Domotica hub VLAN instellen voor IoT apparaten
Stel je voor: je hebt net die ene gave smart lamp gekocht, je domotica hub staat te pronken op de plank en je kunt alles met je telefoon besturen. Heerlijk, toch? Maar ondertussen loop je ergens achterin je hoofd te rommelen. Wat als er ooit iemand in je netwerk komt? Kunnen ze dan ook je camera's zien? Of erger, je slot openen? Dat gevoel, die onrust, is precies waarom een VLAN voor je IoT-apparaten zo’n gamechanger is. Het is alsof je een aparte, afgesloten kamer geeft al je slimme spullen, terwijl jij en je familie veilig in de woonkamer blijven zitten.
Een VLAN, oftewel Virtual Local Area Network, klinkt ingewikkelder dan het is. Het is simpelweg een manier om je thuisnetwerk op te delen in virtuele stukjes. Je hebt je normale netwerk voor je laptop, telefoon en tablet. En je hebt een tweede, apart netwerkje voor je Homey Pro, je slimme thermostaat, je beveiligingscamera's en die rare smartplug van de Action. Ze kunnen nog steeds allemaal internet gebruiken, maar ze kunnen niet zomaar bij elkaar in de kamer komen zonder dat jij daar expliciet toestemming voor geeft.
Waarom je je slimme stofzuiger niet bij je bankrekening wilt laten
De belangrijkste reden om een VLAN in te richten is security. Veel IoT-apparaten, van goedkope sensoren tot dure slimme deurbellen, zijn niet bepaald topsecret als het om hun beveiliging gaat. Fabrikanten moeten vaak op de kosten letten en gebruiken soms standaardwachtwoorden of software die niet snel wordt bijgewerkt. Stel dat er een gat in de beveiliging van je slimme koffiezetapparaat zit. Als alles in één netwerk zit, is dat gat een open deur naar alles wat erop draait.
Door je IoT-apparaten in een eigen VLAN te stoppen, beperk je de schade. Als die koffiezetapparaat (of je slimme lamp) wordt gehackt, kan de aanvaller niet zomaar doordringen tot je computer waar je belangrijke bestanden op bewaart, of inloggen op je Home Assistant omgeving. Het is een preventieve maatregel die je digitale huissleutels veilig houdt. Het voorkomt ook dat je apparaten ongemerkt gaan snuffelen in je netwerk. Sommige smart TV's staan erom bekend om continu te scannen naar andere apparaten, iets wat je misschien liever niet wilt.
Een andere leuke bijkomstigheid is de controle die je krijgt. In zo’n apart netwerk kun je precies instellen wat wel en niet mag. Wil je dat je smart lampen wel internet hebben om updates te krijgen, maar dat ze geen contact mogen opnemen met een server in China? Dat regel je. Zo blijf jij de baas over je eigen spullen, en niet de fabrikant. Het geeft een fijn en rustig gevoel om te weten dat je een soort digitale muur om je slimme apparaten heen hebt gebouwd.
De bouwstenen: wat heb je nodig?
Om een VLAN te maken, heb je wel de juiste apparaten nodig. Een simpele standaard modem-router van je internetprovider kan dit meestal niet. Je hebt een zogenaamde ‘managed switch’ en een router nodig die VLAN’s ondersteunt. Veel thuisklanten kiezen voor een Ubiquiti Unifi netwerk, omdat dit gebruiksvriendelijk is en veel functionaliteiten biedt voor een redelijke prijs. Een Unifi Dream Machine (rond de €300) of een Unifi Switch (vanaf €80) is een veelgehoorde keuze.
Gelukkig hoef je niet per se de duurste apparatuur te kopen. Als je een beetje technisch bent aangelegd, kun je ook een oude computer gebruiken als router met software zoals pfSense of OPNsense. Die software is gratis en ontzettend krachtig. Voor de switch kun je kijken naar merken als TP-Link Omada of Netgear GS-serie. Een TP-Link Omada switch heb je al voor rond de €60. Het is wel belangrijk dat het apparaat ‘managed’ is, wat betekent dat je er instellingen in kunt aanpassen.
Wat je ook nodig hebt, is een plek om alles te draaien. Hier komt je domotica hub in het spel. Of je nu een Homey Pro (rond de €400), een Home Assistant server op een Raspberry Pi (rond de €100 voor de spullen) of een andere smart home hub gebruikt, deze moet in principe bereikbaar zijn vanuit beide netwerken. Je wilt immers vanaf je telefoon (in het normale netwerk) je lampen (in het IoT-netwerk) kunnen besturen. Dit vraagt om een specifieke instelling die we straks bespreken.
Stap voor stap: je eigen digitale eilandjes bouwen
Oké, tijd om de handen uit de mouwen te steken. We beginnen met de basis: het aanmaken van het VLAN. In de interface van je router (bij Unifi bijvoorbeeld onder ‘Networks’) maak je een nieuw netwerk aan. Geef het een logische naam, bijvoorbeeld ‘IoT_Devices’. Je kiest een IP-adres dat anders is dan je hoofdnetwerk. Gebruik je 192.168.1.x voor je normale netwerk, dan kun je voor je IoT-netwerk 192.168.2.x gebruiken. De subnet mask is meestal 255.255.255.0.
Vervolgens ga je een apart Wi-Fi netwerk aanmaken. Dit is het netwerk waar je al je slimme apparaten op gaat aansluiten. In de instellingen van dit nieuwe Wi-Fi koppel je het netwerk dat je net hebt gemaakt (het IoT_Devices VLAN). Je geeft het een andere naam (SSID) en een sterk wachtwoord. Als je nu je telefoon verbindt met dit Wi-Fi, krijgt die een IP-adres uit de 192.168.2.x reeks. Probeer dit eerst even met je telefoon om te zien of het werkt.
Het lastigste onderdeel is vaak de firewall. De firewall is de politieagent die het verkeer tussen de netwerken regelt. Standaard blokkeert hij alles, en dat is goed. Jij moet nu de regels maken. Je wilt dat je apparaten in het IoT-netwerk internet hebben, maar niet je normale netwerk kunnen bereiken. De meeste routers hebben hier voorgebakken regels voor, zoals ‘IoT_isolation’ of ‘Guest_Policy’. Die kun je toepassen op je nieuwe VLAN.
Als laatste moet je je domotica hub de juiste permissies geven. Je hub moet namelijk wel met je IoT-apparaten kunnen praten. Dit doe je door een firewallregel te maken die toestaat dat verkeer vanaf je normale netwerk (bijvoorbeeld 192.168.1.x) naar de hub (bijvoorbeeld 192.168.2.10) mag. En omgekeerd, van de hub naar het IoT-netwerk. Zo blijft de deur open voor de hub, maar dicht voor alle andere apparaten. Dit heet een ‘allow’-regel. Zorg dat je alleen toestaat wat echt nodig is, bijvoorbeeld poort 80 en 443 voor webtoegang.
De praktijk: wat nu?
Nu je alles hebt ingericht, is het tijd om je apparaten te koppelen. Verbind ze met het nieuwe Wi-Fi-netwerk dat je hebt aangemaakt. Bij de installatie van je Home Assistant of Homey Pro is het slim om deze direct in het IoT-VLAN te plaatsen. Dan hoef je later niet alles opnieuw te doen. Let wel op: bij de initiële setup kan het helpen om je telefoon ook in dat netwerk te zetten. Anders kunnen ze elkaar niet vinden.
Wat als een apparaat niet werkt? Soms zijn er specifieke poorten nodig. Een Philips Hue bridge heeft bijvoorbeeld poort 443 nodig om te kunnen updaten. Een camera wil misschien poort 554 gebruiken voor RTSP streams. Je zult soms even moeten puzzelen. Een handige truc is om de apparaatlogboeken te bekijken. Daar zie je vaak staan dat een apparaat een verbinding probeert te maken naar een bepaald IP-adres en dat dit wordt geblokkeerd. Dan weet je precies wat je moet toestaan in je firewall.
Een veelgehoorde valkuil is de ‘mDNS reflector’ of ‘Bonjour forwarding’. Veel apparaten gebruiken dit om zichzelf aan te kondigen in het netwerk. Denk aan AirPlay of Chromecast. Als je dit niet instelt, kun je in je Home Assistant of Homey soms geen apparaten meer vinden. In Unifi kun je dit aanzetten onder ‘Multicast DNS’. Het zorgt ervoor dat de ‘roep’ van een apparaat in het ene netwerk ook gehoord wordt in het andere netwerk. Handig, maar wees voorzichtig met wat je doorgeeft.
Verwacht niet dat het in één keer perfect werkt. Het is een proces van proberen, testen en bijstellen. Soms werkt een apparaat niet meer omdat het een andere verbinding probeert te maken dan je had verwacht. Pak dan het apparaat, kijk in de handleiding (of googel het merk en type + ‘firewall ports’) en pas je regels aan. Het is een investering van tijd, maar het resultaat is een stuk veiliger.
Handige tips voor je veilige smart home
Zorg dat je je apparaten up-to-date houdt. Een veilig VLAN is een goede stap, maar als de software van je slimme deurbel vol gaten zit, heb je nog steeds een probleem. Schakel automatische updates in waar het kan. Controleer af en toe of er nieuwe firmware is voor je hub en je belangrijkste apparaten. Veel fabrikanten brengen patches uit om lekken te dichten.
Gebruik sterke, unieke wachtwoorden voor elk apparaat. Dit klinkt als een open deur, maar het is essentieel. Zet een wachtwoordmanager in, zoals Bitwarden (gratis) of 1Password (betaald). Zo hoef je niet voor elk apparaat hetzelfde wachtwoord te gebruiken. Mocht er dan één apparaat gecompromitteerd worden, dan heeft de aanvaller nog steeds niet overal toegang toe.
Overweeg om je IoT-apparaten te blokkeren van het internet. Sommige apparaten functioneren prima zonder. Je kunt in je firewall regels maken die alleen lokaal verkeer toestaan. Je Home Assistant of Homey Pro kan dan nog steeds met ze praten, maar ze kunnen niet zelf contact opnemen met de fabrikant. Dit voorkomt dat je data ongemerkt naar servers over de hele wereld wordt gestuurd.
En tot slot: wees niet bang om te falen. Netwerken instellen is soms net koken. Het lukt niet altijd in één keer, maar je leert er ontzettend veel van. En het gevoel dat je krijgt als je ziet dat je IoT-VLAN draait en je apparaten veilig zijn gescheiden, is onbetaalbaar. Je bent de baas over je eigen digitale huis, en dat voelt goed.