Suddivisione della rete domestica: guest, IoT e altro

[mmmanz]

Buongiorno a tutti,

per la mia rete domestica sto cercando una soluzione per suddividere in sottoreti i vari dispositivi, principalmente per ragioni di sicurezza. Attualmente ho una linea TIM con un TIM HUB+ e utilizzo una rete Wi-Fi principale e una rete guest. Tuttavia, vorrei segmentare ulteriormente la rete, ad esempio, isolando i dispositivi IoT dagli altri dispositivi connessi.

Ho letto che una possibile soluzione è la creazione di VLAN differenti. Vorrei chiedere se questa è effettivamente la soluzione migliore o se esistono altre opzioni per garantire che un gruppo di dispositivi (guest o IoT) non possa comunicare con gli altri. Non ho problemi a sostituire il modem-router fornito da TIM se necessario per implementare questa struttura e nel caso vi chiederei quale tipo di dispositivi consigliereste. Ho anche dispositivi connessi via Ethernet, ma questi dovrebbero rimanere sulla rete "principale"; la suddivisione è necessaria principalmente a livello Wi-Fi.

Mi scuso per la domanda generica e probabilmente molto ampia, non sono assolutamente un esperto in materia.

Grazie mille

 

[r3dl4nce]

Non credo che il router TIM gestisca le VLAN, multipli SSID e e subnet multiple

 

[mmmanz]

Non credo che il router TIM gestisca le VLAN, multipli SSID e e subnet multiple

Purtroppo no, per questo sono disposto senza problemi anche a sostituirlo (dovrebbe essere fattibile) e in merito a questo sono un po' confuso (soprattutto tra i tanti brand che vedo): vedo che TIM stessa propone anche FRITZ!Box, sono prodotti che mi aiuterebbero a fare quello che mi serve? Apertissimo a qualsiasi tipo di opinione o consiglio in merito

 

[r3dl4nce]

Anche i Fritz in questo comparto sono un po' carenti, gestiscono wifi principale e wifi guest.
Si dovrebbe andare su dispositivi di fascia più business, tipo mikrotik, ubiquiti, ruckus, ecc, prezzi e/o complessità salgono, dipende da quanto vuoi spendere e quanto ti è necessaria questa suddivisione

 

[mmmanz]

Capisco, grazie mille della risposta!

 

[jeyhw]

Se proprio devi sostituire il router TIM, ti conviene a questo punto prendere qualcosa di professionale come Mikrotik con il quale ci puoi fare un sacco di cose anche se è difficile all'inizio smanettarci. Puoi fare ancora meglio comprando un NUC e installarci un firewall come OPNsense. Io eviterei di comprare router costosi come ASUS che a conti fatti servono a poco.

 

[mmmanz]

Grazie mille dell'aiuto, avevo intenzione di guardare Mikrotik, c'è per caso un prodotto diciamo di fascia media che può essere adatto per ciò che mi serve? Tipo se c'è un prodotto di punta o cose del genere

 

[r3dl4nce]

Attenzione che Mikrotik NON è facile da configurare se non hai conoscenze di infrastruttura di rete almeno L2/L3 e poi devi conoscere il sistema RouterOS.
Inoltre se hai una FTTC Mikrotik non fa router con model VDSL integrato, quindi dovresti comunque mettere in cascata al router TIM, nulla di trascendentale, io l'ho tenuto così per diversi anni, anzi puoi anche stabilire una seconda PPPoE sul Mikrotik così da averti IP pubblico direttamente e non avere doppio NAT. Se invece hai FTTH, devi avere ONT esterno.

 

[mmmanz]

La connessione è FTTC, credo che attaccarlo al router TIM possa essere in effetti una buona soluzione. Apprezzo molto che mi fai presente che non è facile da configurare, non sono un esperto quindi temo che sia ad un livello troppo pro per me. Ma se ho capito bene io potrei anche attaccare semplicemente un router (da capire quale, su questo sono apertissimo a consigli, possibilmente cose semplici da configurare) al router esistente di TIM e creare comunque delle sottoreti separate dal router principale (con dispositivi che non possono "parlarsi"), ho capito bene? Scusatemi se sono domande elementari, sto cercando documentarmi proprio in questo momento a riguardo, naturalmente non parlo più di VLAN. In ogni caso grazie mille del supporto, se avete anche link in cui mi posso documentare anche meglio così non vi costringo a spiegarmi le basi in merito a questa richiesta

 

[r3dl4nce]

Se vuoi fare suddivisioni, anche con multipli SSID, multiple subnet divise in VLAN, ecc, devi prima capire un po' come funzionano queste configurazioni. Molti dispositivi più da utilizzo consumer non hanno queste funzioni, dato che generalmente non sono richieste. Gli apparati più avanzati hanno queste funzioni ma richiedono di avere conoscenze di come vanno configurati, regole di firewall per gestire gli accessi delle varie subnet, capire cos'è una VLAN e come impostarla, in caso di switch servono managed con gestione per impostare porte access e trunk, ecc.
Se ti va di imparare questo "mondo" ben venga, c'è un po' da leggere e studiare e fare prove.
Altrimenti puoi rimanere con la configurazione home basica che va bene per il 90% dei casi

 

[mmmanz]

Grazie mille, ha perfettamente senso. Nel mio caso specifico si tratterebbe più che altro di "rinfrescare", sono temi che ho studiato (ma solamente dal punto di vista puramente teorico) molti anni fa, ma poi sul pratico ho fatto quasi nulla e naturalmente nel tempo mi sono dimenticato quasi tutto. Ci rifletterò se è il caso che io mi cimenti prima di tutto dal punto di vista teorico.

Ma a questo punto allora tornerei più che altro alla causa di questa richiesta: la mia idea di segmentazione di una rete deriva quasi di più da una "paura" di collegare alcuni dispositivi IoT assieme a dispositivi che magari si utilizzano (anche) per lavoro. È una "paura" che ha senso nel 2024? So che la risposta è probabilmente "dipende", parlo di dispositivi comunque ben riconosciuti, marche famose (non cinesate, per capirci!). Ad un utente che non ha competenze per poter realizzare questa netta divisione per i dispositivi IoT (sempre che ce ne sia bisogno) quale potrebbe essere il consiglio, utilizzare la rete Guest (che mi apre un'altra curiosità: come e in che modo affidabile viene divisa la rete Guest nel router?)? O che altro potrebbe fare?

So che sto andando OT, probabilmente dovrei aprire una nuova conversazione solo questa tematica ma mi sembrava a questo punto utile andare al vero motivo dell'apertura di questo thread e capire prima di tutto se ha senso. Grazie mille.