Wifi-gastnetwerk op kantoor: simpel, maar de meeste MKB's doen het fout

Een gastnetwerk is in tien minuten geregeld, maar wij zien op kantoren keer op keer dezelfde fouten. Wat hoort wel en niet op je gast-wifi, en waarom maakt het uit?

Bijna elk kantoor heeft een gast-wifi. En toch zien we bij bijna elk bezoek hetzelfde: het wachtwoord staat op een geel briefje bij de receptie, de bezoeker zit op hetzelfde netwerk als de boekhoudpc, en niemand weet meer wie die router ooit heeft ingesteld. Tijd om er kort, praktisch en zonder netwerk-jargon doorheen te lopen.

Waarom je gasten niet op je gewone netwerk wilt

Het klinkt gastvrij om de monteur, de stagiair of de bezoeker van een leverancier even op "het wifi" te zetten. Maar zodra een apparaat op je hoofdnetwerk zit, kan het — in theorie en soms in de praktijk — bij dingen die je niet wilt delen:

• De netwerkprinter (en daarmee opdrachten zien of misbruiken).
• De NAS of fileserver waar je documenten op staan.
• Andere computers op kantoor, inclusief eventuele kwetsbaarheden daarop.
• De router zelf — als die nog op standaardwachtwoorden staat.

En het werkt ook andersom: een besmette laptop van een bezoeker kan op je hoofdnetwerk schade doen. Een gastnetwerk is geen luxe; het is gewoon hygiëne.

Wat een goed gastnetwerk minimaal doet

Je hoeft geen netwerkbeheerder te zijn om de basis te regelen. Dit zijn de vier kenmerken waar het op moet kloppen:

1. Geïsoleerd van je hoofdnetwerk. Gasten zien elkaars apparaten niet en komen niet bij jullie printer, NAS of pc's. In de router heet dit vaak "client isolation" of "AP isolation".
2. Eigen wachtwoord, los van het hoofdnetwerk. Dat wachtwoord mag rondslingeren; dat van je hoofdnetwerk niet.
3. Bandbreedte-limiet. Voorkom dat één bezoeker met een grote download je videovergadering platlegt.
4. Regelmatig nieuw wachtwoord. Bijvoorbeeld per kwartaal. Oude bezoekers, ex-medewerkers en de schoonmaker hoeven niet eeuwig toegang te houden.

De vijf fouten die we het vaakst tegenkomen

1. "Gastnetwerk" dat eigenlijk geen gastnetwerk is

Sommige routers presenteren een tweede netwerknaam (SSID) die simpelweg op hetzelfde interne netwerk uitkomt. Het ziet er gescheiden uit, maar is het niet. Test het: zet een telefoon op het gastnetwerk en probeer naar de printer of een gedeelde map te gaan. Lukt dat? Dan is het geen echte scheiding.

2. Hoofdnetwerk-wachtwoord op het briefje bij de balie

Klassieker. Iedereen die ooit binnen is geweest kent het, en in de praktijk is het al jaren niet veranderd. Vervang het briefje door het wachtwoord van het gastnetwerk en verander dat van het hoofdnetwerk eenmalig grondig.

3. Default-inlog op de router

"admin / admin" of het sticker-wachtwoord onderop. Een aanvaller op je gastnetwerk die toevallig bij de router-interface kan, is daar binnen seconden. Zet de router-login om naar iets uniek, en sla dat op in je wachtwoordmanager — niet op een Post-it.

4. Firmware uit 2021

Routers krijgen beveiligingsupdates, maar veel MKB-routers updaten niet automatisch. Log een keer per kwartaal in en kijk of er updates klaarstaan. Of zet automatische updates aan als die optie er is.

5. IoT-spul op het hoofdnetwerk

De slimme koffieautomaat, de aanwezigheidssensor, de smart-tv in de vergaderruimte: dat zijn allemaal apparaten waar je geen controle over de software hebt. Die horen niet bij je werkbestanden. Zet ze op het gastnetwerk of, als je router het ondersteunt, op een apart IoT-netwerk.

In tien minuten geregeld

Voor de meeste kantoorrouters (Ubiquiti, TP-Link, Fritz!Box, Zyxel, ASUS, KPN-/Ziggo-modems) gaat het ongeveer zo:

1. Log in op je router via het webadres dat op het apparaat staat.
2. Zoek bij wifi-instellingen naar "Gastnetwerk" of "Guest network".
3. Zet hem aan, geef hem een herkenbare naam (bijv. "JouwBedrijf-Gast").
4. Kies een sterk maar deelbaar wachtwoord (drie woorden + een cijfer werkt prima).
5. Vink aan: geen toegang tot lokaal netwerk en client isolation.
6. Stel eventueel een bandbreedte-limiet in.
7. Test of je vanaf gast-wifi niet bij de printer of gedeelde mappen komt.

En de werk-laptops zelf?

Een gastnetwerk regelt verkeer op kantoor, maar zegt niets over wat er op de laptops zelf gebeurt. Voor het MKB blijven de échte basisstappen: harde schijven versleuteld, updates aan, een wachtwoordmanager, en 2FA op alles dat ertoe doet. Dat is ook waar onze 2FA-implementatiehulp en beveiligings-checks over gaan.

Snel je verbinding testen

Heb je net je netwerk verbouwd? Check dan even of het gastnetwerk niet vreemd traag is geworden, of dat je hoofdnetwerk juist sneller draait nu de IoT-rommel eraf is. Onze speedtest doet dat in een paar seconden, en met de IP-lookup zie je meteen of je gast-wifi netjes via een ander uitgaand IP of subnet werkt dan je hoofdnetwerk — een handige sanity check dat de scheiding écht klopt.

Lukt het niet om er zelf uit te komen, of wil je iemand die even meekijkt? Bel of mail ons gerust. Het is meestal een kwestie van een halfuurtje en daarna nooit meer over nadenken.