🌐 Netwerk Overzicht
Het Hamming thuisnetwerk is opgebouwd met VLANs voor segmentatie en beveiliging.
Architectuur
flowchart TB
Internet[🌐 Internet]
UDM[UDM Pro<br>192.168.1.1]
SJ[Switch<br>Kamer Jaap]
SK[Switch<br>Kamer]
SM[Switch<br>Kamer Maike]
SS[Switch<br>Schuur]
AP1[AP U7 Pro]
AP2[AP AC Pro]
AP3[AP UAP]
Internet --> UDM
UDM --> SJ
SJ --> SK
SJ --> SM
SJ --> SS
SJ --> AP1
SK --> AP2
SS --> AP3VLAN Structuur
| VLAN | Naam | Subnet | Gateway | Doel |
|---|---|---|---|---|
| 1 | Hamming_Management | 192.168.1.0/24 | 192.168.1.1 | Servers, UniFi, beheer |
| 10 | Hamming | 192.168.10.0/24 | 192.168.10.1 | Client apparaten |
| 20 | Hamming_IOT | 192.168.20.0/24 | 192.168.20.1 | Smart home, IoT |
| 30 | Hamming_Cameras | 192.168.30.0/24 | 192.168.30.1 | IP camera's (geïsoleerd) |
Netwerk Segmentatie
VLAN 1 - Management
Doel: Alle infrastructuur en servers
Apparaten: - UDM Pro (192.168.1.1) - UniFi Switches (.2-.5) - UniFi Access Points (.8-.10) - Synology NAS (192.168.1.12) - Mini PC 1 - Docker (192.168.1.13) - Mini PC 2 - Proxmox (192.168.1.14) - Frigate (192.168.1.15) - Proxmox Ubuntu VM (192.168.1.101)
VLAN 10 - Hamming (Clients)
Doel: Dagelijks gebruik apparaten
Apparaten: - Laptops (DHCP) - Telefoons (DHCP) - Desktops (DHCP) - Apple TV - PlayStation 5 - Nintendo Switch
WiFi: Michiel de Router
VLAN 20 - IoT
Doel: Smart home apparaten met beperkte toegang
Apparaten: - Home Assistant (192.168.20.10) - Mosquitto MQTT (192.168.20.11) - Zigbee2MQTT (192.168.20.12) - Z-Wave JS (192.168.20.13) - Reolink Deurbel (DHCP) - SolarEdge Inverter (DHCP) - Victron Cerbo GX (DHCP) - Smart lampen (.100+) - Sensoren (.100+)
WiFi: Michiel de Router IOT
VLAN 30 - Cameras
Doel: IP camera's volledig geïsoleerd
Apparaten: - IP Camera Voordeur (192.168.30.10) - IP Camera Achtertuin (192.168.30.11) - IP Camera Schuur (192.168.30.12) - Overige camera's (.13+)
Geen WiFi - Alleen bedraad
DNS Configuratie
Alle VLANs gebruiken Pi-hole als DNS server:
flowchart LR
Client[💻 Client] --> Pihole[🛡️ Pi-hole<br>:53]
Pihole --> Unbound[🔒 Unbound<br>:5335]
Unbound --> Root[🌐 Root DNS]
subgraph MiniPC1[192.168.1.13]
Pihole
Unbound
endDNS Server per VLAN: - VLAN 1: 192.168.1.13 - VLAN 10: 192.168.1.13 - VLAN 20: 192.168.1.13 - VLAN 30: Geen (camera's hebben geen DNS nodig)
WiFi Netwerken
| SSID | VLAN | Beveiliging | Doel |
|---|---|---|---|
| Michiel de Router | VLAN 10 | WPA3 | Clients |
| Michiel de Router IOT | VLAN 20 | WPA2 | IoT apparaten |
Waarom twee netwerken?
IoT apparaten zijn vaak minder veilig. Door ze te isoleren op een apart VLAN kunnen ze niet bij je persoonlijke apparaten.
Inter-VLAN Routing
Zie Firewall Regels voor details over welke VLANs met elkaar kunnen communiceren.
Samenvatting: - ✅ VLAN 10 kan bij VLAN 1 en 20 - ✅ VLAN 1 kan bij VLAN 10 en 20 - ⚠️ VLAN 20 kan alleen DNS (naar VLAN 1) - ❌ VLAN 30 kan nergens bij (en heeft geen internet)
Tailscale VPN
Tailscale is geïnstalleerd op Mini PC 1 voor externe toegang:
| Feature | Status |
|---|---|
| Subnet routes | ✅ Alle VLANs |
| Exit node | ✅ Ingeschakeld |
| DNS | ✅ Pi-hole |
Geadverteerde subnets:
Via Tailscale kun je van buitenaf bij alle apparaten.