La red segura y de alta calidad en la casa unifamiliar

Vale, entonces breve:

Sí, puedes.

En realidad siempre funciona. Va "bien" si tu dispositivo soporta 802.1x. Va "menos bien" si solo tiene una dirección MAC.

En general, yo pensaría de forma realista sobre esos escenarios de ataque. Con VLANs ya bloqueas los puertos exteriores del resto de la red. Luego quedan ciertas rutas, por ejemplo a Internet. ¿Y luego? Tu visitante puede navegar. ¿Para hacer todo ese esfuerzo, cuando cada segundo WiFi en el vecindario está mal asegurado? Eso me molestaría más, que alguien aproveche la ocasión para robarme el punto de acceso o la puerta de enlace Gardena.

Eso es todo correcto y claro.
Solo quería saber si aun así podía solucionarlo, porque no conozco ninguna posibilidad. No se trataba de las probabilidades de escenarios de ataque, sino de la viabilidad.
Concluyo que aparentemente no es viable ni efectivo hacerlo.

¿Has echado un vistazo a la [Fing-Box]? … Así al menos tienes una visión general cuando se conecta un nuevo dispositivo.

Para darse cuenta si un nuevo dispositivo se ha registrado no se necesita una caja adicional. Eso de todos modos es solo un cuello de botella en el sistema…

Lo que puede funcionar según el switch, firewall y APs utilizados:
por ejemplo, FortiGate Firewall con FortiAP exterior:
- Desactivar DHCP en los puertos para el punto de acceso, configurar una VLAN propia (exterior).
- Configurar un servidor 802.1x y autenticar los APs y clientes a través de él.
- Activar DHCP en el punto de acceso para los clientes e ingresar la FortiGate como gateway y DNS, por supuesto estableciendo las rutas correspondientes allí.
De este modo, solo un cliente recibe una IP del punto de acceso tras una autenticación exitosa 802.1x; si el punto de acceso no está, ya no hay DHCP en ese puerto y un atacante tendría que probar el rango de direcciones, conocer la VLAN y las credenciales 802.1x. Con una VPN adicional puedes aumentar aún más la seguridad.
En otro puerto conectas tu Gardena Gateway, haces un MAB y una ACL, es decir, incluso con un spoofing de MAC, el atacante solo avanza si utiliza la misma IP de origen y las IPs y puertos de destino del Gardena Gateway. En otras palabras, como máximo puede acceder a los servicios de Gardena.

Así es como lo haría.

Para retomar el tema...
¿Alguien puede recomendar un router que pueda llevar DHCP al VLAN?
Además, actualmente un Fritz!Box se encarga del acceso a la red; si se combina con un router, habría doble NAT. ¿Es realmente un problema si VPN, etc., no juegan un papel importante? ¿Cómo es el caso con VoIP?
Además, estoy considerando reemplazar mi servidor Windows 2016, que está funcionando 24/7 en un PC de escritorio, por un NAS. Estoy interesado en una Synology DS920+.
¿Alguien puede evaluar si ese dispositivo es suficiente para reemplazar un puñado de servicios de Windows Server (como VM) y al mismo tiempo encargarse de Radius y DNS?

Aclaración: tengo una licencia legal de Windows Server 2016 Datacenter. Por supuesto, eso cubriría todo si hiciera todo en VMs. Un servidor correspondiente obviamente cuesta.
¿Sigue siendo una opción?

¿Por qué no pones el Fritz!Box en modo puente o lo reemplazas por un módem puro? Así no tienes doble NAT. DHCP en el VLAN puede hacerlo casi cualquier router que soporte VLAN. ¿Qué quieres ejecutar en la Synology? Deberías ampliar la RAM. Así Windows funciona más o menos. Pero no es para tareas que requieran mucho cálculo. Radius y DNS se pueden ignorar. En cualquier caso, en mi red doméstica no hay muchos dispositivos, por lo que no es una gran carga.