VLAN i smarthjemmet: segmentering af IoT og gæster

Forestil dig et lørdagsscenarie: Robotstøvsugeren suser rundt på gulvet, barnets iPad streamer tegnefilm, og svigermor forbinder sig til gæstenetværket for at vise ferie­billeder. Pludselig går hele netværket i knæ, lyset blinker, og din smarte dørlås svarer langsommere end postvæsenet. Kender du følelsen? Så er det måske på tide at kigge nærmere på VLAN.

Et Virtual LAN skærer dit hjemmenetværk op i logiske zoner, så sårbare IoT-dimser, nysgerrige gæster og kritiske enheder ikke står og skubber til den samme trafikkø. Resultatet er ro i routeren, bedre sikkerhed – og færre grå hår, når noget går galt. I denne guide fra Varme, Afløb & Teknik dykker vi ned i, hvordan du med få greb kan indføre enterprise-disciplin på parcelhusets Wi-Fi.

Vi begynder med det grundlæggende: hvad er et VLAN, og hvorfor er det særligt relevant i et smarthjem? Derefter designer vi segmenter, vælger udstyr, og viser dig trin for trin, hvordan du blokerer robot­støvsugerens lyst til at kigge på din NAS – men stadig kan caste Netflix til stuen fra sofaen. Til sidst får du en tjekliste til drift, sikkerhed og fejlfinding, så du kan sove trygt velvidende, at netværket kører, mens termostaten holder varmen.

Klar til at få styr på pakkerne? Lad os hoppe direkte ind i smarthjemmets VLAN-univers.

Hvad er VLAN, og hvorfor i et smarthjem?

Et Virtual Local Area Network (VLAN) er i praksis et logisk netværk, der kører oven på dit fysiske kabel- eller Wi-Fi-net. Ved hjælp af 802.1Q-tagging sættes en lille markør i Ethernet-rammen, der fortæller switchen, hvilket “rum” pakken hører til. Dermed kan én enkelt switch eller access point betjene flere adskilte netværk – uden at du behøver trække ekstra kabler eller opstille flere routere.

Hvorfor giver det mening i et smarthjem?

  • Bedre sikkerhed
    Billige IoT-enheder – lyspærer, robotstøvsugere, kameraer eller køkkenapparater – får sjældent rettidige firmwareopdateringer. Ved at placere dem i deres eget VLAN kan du begrænse adgangen til resten af hjemmenetværket og dermed reducere risikoen, hvis (når) de bliver kompromitteret.
  • Mindre støj
    Hver gang en enhed sender et broadcast eller multicast (ARP, mDNS, SSDP osv.), hører alle andre i samme segment med. Jo flere enheder, desto større støj-både båndbredde- og CPU-mæssigt. Med VLAN opdeler du broadcast-domænet, så kun de relevante enheder hører hinanden.
  • Nemmere fejlfinding
    Når printeren ikke kan findes, eller videoopkaldene hakker, er det langt hurtigere at isolere problemet, hvis du allerede ved, at kun nogle få porte og enheder deler samme VLAN. Pakke-captures og firewall-logs bliver betydeligt mere overskuelige.
  • Kontrolleret gæsteadgang
    Et gæste-VLAN (typisk bundet til et separat SSID) kan begrænses til kun at nå internettet. Dermed behøver du ikke give adgangskoden til dit primære Wi-Fi, og du undgår at gæsternes devices kan se dine NAS-drev, kameraer eller HomeKit-enheder.
  • Fremtidssikring
    Har du planer om at tilføje IP-kameraer, PoE-udstyr, eller måske en hjemme­server til arbejde eller gaming? Med et VLAN-baseret design er pladsen allerede reserveret, og du kan introducere nye segmenter uden at rive hele netværket ned.
Segment Eksempler på enheder Typiske regler
LAN / Arbejde PC’er, laptop, NAS Fuld adgang internt + internet
IoT Pærer, støvsuger, smart-TV Kun udgående trafik til internet
Gæst Besøgendes telefoner Kun internet, evt. tids-/ båndbredde-begrænsning
Kamera/Alarm NVR, IP-kameraer, sensorer Trafik til NAS eller viewer, intet internet

Kort sagt giver VLAN dig mursten i software: en billig, fleksibel og effektiv måde at adskille, prioritere og beskytte netværkstrafik i det moderne smarthjem.

Netværksdesign: segmenter, IP-plan og service discovery

Et velfungerende smarthjem starter med at opdele trafikken logisk, så sårbare eller snakkesalige enheder ikke får frit spil på hele netværket. En typisk hjemmeinstallation kan klare sig med fem VLAN-segmenter:

  1. LAN / Arbejde (VLAN 10) – PC’er, NAS, printere, spil-konsoller og andet udstyr du stoler på.
  2. IoT (VLAN 20) – Pærer, termostater, robotstøvsugere m.m. Ofte billigt hardware med tvivlsom sikkerhed.
  3. Gæst (VLAN 30) – Smartphone og bærbar fra venner og familie. Skal kun på internettet.
  4. Kamera / Alarm (VLAN 40) – Overvågningskameraer, dørklokker, alarmsystem. Skal kunne sende video/alarmer, men intet andet.
  5. Management (VLAN 99) – Switches, access points, controller, UPS. Adgang begrænset til administrator-maskiner.

Ip-plan og dhcp-scopes

VLAN Subnet (CIDR) Gateway DHCP-range
10 – LAN 192.168.10.0/24 192.168.10.1 192.168.10.100-199
20 – IoT 192.168.20.0/24 192.168.20.1 192.168.20.50-199
30 – Gæst 192.168.30.0/24 192.168.30.1 192.168.30.50-249
40 – Kamera 192.168.40.0/24 192.168.40.1 192.168.40.20-99
99 – Mgmt 192.168.99.0/24 192.168.99.1 192.168.99.10-29

Tip: Behold faste/reserverede IP’er til kritiske enheder (NAS, kamera-NVR, controller) i den lave ende af subnettet, f.eks. .2 – .19.

Dns-strategi

  • Intern resolver: Lad router/firewall køre Unbound eller dnsmasq og opret A/AAAA-records (kamera1.vat.lan → 192.168.40.11).
  • Split-horizon: Én zone til interne navne (vat.lan) og videresendelse til en filtrerings-DNS (fx NextDNS, AdGuard Home) for udgående forespørgsler.
  • Adgang til resolveren: Blokér DNS fra IoT/Gæst til LAN. I stedet udbydes en lokal resolver i hvert subnet eller tillad kun port 53/853 til firewallens IP.

Ssid pr. Vlan

SSID-navn VLAN Funktion
Home-Secure 10 Primært Wi-Fi til beboere
Home-IoT 20 2,4 GHz kun WPA2 for ældre enheder
Home-Guest 30 Captive-portal, tidsbegrænset adgang
Hidden-Mgmt 99 Skjult, kun til adminklienter

Service discovery på tværs af vlan

Enheder som Chromecast, Sonos, AirPlay og HomeKit bruger mDNS, SSDP og uPnP til at annoncere sig selv i hele broadcast-domænet. Sådan får du funktionerne uden at ofre segmenteringen:

  • mDNS-reflektor: Indbygget avahi-daemon (pfSense/OPNsense) eller mdns-repeater (MikroTik) spejler udvalgte mDNS-pakker fra IoT→LAN samt LAN→IoT.
  • uPnP-gateway: Tillad kun SSDP destination 239.255.255.250:1900 fra LAN til IoT.
  • ACL’er: Whitelist specifikke tjeneste-porte (Cast port 8009, AirPlay 7000-7100). Ingen bred allow all.
  • Fallback: Hvis udstyr ikke kan skilles fra, placér kun medieenheder (fx Google TV) i samme VLAN som højttalere/Chromecast – men behold adskillelsen fra arbejds-LAN.

Principper for inter-vlan routing

  1. Default deny: Al trafik mellem VLAN’er blokeres, medmindre der er en eksplicit regel.
  2. Øverste prioritet: Tillad etablerede/relaterede forbindelser tilbage til initierende klient.
  3. IoT → Internet only: Åbn DNS, NTP, HTTPS ud – intet sidelengs til andre interne net.
  4. Kamera → NAS/NVR: Kameravideo (RTSP/554, HTTP/port 80/443) må sendes til en enkelt IP i LAN, ikke hele subnettet.
  5. Gæster: Kun UDP/TCP til WAN, rate-limiter til f.eks. 10 Mbit.
  6. Management: Adgang kun fra dedikeret admin-klient; WAN-tilgang blokeres (brug VPN).

Ved at tænke strukturen igennem nu undgår du kabel-og-crimp kaos senere, og du står stærkt, når nye IoT-dimser eller gæster skal på nettet.

Udstyr og forudsætninger

Inden du kaster dig ud i VLAN-segmentering, skal du sikre dig, at hele kæden fra internetforbindelse til access point understøtter 802.1Q-tagging. Et svagt led kan gøre opsætningen ustabil eller umulig.

1. Router / firewall – Hjernen i opsætningen

Du skal bruge en router eller firewall, der kan:

  1. Oprette og terminere flere VLAN-interfaces (802.1Q).
  2. Tilbyde DHCP-scopes, DNS-forwarding og evt. mDNS-reflektor pr. VLAN.
  3. Håndtere firewall-regler mellem VLANs med finmasket kontrol.

Typiske valg til hjemmet:

  • pfSense / OPNsense – fleksibel, open source, kraftig firewallmotor.
  • MikroTik RouterOS – billig men avanceret; CLI kan være stejl.
  • Ubiquiti UniFi Dream Machine / Gateway – GUI-baseret, nem at vedligeholde.
  • TP-Link Omada ER-serie – god pris/performance, integrerer med Omada-kontroller.

2. Managed switch – Noderne der bærer tags

Switchene skal kunne markere (tagge) eller fjerne (untagge) VLAN-rammer på de rigtige porte:

  • Access-port: Én VLAN pr. port – perfekt til en enkelt IoT-hub eller PC.
  • Trunk-port: Flere VLANs på samme kabel – bruges mellem switch <-> router/AP.

Nyttige begreber:

  • PVID / untagged VLAN: Det VLAN en switchport tildeler pakker, den modtager uden tag.
  • Native VLAN: Cisco-begreb for untagged VLAN på en trunk. Undgå at dele dit produktions-LAN som native; brug fx et dedikeret “1 – Black-hole”.
  • Management-VLAN: Separat VLAN kun til switch/AP-administration. Minimerer risikoen for lock-outs og misbrug.

3. Access points – Flere ssid’er, samme radio

For Wi-Fi skal access pointet kunne:

  1. Mappe hvert SSID til et VLAN-ID (tagges på trunk-porten).
  2. Isolere klienter (AP-side “client isolation”) – især til gæstenettet.
  3. Levere PoE (Power over Ethernet) for enkel kabling.

UniFi, Omada, Aruba Instant On og mange Mesh-systemer understøtter nu VLAN-SSID-mapping, men tjek altid databladet.

4. Kabler og poe – Den fysiske ryggrad

  • CAT6 anbefales for at få 1 Gbit/s og PoE+ uden spændingsfald.
  • Hold kabelstræk under 100 m (PoE-standard).
  • Brug PoE-switch eller injektor til AP, kameraer og IoT-broer for færre strømforsyninger.

5. Forholdet til din isp-router

Brug bridge-mode (ren mediemodem) hvis muligt, så din egen router har den offentlige IP og fuld kontrol over VLAN-routing.

Er bridge-mode umuligt, må du acceptere dobbelt NAT:

  • Anvend ISP-routerens DMZ-funktion til din egen router for at minimere port-oversættelse.
  • Undlad overlap mellem LAN-subnets på de to routere (fx 192.168.1.0/24 hos ISP, 192.168.10.0/24+ hos dig).

6. Hurtig tjekliste

  • Router med 802.1Q + firewallregler.
  • Managed switch(e) med trunk/access-opsætning.
  • Access point med flere SSID → VLAN-mapping.
  • Separat management-VLAN til infrastruktur.
  • PoE og korrekt kabelkategori.
  • ISP-router i bridge-mode eller korrekt DMZ/dobbelt NAT.

Har du disse komponenter på plads, er du klar til den praktiske opsætning og firewall-regler, som vi gennemgår i næste afsnit.

Opsætning trin-for-trin med eksempelregler

I dette afsnit går vi systematisk igennem, hvordan du etablerer adskilte VLAN-zoner til dit smarthjem, og hvilke firewall-regler der giver mening i et almindeligt hjemmemiljø. Eksemplet tager udgangspunkt i en router/firewall med 802.1Q (pfSense/OPNsense eller MikroTik), én managed switch og et sæt Wi-Fi-access points med flere SSID’er.

1. Definér vlan’er, ip-plan og navngivning

Segment Navn VLAN-ID Subnet DHCP-scope
LAN / Arbejde LAN 10 192.168.10.0/24 .100 – .199
IoT IoT 20 192.168.20.0/24 .50 – .249
Gæst GUEST 30 192.168.30.0/24 .50 – .249
Kamera / Alarm CAM 40 192.168.40.0/24 .10 – .199
Management MGMT 50 192.168.50.0/24 .2 – .99
  • Hold VLAN-ID’er konsistente på tværs af router, switch og access point.
  • Læg router-interface IP som .1 i hvert subnet (fx 192.168.20.1).
  • Giv statisk IP til kritiske enheder (NVR, controller) via DHCP-reservationer.

2. Opret vlan-interfaces på routeren

  1. Under Interfaces → Assignments vælg Add VLAN på din WAN/LAN-port (typisk igb1 eller ether1).
    • VLAN 20 → igb1.20 → IP 192.168.20.1/24
    • Gentag for VLAN 30, 40, 50 …
  2. Aktivér DHCP-server pr. interface (Services → DHCP) med ovenstående scopes.

3. Konfigurer switch-porte

  1. Trunk-port mellem router & switch: Tillad VLAN 10,20,30,40,50 som tagged.
    På MikroTik kaldes det trunk=yes; på UniFi vælges All eller specifikke VLAN-IDs.
  2. Access-port til f.eks. Philips Hue Bridge:
    PVID/tag=20 (untagged IoT).
  3. AP-port: trunk som ovenfor, så AP’et selv kan tagge SSID’er.
  4. Sæt management-VLAN 50 som untagged/native på switchens egen management-interface, så fejlsøgning fortsat kan ske hvis tagging glipper.

4. Wi-fi: Bind ssid’er til vlan

SSID VLAN Sikkerhed
Hjem-LAN 10 WPA2/WPA3-Personal
Hjem-IoT 20 WPA2, skjult SSID
Gæster 30 WPA2 + captive portal (valgfrit)

De fleste AP-controllere (UniFi, Omada) har en drop-down Network/VLAN som angives pr. SSID.

5. Firewall-regler: Eksempel (pfsense-notation)

# Interface Action Source Destination Protocol Kommentar
1 IoT Pass IoT net DNS/NTP (router .1) UDP 53,123 Nødvendige infra-tjenester
2 IoT Pass IoT net Any TCP/UDP 80,443 Internettrafik
3 IoT Block IoT net LAN net * Ingen adgang til arbejds-LAN
4 GUEST Block GUEST net RFC1918 nets * Gæsteisolation
5 ANY Pass Established/Related * * Statful return
6 LAN Pass LAN net CAM net TCP 554, 80, 443 Se kamera-streams
7 IoT Pass IoT net 224.0.0.251 UDP 5353 mDNS → router
  • Regel #7 bruges sammen med en mDNS-reflektor (Avahi, mdns-repeater) på routeren, så Chromecast eller HomeKit kan findes fra LAN.
  • Ønsker du helt at blokere udgående trafik fra IoT til nye destinationer, kan du supplere med Cloudflare Gateway eller pfBlockerNG til DNS-filtrering.

6. Tilladelser til casting og discovery

  1. Aktivér IGMP-snooping på switchen for at minimere multicast-støj.
  2. Kør avahi-daemon på routeren som reflector mellem LAN↔IoT (TCP/UDP 5353).
  3. For SSDP (UPnP til Sonos/Chromecast) kan MikroTik’s upnp-proxy eller OPNsense-plugin benyttes.

7. Funktions- og sikkerhedstjek

  • IP-tildeling: Enheder får korrekt subnet og gateway.
  • Internet: Ping 1.1.1.1 og åbn https://example.com fra hver VLAN.
  • DNS: nslookup vat.dk → svar fra din egen DNS eller udvalgt resolver.
  • Casting: Telefon på LAN kan finde Chromecast på IoT.
  • Kameraer: Streams tilgårs kun fra LAN, ikke fra GUEST.
  • Isolation: Klient i GUEST kan ikke pinge 192.168.10.1.

Når alle trin er gennemført, har du et segmenteret hjemmenet, hvor kompromitterede IoT-enheder ikke kan nå dine personlige filer, og hvor gæster kun ser internettet, mens husholdningen stadig kan caste og tilgå kameraer gnidningsfrit.

Drift, sikkerhed og fejlfinding

Et velfungerende VLAN-setup stopper ikke, når den sidste firewall-regel er lagt. For at holde både stabilitet og sikkerhed i top skal installationen driftes som et lille professionelt netværk – bare i parcelhusformat.

Løbende vedligehold

  • Firmwareopdateringer: Sæt en fast kadence (fx hver 2.-3. måned) hvor router, switch og access points opdateres. Læs altid release notes for ændringer i 802.1Q-håndtering.
  • Backup af konfiguration: Eksportér konfig-filer efter hver større ændring og gem dem offline (USB-nøgle eller krypteret cloud). Ved opgradering: tag backup før og efter.
  • Dokumentation: Bevar en enkel netværks-diagram (Visio, draw.io eller papir) med VLAN-ID, IP-subnets, DHCP-scopes og adgangsregler. Tilføj datoer og login-credentials til et password-hvælv.

Overvågning og små dashboards

  • Syslog: Peg alle enheder mod samme syslog-server (kan være en Raspberry Pi). Giver ét samlet sted at søge efter port-flaps eller firewall-drops.
  • Ping/ICMP: Kør et simpelt ping-sweep fra LAN til kritiske IoT-enheder hvert 5. minut og send notifikation ved tre tabte prøver i træk.
  • Dashboard-light: Graf trafikhastighed pr. VLAN med Netdata, LibreNMS eller UniFi-Controller. Det afslører hurtigt hvis et kamera går amok eller en gæst torrent-seeder.

Sikkerhedslag du stadig har råd til

  • DNS-filtrering: Brug Pi-hole, AdGuard Home eller NextDNS på routeren; blokér kendte malware-domæner fra alle VLANs.
  • Let IDS/IPS: Aktiver Suricata/Zenarmor på OPNsense eller “Intrusion Prevention” i UniFi. Start i IDS-mode og slå IPS-drops til når du først har tillid til reglerne.
  • Rate limiting for gæster: 2-10 Mbit/s er ofte nok til web og streaming i gæste-SSID’et. Det beskytter både båndbredde og din WAN-datagrænse.

Fejlfinding – Klassiske vlan-fælder

  • PVID/tag-mismatch: Hvis en IoT-enhed får “forkert” IP, check access-portens PVID og at SSID’et faktisk tagger rammen.
  • Native VLAN-misbrug: Undgå at køre brugertrafik på native VLAN 1. Sæt native til et ubenyttet ID og hold management på eget VLAN.
  • VLAN hopping: Bloker all untagged trafik på trunk-porte, og brug aldrig “auto” på switchlinks mellem brands.
  • Dobbelt NAT: Hvis ISP-router ikke er i bridge-mode, forward DMZ til din egen firewall og deaktiver dens Wi-Fi, eller konsekvent port-forward begge steder.
  • mDNS der ikke krydser VLAN: Aktiver mDNS-repeater (Avahi/Bonjour-relay i pfSense, “mDNS-reflector” i Unifi) mellem LAN ↔ IoT. Filtrér til kun _googlecast._tcp, _airplay._tcp osv.

Praktisk tjekliste før du går i seng

  • Alle VLAN-SSID’er udsender korrekt DHCP-scope.
  • Internet-adgang fra hvert subnet.
  • Navneopslag via primær og sekundær DNS.
  • Chromecast/HomeKit discovery virker fra LAN til IoT, men ikke omvendt.
  • Gæster kan ikke “se” hinanden (AP-isolation) og rammer rate-limit.
  • Backups ligger off-site, og sidste restore-test er < 6 måneder gammel.

Rollback-plan

Inden større firmware- eller regelændringer:

  1. Tag konfig-backup og gem versions-nummeret.
  2. Planlæg Change Window (fx søndag kl. 10-12).
  3. Lav snapshot på router (ZFS/BTRFS) eller gem startup-config på switch.
  4. Test: ping ↔ Internet, Chromecast, kamerafeed, VPN.
  5. Går noget galt, rul tilbage til snapshot eller upload konfig-filen – ingen panik.

Med disse rutiner på plads bliver dit hjemmenetværk næsten selvkørende, og når familiens nye, billige IoT-dims opfører sig mistænkeligt, er det næppe resten af huset der lider – men kun det ene, isolerede VLAN.

Vat.dk

Teknik

FacebookXPinterestRedditWhatsappTelegramEmail

Related Posts ...

Comments are disabled