πŸ’» Tecnologia

VLAN in casa: segmentare la rete per sicurezza e performance

Le VLAN non sono solo per le aziende. Scopri come segmentare la rete di casa per isolare i dispositivi IoT, migliorare la sicurezza e ottimizzare il traffico.

Team Tecnico Velix17 maggio 20267 min di lettura
πŸ’»

Con 10-20 dispositivi connessi in casa β€” smartphone, TV, tablet, smart speaker, frigorifero connesso, telecamere IP β€” mettere tutto sulla stessa rete diventa un rischio di sicurezza. La soluzione professionale si chiama VLAN.

Cos'Γ¨ una VLAN

VLAN (Virtual Local Area Network) Γ¨ una rete logica separata che esiste sopra la stessa infrastruttura fisica. In pratica puoi avere 3-4 reti distinte usando lo stesso router e gli stessi cavi, come se fossero router completamente separati.

I vantaggi principali:

  • Isolamento: un dispositivo IoT compromesso non puΓ² raggiungere il PC con i dati bancari
  • Segmentazione del traffico: traffico broadcast ridotto, performance migliori
  • Controllo granulare: regole di firewall diverse per ogni segmento
  • Ospiti: rete separata per chi viene a casa, senza accesso alla rete principale

Architettura tipica per casa

Una segmentazione efficace per uso domestico prevede 3-4 VLAN:

VLAN 10 β€” Trusted (LAN principale)

PC, laptop, NAS, smartphone di famiglia. Accesso completo a Internet e agli altri dispositivi.

VLAN 20 β€” IoT

Smart TV, telecamere IP, termostati, smart speaker, elettrodomestici connessi. Solo accesso Internet in uscita, bloccato l'accesso alle VLAN trusted.

VLAN 30 β€” Guest

Rete per ospiti. Solo Internet, no accesso alle reti interne. Bandwidth limitata opzionalmente.

VLAN 40 β€” Management (opzionale)

Router, switch, access point. Accessibile solo dall'admin.

Cosa serve per le VLAN

Router con supporto VLAN: MikroTik, pfSense, OPNsense, Fritz!Box (parziale), ASUS con Merlin. I router degli operatori di solito non supportano VLAN custom.

Switch managed: se hai dispositivi cablati su piΓΉ VLAN, lo switch deve supportare il 802.1Q tagging. Gli switch economici non-managed non supportano VLAN.

Access point con supporto multi-SSID: per avere WiFi separato per ogni VLAN. La maggior parte degli AP moderni (Ubiquiti, TP-Link EAP, Zyxel) supporta fino a 8 SSID distinti, ognuno su una VLAN diversa.

Configurazione base su MikroTik

# Crea le VLAN sul bridge
/interface vlan
add interface=bridge name=vlan10 vlan-id=10
add interface=bridge name=vlan20 vlan-id=20
add interface=bridge name=vlan30 vlan-id=30

# Assegna indirizzi IP
/ip address
add address=192.168.10.1/24 interface=vlan10
add address=192.168.20.1/24 interface=vlan20
add address=192.168.30.1/24 interface=vlan30

# DHCP server per ogni VLAN
/ip pool
add name=pool-trusted ranges=192.168.10.100-192.168.10.200
add name=pool-iot ranges=192.168.20.100-192.168.20.200
add name=pool-guest ranges=192.168.30.100-192.168.30.200

# Regola firewall: IoT non puΓ² raggiungere Trusted
/ip firewall filter
add chain=forward in-interface=vlan20 out-interface=vlan10 action=drop comment="IoT -> Trusted: BLOCCA"

DNS locale per VLAN

Con Unbound o dnsmasq puoi dare risposte DNS diverse per VLAN. Ad esempio, i dispositivi IoT non ricevono i nomi dei server interni.

Vale la pena per casa?

Se hai meno di 10 dispositivi tutti fidati: probabilmente no. Ma se hai telecamere IP, smart speaker o elettrodomestici connessi, la risposta è sì — i dispositivi IoT sono notoriamente vulnerabili e aggiornati poco.

Un attaccante che compromette una smart TV puΓ² muoversi lateralmente sulla rete se tutto Γ¨ piatto. Con le VLAN, rimane bloccato nel segmento IoT.

Vuoi portare Velix a casa tua?

Verifica la copertura FTTH al tuo indirizzo in 30 secondi. Gratis, senza impegno.

Verifica copertura β†’
← Torna al blog