Waarom mijn homelab achter VLAN's leeft
Segmentatie is niet zomaar een vinkje voor de enterprise — zo splits ik één Proxmox-node op in veilige zones.
Een plat netwerk is comfortabel — tot één gecompromitteerd toestel met alles kan praten. Ook thuis segmenteer ik, want de gewoontes die je thuis aanhoudt, zijn de gewoontes die je meeneemt naar een klant.
Drie zones, één node
Op één Proxmox-host draai ik een OVS-bridge met getagde VLAN’s en behandel ik elke zone als een vertrouwensgrens:
| Zone | VLAN | Wat er leeft |
|---|---|---|
| Management | mgmt | Proxmox, switches, de reverse proxy |
| Services | user | Containers en apps die de LAN echt gebruikt |
| DMZ | dmz | Alles dat naar het internet kijkt |
De regel die het de moeite waard maakt: de DMZ mag nooit zelf een verbinding terug naar de LAN opzetten. Verkeer stroomt naar de DMZ toe, nooit eruit richting management.
Waarom de moeite thuis
- Een gehackte publieke service blijft beperkt tot de DMZ — geen laterale beweging.
- Ik kan management dichttimmeren tot één subnet en het daarna vergeten.
- Het is een kopie van hoe ik het voor een klant zou bouwen, dus geen verrassingen ter plaatse.
Segmentatie kost je vooraf wat planwerk en betaalt zich terug de eerste keer dat er iets misloopt. Die ruil is bijna altijd de moeite waard.