IoT VLAN / külön SSID – minimál beállítás

Az IoT eszközeid és a banki jelszavaid ne legyenek ugyanazon a hálózaton. Így szeparáld, még ha nem is vagy hálózati mérnök.

📖 12 perc olvasás 📅 2025 június 🏷️ Hálózat

Miért szeparáljuk az IoT-t?

Az okosotthon-eszközök döntő többsége – különösen a kínai gyártók termékei – minimális biztonsági szinttel rendelkezik. Sok eszköznek nincs titkosított kommunikációja, nincs firmware-frissítés, sőt néhány nyitott portokkal háttér-kommunikációt folytat szerverekkel, amikről te nem tudsz.

Ha ezek az eszközök ugyanazon a hálózaton vannak, mint a laptopod, a telefonod, és a NAS-od, egy kompromittált okos dugalj hozzáférhet a belső hálózatod összes eszközéhez.

Szint 1: Külön SSID (legegyszerűbb)

Ha a routered támogatja a Guest Network / vendég hálózat funkciót (a legtöbb modern router igen), ez a legegyszerűbb megoldás:

1. Hozz létre egy vendég Wi-Fi hálózatot, pl. OtthonIoT néven, saját jelszóval.

2. Az IoT eszközöket erre a hálózatra csatlakoztasd.

3. A vendég hálózat általában izolált – a rajta lévő eszközök nem látják a fő hálózat eszközeit.

Korlátja: A Home Assistantnek látnia kell az IoT eszközöket. Ha a HA a fő hálózaton van, és az IoT-k a vendég hálózaton, nem fognak kommunikálni. Megoldás: a HA-t is a vendég hálózatra tedd (nem ideális), vagy VLAN-t használj (Szint 2).

Szint 2: VLAN (haladó, de megéri)

A VLAN (Virtual LAN) egy virtuális hálózat, ami fizikailag ugyanazon a kábelen/routeren megy, de logikailag elkülönül. Ehhez VLAN-képes router/switch kell (pl. Ubiquiti, MikroTik, TP-Link Omada, pfSense/OPNsense).

Tipikus felépítés

VLAN 1 (alapértelmezett) – 192.168.1.0/24
  → Laptopok, telefonok, NAS, szerver

VLAN 10 (IoT) – 192.168.10.0/24
  → Shelly, Tuya, kamerák, okos izzók

VLAN 20 (Szerver/Infra) – 192.168.20.0/24
  → Home Assistant, Proxmox, Docker host

Tűzfal szabályok:
  VLAN 1 → VLAN 10: engedélyezve (menedzsment)
  VLAN 10 → VLAN 1: TILTVA (IoT nem lát személyes eszközöket)
  VLAN 10 → Internet: korlátozva (csak szükséges portok)
  VLAN 20 → VLAN 10: engedélyezve (HA eléri az IoT-kat)
⚠️ mDNS / Bonjour
Sok IoT eszköz mDNS-t (Bonjour) használ a felfedezéshez. Az mDNS alapértelmezetten nem megy VLAN-ok között. Megoldás: mDNS reflector/proxy beállítása a routeren, vagy az Avahi addon használata a HA-ban.

Szint 3: Tűzfal szabályok finomhangolása

Ha igazán paranoiás vagy (és kellene lenned), az IoT VLAN internet-hozzáférését is korlátozhatod:

DNS-only: Az IoT eszközök csak DNS kéréseket küldhetnek (port 53) – és az is a te DNS szerveredre (Pi-hole) menjen, nem a Google-re.

NTP engedélyezés: Port 123 (időszinkron) – sok eszköz nem működik pontos idő nélkül.

MQTT ha kell: Ha az IoT-k MQTT-n beszélnek a HA-val, engedélyezd a port 1883-at a HA felé.

Minden más: TILTVA. Ha egy eszköznek nincs szüksége internetre (pl. Zigbee/Z-Wave eszközök – azok amúgy sem Wi-Fi-sek), ne adj neki.

💡 Pragmatikus megközelítés
Ha nincs VLAN-képes routered és nem akarod lecserélni: a vendég hálózat + a Zigbee/Z-Wave eszközök használata (amik nem Wi-Fi-n mennek) már önmagában sokat jelent. A legtöbb biztonsági probléma a Wi-Fi IoT eszközöknél van, nem a Zigbee-nél.