Zelf je eigen domoticasensor maken is niet zo moeilijk of duur. Je hebt een sensor nodig en een microcontrollerbordje dat de sensorgegevens draadloos doorstuurt naar je domoticacontroller. In dit artikel sluiten we temperatuur-, luchtvochtigheids- en luchtdruksensoren en een lcd-schermpje aan op een ESP8266 WiFi Module. We installeren er de ESP Easy-firmware op en integreren onze sensor met het opensource-domoticasysteem Domoticz, zodat je in het dashboard van je domoticacontroller de meetgegevens kunt aflezen. Je eigen domotica-systeem in 17 stappen!

01 ESP8266

Het hart van een domoticasensor bestaat uit een controllerbordje dat sensorgegevens inleest en doorstuurt naar je domoticacontroller. Een populaire keuze bij doe-het-zelvers zijn bordjes gebaseerd op de ESP8266 WiFi Module, geproduceerd door het Chinese bedrijf Espressif Systems. De controller werkt op een klokfrequentie van 80 of 160 MHz, heeft 64 kilobyte instructiegeheugen en 96 kilobyte datageheugen, 512 kilobyte tot 4 megabyte ram, 802.11 b/g/n wifi en 16 gpio-pinnen voor communicatie met de buitenwereld. Vooral de controllerbordjes van AI-Thinker zijn populair, in het bijzonder de minimalistische ESP-01 met 6 bruikbare pinnen en de ESP-12E met 20 bruikbare pinnen.

02 ESP Easy

Met alleen de hardware ben je nog nergens: de firmware die op de ESP-module draait, bepaalt de functie van het controllerbordje. Oorspronkelijk was de NodeMCU-firmware een populaire keuze voor de ESP8266, maar ook de Arduino-firmware is ondertussen ondersteund. Het interessante aan die laatste is dat je dan met de Arduino IDE programma’s voor de ESP-module kunt ontwikkelen. En de ontwikkelaars van de ESP Easy-firmware maken het ons nog makkelijker: ESP Easy verandert je ESP-module in een multisensorapparaat dat je eenvoudig via een webinterface configureert.

©PXimport

03 Firmware downloaden

Op het moment van schrijven nemen de ontwikkelaars van ESP Easy hun firmware op de schop. We kiezen daarom niet voor de stabiele release, maar voor een ontwikkelversie van de volledig herschreven versie 2.0. Download het zipbestand (bij ons was dit ESPEasy_v2.0.0-dev11.zip, dat in de praktijk heel stabiel bleek) en pak het uit. Naast de broncode zie je er ook allerlei bin-bestanden. Dat is de binaire versie van de firmware. De namen maken duidelijk welke je nodig hebt: normal bevat alleen de stabiele plug-ins, test ook de testplug-ins en dev ook de plug-ins die nog in ontwikkeling zijn. 1024 is voor ESP-modules met 1 MB flash en 4096 voor ESP-modules zoals de ESP-12E met 4 MB flash.

04 Firmware flashen

Dit artikel illustreren we met de ESP-12E, die een micro-usb-connector heeft met ingebouwde usb-naar-serieel-converter voor seriële communicatie met je pc. Download eerst de CP2102-drivers van de website van Silicon Labs. Sluit daarna de ESP-module via usb aan op je pc. Gebruik je een ander model ESP-module, dan heb je nog een usb-naar-ttl-converter nodig, die je op de gpio-pinnen van je module aansluit. Bekijk de wiki van ESP Easy voor meer informatie. Het flashen van de firmware gaat met de tool FlashESP8266.exe in het zipbestand met de firmware. Kies de seriële poort (bijvoorbeeld COM0) en het bin-bestand met de gewenste firmware.

©PXimport

05 Wifi-configuratie

Wanneer de vers geflashte ESP-module opstart (druk op het RST-knopje op het bordje nadat het flashen voltooid is), functioneert hij als een draadloos toegangspunt met ssid ESP_Easy_0. Verbind ermee via je smartphone of een ander wifi-apparaat en voer als wachtwoord configesp in. Open daarna je webbrowser, die je naar de captive portal van de ESP-module omleidt. Kies daar met welk ssid je de ESP-module wilt laten verbinden en voer het bijbehorende wachtwoord in. Druk op Connect om de verbinding op te zetten.

06 Wachtwoord

Als de ESP-module erin geslaagd is om met je wifi te verbinden, krijg je het ip-adres te zien. Verbind nu op je smartphone opnieuw met je normale wifi en bezoek dan in je webbrowser (dat kan nu op je pc, een groter scherm is nu wel handiger) het ip-adres van de ESP-module voor de rest van de configuratie. In het tabblad Config is het vooral belangrijk dat je hier een unieke naam geeft aan je module en een beheerderswachtwoord kiest, zodat niet iedereen in je lokale netwerk in staat is om de configuratie te veranderen. Druk onderaan op Submit.

07 Domoticz-controller toevoegen

In het tabblad Controllers staat standaard al een controller toegevoegd met het protocol van Domoticz. Klik ernaast op Edit. Als protocol laat je Domoticz HTTP staan. Vul het ip-adres en de poort (standaard 8080) van je Domoticz-controller in. Heb je de webinterface van Domoticz afgeschermd met een gebruikersnaam en wachtwoord, vul die hier dan ook in. Vink tot slot Enabled aan en klik op Submit. Als je daarna op Close drukt, zie je je Domoticz-controller in de lijst met controllers staan.

©PXimport

08 Statusled

In het tabblad Hardware definieer je waarvoor je de gpio-pinnen inzet. Een handige functie die nieuw is in versie 2.0 van de firmware, vind je onder Wifi Status LED. Als je daar het pinnummer invoert waarop een led is aangesloten, geeft ESP Easy de status van wifi weer op die led. En dat kan ook met de ingebouwde led van de ESP-module. Kies daarvoor GPIO-2 (D4) en vink Inversed LED aan omdat die led active-low werkt. Klik onderaan op Submit. Als ESP Easy niet met wifi verbonden is, knippert de led nu snel tussen helder en zacht.

09 Sensoren en schermpje

Neem nu een breadboard en plaats daarop de (niet op de voeding aangesloten!) ESP-module en een BMP180-sensorbordje. Die laatste is een printplaatje met temperatuur- en luchtdruksensor. Verbind nu VIN op de BMP180 met 3V3 op de ESP-module, GND met GND, SCL met D1 en SDA met D2. Neem nu de AM2302 (DHT22) temperatuur- en luchtvochtigheidssensor, sluit het rode draadje aan op VIN, het zwarte op GND en het gele op D5. Sluit tot slot het OLED-schermpje met SDD1306-controller aan: VCC op VIN, GND op GND, SCL op D1 en SDA op D2. Sluit daarna terug de voeding van de ESP-module aan.

10 Virtuele sensoren in Domoticz

Maak in de webinterface van Domoticz een dummy-sensor aan. Open daarvoor het menu Instellingen / Hardware, kies nieuwe hardware uit de lijst van het type Dummy, geef het apparaat een naam en zorg dat Actief aangevinkt staat. Klik op Toevoegen. Klik daarna bij het virtuele apparaat op Maak virtuele sensoren. Geef de sensor een naam en kies als type Temp+Hum. Klik op OK om de sensor aan te maken. Zoek de sensor daarna in Instellingen / Apparaten en noteer het getal in de kolom Idx. Dit is het id van de sensor. Voeg daarna op dezelfde manier een sensor toe van het type Temp+Baro.

©PXimport

11 DHT-sensor configureren

Open nu de webinterface van ESP Easy. Klik in het tabblad Devices in de eerste rij op Edit. Kies bij Devices voor Environment - DHT11/12/22. Geef de sensor een naam en vink Enabled aan. Kies als GPIO-pin GPIO-14 (D5) en als sensortype DHT 22. Vul bij IDX het id van de sensor in Domoticz in en verzeker je ervan dat Send to Controller aangevinkt staat. Klik daarna op Submit. Klik je daarna op Close, dan zie je in de lijst met apparaten de sensor staan, inclusief de huidige temperatuur en luchtvochtigheid. Ook in Domoticz krijg je de gegevens te zien.

12 BMP-sensor configureren

De BMP180-sensor communiceert met de ESP-module door middel van de I2C-interface. Kijk dus eerst in het tabblad Hardware van ESP Easy na of de I2C-interface correct is geconfigureerd: GPIO-4 (D2) bij SDA en GPIO-5 (D1) bij SCL. Dit zijn ook de verbindingen die je op het breadboard hebt gemaakt. Ga dan naar het tabblad Devices en klik in de tweede rij op Edit. Kies als apparaat Environment - BMP085/180. Geef de sensor een naam, vink Enabled aan en vul de hoogte van je locatie in meters in (om te compenseren voor de luchtdruk). Vul het juiste id van de virtuele sensor in Domoticz in en klik op Submit.

13 Eigen regels aanmaken

Tijdens de redactiesluiting zat er nog een fout in ESP Easy waardoor de firmware de luchtdruk van de BMP-sensor niet correct naar Domoticz stuurt. ESP Easy is gelukkig flexibel genoeg om dit te op te lossen. Vink daarvoor eerst bij je BMP-sensor Send to Controller uit en klik op Submit. Open daarna het tabblad Tools, klik op Advanced, vink Rules aan en klik op Submit. Er verschijnt nu een nieuw tabblad Rules. Open dit. In het tekstveld voeg je nu eenvoudig je eigen regels toe.

©PXimport

14 Timer

Voeg in het tekstveld het onderstaande script toe. Vervang daarin het ip-adres, het poortnummer en het id door de waarden voor jouw situatie. Dit script stuurt elke minuut de sensorgegevens naar Domoticz. Reboot achteraf de ESP-module in Tools / Reboot.

On System#Boot do

timerSet,1,60

endon

On Rules#Timer=1 do

SendToHTTP,192.168.1.101,8080,/json.htm?type=command&param=udevice&idx=230&nvalue=0&svalue=[BMP#Temperature];[BMP#Pressure];BAR_FOR;ALTITUDE

timerSet,1,60

endon

15 OLED-scherm configureren

Dan rest ons alleen nog om het oled-schermpje te configureren zodat we de sensorgegevens ook daarop te zien krijgen. Klik eerst in het tabblad Tools op I2C Scan en kijk welk I2C-adres het oled-scherm gebruikt, standaard 0x3c. Maak daarna een derde apparaat aan in het tabblad Devices en kies als type Display - OLED SSD1306. Kies een naam, vink Enabled aan en controleer of het juiste I2C-adres ingevuld staat. Kies ook de juiste rotatie (normaal of ondersteboven) en schermgrootte.

©PXimport

16 Sensorgegevens tonen

In de rest van de configuratie van het oled-schermpje kies je wat er op het scherm komt. Je hebt 8 regels van 16 tekens die je kunt vullen. Vul op regel 1 T: [BMP#Temperature]^C in, op regel 2 H: [AM2302#Humidity]% en op regel 3 P: [BMP#Pressure] hPa. We gebruiken de temperatuur van de BMP180, omdat die accurater is dan de DHT22. Klik op Submit. Na een minuut (de standaard ingestelde vertraging) krijg je de sensorgegevens op het schermpje te zien.

17 Andere sensoren en actuatoren

De sensoren en het schermpje die we in deze workshop aansloten, zijn uiteraard niet de enige ondersteunde apparaten. Hier vind je een lijst met alle plug-ins. Hier zie je ook welke plug-ins in de normal-firmware zitten en voor welke je de testing- of development-firmware nodig hebt. Op de wiki-pagina van een plug-in staat hoe je het apparaat aansluit en hoe je de plug-in in ESP Easy configureert.

©PXimport

IoT-sensor op batterijen

Stel, je wilt je thuisnetwerk beter afschermen en beveiligen. Wellicht heb je hiervoor een oude pc of mini-pc ter beschikking of je zet een hypervisor in. Dan is de gratis en opensource-firewall en -routersoftware OPNsense precies wat je zoekt. We geven je hier een solide basis.

Je router zorgt al voor enige bescherming van je netwerk en waarschijnlijk gebruik je ook een softwarematige firewall, zoals de Windows Firewall. Maar als je meer flexibiliteit wilt en liever alles zelf instelt, dan is OPNsense een uitstekend alternatief. Het is gratis en opensource. Het tweede betekent dat iedereen de broncode kan bestuderen, wat de kans op achterdeurtjes verkleint. De naam ‘opensense’ is dus zeker niet toevallig gekozen.

OPNsense is een afsplitsing van pfSense, een firewallproject dat op zijn beurt weer gebaseerd is op m0n0wall (dat ongeveer twintig jaar geleden begon). Toen het pfSense-team tien jaar later aankondigde te willen commercialiseren, leidde dit in 2015 tot de lancering van OPNsense door het Nederlandse netwerkbedrijf Deciso. In tegenstelling tot pfSense blijft OPNsense volledig gratis en opensource onder de BSD-licentie.

De software heeft een moderne, gebruiksvriendelijke webinterface en ondersteunt functies als IPS/IDS (Intrusion Detection/Prevention System), VPN (zoals WireGuard), verkeersmonitoring en bandbreedtebeheer, en biedt een architectuur voor opensource-plug-ins.

1 Benodigdheden

OPNsense draait op diverse hardware en er zijn zelfs ‘security appliances’ beschikbaar waarop OPNsense reeds is geïnstalleerd. Voorbeelden zijn de DEC700-serie van Deciso voor kleinere netwerken en de DEC4200-serie voor grotere bedrijven (geschikt voor 19inch-racks). Maar in dit artikel installeren we OPNsense zelf. We gebruiken hiervoor een gratis en opensource hypervisor, Oracle VM VirtualBox, maar je kunt dit op vrijwel identieke wijze op bijvoorbeeld een bare-metal-machine doen, zoals een oude pc of een mini-pc (zie ook het kader ‘Zuinige mini-pc’).

De minimale systeemeisen zijn bescheiden, zeker voor een thuisnetwerk. Je kunt al starten met een 1GHz-dualcore-processor, 2 GB RAM en 4 GB opslagruimte. In de praktijk is het beter om iets krachtigere hardware te gebruiken: minstens een 1,5GHz-processor met meer dan twee cores, 4 tot 8 GB RAM en minimaal 40 GB. Dit hangt natuurlijk ook af van welke functies je activeert. Een cache-webproxy zoals Squid of een Captive Portal kunnen bijvoorbeeld flink wat cpu-belasting veroorzaken.

Deciso maakt ook eigen hardware voor kleine en grote bedrijven.

2 Fysieke machine

De benodigde schijfkopiebestanden voor OPNsense vind je op de officiële website. Op het moment van schrijven is versie 24.7 Thriving Tiger de meest recente stabiele versie. Klik op de Download-knop en selecteer amd64 als architectuur. Ga je voor een fysieke installatie, zoals op een (mini-)pc, dan kies je vga als image-type.

De download komt weliswaar in de vorm van een bz2-archief, maar dit kun je naar een img-schijfkopiebestand uitpakken met een gratis tool als 7-Zip. Dit img-bestand kun je vervolgens naar een bootstick schrijven, bijvoorbeeld met het gratis Rufus of balenaEtcher. Bij deze laatste selecteer je Install from file, verwijs je naar het img-bestand, kies je bij Select target een usb-stick en start je de procedure met de Flash!-knop.

De pc die je vervolgens met dit bootmedium opstart, dient wel over minstens twee netwerkadapters te beschikken. Of zelfs drie voor bijvoorbeeld een gastnetwerk of een DMZ-zone voor servers die je van je primaire netwerk wilt isoleren. In de meeste scenario’s is een van deze adapters direct met je modem(/router) verbonden.

In paragraaf 4 lees je meer over de installatieprocedure.

Je kunt het img-bestand omzetten naar een bootstick met balenaEtcher.

3 Virtuele machine

Doe je liever een installatie op een virtuele machine, kies dan voor dvd als image-type om een iso-schijfkopiebestand te krijgen. Zo’n virtuele installatie kan bijvoorbeeld handig zijn om een veilig testlab te bouwen met meerdere virtuele machines. De gratis en opensource-hypervisor Oracle VM VirtualBox is een goed programma om te gebruiken.

Installeer VirtualBox, start deze op en druk op de knop Nieuw. In het dialoogvenster geef je OPNsense op bij Naam, kies je een geschikte map (met voldoende opslagruimte) en verwijs je bij ISO-image naar het uitgepakte iso-bestand. Stel Type in op BSD, Subtype op FreeBSD, en Versie op FreeBSD (64-bit).

Open de sectie Hardware, waar je afhankelijk van je systeembronnen en het beoogde gebruik het veld Basisgeheugen instelt op bijvoorbeeld 4096 MB, en Processoren op 2. Stel Harde schijf in op bijvoorbeeld 40 GB en bevestig met Afmaken. De nieuwe virtuele machine wordt nu toegevoegd.

Voor je deze start, klik je eerst met rechts op de (nog uitgeschakelde) VM en kies je Instellingen. In het onderdeel Netwerk moet je nu minimaal twee netwerkadapters instellen. In het kader ‘Virtuele netwerkconfiguratie’ en in de tabel lees je meer over hoe je dit kunt aanpakken.

Stel de nodige parameters in voor de virtuele machine van OPNsense.

4 Installatie

Start de installatie van OPNsense door de bootstick of virtuele machine op te starten en het proces te voltooien. Dit duurt grofweg vijf minuten. Aan het eind hoor je doorgaans een korte piep. De live-versie van OPNsense draait nu en is bereikbaar via het standaard ip-adres 192.168.1.1, zowel via de webinterface als via SSH met bijvoorbeeld met het gratis Putty. De standaard inloggegevens zijn gebruikersnaam root met wachtwoord opnsense.

Omdat deze live-omgeving in het geheugen draait, wordt de configuratie niet permanent opgeslagen. Dit geeft je de kans om de omgeving eerst te testen. Voor een permanente installatie moet je opnieuw installeren. Meld je hiervoor aan in de consoleprompt met de naam installer en wachtwoord opnsense. Als dit toch niet lukt: log dan in als root, kies Shell in het menu (optie 8) en typ opnsense-installer, of gebruik hiervoor SSH.

Tijdens de installatie kies je: het toetsenbord (keymap); het bestandssysteem (bij voorkeur ZFS of eventueel UFS); de partitie-opties (doorgaans stripe zonder redundantie bij een enkele schijf); en de schijf zelf (meestal da0 of nvd0). Bevestig met Yes om de schijf te partitioneren en formatteren (kies bij UFS ook Yes voor de swap). Stel een sterk root-wachtwoord in (let op de correcte toetsenbordindeling) en bevestig dit. Selecteer tot slot Complete Install – Exit and reboot.

De ‘echte’ installatie van OPNsense is volop bezig.

5 Netwerkinterfaces

Na de herstart verschijnt, na aanmelding als root, het configuratiemenu van OPNsense. Hier vind je opties als Logout, Power off system en Reboot system. Boven dit menu zie je de toegewezen netwerkinterfaces, bijvoorbeeld:

LAN (em0) -> v4: 192.168.1.1/24

WAN (em1) -> v4/DHCP4: 192.168.0.171/24

De WAN-toewijzing kan per systeem verschillen. Als er geen WAN is toegekend, kies dan menuoptie 1 (Assign interfaces). Beantwoord de vraag over LAGG’s (Link Aggregation Groups) en VLAN’s met N. Voer eventueel zelf de naam in van de nog niet toegewezen netwerkadapter (in ons voorbeeld em1). Je kunt dit proces altijd nog onderbreken en terugkeren naar het menu met Ctrl+C.

Ga na of de netwerkinterfaces correct zijn toegewezen aan de LAN- en WAN-instellingen.

6 Informatie

Na de installatie van OPNsense kun je beginnen met de configuratie en optimalisatie via het grafische dashboard. Dit is toegankelijk via de webinterface op 192.168.1.1, waar je inlogt met je (inmiddels gewijzigde) inloggegevens.

Klik linksboven op het OPNsense-logo om widgets te bekijken met statusinformatie. Bij Traffic Graph en Interface Statistics zie je bijvoorbeeld live-grafieken voor inkomend en uitgaand verkeer. Ook kun je op de Firewall-grafiek klikken om gefilterd verkeer door de firewall te bekijken. Verder geeft een widget inzicht in het geheugen-, schijf- en cpu-gebruik en toont het blok Services welke services actief zijn, zoals DHCPv4Server, Unbound DNS en Web GUI. Hier kun je services (her)starten en sommige ook stopzetten.

In de widget System Information kun je via Click to check for updates controleren op updates. Scrol naar beneden en klik op Update om OPNsense bij te werken. Bevestig met OK om het systeem na de update te herstarten.

Om het dashboard aan te passen, klik je rechtsboven op het potloodpictogram Edit dashboard, waarna je ook extra widgets kunt toevoegen, zoals OpenVPN en WireGuard.

Extra rapporten vind je in de rubriek Reporting en subrubrieken als Health (met tabbladen Packets, System en Traffic) en Unbound DNS. Om de DNS-aanvragen te kunnen zien, moet je deze rapportage wel eerst activeren. Dit doe je bij Reporting / Settings, waar je Enables local gathering of statistics inschakelt. Ook interessant is Reporting / Traffic voor een live-weergave van het verkeer – kijk ook even op het tabblad Top Talkers, voor de actiefste systemen.

Dankzij live-widgets krijg je vanuit je dashboard een goed inzicht de status van je OPNsense.

7 Basisconfiguratie

Voordat je de geavanceerdere functies van OPNsense verkent, is het verstandig enkele basisinstellingen te controleren. Ga naar System / Settings / General, waar je de Hostname (standaard OPNsense), Domain (standaard localdomain, eventueel vervangen door je eigen domeinnaam) en Time zone (bijvoorbeeld Europe/Amsterdam) kunt instellen. De optie Dutch is vooralsnog niet beschikbaar bij Language.

Bij DNS servers kun je DNS-servers instellen voor het systeem, inclusief voor de DHCP-service. Wij laten deze lijst echter leeg en vinken Allow DNS server list to be overridden bij DHCP/PPP on WAN aan, zodat de DNS-servers van de internetprovider (mogelijk via je fysieke router) worden overgenomen. Klik altijd op Save (of soms Apply) om wijzigingen te bevestigen voordat je een andere rubriek in het dashboard opent.

Vervolgens kun je bij System / Settings / Administration de optie HTTP inschakelen bij Protocol als je het storend vindt om telkens het zelf-ondertekende SSL-certificaat te bevestigen (indien gewenst, kun je via System / Trust / Certificates trouwens een echt certificaat importeren). Je kunt bij Listen interface ook kiezen voor LAN in plaats van All als je alleen verbindingen van die specifieke netwerkinterface wilt accepteren.

Controleer als eerste een aantal basisinstellingen.

8 Interfaces

Standaard activeert OPNsense een DHCP-service binnen het LAN-subnet (192.168.1.0/24). Hierdoor krijgen clients die (wellicht via een switch) met de toegewezen netwerkinterface verbinden, automatisch een compatibel ip-adres en DNS-server (standaard 192.168.1.1) toegewezen. Je kunt dit controleren bij Services / ISC DHCPv4 / [LAN]. De optie Enable DHCP server on the LAN interface staat standaard aan met een ip-bereik van 192.168.1.100 tot 192.168.1.199, zodat je ruimte hebt om bepaalde apparaten een statisch ip-adres toe te kennen. Hier vind je trouwens ook diverse geavanceerde opties.

Als alles goed is ingesteld, ga dan naar Interfaces / Assignments. Hier controleer je welke interface met welk MAC-adres aan de LAN- of WAN-interface is gekoppeld. Heb je een extra netwerkinterface, bijvoorbeeld voor een DMZ of gastnetwerk, dan kun je die hier toewijzen. Selecteer de interface bij + Assign a new interface, klik op Add en dan op Save om de interface aan de rubriek Interfaces toe te voegen. Open de nieuwe interface en vink Enable Interface en eventueel ook Prevent interface removal aan. Stel IPv4 Configuration Type in op Static IPv4 en geef een ip-adres, zoals 192.168.2.1 / 24. Bevestig met Save en Apply changes.

Ga vervolgens naar Services / ISC DHCPv4 / [interfacenaam] om de DHCP-server in te schakelen en een passend ip-bereik in te stellen. Je doet er wellicht ook goed aan om Services / Unbound DNS / General te openen en daar Register ISC DHCP4 Leases en Register DHCP Statis Mappings in te schakelen, zodat je de machines ook via hun hostnaam kunt bereiken.

Je moet de extra netwerkinterface wel nog even koppelen en configureren.

9 Firewall

Bij een extra netwerk zijn alle inkomende verbindingen standaard geblokkeerd door de firewall. Open Firewall / Rules en selecteer de LAN-interface. OPNsense heeft hier al pass-regels aangemaakt voor IPv4 en IPv6 (verwijder de IPv6-regel indien gewenst). De regel IPv4* LAN net * * * * * staat al het verkeer toe.

Voor je extra interface kun je regels toevoegen, bijvoorbeeld om toegang tot het LAN-netwerk te blokkeren. Klik op de rode plus-knop, stel Action in op Block, en kies DMZ bij Interface. Laat Protocol op any staan, stel Source in op DMZ net en kies LAN net bij Destination. Voeg een beschrijving toe, zoals Blokkeer LAN toegang. Sla deze wijzigingen op met Save en bevestig met Apply changes.

Om je DMZ wel toegang tot je DNS-server en gateway binnen het LAN te verlenen, kun je extra pass-regel toevoegen. Kies Pass bij Action, DMZ bij Interface, en Single host or network bij Destination. Vul hier het (standaard) ip-adres 192.168.1.1 in, stel Protocol in op TCP/UDP en kies bij Destination bij de optie Port (other) voor poort 53.

Kopieer deze pass-regel via de Clone-knop en pas deze aan voor TCP, en respectievelijk poort 80 en 443, zodat je HTTP(S)-verkeer naar je gateway toestaat. Zorg met behulp van de pijlknopjes dat de drie pass-regels boven de blokkeerregel staan, aangezien de firewall deze regels altijd van boven naar beneden doorloopt.

De kans is groot dat je de standaardfirewallregels nog wat moet verfijnen.

10 Firewall-regels voor DMZ-zone

Wil je wel verkeer van de DMZ naar het internet toestaan, voeg dan een extra regel toe. Kies Pass als Action en DMZ als Interface. Stel Source in op DMZ net en Destination op WAN net. Vul een beschrijving in, bijvoorbeeld Toegang naar internet toelaten, en bewaar de regel.

Voor het toegankelijk maken van services op de DMZ vanaf het internet, ga je naar Firewall / NAT / Port Forward. Klik op Add, kies WAN als Interface en stel het juiste protocol in, bijvoorbeeld TCP/UDP. Selecteer WAN address bij Destination en stel bij Destination Port Range de poort(en) in die je wilt openstellen, bijvoorbeeld HTTP. Vul bij Redirect target IP het ip-adres in van het DMZ-netwerk dat het verkeer moet ontvangen. Indien nodig stel je bij Redirect target Port een alternatieve poort in voor de service (bijvoorbeeld (other), 8080). Bewaar de regel en bevestig ook hier met Apply changes.

Zo zou de firewall-regelset van je extra netwerk (bijvoorbeeld een DMZ-zone) er eventueel uit kunnen zien.

11 Plug-ins

Zoals je aan de menu-opties in je dashboard kunt zien, biedt OPNsense allerlei mogelijkheden en services, zoals VPN (inclusief OpenVPN en WireGuard), OpenDNS en een Captive Portal. We hebben helaas niet de ruimte hier verder op in te gaan, maar tonen je nog wel hoe je de functionaliteit van OPNsense kunt uitbreiden met gratis plug-ins. Bekende namen zijn clamav, ddclient, freeradius, os-intrusion-detection, iperf, nginx, squid, tftp, VirtualBox en VMware guest additions, zabbix enzovoort.

Om bijvoorbeeld ClamAV toe te voegen, zorg je er eerst voor dat OPNsense up-to-date is. Ga vervolgens naar System / Firmware / Plugins en klik op de plusknop Install bij os-clamav. Op het tabblad Updates volg je de voortgang van de installatie.

Na de installatie vind je ClamAV in de rubriek Services. Ga naar Configuration, klik op Download signatures en zorg dat Enable clamd service is ingeschakeld. Pas waar nodig de instellingen aan en klik op Save om de wijzigingen op te slaan.

Veel configuratiewerk vergt ClamAV dus niet, andere plug-ins vergen juist wat meer aanpassingen.

ClamAV is slechts een van de tientallen beschikbare plug-ins voor OPNsense.

Bij ID.nl zijn we dol op kwaliteitsproducten waar je niet de hoofdprijs voor betaalt. Een paar keer per week speuren we binnen een bepaald thema naar zulke deals. Ben je op zoek naar een fijne tablet waarmee je vlot kunt werken? Vandaag hebben we vijf interessante modellen voor je gespot.

Apple iPad Air (2025)

In de zéér recent verschenen 2025-versie van de iPad Air zit Apples eigen M3-chip. Die telt acht rappe rekenkernen, zodat veeleisende apps vlot werken. Zo is het spelen van 3D-games geen enkel probleem. Volgens het Amerikaanse merk is de genoemde processor bijna twee keer zo snel als eerdere iPads met een M1-chip. Bovendien verbruikt deze chipset ook nog eens minder energie. Ondanks het ruime 11inch-scherm weegt de aluminium behuizing nog geen halve kilo. Ideaal voor wie een tablet graag meeneemt. De goedkoopste uitvoering heeft 128 GB interne opslagcapaciteit. Kies tussen de kleurstellingen grijs, beige, blauw en paars. Tegen een meerprijs kun je ook een exemplaar met 256 GB (grijs/paars), 512 GB (grijs/beige/blauw/paars) of 1 TB (grijs) opslag overwegen.

Met behulp van de geïntegreerde vingerafdrukscanner log je altijd en overal veilig in. Vanzelfsprekend is iPadOS 18 al op deze tablet aanwezig. Je hebt toegang tot allerlei AI-tools, waardoor je onder meer supersnel fotocorrecties toepast. Bovendien kun je vanuit de apps Siri en Schrijfhulp de bekende AI-dienst ChatGPT aanspreken. Het heldere 11inch-scherm leent zich met een respectabele resolutie van 2360 × 1640 pixels perfect voor het kijken van films, series en tv-programma's. Tot slot is er van de iPad Air ook een grotere versie met een 13inch-scherm te koop.

Apple iPad Pro (2024)

De 2024-versie van de iPad Pro is momenteel de snelste tablet van Apple. Dankzij de M4-chip voer je de meest complexe taken zonder enige vertraging uit, zoals AI-toepassingen en 3D-games. Deze processor bevat namelijk negen of tien (bij 1TB- en 2TB-uitvoering) vliegensvlugge rekenkernen. Verder zijn de beeldprestaties van het dubbellaagse 11inch-oledscherm indrukwekkend. Zowel foto's als video's ogen op een resolutie van 2420 × 1668 pixels haarscherp. Voor gamers en creatieve professionals komt de hoge vernieuwingsfrequentie van 120 hertz goed van pas. Bewegende beelden verschijnen vloeiend op het scherm. Daarnaast bedraagt de piekhelderheid maar liefst 1600 cd/m².

Naar eigen zeggen is deze iPad Pro tot dusver de dunste Apple-tablet (5,3 mm). De gerecyclede aluminium behuizing weegt bovendien maar 444 gram. Kortom, een handzame metgezel voor onderweg. Fijn is dat de selfiecamera Face ID ondersteunt. Hierdoor kun je via een gezichtsscan vlot inloggen. De betaalbaarste versie heeft 256 GB opslagruimte, waarbij je kunt kiezen tussen de kleurstellingen zwart en zilver. Als alternatief koop je deze tablet met 512 GB (zwart/zilver), 1 TB (zwart/zilver) of 2 TB (zwart/zilver) opslagcapaciteit. Verder is de iPad Pro ook met een groot 13inch-scherm te koop. Wil je meer weten? Lees dan deze uitgebreide review op ID.nl.

Samsung Galaxy Tab S10+

Zoek je een zéér rappe Android-tablet met een riant scherm? Kijk dan eens goed naar de eigenschappen van de Samsung Galaxy Tab S10+. Het 256 GB-model is in de kleurstellingen grijs en zilver beschikbaar. Vind je dat te krap, dan kies je voor 512 GB opslag (grijs/zilver). Overigens voeg je met een eigen microSD-kaart van maximaal 1,5 TB eenvoudig extra opslagruimte toe. Het ruime 12,4inch-amoledscherm telt 2800 × 1752 pixels, zodat je op een behoorlijke resolutie video's kunt streamen. Samsung heeft het scherm voorzien van een matte coating. Hierdoor kun je ook in sterk verlichte ruimtes comfortabel werken.

Voor de rekenprestaties is de MediaTek Dimensity 9300+-processor verantwoordelijk. Deze chipset heeft acht kernen, waarbij de rapste core goed is voor een kloksnelheid van 3,4 GHz. Voeg daar 12 GB werkgeheugen aan toe en je merkt nergens vertraging. Met behulp van een vingerafdrukscanner kun je veilig bij Android 14 inloggen. Nuttig om te weten is dat de fabrikant dit product tot 31 oktober 2031 ondersteunt. Je ontvangt dus voor de komende jaren volop (beveiligings)updates en upgrades van het besturingssysteem. Naast de besproken uitvoeringen is deze tablet ook met een 5G-simkaartslot verkrijgbaar. Samsung levert bij alle modellen een goede stylus mee.

Lees ook: Zo gaat je tablet (véél) langer mee!

Samsung Galaxy Tab S10 Ultra

Als je graag op een heel grote tablet werkt, is de Samsung Galaxy Tab S10 Ultra een logische keuze. Het amoledscherm heeft een indrukwekkend schermdiagonaal van 14,6 inch. Lees hierop bijvoorbeeld de digitale krant, speel 3D-videospelletjes of creëer eigen animaties. Dankzij een respectabele resolutie van 2960 × 1848 pixels verschijnen foto's, video's en webpagina's scherp in beeld. Ondanks de behoorlijke omvang valt het gewicht van 723 gram mee. De behuizing voldoet aan de IP68-norm en is dus waterdicht. Er is bij dit product een stylus inbegrepen.

De Galaxy Tab S10 Ultra heeft dezelfde processor als de eerder besproken Galaxy Tab S10+. Goed nieuws, want deze MediaTek Dimensity 9300+-chipset biedt prima prestaties. De versies met 256 GB (grijs/zilver) en 512 GB (grijs/zilver) opslag hebben 12 GB werkgeheugen. Doe je veel geavanceerde taken tegelijkertijd, dan haal je met het 1 TB-model (grijs) een tablet met 16 GB RAM in huis. De Galaxy Tab S10 Ultra is eventueel ook inclusief 5G-simkaartslot te koop. Lees hier een uitgebreide review op ID.nl.

Lenovo Idea Tab Pro (ZAE40020SE)

Voor alledaags gebruik is deze recent verschenen tablet prima geschikt. De scherp geprijsde Lenovo Idea Tab Pro heeft een groot 12,7inch-scherm met 2944 × 1840 pixels. Dat is een prettig formaat voor taken als webwinkelen, bankieren, video's streamen en natuurlijk internetten. Bovendien zijn de acht rekenkernen van de MediaTek Dimensity 8300-processor snel genoeg om spelletjes uit de Play Store soepel te verwerken. De snelste core is afgeregeld op een respectabele kloksnelheid van 3,35 GHz. Verder heeft de tablet 8 GB werkgeheugen.

Onder de motorkap bevindt zich een opslagdrager van 256 GB. Hierop is Android 14 voorgeïnstalleerd. Wil je meer lokale opslag, dan prik je een microSD-kaart van maximaal 1 TB in de behuizing. Ten opzichte van diverse andere tablets in deze prijsklasse onderscheidt de Idea Tab Pro zich met een behoorlijk geluid. Hiervoor zijn er vier speakers van de bekende audiofabrikant JBL ingebouwd. Lenovo levert bij dit product een stylus mee.