Hoe richt je een veilig gastnetwerk in?

door

Hoe richt je een veilig gastnetwerk in? – wifiinstallateur.nl

Hoe richt je een veilig gastnetwerk in?

Een goed ingericht gastnetwerk beschermt je bedrijfs- of thuismiddelen en geeft bezoekers veilige internettoegang zonder rompslomp. Als experts in wifi-installaties, netwerkoptimalisatie en zakelijk wifi-beheer leggen wij bij wifiinstallateur.nl uit hoe je stap voor stap een betrouwbaar, controleerbaar en testbaar gastnetwerk neerzet.

Onderstaande aanpak werkt op kleine kantoren, horecagelegenheden en bij particulieren met geavanceerde thuisnetwerken. Elke stap bevat concrete instellingen en testacties zodat je direct resultaat ziet.

Waarom een gastnetwerk cruciaal is

Een gastnetwerk voorkomt dat bezoekers direct op hetzelfde subnet zitten als je servers, NAS, printers of IoT-apparaten. Zonder segmentatie kunnen kwetsbare apparaten worden gescand en misbruikt. Voor zakelijk wifi-beheer betekent een gastnetwerk ook eenvoudigere auditlogs, toegangscontrole en bandbreedtebeheersing.

Stap 1: Ontwerp en segmentatie (VLANs & IP-plannen)

Doel: duidelijke scheiding tussen productie- en gastverkeer. Voer deze stappen uit:

  1. Maak een apart VLAN voor gasten, bijv. VLAN 10.
  2. Kies een IP-range: 192.168.50.0/24 voor gasten, 192.168.10.0/24 voor bedrijfsnetwerk.
  3. Stel DHCP in op je router of een dedicated DHCP-server voor VLAN 10 (bijv. 192.168.50.10–192.168.50.200).
  4. Reserveer een gateway en DNS: gateway 192.168.50.1, DNS 8.8.8.8 of interne DNS die enkel voor filtering gebruikt wordt.

Praktisch voorbeeld: op een managed switch maak je VLAN 10 aan en zet poorten die naar AP’s lopen als trunk met VLAN 10 gemarkeerd. Poorten naar servers blijven access op VLAN 1 of 20.

Stap 2: Fysieke en mesh-overwegingen (bekabeling en backhaul)

Mesh-systemen zijn handig, maar let op VLAN-ondersteuning. Acties:

  • Als mogelijk: gebruik bekabelde backhaul tussen AP’s of nodes voor stabiliteit en volledige VLAN-carrier support.
  • Controleer of jouw mesh-systeem VLAN-tagging ondersteunt; consumer-meshes doen dat niet altijd, zakelijke systemen zoals UniFi/Omada/Meraki wel.
  • Als mesh geen VLAN ondersteunt: zet een apart, fysiek AP of een gast-SSID zonder toegang tot LAN, of upgrade naar een oplossing die VLANs trunked over Wi-Fi.

Stap 3: Configuratie op router/AP (SSID, encryptie, captive portal)

Instellingen die je direct moet toepassen:

  1. Maak een aparte SSID, bijv. “Bedrijf-Guest” en koppel deze aan VLAN 10.
  2. Gebruik WPA2/WPA3 Personal voor versleuteling van het lokale verkeer; bij captive portals is WPA2 vaak gebruikt, maar zet waar mogelijk WPA3 aan.
  3. Activeer client isolation (AP isolation) zodat draadloze gasten niet rechtstreeks met elkaar kunnen communiceren.
  4. Implementeer een captive portal: voucher, SMS/RADIUS, of social login. Voor zakelijk gebruik verdient RADIUS of voucherbeheer de voorkeur voor audit en rotatie.
  5. Zorg dat het captive portal HTTPS gebruikt; een geldig TLS-certificaat voorkomt browserwaarschuwingen.

Stap 4: Firewall- en routingregels (isolatie en toegang)

Essentieel: blokkeer intern verkeer en beperk uitgaande toegang waar nodig. Concrete regels:

  1. Standaardregel: VLAN10 -> LAN (deny).
  2. Toestaan: VLAN10 -> internet (allow), NAT op gateway.
  3. Specifieke uitzonderingen: als je gasten printen mag op een publiek printer, maak een gerichte rule: VLAN10 -> printer-IP poort 9100 (allow).
  4. Log afgewezen verbindingen voor troubleshooting.

Voorbeelden: in een firewall GUI zet je een policy “Guest_to_LAN: deny” met source VLAN10 en destination subnet LAN. Voeg daarna “Guest_to_INTERNET: allow” voor poorten 80/443 en DNS.

Stap 5: DHCP, DNS en IPv6

Belangrijke punten:

  • DHCP: korte lease tijden (bijv. 6–12 uur) voor gasten verhogen rotatie en voorkomen IP-uitputting.
  • DNS-filtering: gebruik een veilige DNS (Cloudflare/Google) of Content Filtering (OpenDNS) voor malware- en contentblokking.
  • IPv6: zet een aparte prefix voor gasten of disable IPv6 op de guest-SSID als je geen IPv6-routes wilt aanbieden.

Stap 6: Beheer, captive portal opties en authenticatie

Praktische keuzes:

  • Voucher/QR-codes: handig voor horeca; genereer tijdsgebonden vouchers (bijv. 24 uur/1 dag/1 week) en ververs regelmatig.
  • RADIUS of 802.1X: voor kantoorgebruik kies RADIUS met eenvoudige onboarding (temporarily credentials) zodat je auditlogs hebt.
  • Social login of e-mail: handig maar let op privacy (vraag minimaal, loguitingen GDPR-proof).
  • Automatiseer wachtwoordrotatie en vervaldatum voor guest-credentials met je beheerplatform.

Stap 7: Bandbreedtebeheer en QoS

Zorg dat gasten geen kritische processen verstoren:

  1. Stel per-client en per-SSID snelheidslimieten in, bv. 10 Mbps down / 5 Mbps up per apparaat voor een horecagelegenheid.
  2. Gebruik QoS om prioriteit te geven aan bedrijfs-SSID’s (voice/video) boven guest-SSID’s.
  3. Bij piekgebruik: implementeer een totale throughput cap op de guest-VLAN, bv. max 50% van je uplink.

Stap 8: Logging, monitoring en GDPR

Voer deze checks uit:

  • Schakel relevante logs in: captive portal logins, firewall drop/allow, DHCP leases.
  • Bewaar logs volgens je privacybeleid en GDPR: beperk retentie (bijv. 30 dagen) en versleutel logs waar nodig.
  • Monitor realtime: aantal verbonden clients, bandbreedtegebruik en verdachte scans of brute force-pogingen.

Testen en verificatie (concrete teststappen)

Voer deze testprocedure uit vanaf een gast-apparaat:

  1. Verbind met het guest-SSID en zie of captive portal verschijnt; test voucher/QR/RADIUS login.
  2. Controleer IP en gateway: ipconfig/ifconfig — moet in 192.168.50.0/24 staan en gateway 192.168.50.1.
  3. Ping een LAN-apparaat (printer/NAS) — ping moet falen (isolatie). Probeer traceroute naar internet — moet via gateway gaan.
  4. Open a webpagina en controleer dat HTTPS captive portal geen certificaatfout geeft.
  5. Voer een speedtest en controleer limieten: als limiet 10/5 Mbps geldt, probeer grotere downloads en zie dat de cap werkt.
  6. Bekijk firewall logs voor de testattempts en bevestig dat verboden verbindingen geblokkeerd werden.

Veelvoorkomende valkuilen en directe oplossingen

Probleem: mesh ondersteunt geen VLANs → Oplossing: bekabelde AP-backhaul of vervang mesh door zakelijke AP’s met VLAN support.

Probleem: captive portal toont geen HTTPS → Oplossing: installeer LetsEncrypt-certificaat op de portal server of gebruik vendor-hosted portal met TLS.

Probleem: gasten kunnen printers/NAS bereiken → Oplossing: controleer firewall deny-rules en client isolation op AP.

Praktische checklist die je nu kunt doorlopen

Doe deze 7-punten check in volgorde: 1) VLAN en DHCP ingesteld; 2) Guest SSID aan VLAN gekoppeld; 3) Client isolation geactiveerd; 4) Firewall deny Guest->LAN, allow Guest->Internet; 5) Captive portal met TLS; 6) Bandbreedte limieten ingesteld; 7) Uitvoeren van de testprocedure hierboven. Als alles groen is, is je gastnetwerk zowel gebruiksvriendelijk als veilig — en klaar voor bezoekers.