独栋住宅中的安全高档网络

好的，简短说明：

是的，你可以。

其实基本上都行。如果你的设备支持802.1x，那是“好的”。如果它只有一个MAC地址，那就是“不太好”。

一般来说，我建议现实地考虑这些攻击场景。通过VLAN，你可以先把户外端口和其余网络隔离开。然后还剩下一些特定路由，例如通往互联网。然后呢？你的访客可以上网。但要为了这个做这么多努力，当邻居那边每隔一两个WLAN都没啥安全措施时？那倒不如担心有人趁机偷你接入点或者Gardena网关。

这些都是正确且清楚的。
我只是想知道是否还能解决，因为我不知道有别的方法。我关心的不是攻击场景的概率，而是可行性。
我得出的结论是，这显然不是一个有效可行的方案。

你看过Fing-Box吗？……这样一来，当插入新设备时你至少有一个概览。

要知道是否有新设备注册，不需要额外的盒子。这本来就是系统中的一个瓶颈……

根据所使用的交换机、防火墙和AP不同，可能可行的方法有：
例如，外部使用FortiGate防火墙和FortiAP：
- 在接入点的端口上禁用DHCP，设置独立的VLAN（外部）。
- 设置802.1x服务器，并通过其对AP和客户端进行认证。
- 在接入点为客户端启用DHCP，并将FortiGate设置为网关和DNS，当然需要在FortiGate上配置相应的路由。
这样，只有通过成功的802.1x认证的客户端能从接入点获取IP地址；如果接入点不在，该端口将不再提供DHCP服务，攻击者必须尝试地址范围、了解VLAN并知道802.1x凭证。通过额外的VPN可以进一步提高安全性。
在另一个端口上连接你的Gardena网关，执行MAB和ACL，这意味着即使发生MAC欺骗，攻击者也只有在使用相同的源IP、目标IP和Gardena网关端口的情况下才能继续访问。换句话说，他最多只能访问Gardena服务。

我会这样做。

为了再次提起这个话题……
有人能推荐一款可以将DHCP引入VLAN的路由器吗？
补充一下，目前由一台Fritte负责网络接入，如果将它与路由器结合使用，会出现双重NAT。如果VPN等不重要，这真的有问题吗？VoIP方面情况如何？
另外，我考虑用一台NAS替代我那台24/7运行在台式机上的Windows 2016服务器。我看中了Synology DS920+。
有人能评估一下，这台设备是否足够替代少量的Windows服务器服务（作为虚拟机），同时承担Radius和DNS功能吗？

补充说明：我有一张合法的Windows Server 2016 Datacenter许可。如果我全部做成虚拟机，许可当然可以覆盖所有功能。相应的服务器当然也需要花费。
这仍然是一个选项吗？

为什么你不把Fritte设成桥接模式，或者用一个纯调制解调器替代它？这样就没有双重NAT了。
VLAN中的DHCP其实任何支持VLAN的路由器都可以做。
你想在Synology上运行什么？你应该拆下内存条。这样Windows才能勉强运行，但不适合计算密集型的任务。
Radius和DNS可以忽略。反正是在我的家庭网络中。设备不多，所以负载不大。