Rete Domestica Avanzata: VLAN, pfSense e Sicurezza con Budget Limitato

La rete domestica che protegge davvero i vostri dispositivi

La rete domestica media è un piatto unico dove smartphone, smart TV, telecamere IP, PC di lavoro e dispositivi IoT condividono lo stesso segmento di rete. Un dispositivo compromesso ha accesso a tutto il resto. Nel laboratorio ho segmentato la rete con VLAN e pfSense — vi mostro come fare con meno di 200€.

Cosa sono le VLAN e perché servono

Una VLAN (Virtual LAN) crea reti logicamente separate sulla stessa infrastruttura fisica. Invece di avere tutto su 192.168.1.x, dividete:

• VLAN 10 (Trusted): PC, laptop, NAS
• VLAN 20 (IoT): smart TV, telecamere, assistenti vocali
• VLAN 30 (Guest): WiFi ospiti
• VLAN 40 (Work): dispositivi aziendali con VPN)

Un dispositivo IoT compromesso nella VLAN 20 non può comunicare con il NAS nella VLAN 10 a meno che non passiate attraverso il firewall (pfSense) che decide cosa permettere.

L’hardware necessario

Router/Firewall: pfSense su mini PC — 170-230€

• Beelink EQ12 (Intel N100, 8GB RAM, 256GB SSD): 169€ — perfetto per pfSense
• Alternativa: PC mini Topton con 2x 2.5G LAN nativa: 189€

pfSense CE è gratuito. Se volete il supporto commerciale: OPNsense (fork gratuito di pfSense con interfaccia più moderna) è eccellente.

Switch gestito (VLAN-aware) — 80-120€

• Netgear GS308E (8 porte, 2.5G, VLAN 802.1Q): 79€
• TP-Link TL-SG2008P (8 porte PoE, gestito): 89€
• Cisco SG350-10 (10 porte, enterprise-grade, ricondizionato): 110€

Access Point WiFi con VLAN — 80-150€

• TP-Link EAP670 (WiFi 6, VLAN per SSID): 89€ — raccomandato
• Ubiquiti UniFi U6 Lite: 109€ — ecosistema più completo ma richiede controller software

Installazione pfSense

1. Scaricate pfSense CE ISO dal sito ufficiale
2. Create USB avviabile con Rufus
3. Installate sul mini PC (process 15 min)
4. Configurate WAN (porta verso modem ISP) e LAN (porta verso switch)
5. Accedete all’interfaccia web: 192.168.1.1

Configurazione VLAN in pfSense

1. Interfaces → VLANs → Add: create VLAN 10, 20, 30 sulla porta LAN fisica
2. Interfaces → Assignments: assegnate ogni VLAN a un’interfaccia logica
3. Configurate DHCP Server per ogni interfaccia (range IP distinti)
4. Firewall → Rules: impostate le regole di comunicazione tra VLAN

Regole firewall essenziali:

• VLAN IoT → Internet: permesso (i dispositivi devono aggiornare il firmware)
• VLAN IoT → VLAN Trusted: BLOCCATO (isolamento completo)
• VLAN Guest → Internet: permesso
• VLAN Guest → qualsiasi rete interna: BLOCCATO
• VLAN Trusted → tutto: permesso (i vostri PC devono poter comunicare ovunque)

Configurazione Access Point con SSID multipli

Con TP-Link EAP670 e Omada Software Controller (gratuito, installabile su qualsiasi PC/Raspberry Pi):

1. Create 3 SSID: “Casa”, “IoT”, “Ospiti”
2. Assegnate ogni SSID alla VLAN corrispondente (VLAN ID nel campo “VLAN”)
3. Sul switch gestito: configurate il trunk port verso l’AP come tagged per tutte le VLAN

I vantaggi concreti

Dopo 6 mesi con questa configurazione nel laboratorio:

• Un tentativo di comunicazione sospetta dalla telecamera IP verso altri dispositivi: bloccato dal firewall senza impatto
• Guest WiFi completamente isolato: gli ospiti accedono a Internet ma non possono vedere nulla della rete interna
• Raspberry Pi media server raggiungibile da VLAN Trusted ma non da IoT o Guest

Il costo totale (pfSense su mini PC + switch + AP): 337€. Una segmentazione di rete enterprise a costo homelab.