🏷️ VLAN Structuur

VLANs (Virtual LANs) segmenteren het netwerk voor betere beveiliging en organisatie.

Wat zijn VLANs?

VLANs delen een fysiek netwerk op in logische segmenten. Apparaten in verschillende VLANs kunnen standaard niet met elkaar communiceren, tenzij de firewall dit expliciet toestaat.

Voordelen: - 🔒 Beveiliging - IoT apparaten kunnen niet bij je laptop - 📊 Organisatie - Apparaten logisch gegroepeerd - 🚦 Traffic control - Betere controle over dataverkeer - 🔍 Troubleshooting - Problemen makkelijker isoleren

VLAN Overzicht

VLAN 1 - Hamming_Management

Setting	Waarde
VLAN ID	1 (native/untagged)
Subnet	192.168.1.0/24
Gateway	192.168.1.1
DHCP Range	192.168.1.100 - 192.168.1.254
DNS	192.168.1.13

Doel: Alle infrastructuur, servers en beheerapparatuur.

Waarom VLAN 1? VLAN 1 is de "native" VLAN. Untagged verkeer komt hier standaard terecht. Ideaal voor beheer omdat apparaten vaak geen VLAN tagging ondersteunen uit de doos.

VLAN 10 - Hamming

Setting	Waarde
VLAN ID	10
Subnet	192.168.10.0/24
Gateway	192.168.10.1
DHCP Range	192.168.10.100 - 192.168.10.254
DNS	192.168.1.13
WiFi	Michiel de Router

Doel: Dagelijkse client apparaten - laptops, telefoons, gaming.

Toegang: - ✅ Kan bij VLAN 1 (servers, NAS) - ✅ Kan bij VLAN 20 (IoT bedienen) - ❌ Kan niet bij VLAN 30 (camera's)

VLAN 20 - Hamming_IOT

Setting	Waarde
VLAN ID	20
Subnet	192.168.20.0/24
Gateway	192.168.20.1
DHCP Range	192.168.20.100 - 192.168.20.254
DNS	192.168.1.13
WiFi	Michiel de Router IOT

Doel: Smart home en IoT apparaten met beperkte rechten.

Toegang: - ⚠️ Kan alleen DNS naar VLAN 1 (poort 53) - ❌ Kan niet bij VLAN 10 (clients) - ❌ Kan niet bij VLAN 30 (camera's) - ✅ Heeft internet toegang

Waarom beperkt? IoT apparaten zijn vaak onveilig. Ze kunnen gehackt worden of "phone home" naar de fabrikant. Door ze te isoleren bescherm je je belangrijke apparaten.

VLAN 30 - Hamming_Cameras

Setting	Waarde
VLAN ID	30
Subnet	192.168.30.0/24
Gateway	192.168.30.1
DHCP	Uitgeschakeld (vaste IPs)
DNS	Geen
WiFi	Geen

Doel: IP camera's volledig geïsoleerd voor maximale beveiliging.

Toegang: - ❌ Kan nergens bij - ❌ Geen internet - ✅ Alleen Frigate (192.168.1.15) kan de streams ophalen

Waarom geen internet? IP camera's van Chinese fabrikanten zijn berucht om data naar China te sturen. Door ze te isoleren: - Geen "phone home" mogelijk - Geen firmware updates (veiliger, maar check handmatig) - Alleen lokale opslag via Frigate

VLAN Configuratie in UniFi

Netwerk Aanmaken

UniFi Network → Settings → Networks
Create New Network
Vul in:
Name: Hamming_IOT
VLAN ID: 20
Gateway IP: 192.168.20.1
DHCP Range: 192.168.20.100 - 192.168.20.254
Advanced:
DHCP DNS Server: 192.168.1.13
Apply Changes

WiFi aan VLAN Koppelen

UniFi Network → Settings → WiFi
Klik op WiFi netwerk
Network: Selecteer VLAN (bijv. Hamming_IOT)
Apply Changes

Poort aan VLAN Toewijzen

UniFi Network → Devices → Switch
Klik op poort
Native VLAN/Network: Selecteer VLAN
Apply Changes

Apparaat Toewijzen aan VLAN

Bedraad Apparaat

Sluit aan op switch poort
Configureer de poort voor het juiste VLAN:
UniFi → Devices → Switch → Port
Native VLAN: Kies VLAN

WiFi Apparaat

Verbind met het juiste WiFi netwerk:
Michiel de Router → VLAN 10
Michiel de Router IOT → VLAN 20

Vaste IP Reservering

UniFi Network → Client Devices
Klik op apparaat
Settings → Use Fixed IP Address
Vul IP in uit het juiste VLAN subnet
Apply

VLAN Tagging

Tagged vs Untagged

Type	Betekenis	Gebruik
Untagged (Native)	Geen VLAN tag in pakket	Apparaten die geen VLAN ondersteunen
Tagged	VLAN ID in pakket header	VLAN-aware apparaten, trunk poorten

Trunk Poorten

Poorten tussen switches en naar de UDM moeten "trunk" zijn: - Native VLAN: Management (VLAN 1) - Tagged VLANs: Alle andere VLANs

In UniFi: - Native VLAN: Hamming_Management - Tagged VLAN Management: Allow All

Troubleshooting

Apparaat krijgt verkeerd IP

Check welke poort/WiFi het apparaat gebruikt
Verifieer VLAN configuratie van die poort

Herstart apparaat of vernieuw DHCP:

# Linux
sudo dhclient -r && sudo dhclient

# Windows
ipconfig /release && ipconfig /renew