ale podłączanie czarnej skrzynki do swojego LANu trochę mnie przeraża. Firma Ubiquiti jest z USA
lubię openwrt i nie chcę się uczyć nowego wynalazku. społeczność openwrt/lede jest spora więc różne
rzeczy ćwiczą z tymi systemami. Zatem brak systemu jest ok. Gorzej z gwarancją. No ale mówi się trudno.

no najpierw muszę kupić ten magiczny kabelek i router, teraz jego zakup ma sens.

Wracam do tematu, sieć w ścianach, szafa rack gotowa, przeprowadzka wkrótce.
Trochę 'zluzowałem' temat podejścia odnośnie vlanów i zarządzalnych switchy, chcę rozsądnie podejść do tematu ale bez fortuny i paranoidalnego podejścia do tematu.

Dostępny obecnie sprzęt:
- edgerouter x
- router 2.4 i 5 dla wifi, jeszcze jeden taki do dokupienia (jeden nie obskoczy całego domu)

W sieci będzie Synology (które ma być dostępne tylko 'zaufanym' hostom), sieć dla gości (najchętniej odseparowana), sieć WiFi i LAN dla telemetrii (MQTT broker, bez dostępu do sieci) i kamery IP.
To wszystko planowałem wstępnie spiąć na vlanach, ale jak teraz obmyślam ile route'ów musiałoby nastąpić żeby mieć do wszystkeigo dostęp nawzajem, to chyba zostanę przy podsieciach IP, wymuszaniu IP w parze z MAC i .. no właśnie, co dalej?
Jak do tematu podejść, żeby zrobić to maksymalnie 'domowo', a przy tym odseparować sieci od siebie?

Bardziej chodzi o to, że mam w domu sporo skrętek i nie wiem czy niezbędny będzie switch z gatunku nie-głupich, czy jednak VLAN to jedyna opcja na jakąkolwiek sensowną separację.
W skrócie - chciałbym, aby ktoś wpinając się np. w pokoju gościnnym zawirusowanym laptopem nie poszyfrował od razu 'publicznych' danych na synology (takich dostępnych nawet bez logowania), etc. :-)

Teoretycznie wyobrażałem to sobie jako podsieci - 192.168.10.x - zaufane (force pary IP + MAC i drop jak spoza zestawu?), na obydwu AP rozgłaszana para sieci domowa + gościnna + MQTT, MQTT na np. 192.168.90.x - ruch tylko do/z brokera, broker na WT3020 i wpuszczający tylko administratora z IP 'zewnętrznych'.

Jeśli będę kupował switche 'głupie' to pójdzie para gigabit + full ethernet, z racji tego że końcówek jest ponad 30, a nie wszędzie potrzeba gigabita na chwilę obecną (nie mam nawet tylu urządzeń).
Reszta po WiFi.

Rozmyślam też ile pracy (i jak) przerzucić na edgerouter'a. Czy tylko routowanie i firewall, czy od razu na nim (portami) wymusić podsieci i na nim routować.
Ot takie rozmyślania przed zakupem. Zaszywanie patchpanela już w przyszły weekend, więc na koncepcję mam tydzień. ;-)

I tu się właśnie zaczynają schody, do których zmierzam.
Czy jest niezbędny switch zarządalny w sieci, gdzie chcę tylko mieć 'separację' trudną do obejścia dla malware'u i mniej obeznanych użytkowników?

Switch gigabit 16 portów - 285zł
Switch gigabit 16 portów zarządzalny - >550zł

Bardzo ciekawa opcja.
Pytanie tylko (jako - jeszcze - VLANowego laika) jak to sprawnie rozszyć na zarządzalnych urządzeniach, zachowując jednocześnie możliwość administracji z jednego-dwóch stanowisk (PC + laptop)?

Dlaczego paranoję :-) Wystarczy 'zarażony' lapek, gościnnie i Synology z folderami publicznymi poszyfrowane. Czysta symulacja, ale ciężko powiedzieć że nieprawdopodobna.

Równie dobrze może być odwrotnie. Publiczna lub gościnna sieć z "niespodzianką" i lapek zaszyfrowany .
Ja na przykład nie podpinam się pod ogólnodostępne sieci. Dotyczy to zwłaszcza wszelakich "free wifi" w centrach handlowych, knajpach itp... Net komórkowy jest taki tani, że nie opłaca się ryzykować. Ot taka paranoja