Le réseau sécurisé et haut de gamme dans la maison individuelle

D'accord, alors brièvement :

Oui, tu peux.

Ça marche en général toujours. C’est “bien” si ton appareil supporte 802.1x. C’est “moins bien” s’il n’a qu’une adresse MAC.

En général, il faudrait réfléchir de manière réaliste à de tels scénarios d’attaque. Avec les VLAN, tu bloques déjà les ports extérieurs du reste du réseau. Il restent alors certaines routes, par exemple vers Internet. Et après ? Ton visiteur peut surfer. Mais faire tout ce travail alors que chaque deuxième WLAN dans le voisinage est mal sécurisé ? Ce qui m’embêterait plutôt, c’est que dans cette occasion, quelqu’un me vole le point d’accès ou la passerelle Gardena.

Tout cela est juste et clair.
Je voulais juste savoir si je peux quand même résoudre cela, car je ne connais pas d’autre possibilité. Il ne s’agissait pas des probabilités des scénarios d’attaque, mais de la faisabilité.
J’en conclus que ce n’est apparemment pas réalisable de manière efficace.

Tu as déjà regardé la Fing-Box ? … Avec ça, tu as au moins une vue d'ensemble quand un nouvel appareil est branché.

Pour savoir si un nouvel appareil s'est connecté, il n'est pas nécessaire d'avoir une boîte supplémentaire. C'est de toute façon juste un goulet d'étranglement dans le système…

Ce qui peut fonctionner selon le switch, le pare-feu et les AP utilisés :
par exemple FortiGate Firewall avec FortiAP à l'extérieur :
- Désactiver le DHCP sur les ports pour les points d'accès, configurer un VLAN propre (extérieur).
- Configurer un serveur 802.1x et faire authentifier les AP et les clients via celui-ci.
- Activer le DHCP sur le point d'accès pour les clients et inscrire la FortiGate en tant que passerelle et DNS, bien sûr en définissant les routes correspondantes.
Ainsi, seul un client avec une authentification 802.1x réussie obtient une IP du point d'accès, si le point d'accès est absent, il n’y a plus de DHCP sur ce port et un attaquant devrait tenter toute la plage d’adresses, connaître le VLAN et les identifiants 802.1x. Avec un VPN supplémentaire, tu peux encore augmenter la sécurité.
Sur un autre port, tu branches ta passerelle Gardena, tu fais un MAB et une ACL, ce qui signifie que même en cas de spoofing MAC, l’attaquant ne peut avancer que s’il utilise la même IP source, IP de destination et ports que la passerelle Gardena. Autrement dit, il ne pourrait accéder qu’aux services Gardena.

C’est comme ça que je le ferais.

Pour reprendre le sujet…
Quelqu'un peut-il recommander un routeur capable d'apporter le DHCP dans le VLAN ?
En complément, actuellement une Fritte prend en charge l'accès réseau, si on la combine avec un routeur, il y aurait un double NAT. Est-ce vraiment problématique si VPN, etc., ne jouent aucun rôle ? Qu'en est-il pour la VoIP ?
Je réfléchis à remplacer mon serveur Windows 2016, qui tourne 24/7 sur un PC de bureau, par un NAS. Je lorgne sur une Synology DS920+.
Quelqu'un peut-il estimer si cet appareil suffit à remplacer une poignée de services Windows Server (en tant que VM) tout en prenant en charge Radius et DNS ?

Complément : je dispose d'une licence Windows Server 2016 Datacenter légale. Elle couvrirait bien sûr tout cela si je faisais tout en VM. Un serveur correspondant coûte bien sûr.
Néanmoins une option ?

Pourquoi ne mets-tu pas la Fritte en mode bridge ou ne la remplaces-tu pas par un modem pur ? Ainsi, tu n'auras pas de double NAT.
Le DHCP dans le VLAN peut en fait être géré par n'importe quel routeur compatible VLAN.
Que veux-tu faire fonctionner sur la Synology ? Tu devrais retirer de la RAM. Ensuite, Windows tourne à peu près bien. Mais ce n'est pas pour des tâches gourmandes en calcul.
Radius et DNS peuvent être négligés. De toute façon, dans mon réseau domestique. Il n'y a pas beaucoup d'appareils, donc ce n'est pas une grosse charge.