Domotica hub netwerk segmentatie IoT apart VLAN

Portret van Bas Martens, domotica specialist voor smart home hubs
Bas Martens
Smart home en domotica specialist
Domotica Hub Beveiliging · 2026-02-15 · 6 min leestijd

Stel je even voor: je hebt een huis vol slimme apparaten. Je gloeilampen zijn vervangen door slimme lampen, je thermostaat praat met je telefoon en je beveiligingscamera's hangen overal. Alles werkt via een centrale hub, zoals een Homey Pro of een Home Assistant server. Heerlijk, zo'n slim huis. Maar nu is er een onzichtbare deur open blijven staan. Je IoT-apparaten, die vaak minder goed beveiligd zijn, zitten in hetzelfde netwerk als je laptop, je NAS met al je foto's, en je telefoon. Eén gat in de beveiliging van een cheap smart plug en een hacker zit in je hele netwerk. Dat voelt niet goed, hè? Dat gevoel klopt precies. Het is tijd om je slimme huis op te delen in veilige eilandjes. Zonder dat je er een computerstudie voor hoeft te doen.

Wat is netwerksegmentatie eigenlijk?

Denk aan je thuiskantoor. Je hebt een grote tafel waar alles op ligt: je laptop, je notitieboekjes, je koffie, en je lunch. Als je koffie omvalt, mors je over je laptop. Niet handig. Netwerksegmentatie is het opdelen van die grote tafel in aparte dienbladen. Je laptop krijgt een eigen blad, je notitieboekjes een ander, en je koffie staat in een morsbestendig bakje.

In netwerktermen noemen we die aparte bladen een VLAN (Virtual Local Area Network). Een VLAN is een logisch, virtueel netwerk dat je aanmaakt op één fysiek netwerk. Je router of managed switch zorgt dat al je apparaten netjes gescheiden blijven. Je IoT-apparaten (slimme lampen, stekkers, sensoren) zitten op het 'IoT-VLAN'. Je computer en telefoon zitten op het 'Thuis-VLAN'. Ze kunnen niet zomaar bij elkaar op de koffie. Ze wonen in aparte kamers met gesloten deuren. Dat is de basis: scheiden om te beveiligen.

Waarom is die scheiding zo hard nodig?

Veel slimme apparaten zijn gemaakt om goedkoop te zijn, niet om veilig te zijn. Ze krijgen zelden updates, hebben standaardwachtwoorden of hebben een open poort die eigenlijk dicht zou moeten. Je wil niet dat zo'n apparaat de Zwakke Schakel wordt. Als een inbreker via je slimme tuinlamp binnenkomt, wil je niet dat hij direct bij je persoonlijke bestanden kan. Door een apart VLAN te maken, leg je een muur om je tuinlamp heen. Die lamp mag wel internet op (voor de app), maar niet in je netwerk.

Je privacy en veiligheid zijn het belangrijkste, maar er is nog een voordeel: stabiliteit. Soms gaan IoT-apparaten gekke dingen doen en heel veel data sturen over je netwerk. Als ze in hun eigen hoekje zitten, storen ze je Zoom-gesprek niet. Je Zoom-gesprek blijft vlot lopen, terwijl je slimme broodrooster misschien een digitale inbeslagname ondergaat. Het is alsof je je kinderen apart zet als ze ruzie maken. Iedereen blijft blij.

De kern: hoe werkt het in de praktijk?

Het begint bij je router of switch. Niet elke router van je internetprovider ondersteunt VLANs. Vaak moet je een eigen router kopen, zoals een TP-Link Deco toestel of een Ubiquiti-apparaat. Die zorgen dat je meerdere netwerken kunt aanmaken. Je maakt er drie aan: één voor je belangrijke spullen (laptop, telefoon), één voor je IoT en één voor eventuele gasten. Je geeft ze elk een eigen nummer (bijvoorbeeld 10, 20 en 30).

Stel, je koopt een Homey Pro voor €399. Die wil weten wat er in huis gebeurt. Je sluit hem aan op je netwerk. In je router geef je aan dat de Homey en al je andere IoT-dingetjes in VLAN 20 moeten wonen. Je laptop zit in VLAN 10. De router zorgt dat de Homey nog steeds je lampen kan aansturen, maar je laptop kan niet zomaar inloggen op de Homey om hem te hacken. Je legt regels vast: "VLAN 20 mag internet op, maar mag géén verbinding maken met VLAN 10." Dat is de magie.

Wil je alles besturen vanaf je telefoon? Die telefoon zit in VLAN 10. Om de Homey te bereiken, moet je router even een bruggetje bouwen. Je maakt een uitzondering (een firewallregel) die toestaat dat je telefoon de Homey mag spreken, maar niet de rest van de apparaten in dat IoT-netwerk. Zo blijft het veilig, maar blijft het gebruiksvriendelijk. Het is een balans tussen comfort en veiligheid.

De kosten en systemen: van budget tot pro

Je kunt dit op elk budget doen. De goedkoopste manier is om je bestaande router te vervangen door een Mesh-systeem dat VLANs ondersteunt. Een TP-Link Deco X50 (drie stuks) kost ongeveer €150-€200. Deze systemen zijn makkelijk via een app te beheren. Ze bieden vaak al een "Gastennetwerk"-modus die je slim kunt gebruiken als IoT-VLAN. Prima voor de beginner die een Home Assistant Raspberry Pi setje (€100) wil veiligstellen.

Wil je meer controle en kracht? Dan kijk je naar Ubiquiti (Unifi). Een Unifi Dream Router (UDR) kost rond de €300. Daarbovenop koop je een Unifi Switch (zo'n €100-€200). Dit is wat de professionals gebruiken. Je krijgt dan een dashboard waar je tot op de byte precies ziet wat er gebeurt. Je kunt regels maken als "Deze camera mag alleen streamen naar de cloud en niet naar mijn laptop". Het is even wennen, maar ongelooflijk krachtig. Ideaal voor een uitgebreid netwerk met een Homey Pro en tientallen sensoren.

Vergeet de Access Points niet. Als je een aparte router koopt, heb je waarschijnlijk ook een losse WiFi-antenne nodig die meerdere VLANs aan kan. Een Unifi U6 Lite Access Point kost rond de €120. Die kun je zo instellen dat er twee WiFi-netwerken zijn: "Thuis" (VLAN 10) en "SlimHuis" (VLAN 20). Je telefoon kiest welke hij nodig heeft. Zo bouw je stap voor stap een veilig netwerk, passend bij je budget.

Praktische tips om direct te starten

Voordat je begint: check of je huidige router VLANs (802.1Q) ondersteunt. Dat staat meestal in de handleiding of bij de geavanceerde instellingen. Als je een modem-router van je provider hebt, werkt dat waarschijnlijk niet. Dan is een nieuwe router de eerste investering. Zorg dat je een oude router hebt liggen om je netwerk weer werkend te krijgen als je per ongeluk jezelf uitsluit. Dat voorkomt stress.

  • Maak een schema: Schrijf op papier welke apparaten in welk VLAN moeten. Doe dit voordat je begint. Bijvoorbeeld: "Laptop, Telefoon, NAS -> VLAN 10. Homey, Lampen, Thermostaat -> VLAN 20."
  • Start klein: Begin met je router en één of twee IoT-apparaten. Test of je ze nog kunt besturen via je telefoon. Als het werkt, schaal je op. Niet alles in één keer proberen.
  • Let op specifieke problemen: Sommige apps (zoals die van Philips Hue) gebruiken lokale communicatie. Die kunnen stoppen met werken als de lampen in een ander VLAN zitten dan je telefoon. Vaak los je dit op met een multicast-regel of door je hub (Homey) de brug te laten spelen.
  • Update je wachtwoorden: Een VLAN is een muur, maar je wilt geen deuren met standaardsleutels. Verander overal het standaardwachtwoord. Zet tweestapsverificatie aan waar het kan.
  • Denk aan je Home Assistant: Als je Home Assistant op een Raspberry Pi draait, sluit je die aan op het IoT-VLAN. Je benadert hem via een veilige verbinding, zoals Nabu Casa of een VPN. Zo blijft je server veilig en bereikbaar.

Je slimme huis moet je leven makkelijker maken, niet je zorgen geven over digitale inbrekers. Door je IoT-apparaten in een apart VLAN te stoppen, bouw je een digitale vestingmuur. Het kost een middagje klussen en misschien wat Euro's voor nieuwe hardware, maar de gemoedsrust die het oplevert, is onbetaalbaar. Je kunt weer rustig slapen, wetende dat je slimme lamp je niet in de gaten houdt.

Portret van Bas Martens, domotica specialist voor smart home hubs
Over Bas Martens

Bas Martens is smart home enthousias en professional met negen jaar ervaring in het installeren van domotica-systemen. Hij vergelijkt Homey Pro, Home Assistant en andere hubs op integratie en gebruiksgemak.

Volgende stap
Lees het complete overzicht
Domotica hub voor thuisbeveiliging complete gids →