Boas.
Tenho estado estas semanas a ler bastante sobre os eventuais perigos/limitações por ter todos os equipamentos ligados ao router do operador. (não sou obcecado em segurança).
Apesar de atualmente ainda estar com poucos equipamentos ligados ao HA a quantidade pode vir a aumentar:
- 1 shelly 2.5 para estores
- 1 shelly 1PM (estou à espera dos sensores de temperatura) para controlar painel solar;´
- 1 tp-link para controlar resistência do painel solar
(ainda estou no início)
Atualmente tenho o seguinte:
Router MEO modelo GR241AG - (200/100 de velocidade) com o seguinte ligado ao mesmo:
- Porta 1 e porta 2: NAS Qnap TS-251A (o NAS tem duas portas de rede). É aqui que corro o HA em ubuntu server via Hassio.
- Porta 3 - TV android
- Porta 4 - cabo de rede que liga a um Switch que está dentro da caixa de ATI (dos mais básicos e com muitos anos). Este switch permite ter rede na casa toda (claro com fraca qualidade). Apenas tenho ligado um AP no 1º andar (router antigo belkin que está com o cabo de rede numa porta LAN - serve para desenrascar) o que dá 25 mbps, mais coisa menos coisa, quando testo a velocidade no telemóvel.
- Wifi do router MEO: box da meo + telemóveis + shellys e tomadas wifi.
Nota: apesar desta configuração não tenho falhas de rede. Tudo funciona (relativamente rápido). A única excepção é quando estou no 1º andar ligado ao belkin com o telemóvel a exigir muito, mas mesmo isso tem dado para navegar na net.
meu objetivo tentar ter mais segurança, uma vez que todos os equipamento estão a obter acesso total à rede.
Estive a recolher algumas ideias e a opção de VLANs com uma firewall será uma forma de obter mais segurança.
Penso que para o meu tipo de utilização basta o seguinte:
- colocar router da MEO a servir a BOX directamente (por cabo ou wifi) e em bridge;
- novo router com capacidade VLAN e firewall ligado à porta 4 do da MEO (questão: considerando que a porta 4 do GR241AG da MEO tem apenas 100mbps full duplex, não fico limitado a 100 mbps, independentemente se intalar router gigabit?);
- VLAN para servidor QNAP (ligado por cabo) + telemóveis e PC portátil (ambos ligados por wifi).
- VLAN para IoT.
Para a distribuição da net vou ter a curto prazo as seguintes necessidades:
- router;
- AP wifi (com capacidade de VLAN) para piso 0 (actualmente o da MEO é suficiente para enviar sinal para a cave.
- AP wifi (com capacidade VLAN) para piso 1;
- switch layer 2 (dependendo do número de portas do router posso eventualmente adiar a compra).
Da minha analise ao que li, uma opção era: USG (controller a correr no addon do Hassio) + switch layer 2 de 8 portas + 2 ou 3 APs tudo da unifi. Problema: elevado custo para implementar isto. 
As minhas questões e dúvidas são as seguintes:
1 - Pelo que li, dos equipamentos mais utilizados para gerir isto é o USG e respetivos APs (necessito de pelo menos 2). No entanto o preço é bastante elevado, principalmente os APs. Conhecem alguma alterativa mais barata que consiga ter VLANs com wifi?
2 - Estive a estudar a hipótese do pfsense a correr no NAS . No entanto tenho duvidas se será a melhor opção. Vou necessitar sempre de switch e AP wifi nesta solução.
3 - Estive a ler também sobre softwares como dd-wrt ou open-wrt. A minha maior questão é mesmo os AP. Até tenho um asus antigo (WL-500gp v2)com dd-wrt em que posso fazer uns testes engraçados com VLANs e outras opções…
Sei que existem outros tópicos com semelhanças, no entanto como a minha grande limitação é €€€, penso que o meu objetivo será ter feedback de alterativas com menos custo.
Qualquer sugestão é bem vinda.
Não sou entendido em redes (apenas leio alguma coisa).
