Hallo @Cavemania, Welkom op het forum. Goed dat je hier je vraag stelt. Met alle aanwezige kennis is er ongetwijfeld snel iemand bereid je te helpen!

Bij een NAT achter NAT set-up (2 routers achter elkaar), zoals ik denk dat je tekening als zodanig is bedoeld. (Ik zie geen IP sub-net bereiken. → TP-Link router zou ook als Access Point / switch kunnen werken). Kun je in basis altijd terug vanuit de 2e router (2e netwerk) naar het 1e netwerk.

Andersom vanuit het 1e netwerk naar het 2e net werk gaat dat voor je apparaten in basis niet.
Dus daarmee zou je het 2e netwerk daarmee al kunnen afblokken.

Je zou de NAS wel in het 2e netwerk kunnen hangen, en dan de NAS zodanig instellen alsof je die vanuit een “externe” locatie benadert. Ofwel de NAS met port forwardings in het 2e netwerk. Dan kun je die ook vanuit het 1e netwerk benaderen.

TV is ook nog wel door te zetten vanuit het 1e netwerk naar 2e netwerk.
In de TP-Link kun je daarvoor IGMP Proxy en IGMP Snooping activeren.

Echter dat “teruggaan” van 2e netwerk naar 1e netwerk, --het afblokken daarvan--, hebben beide routers te weinig voorzieningen om dat bijv. via Firewall instellingen af te dekken.

Een managed switch heeft in dit verband ook weinig functie, als het je gaat om bijv. instellen van aparte “VLAN's”.  als je routers daar de voorzieningen m.b.t. aparte VLAN's al niet hebben.

Als ik de NAS aan de Experiabox knoop en voor ieder netwerk een router aan de Experiabox dan zou het probleem dus opgelost zijn als ik je goed begrijp.

Hoe bedoel je dat?  Ik spreek juist over de NAS in het 2e netwerk aansluiten achter de TP-Link.
Het gaat erom wat je voor elkaar in twee netwerken wilt afblokken,
en wat je eventueel minder erg vindt om gezamenlijk te delen of juist niet.

Je zou met de spullen die je hebt ook het 1e netwerk zakelijk kunnen indelen.
Die kunnen dan niet naar het 2e “privé” netwerk.
Andersom blijf je dan toch weer zitten dat het 2e netwerk altijd terug kan naar het 1e netwerk.

Wil je echt twee netwerken volledig voor elkaar afblokken (lijkt me voor een zakelijke omgeving eigenlijk wel gewenst), met uitzondering van TV en NAS, kun je daar beter andere apparatuur voor inzetten, die betere opties biedt om een firewall in te richten.

Als je de Experia Box uitwisselt met bijv. een “DrayTek 2865 router”, en een en ander nog aanvult met een managed switch, kun je met indelingen van verschillende VLAN's je netwerk volledig opdelen in twee (of meerdere) gescheiden systemen.

Wat ik zat te denken is de NAS aan de Experiabox. Daar een router voor het zakelijke deel aan en een router voor het privé deel. Dan heb je dus drie netwerken. Je kan vanaf beide netwerken de NAS bereiken maar je kan niet verbinding maken vanuit het ene netwerk met het andere netwerk. Of zie ik dat nu heel verkeerd?

De Experiabox wordt overigens ook gebruikt voor telefonie.

Dat is ook een optie.
Maar persoonlijk ben ik eigenlijk niet zo'n voorstander van 3 routers gebruiken, waar het met één kan.

Weet niet welk Experia Box model je hebt. Maar zou het gebruik van "KPN” routers, en de “bemoeienis” van KPN naar achterliggende systemen juist zoveel mogelijk beperken. Maar goed, dat is je eigen keus.

Voor telefonie gebruik ikzelf “VOIP” apparatuur, met meerdere SIP-accounts ondergebracht bij alternatieve VOIP-providers. (Waarbij je dat dus ook makkelijk zakelijk en privé kunt scheiden).
Met een minimum aan telefoniekosten afgezet met wat KPN voor vaste telefonie rekent.

Op het schema lijkt het allemaal vrij makkelijk natuurlijk. We hebben te maken met een bestaande situatie waar maar een kabel naar het zakelijke deel gaat. Het betreft een woning en achterliggende schuur. Nieuwe kabels zijn bijna niet aan te leggen (alles kan natuurlijk). Tussen het zakelijke en privé deel zit zeker een afstand van een 30 á 40 meter. Dus de WiFi routers zouden elkaar niet in de weg zitten. Ik ben het met je eens dat je met minder apparatuur wenselijk zou zijn maar denk dat de optie die ik noemde de meest eenvoudige oplossing is.

IGMP Proxy en IGMP Snooping werkt over alle poorten? Sorry, ben een beetje n00b op dit gebied

Zowel bij het gebruik van 3 routers als één router met VLAN indelingen zoals zo'n DrayTek (en evt. aangevuld met managed switches) hoef je daar geen extra kabels voor bij te trekken.

Met de spullen met wat je nu hebt is dat inderdaad het simpelste op te lossen met een 3e router erbij.
Want je hebt in principe nu al twee routers in gebruik. Zo'n 3e TP-Link kost de kop niet.
Maar hoe doe je dat nu met bekabelde “analoge” lijntjes van vaste telefonie naar je schuurtje?

VOIP-telefonie gaat nu juist over ethernet (of zelfs over WiFi is mogelijk).
(Alternatieve VOIP providers kun je overigens alsnog erbij nemen).

Met IGMP Proxy en IGMP Snooping gaat dat achterliggend inderdaad over alle LAN-poorten.
Daarmee kun je IPTV / TV-ontvangers gewoon werkend aansluiten achter die 2e (3e) router.
Welke versie van die TP-Link Archer router heb je nu?
Mogelijk dat een oudere versie daar namelijk nog net niet in voorziet?

Als 3e router een TP-Link Archer C6 - voorziet in ieder geval ook in die functies en is goedkoop.
(Dat model heb ikzelf namelijk al eens als zodanig met IPTV functies uitgetest).

En welke Experia Box model heb je van KPN?

Zie "Gebruik een eigen router achter de Experia Box" voor jouw configuratie.

Het enige waar je voor moet zorgen is dat je de TV ontvanger aan de zakelijk zijde op de Experia Box aangesloten blijft.

En als je de Experia Box wilt vervangen door een router die meerdere vlans ondersteunt, lees dan het topic "Gebruik een eigen router i.p.v. de Experia Box".

De router die er nu tussen zit is een TP-link Archer C1200 V2.0. In de specificaties zie ik dat deze router zowel IGMP Proxy als IGMP Snooping ondersteund.  Dus het zakelijke deel is in principe al opgelost. Het privedeel zou ik dan nog op kunnen lossen met een extra router zoals bovenstaande TP-Link (heb overigens nog een ongebruikte Netgear Nighthawk AC1900 R7000 liggen). Liefst zet ik er een multiroom router tussen zodat ik door ons hele huis goede WiFi heb.

De telefoonlijnen worden vanaf de Experiabox V10 via een ouderwetse telefoonkabel verdeeld. (tja, dit was al zo toen we hier kwamen wonen).

@wjb rechtstreek de ITV ontvanger rechtstreeks aansluiten op de experiabox is niet mogelijk.

Door ook een switch vlak voor de TP-Link te plaatsen en daar de "zakelijke" TV ontvanger op aan te sluiten kan dat prima.

Gebruik overigens switches die IGMP snooping ondersteunen.

Ja dat is inderdaad zo, je hebt volledig gelijk.

Dan lukt het je echt niet. Wat jij beschrijft kan op 2 manieren worden opgelost. Software logisch en Hardware technisch. 

Beide vragen een diepe kennis van je organisatie want ik neem aan dat je het niet doet om jezelf af te schermen. 

Daarnaast is echt diepe kennis nodig hoe een switch/router te managen. Ik ben bang dat als je echt gaat beginnen je de eerste kosten kwijt zal zijn aan externe adviseurs. Een toonbank bediende kan je dit echt niet vertellen. 

Je kan het natuurlijk proberen, in de link die @wjb  aanhaalt, is veel hierover beschreven, maar limiteer je dan wel erg in je eisen. Als het een beetje lukt zal het meer vallen dan opstaan zijn.  

Niet zo negatief, het is zo simpel als wat om die TV aan de zakelijk kant aan het werk te krijgen en het zakelijke netwerk af te schermen van het privé netwerk. Als je twee Netgear GS105Ev2's zou gebruiken dan hoef je zelfs helemaal niets in te stellen, het zal direct werken.

Wat jij dus zegt, twee van deze switchen aan de Experiabox. Aan de een het zakelijke deel, aan de andere het privé deel. En klaar is Kees?

De éne vervangt die unmanaged switch en de andere plaats je aan de zakelijke zijde voor de TP-Link. De TV ontvanger sluit je aan op die switch i.p.v. de TP-Link.

Als aan de privé zijde de kabel lang genoeg is om direct in de Experia Box te prikken dan kan je zelfs met één switch uit en plaats je de NAS fysiek aan de zakelijke zijde.

Extra switches ertussen is allemaal overbodig gedoe. Niet moeilijker maken dan nodig.
Het kan gewoon achter de TP-Link met gebruikmaking van IGMP proxy en Snooping instellingen.
(Experiabox V10 heeft 4 LAN-poortjes. Lijkt me genoeg voor die twee TP-Link routers en een NAS die @Cavemania daarop zou willen aansluiten).

Ofwel gewoon:
-- de 1e TP-Link router direct aangesloten als “privé” achter de Experia Box.
-- de 2e TP-Link router direct aangesloten als “zakelijk” achter de Experia Box.

Elke TP-Link heeft op zichzelf ook weer 4 LAN-poortjes om er een TV-ontvanger op aan te sluiten.

TV-ontvangers achter zowel 1e als 2e TP-Link router met iedere TP-link router hun eigen sub-net. (Verschillend met die van de Experia Box instellen en verschillend van elkaar om onderlinge conflicten van “zelfde” sub-nets te voorkomen).

Heb de gebruiksaanwijzing ervan doorgenomen. Maar zonder afbeeldingen en instellingen van menu-opties kan ik daar geen informatie in vinden of je simpel alleen IGMP Proxy en IGMP Snooping kunt activeren, zonder dat IGMP Proxy aan een “bridged port" is gekoppeld.

Voor IPTV “routed mode” wat wordt overgenomen vanuit de Experia Box --die heeft dat al verdeeld-- daar hoef je dus geen moeilijke toestanden voor uit te halen, is echt alleen puur een activatie nodig van IGMP Proxy en IGMP Snooping ZONDER enige koppeling van extra instellingen van een VLAN op een “bridged LAN-port”. Om daarmee TV-ontvangers achter de router (als 2e - 3e router) te kunnen aansluiten waarbij de functies van TV gewoon werken.

Die instellingen zijn wel mogelijk met die eerder genoemde TP-Link routers. (2 vinkjes en het is klaar). Maar bijv. ook Asus routers, waar een gebruiker mij eerder een afbeelding van toestuurde, (en dat ook als zodanig werkend had).
 

Dat is weer een heel ander verhaal “achter” een router.

Is het niet veel verstandiger eerst eens op papier te zetten wat je eigenlijk wilt? Want ideeën, mogelijkheden en wat je thuis nog extra aan apparatuur hebt liggen veranderen per reactie.