niet elke kruimeldief werkt goed tegen dierenharen.

Lees ook: Bij deze huishoudelijke klusjes komt een kruimeldief goed van pas

Je bent natuurlijk dol op je viervoeter, maar iets minder op al die rondzwervende haren in huis. Op de een of andere manier komen katten- en hondenharen altijd op de meest bijzondere plekken terecht, zelfs als je je huisdier hebt verboden om op die plekken te komen. Vervelend, en ook een beetje onhygiënisch. Met je huisdier regelmatig borstelen kom je al een heel eind, maar vaak is er grover geschut nodig om je huis (grotendeels) dierenhaarvrij te houden. Een kruimeldief is ideaal voor dit klusje: je pakt hem er zo bij, neemt hem makkelijk mee van kamer naar kamer en bergt 'm ook zo weer op. Scheelt een hoop gezeul met een zware stofzuiger!

Er is wel een 'maar': niet alle kruimeldieven zijn krachtig genoeg om huisdierharen te verwijderen. Dierenharen hechten zich namelijk makkelijk aan stoffen meubels en zachte vloeren, en dus is er flink wat kracht nodig om zulke haren los te krijgen. Met een 'standaard' kruimeldief lukt dat vaak niet. Gelukkig zijn er verschillende kruimeldieven speciaal voor dierenharen, maar andere modellen kunnen net zo effectief zijn. Wij sommen voor je op hoe je een goede kruimeldief voor het verwijderen van dierenharen herkent.

Hoge zuigkracht

Behalve dat dierenharen makkelijk blijven hangen in zachte stoffen, worden ze vaak nóg verder de stof ingeduwd wanneer jij of je huisdier erop gaat zitten of liggen. Met een kruimeldief met matige tot gemiddelde zuigkracht kun je dan zuigen wat je wilt, maar meestal gebeurt er dan niet zoveel. Soms druk je haren daarmee alleen maar verder plat. De belangrijkste eis voor een kruimeldief voor dierenharen is dan ook een hoge zuigkracht van minstens 100 AW (Airwatts) of 10.000 Pa (Pascalls). Ook een turbofunctie is mooi meegenomen: hiermee zet je de kruimeldief voor korte tijd op zijn hoogste stand en zuig je zelfs de meest hardnekkige haren makkelijk weg.

©Sergey Mironov/ Sergeymironov.co

Speciaal opzetstuk

Omdat dierenharen vaak zo diep in de stof zitten, werkt een standaard opzetstuk dat enkel met lucht zuigt meestal niet voldoende. Beter is een gemotoriseerde rolborstel die de haren krachtig naar binnen trekt, ongeveer net zoals een kledingroller dat doet. Zulke geautomatiseerde borstels worden soms ook wel aangeduid met 'dierenhaarborstel' of 'turboborstel'. Een ander handig accessoire voor dierenharen is de spleetzuigmond: een langwerpig opzetstuk dat door zijn smalle ontwerp extra krachtig en geconcentreerd zuigt. Hiermee verwijder je eenvoudig dierenharen van moeilijke plekken, zoals kieren, plinten en tussen bankkussens. 

Lange batterijduur 

Als je de smaak te pakken hebt en je hele huis in één keer dierenhaarvrij wilt maken, heb je aan tien minuten zuigen meestal niet genoeg. De meeste kruimeldieven kunnen op een volle batterij tussen de tien tot dertig minuten aaneengesloten zuigen, maar er zijn ook modellen die het wel drie kwartier uithouden. Bij de specificaties staat vaak vermeld hoe lang een kruimeldief na opladen meegaat. Bedenk goed wat in jouw situatie past, zodat je tijdens het zuigen niet steeds onderbroken wordt door een lege batterij.

©Katya Bennett

HEPA-filter

Wil je er zeker van zijn dat je kruimeldief geen enkel haartje mist? Kijk dan eens naar een kruimeldief met HEPA-filter. Dit type filter zuigt de kleinste vuil- en stofdeeltjes op, dus óók de fijnste haren. Ook voorkomt een HEPA-filter dat haren opnieuw de lucht in worden geblazen. Dat is hygiënisch voor jezelf, maar ook fijn als je gasten over de vloer krijgt die allergisch zijn voor huisdieren.

Laag geluidsniveau

Ieder baasje weet dat huisdieren flink kunnen schrikken van harde geluiden. Vaak zijn honden en katten al geen fan van de stofzuiger, dus ga er maar vanuit dat een kruimeldief ook niet op hun favorietenlijstje staat. Om je viervoeter geen onnodige stress te bezorgen, kies je daarom het beste voor een kruimeldief die niet te veel geluid maakt. Alles onder de 70 decibel wordt als relatief stil gezien. Wie weet voorkom je hiermee al heel wat rondzwervende dierenharen in huis, want ook voor huisdieren geldt: hoe minder stress, hoe minder haaruitval! 

Wil je losse speakers op een audiosysteem aansluiten? Kies dan tussen een receiver en stereoversterker. Welk apparaat je het best kunt kopen, hangt grotendeels af van het luistergedrag, het budget en de akoestische ruimte. Bovendien hebben beide audiosystemen zelf ook nog de nodige verschillen. Die doen we in dit artikel uit de doeken.

Als je de achterzijden van een stereoversterker en receiver met elkaar vergelijkt, zie je de nodige verschillen. Zo heeft laatstgenoemd apparaat over het algemeen véél meer in- en uitgangen. Maar is dat per definitie ook beter? Dat is afhankelijk van verschillende factoren.

Twee of meer luidsprekers?

Het voornaamste verschil tussen beide audiosystemen is eigenlijk heel simpel. Een stereoversterker loodst het geluid naar twee kanalen (stereogeluid), terwijl een receiver doorgaans meer kanalen (surroundgeluid) ondersteunt. Denk in het laatste geval bijvoorbeeld aan een 5.1- of 7.2-kanaals opstelling. Aan jou de vraag of je geluid uit twee of (veel) meer speakers wilt horen. Voor de weergave van lage tonen hebben vrijwel alle receivers en bepaalde stereoversterkers een subwooferuitgang.

©Advance Paris

Op de Advance Paris A12 Classic-versterker kun je alleen een linker- en rechterspeaker aansluiten.

Focus op muziek óf film en gaming

Belangrijk is de vraag waarvoor je het audiosysteem hoofdzakelijk gaat gebruiken. Fanatieke muziekliefhebbers luisteren het liefst naar stereogeluid. Logisch, want veruit de meeste albums zijn voorzien van een stereomix. Dat kun je tijdens het luisteren van een liedje duidelijk horen. De linkerspeaker produceert bijvoorbeeld een gitaarsolo, terwijl de rechterluidspreker felle drums laat horen. Deze wisselwerking tussen twee kanalen ligt voor het luisteren van muziek prettig in het gehoor. Je hebt tenslotte ook maar twee oren.

Een stereoversterker telt meerdere analoge en digitale audiopoorten. Hierop sluit je verschillende audiobronnen aan, zoals een draaitafel, cd-speler en cassettedeck. Uitgebreide modellen hebben daarnaast een (draadloze) netwerkaansluiting en/of bluetooth-ontvanger. Nuttig voor het geval je afspeellijsten via Spotify, Apple Music, Tidal of een andere muziekdienst wilt streamen. Overigens bestaan er ook stereoversterkers met videopoorten. Sluit dan met behulp van HDMI bijvoorbeeld een tv-ontvanger of gameconsole aan. De versterker verwerkt het geluid en stuurt het videosignaal naar een aangesloten televisie.

Kijk je elke avond naar Netflix en/of speel je graag games? In dat geval is een receiver met minimaal vijf speakers en een subwoofer het overwegen waard. Deze luidsprekers werken naadloos samen met de televisie. Schiet een sluipschutter bijvoorbeeld vanaf het dak van een wolkenkrabber, dan hoor je achter of boven je het zoevende geluid van een kogel. Uiteraard is het dan wel een voorwaarde dat alle speakers correct zijn opgesteld. Elke receiver bevat meerdere audio- en videopoorten, zodat je onder meer een tv-ontvanger, blu-rayspeler, cd-speler en gameconsole kunt aansluiten. Met een receiver luister je desgewenst ook naar muziek via de twee voorste luidsprekers. Lees voor meer informatie het artikel Receiver kopen? Let op deze aandachtspunten.

Prijs-kwaliteitverhouding

Heb je een relatief bescheiden budget? Als je goed geluid belangrijk vindt, investeer je elke euro bij voorkeur in een audio-opstelling met twee kanalen. Binnen dezelfde prijsklasse presteert een stereoversterker in de regel beter dan een receiver. De aanwezige voeding hoeft de beschikbare energie tenslotte maar over maar twee kanalen te verdelen.

Bij een receiver zijn dat er veel meer. Om die reden is er dus minder vermogen per speaker beschikbaar. Het resultaat is een wat vlakker geluid met minder hoorbare details. Bij een stereo-opstelling is de drempel ook nog eens lager om in twee hoogstaande luidsprekers en goede audiokabels te investeren. Wil je een surround-opstelling met ongeveer dezelfde geluidskwaliteit, dan is dat trouwens ook mogelijk, alleen kleeft daar wel een veel hoger prijskaartje aan.

©NAD Electronics

Besteed voor het beste geluid je volledige budget aan een stereoversterker en twee luidsprekers.

Akoestische ruimte

Naast je persoonlijke voorkeuren en budget speelt ook de akoestische ruimte een belangrijke rol. Het is namelijk cruciaal dat de geluidsgolven voldoende 'bewegingsruimte' hebben. Daarom ligt het plaatsen van een uitgebreide surroundset in een kleine (woon)kamer niet voor de hand. Wanneer de geluidsgolven afkomstig van meerdere luidsprekers volop tegen de muren, de vloer, het plafond en overige harde objecten weerkaatsen, ontstaat er een rommelig geluid. Dat ligt onprettig in het gehoor. Kies in een bescheiden ruimte daarom liever voor een stereo-opstelling. Je kunt op bepaalde stereoversterkers eventueel een subwoofer aansluiten. Creëer op die manier evengoed een thuisbioscoop met nadreunende bastonen.

Kijk je in een behoorlijke ruimte naar films of speel je games? Je kunt overwegen om meerdere luidsprekers in de kamer te plaatsen. Een uitgebalanceerd surroundgeluid heeft dan wel degelijk meerwaarde. Zorg wel voor een goede positie van de speakers. Bovendien is het noodzakelijk om lange kabels aan te leggen. Meer informatie over het verbinden van luidsprekers lees je in het artikel Zo sluit je het best een receiver aan.

©Dali

Een effectieve surround-opstelling vereist een behoorlijke akoestische ruimte.

Conclusie

Houd bij de aanschaf van een geschikt audiosysteem rekening met je persoonlijke voorkeuren, budget en akoestische ruimte. De kunst is om hiertussen de juiste balans te vinden. Heb je eenmaal een keuze gemaakt, dan vind je volop receivers of stereoversterkers in uiteenlopende prijsklassen.