Jak zabezpieczyć domową sieć: segmentacja, VLAN i oddzielna sieć dla IoT bez drogiego sprzętu

Przez
Agnieszka Urbański
-
0
13
Rate this post

Z tego artykułu dowiesz się:

Dlaczego jedna wspólna sieć w domu to proszenie się o kłopoty

Krótka scenka otwarcia: żarówka jako brama do wszystkiego

Wieczorem w salonie świeci nowa „inteligentna” żarówka, telewizor ma Netflixa, dzieci grają na konsoli, a w tle synchronizuje się domowy NAS z kopiami dokumentów. Wydaje się, że wszystko działa jak trzeba, dopóki ktoś nie instaluje „darmowej” aplikacji z mało znanego sklepu, żeby sterować kolejnym urządzeniem IoT – od tego momentu laptop zaczyna zwalniać, dysk mieli bez przerwy, a w logach routera pojawiają się dziwne połączenia do egzotycznych krajów.

Typowy układ w mieszkaniu lub domu wygląda bardzo podobnie: jeden router od operatora, jedna sieć Wi‑Fi z jednym hasłem, wszystkie urządzenia – laptopy, telefony, telewizor, kamery, żarówki, głośniki, drukarki – w jednej podsieci. To wygodne: jedno hasło, wszystko się „widzi”, łatwo wysłać obraz z telefonu na TV, wydrukować z dowolnego laptopa czy połączyć się z NAS-em. Problem w tym, że gdy jedno urządzenie zostanie zainfekowane lub przejęte, ma bezpośredni dostęp do całej reszty.

Malware na zainfekowanym laptopie może skanować sieć lokalną, szukając podatnych telewizorów, drukarek i NAS-ów. Zhakowana kamera IP może próbować logować się do panelu routera, a dziurawa żarówka – wysyłać dane o ruchu sieciowym i próbach logowania. To wszystko dzieje się w tle, bo z punktu widzenia użytkownika „internet przecież działa”.

Różnica między stwierdzeniami „mam internet” a „moja sieć jest względnie bezpieczna” jest ogromna. Dostęp do internetu zapewnia operator. Bezpieczeństwo sieci domowej zależy od tego, jak jest ona zorganizowana, jakie segmenty w niej istnieją i jak ze sobą rozmawiają. Z punktu widzenia atakującego idealna jest sytuacja, gdy każde urządzenie widzi każde, a sieć nie jest w żaden sposób podzielona.

Urządzenia IoT – telewizory, kamery IP, odkurzacze, żarówki, głośniki, bramki do smart home – są znacznie gorzej zabezpieczone niż telefony czy laptopy. Rzadko dostają aktualizacje, mają słabe lub domyślne hasła, często wystawiają niepotrzebne usługi w sieci lokalnej. Dla wielu producentów priorytetem jest szybkie wprowadzenie produktu na rynek, a nie solidna architektura bezpieczeństwa. Dlatego sensowne jest założenie, że każde takie urządzenie może kiedyś zostać przejęte i użyte jako punkt wejścia do twojej sieci.

Segmentacja sieci i wydzielenie osobnej sieci dla IoT nie sprawią, że sprzęt przestanie mieć podatności, ale znacząco ograniczają szkody. Zhakowana żarówka przestaje widzieć NAS-a i laptopa, a jedyne, co może zrobić, to próbować komunikować się przez ściśle kontrolowaną bramę, najczęściej tylko do internetu, bez możliwości „chodzenia” po innych urządzeniach w domu.

Podstawy, które trzeba złapać: jak w ogóle działa domowa sieć

Co to jest router, NAT i podsieć w praktyce domowej

Router domowy to urządzenie, które łączy twoją sieć lokalną z internetem. Od strony operatora ma jeden adres IP widoczny w sieci globalnej, a od strony domu zarządza całą twoją małą, prywatną siecią. Działa jak tłumacz: ruch z wielu urządzeń w domu przepuszcza przez jeden publiczny adres IP.

Mechanizm, który to umożliwia, to NAT (Network Address Translation). W praktyce działa to tak, że twoje urządzenia dostają prywatne adresy IP (z zakresu np. 192.168.x.x lub 10.x.x.x), niewidoczne bezpośrednio z internetu. Router zamienia je na jeden publiczny adres IP, który przydzielił operator, i prowadzi tabelę, który pakiet należy do którego urządzenia.

Adresy prywatne (np. 192.168.0.10, 192.168.0.11) funkcjonują tylko w twojej domowej sieci. Internet ich nie „zna”. NAT jest więc pierwszą warstwą ochrony – z zewnątrz nikt bezpośrednio nie wywoła twojego odkurzacza czy telefonu, o ile sam nie wystawisz portu na routerze (tzw. przekierowanie portów, port forwarding) lub nie korzystasz z funkcji typu UPnP, która czasem robi to za ciebie.

Podsieć (subnet) to po prostu logiczny fragment sieci, w ramach którego urządzenia mogą komunikować się bez pośredników. Typowy domowy router konfiguruje jedną podsieć, np. 192.168.0.0/24, czyli adresy 192.168.0.1–192.168.0.254, gdzie brama domyślna (router) ma zwykle adres 192.168.0.1. Wszystkie urządzenia z tej podsieci „widzą się”, mogą się wzajemnie wykrywać, skanować, wysyłać do siebie pakiety.

Jeśli chcesz wprowadzić segmentację, de facto wprowadzasz więcej niż jedną podsieć i kontrolujesz, jak pakiety między tymi podsieciami mogą się poruszać. To jest fundament VLAN-ów i logicznego podziału sieci.

IP, DHCP, brama domyślna i DNS po ludzku

Każde urządzenie w sieci musi mieć adres IP, maskę podsieci, bramę domyślną i serwer DNS. Na szczęście większością z tych rzeczy zarządza za ciebie DHCP – usługa, którą uruchamia router domowy. Gdy telefon łączy się z Wi‑Fi, pyta: „kto ma serwer DHCP?”, a router odpowiada, przydzielając adres IP i podając parametry sieci.

Brama domyślna (default gateway) to adres IP routera w danej podsieci, np. 192.168.0.1. Gdy urządzenie chce wysłać coś do innej podsieci lub do internetu, wysyła to do bramy domyślnej. Router decyduje, gdzie to dalej przekazać.

DNS (Domain Name System) tłumaczy adresy typu example.com na adresy IP. To ważne również dla bezpieczeństwa, bo wybór serwera DNS może wprowadzić dodatkowe filtry, np. blokowanie znanych domen z malware, phishingiem czy reklamami. Można ustawić na routerze serwery typu:

  • DNS operatora – domyślne, bez filtrów (lub z podstawowymi),
  • publiczne DNS (np. Cloudflare, Google, Quad9),
  • lokalne rozwiązanie filtrujące reklamy i śledzenie (np. Pi-hole na Raspberry Pi lub dockerze).

Gdy mówimy o segmentacji, bardzo często oznacza to posiadanie kilku serwerów DHCP – po jednym na segment/podsieć, albo jednego serwera DHCP świadomie skonfigurowanego, aby obsługiwał różne zakresy adresów w różnych VLAN-ach. Każda z tych podsieci może mieć inne serwery DNS, inne zasady dostępu do internetu i inne reguły firewall.

Co oznacza „są w tej samej sieci” i czym jest segmentacja

Gdy urządzenia są „w tej samej sieci”, oznacza to, że są w tej samej podsieci IP i w tym samym broadcast domain. W praktyce: mogą wysyłać do siebie pakiety bez udziału routera (przełącznik/switch po prostu je przekazuje), słyszą nawzajem swoje zapytania rozgłoszeniowe (broadcast) typu „kto ma ten adres IP, kto ma ten adres MAC, czy jest tu jakaś drukarka, serwer DLNA, urządzenie AirPlay?”.

Segmentacja sieci polega na rozbiciu jednego dużego broadcast domain na kilka mniejszych. Zamiast „całe mieszkanie w jednej podsieci 192.168.0.0/24” tworzysz np.:

  • 192.168.10.0/24 – sieć główna (domownicy, komputery, telefony),
  • 192.168.20.0/24 – sieć IoT (TV, kamery, żarówki),
  • 192.168.30.0/24 – sieć gości (telefony znajomych, gości),
  • 192.168.40.0/24 – sieć pracy zdalnej (laptop służbowy, VPN, drukarka służbowa).

Segmentacja może być realizowana fizycznie – różne routery, różne switche, osobne kable – lub logicznie, na jednym fizycznym sprzęcie, przy pomocy VLAN, izolacji klientów Wi‑Fi i sieci gościnnych. W domu dużo sensowniejsza jest segmentacja logiczna, bo nie wymaga przeciągania dodatkowych kabli przez ściany.

Znajomość tych kilku pojęć – podsieć, DHCP, brama domyślna, DNS, VLAN, segmentacja – radykalnie zmniejsza szanse popełnienia kłopotliwych błędów, jak np. podłączanie dwóch routerów w trybie „router za routerem” bez zrozumienia, co się dzieje z adresacją, albo konfigurowanie sieci gościnnej, która w praktyce widzi wszystko, bo jest tylko inną nazwą tego samego Wi‑Fi.

Smartfon i urządzenia smart home na różowym tle, bezpieczeństwo sieci domowej
Źródło: Pexels | Autor: Jakub Zerdzicki

Na czym polega segmentacja i VLAN: koncepcja bez żargonu

Segmentacja fizyczna a segmentacja logiczna

Segmentacja fizyczna to najbardziej intuicyjny sposób – każdy segment to inny fizyczny sprzęt. Możesz mieć osobny router dla IoT, osobny dla domowników i dodatkowy access point tylko dla gości. Każdy router tworzy własną podsieć. Rozwiązanie jest proste do zrozumienia, ale w praktyce bywa uciążliwe:

  • więcej urządzeń, większy bałagan kabli i zasilaczy,
  • trudniejsze zarządzanie (kilka paneli konfiguracyjnych),
  • trudniej kontrolować ruch między sieciami, jeśli nie potrafisz pisać reguł firewall na każdym z nich,
  • często pojawia się tzw. double NAT (NAT za NAT-em), co komplikuje część usług i VPN.

Segmentacja logiczna rozwiązuje te problemy przez zastosowanie wirtualnych podziałów wewnątrz jednego (lub kilku) urządzeń. W praktyce oznacza to tworzenie wielu VLAN-ów na jednym routerze/switchu i przypisywanie do nich portów kablowych oraz sieci Wi‑Fi. Jeden kabel może przenosić kilka wirtualnych sieci naraz, a to, co dzieje się między nimi, kontroluje router i firewall.

W domowych warunkach segmentacja logiczna może przybrać formę:

  • osobnych SSID (nazw sieci Wi‑Fi) dla domowników, IoT i gości,
  • sieci gościnnej z izolacją klientów (AP isolation / client isolation),
  • VLAN-ów skonfigurowanych na routerze i ewentualnym przełączniku,
  • oddzielenia sieci pracy (VPN, laptop służbowy) od reszty ruchu domowego.

Przewaga takiego podejścia jest ogromna: możesz mieć centralne miejsce (router z sensownym firmware), gdzie definicje VLAN-ów, podsieci i reguł firewall są poukładane, a reszta infrastruktury to tylko „przedłużenie” tej logiki (switche, punkty dostępowe).

VLAN w praktyce domowej: kilka sieci na jednym kablu

VLAN (Virtual Local Area Network) to sposób na stworzenie kilku wirtualnych sieci w ramach jednego fizycznego sprzętu i jednego okablowania. Każdy VLAN ma swój identyfikator (ID), np.:

  • VLAN 10 – sieć główna,
  • VLAN 20 – sieć IoT,
  • VLAN 30 – sieć gościnna,
  • VLAN 40 – sieć pracy.

Gdy mówimy o tagowaniu VLAN (802.1Q), chodzi o to, że do każdego pakietu Ethernet dodawana jest informacja, do którego VLAN-u należy. Router i przełączniki rozumieją ten znacznik i wiedzą, który port jest przynależny do jakiego VLAN-u. W praktyce istnieją dwa podstawowe typy portów:

  • Access port – należy do jednego VLAN-u, bez tagowania, przeznaczony do podłączania końcowych urządzeń (komputer, TV, prosty AP),
  • Trunk port – przenosi wiele VLAN-ów naraz (pakiety są tagowane), przeznaczony do połączeń między routerem a przełącznikami, między routerem a zaawansowanym punktem dostępowym itp.

W domowych warunkach często wystarczy jeden router z obsługą VLAN-ów i prosty switch z obsługą 802.1Q (czasem nawet tani model „smart switch”), aby:

  • przypisać jeden port LAN jako „tylko VLAN IoT” (access port VLAN 20),
  • inny port LAN jako „tylko sieć główna” (access port VLAN 10),
  • jeden port LAN jako trunk, na którym idą wszystkie VLAN-y do punktu dostępowego Wi‑Fi, który tworzy kilka SSID, każde przydzielone do innego VLAN-u.

Niektóre lepsze routery domowe (z OpenWrt, MikroTiki, Ubiquiti, Asus z Merlinem i podobne) pozwalają skonfigurować VLAN-y nawet bez dodatkowych switchy, bo mają wbudowany przełącznik z obsługą 802.1Q. Wtedy do jednego portu LAN podpinasz „świat IoT”, do innego „świat domowników”, a trzeci jest trunk do AP.

Dlaczego segmentacja zwiększa bezpieczeństwo i wygodę

Najważniejszy efekt segmentacji to ograniczenie tzw. lateral movement – ruchu bocznego w sieci. Gdy atakujący przejmie jedno urządzenie, musi mieć możliwość skanowania i atakowania reszty sieci, żeby się dalej rozprzestrzenić. Jeżeli jednak przejęte urządzenie znajduje się w wydzielonym VLAN-ie IoT, a firewall pozwala mu tylko na połączenia wychodzące do internetu na kilku portach, scenariusz ataku gwałtownie się komplikuje.

Przykładowy podział segmentów w domu może wyglądać tak:

  • Sieć główna (LAN) – komputery, telefony, NAS, drukarki, konsole, tylko zaufane urządzenia użytkowników,
  • Sieć IoT – wszystko, co „inteligentne” i potencjalnie słabiej zabezpieczone: TV, kamery, odkurzacze, żarówki, głośniki, bramki Zigbee/Z-Wave,
  • Sieć gości – smartfony i laptopy gości, dzieci znajomych, sprzęty, nad którymi nie masz pełnej kontroli,

    • Jak (nie) łączyć segmenty: typowe błędy, które psują izolację

    Ktoś robi trzy sieci Wi‑Fi, nadaje im poważne nazwy w stylu HOME, HOME-IOT, HOME-GUEST, a potem dziwi się, że telewizor z „izolowanego” IoT dalej widzi domowy NAS. Na pierwszy rzut oka wszystko wygląda profesjonalnie, tylko że technicznie to wciąż jedna podsieć i jedno broadcast domain. Efekt: pozory bezpieczeństwa zamiast realnej separacji.

    Najczęstszy problem to segmentacja „na nazwy” zamiast na podsieci i reguły. Sam inny SSID niczego nie załatwia, jeśli router traktuje wszystkie sieci Wi‑Fi jako ten sam VLAN / tę samą sieć LAN. To tak, jakbyś w jednym pokoju rozstawił trzy stoliki i nazwał je „strefa cicha”, „strefa głośna” i „strefa VIP” – ludzie i tak siedzą w tym samym pomieszczeniu i słyszą wszystko nawzajem.

    Drugi klasyk to mostkowanie „dla wygody”. Przykłady:

  • włączenie opcji typu „Allow guests to access local network” w panelu routera, żeby „drukarka działała też z sieci gościnnej”,
  • spięcie portu z VLAN IoT z portem sieci głównej prostym switchem bez VLAN-ów „bo zabrakło gniazdek w ścianie”,
  • podpięcie access pointa, który nie rozumie VLAN-ów, do portu trunkowego bez konfiguracji – AP zdejmuje tagi i wszystko ląduje w jednym worku.

Trzecia pułapka to „sprytne” funkcje producentów. Mesh, integracje smart home, zarządzanie z chmury – często odbywa się to poprzez automatyczne mostkowanie segmentów lub tworzenie ukrytych sieci do komunikacji między urządzeniami. Wiele tanich routerów ma np. „sieć gościnną”, która de facto ma tylko osobny SSID, ale stoi w tej samej podsieci IP, a izolacja klientów jest wyłączona.

Szybki test: jeśli podłączysz laptopa do sieci gościnnej i możesz:

  • zobaczyć panel routera pod domyślnym adresem (np. 192.168.0.1),
  • odnaleźć w sieci telewizor lub NAS po funkcjach typu DLNA, AirPlay, SMB,
  • spingować (polecenie ping) adres innego urządzenia z sieci głównej,

to segmentacja jest tylko z nazwy. Wtedy nawet najlepiej rozrysowany diagram VLAN-ów na kartce nie zmienia faktu, że atakujący z sieci „gości” ma dość swobodny dostęp do reszty.

Kluczowy wniosek: silna segmentacja = osobne podsieci + świadome reguły firewall. SSID, kolory kabli czy nazwy VLAN-ów to tylko etykiety. O tym, czy sieci są odseparowane, decyduje adresacja IP i to, co router pozwala między nimi przepuścić.

Jak ma wyglądać ruch między segmentami: praktyczne scenariusze

Wyobraź sobie cztery „światy”: domowy, IoT, goście i praca. Każdy ma swoje potrzeby, ale nie wszystkie muszą się ze sobą widzieć. Zamiast wymyślnych schematów lepiej spisać, kto z kim i w jakim kierunku ma rozmawiać, a potem przełożyć to na reguły firewall.

Przykładowy, rozsądny model:

  • LAN (domowy):
    • pełny dostęp do internetu,
    • dostęp DO sieci IoT (np. aplikacje na telefonie sterują TV, odkurzaczem, bramką Zigbee),
    • brak lub bardzo ograniczony dostęp Z sieci IoT do LAN (tylko połączenia zainicjowane z LAN lub konkretne porty).
  • IoT:
    • ograniczony dostęp do internetu (np. tylko HTTP/HTTPS, blokady do krajów wysokiego ryzyka, brak portów przychodzących),
    • brak dostępu do sieci gości i pracy,
    • opcjonalnie: brak dostępu do panelu routera i NAS.
  • Goście:
    • dostęp wyłącznie do internetu,
    • brak dostępu do LAN, IoT, panelu routera, NAS, drukarek,
    • włączona izolacja klientów w obrębie sieci Wi‑Fi (klient nie widzi innego klienta).
  • Praca:
    • pełny dostęp do internetu i VPN do firmy,
    • opcjonalny, ściśle ograniczony dostęp do wybranych urządzeń w LAN (np. tylko drukarka, tylko NAS jako backup),
    • brak dostępu do IoT i sieci gości.

Przekładając to na prostą zasadę: główna sieć „widzi” inne segmenty, ale żaden z „gorszych” segmentów nie ma swobodnego wejścia w górę. IoT, goście i praca nie powinny mieć startu do routera admina, NAS z danymi czy komputerów domowników, chyba że w bardzo konkretny, przemyślany sposób (np. tylko drukarka przez jeden port TCP).

W praktyce wiele nowoczesnych routerów ma kreatory typu „sieć gościnna” albo „guest VLAN”. Dobrze skonfigurowane powinny domyślnie blokować ruch do LAN i pozwalać tylko na internet. Jeśli nie masz pewności – sprawdź to ręcznie, tak jak wyżej: ping, próba otwarcia panelu routera, skanowanie sieci prostym narzędziem w telefonie (np. Fing).

Przegląd tego, co zwykle już masz: ocena sprzętu i możliwości

Najczęstsze zestawy w domach: od „routera operatora” po małe laboratorium

W jednym mieszkaniu stoi jedynie białe pudełko od operatora, w innym – zestaw: modem operatora, za nim własny router, potem jeszcze mały switch i dwa punkty dostępowe. Od tego, co już masz, zależy, jak daleko da się dojść z segmentacją bez większych wydatków.

Najczęstszy stan na starcie:

  • Sam router od operatora, zwykle:
    • kilka portów LAN, jedno Wi‑Fi 2,4/5 GHz,
    • czasem opcja sieci gościnnej,
    • zazwyczaj brak zaawansowanej obsługi VLAN-ów dla użytkownika końcowego,
    • skromne możliwości firewall (proste włącz/wyłącz, ewentualnie DMZ, podstawowe przekierowania portów).
  • Router od operatora + własny router Wi‑Fi:
    • operatorowy w trybie routera (NAT, DHCP),
    • własny router podłączony „za nim”, często też w trybie routera (double NAT),
    • każdy ma swoje Wi‑Fi, ale sieci się mieszają, bo wszystko jest w jednym mieszkaniu i w praktyce w jednej przestrzeni adresowej lub w dwóch warstwach NAT.
  • Modem/ONT operatora w trybie bridge + własny router:
    • internet wpada „surowy” do twojego routera,
    • pełna kontrola nad adresacją, VLAN-ami, firewall.
  • Rozbudowany zestaw:
    • własny router (np. z OpenWrt, MikroTik, Ubiquiti, Asus z Merlinem),
    • jeden lub kilka switchy, czasem już „smart managed” z VLAN-ami,
    • dedykowane punkty dostępowe (UniFi, Omada, stare enterprise AP z drugiej ręki itp.).

Nie ma jednej „dobrej” konfiguracji dla wszystkich. Ważne jest, żeby świadomie ustalić, którą część sprzętu traktujesz jako „mózg” sieci (główny router z DHCP i firewall), a który sprzęt jest tylko przedłużeniem (bridgowane Wi‑Fi, switche, media konwertery).

Co potrafi twój obecny router: szybki audyt w pięciu krokach

Często wystarczy 10–15 minut w panelu routera, aby wiedzieć, gdzie jesteś i co możesz zrobić bez kupowania czegokolwiek. Dobrze jest przejrzeć kilka kluczowych sekcji.

  1. Tryb pracy urządzenia:
    • Sprawdź, czy router od operatora da się przełączyć w tryb bridge lub modem. Jeśli tak, twoim „głównym” routerem może stać się inne urządzenie – często dużo bardziej elastyczne.
    • Jeśli masz własny router za routerem operatora, zobacz, czy możesz przestawić go w tryb Access Point (tylko Wi‑Fi, bez NAT/DHCP) albo odwrotnie: operatora w bridge, a własny w główny router.
  2. Sieci Wi‑Fi i opcje „Guest / Gość”:
    • Sprawdź, czy możesz utworzyć osobny SSID dla gości, najlepiej z oddzielną podsiecią i opcją „isolate clients”/„AP isolation”.
    • Jeśli opcje są, ale niejasne – po włączeniu zrób test: czy klient z sieci gościnnej widzi router/NAS? Jeśli tak, szukaj opcji blokady dostępu do sieci lokalnej (czasem jest ukryta w zakładce bezpieczeństwa).
  3. Obsługa VLAN / multiple SSID / multiple subnet:
    • W tańszych routerach domowych zaawansowane VLAN-y bywają ukryte albo niedostępne. Szukaj słów-kluczy: „VLAN”, „802.1Q”, „Guest VLAN”, „Multiple SSID”, „Multi-AP”.
    • Niektóre urządzenia pozwalają mapować dodatkowe SSID na osobną podsieć bez jawnego użycia słowa „VLAN”. To nadal jest segmentacja, tylko opisana prostszym językiem marketingowym.
  4. Firewall / reguły dostępu:
    • Sprawdź, czy można definiować reguły typu „blokuj ruch z sieci X do sieci Y” albo „pozwól tylko na internet z tej sieci”. Czasem występuje to jako sekcja „Access Control”, „Parental Control” lub „LAN isolation”.
    • Jeśli firewall pozwala tylko na proste przekierowania portów – zaawansowana segmentacja może być trudna bez wymiany routera lub zmiany firmware.
  5. Aktualizacje i możliwość instalacji alternatywnego firmware:
    • Zobacz, czy twój model występuje na listach kompatybilności OpenWrt lub innych alternatywnych systemów. Czasem zwykły „marketowy” router po zmianie oprogramowania staje się bardzo elastycznym urządzeniem z pełnym wsparciem VLAN.
    • Same aktualizacje producenta też są istotne: urządzenie, które dawno nie dostało łatek, jest słabym kandydatem na centralny punkt bezpieczeństwa.

Po takim mini-audycie zwykle wychodzi na jaw, czy da się sensownie zbudować sieć IoT i gości wokół aktualnego sprzętu, czy jednak warto wprowadzić jedno, dwa strategiczne ulepszenia (np. przełączenie modemu w bridge i zakup jednego sensownego routera).

Scenariusz 1: tylko router operatora – co da się z niego wycisnąć

Część osób ma zakaz „grzebania” w sprzęcie operatora albo nie chce bawić się w wymianę routera. Nawet wtedy można poprawić sytuację, choć możliwości są ograniczone.

Typowe, wykonalne kroki:

  • Włączenie i właściwe ustawienie sieci gościnnej:
    • utworzenie sieci Wi‑Fi GUEST tylko dla gości, z hasłem innym niż dla sieci głównej,
    • sprawdzenie, czy jest opcja „goście tylko do internetu” / „blokuj dostęp do sieci lokalnej”; jeśli jest – włączyć,
    • przetestowanie izolacji klientów (czy urządzenia w sieci gości widzą się nawzajem).
  • Wyprowadzenie IoT do sieci gościnnej, jeśli:
    • nie ma osobnej opcji VLAN dla IoT,
    • a sieć gościnna rzeczywiście jest odseparowana od sieci głównej.

    Wtedy można wykorzystać paradoksalnie sieć „gościnną” jako pseudo-IoT: podłączasz tam TV, kamery, żarówki. Minusem bywa utrudnione sterowanie z sieci głównej, bo router może blokować ruch z „gości” do twoich telefonów/PC. Dla niektórych urządzeń wystarczą jednak chmury producenta (komunikacja przez internet), więc izolacja nie przeszkadza w zwykłym użytkowaniu.

  • Blokady DNS i proste filtry:
    • jeżeli router pozwala skonfigurować inne DNS dla sieci gościnnej, można tam ustawić serwery filtrujące (np. blokujące reklamy czy malware),
    • czasem jest możliwość włączenia prostego filtrowania treści lub harmonogramów dostępu dla wybranych urządzeń (lekkie ograniczenie szkód, gdy IoT zaczyna coś wysyłać w nocy).

Taki układ to nadal nie jest „idealnie odseparowane VLAN-owe królestwo”, ale w wielu mieszkaniach stanowi pierwszy, zauważalny krok naprzód: goście nie chodzą po twoim LAN, a najbardziej podejrzane urządzenia siedzą w mniej uprzywilejowanej sieci.

Scenariusz 2: router operatora + własny router – uporządkowanie bałaganu

Często ktoś dokłada „swój router, bo Wi‑Fi z operatora słabe”, ale podłącza go byle jak. Punkt dostępowy, router, extender, mesh – wszystko nadaje własne sieci, a ty już nie wiesz, do czego podłączony jest telewizor, a do czego drukarka. To dobry moment, by zrobić porządek i przy okazji wprowadzić segmentację.

Dwa główne modele:

  1. Router operatora w trybie bridge + własny router jako główny

Ustawienie routera operatora w bridge i przejęcie sterów

Typowy scenariusz wygląda tak: internet muli, ktoś z rodziny woła, że „znowu nie działa Wi‑Fi”, a ty logujesz się do panelu operatora i widzisz pięć zakładek na krzyż. Myśl: „po co ja mam ten drugi router w szafce, skoro on i tak robi tylko za drogi access point?”. To jest właśnie moment, żeby jeden raz zrobić porządek z rolami urządzeń.

Jeżeli operator na to pozwala, najczyściej jest zrobić z jego sprzętu zwykły „przedłużacz internetu”, a całą inteligencję sieci przenieść do własnego routera. W praktyce wygląda to tak:

  1. Ustalenie, czy możesz włączyć tryb bridge:
    • zajrzyj do panelu operatora: szukaj opcji typu „bridge mode”, „tryb modemu”, „wyłącz NAT”,
    • jeśli nic takiego nie ma – często jedyna droga to kontakt z infolinią i prośba o przełączenie urządzenia w tryb bridge lub o wydanie samego modemu/ONT.
  2. Fizyczne przepięcie:
    • port WAN twojego routera podłącz do portu LAN operatora oznaczonego jako internet/bridge (czasem to konkretny port),
    • wszystkie komputery, switche, access pointy przepnij do portów LAN własnego routera (nie do routera operatora).
  3. Konfiguracja „nowego mózgu” sieci:
    • na swoim routerze ustaw adresację LAN (np. 192.168.10.1/24),
    • włącz DHCP tylko na nim; w routerze operatora DHCP ma być wyłączone (w trybie bridge zwykle jest automatycznie wycięte),
    • skonfiguruj Wi‑Fi na własnym routerze jako główne sieci w domu, sieć z operatora możesz całkiem wyłączyć.
  4. Test dostępu:
    • sprawdź, czy urządzenia dostają IP z twojego routera (ipconfig / ifconfig / ustawienia sieci w telefonie),
    • upewnij się, że panel operatora nie jest już zwykłym „oknem na świat” z twojej sieci LAN – zwykle dostęp do niego masz albo z zewnątrz, albo z jednego, dedykowanego portu serwisowego.

Po takiej operacji jest jasne, kto wydaje adresy, gdzie siedzi firewall i gdzie w przyszłości robi się reguły segmentacji. Router operatora ogranicza się do roli modemu/ONT i przestaje mieszać w ruchu lokalnym.

Gdy trybu bridge nie ma: układ „router za routerem”, ale sensowny

Bywa, że operator twardo odmawia trybu bridge. Sprzęt ma robić NAT i koniec. To nie skreśla pomysłu segmentacji, tylko wymusza inne podejście: twoja sieć staje się „podbąblem” za siecią operatora.

Da się to ogarnąć w miarę czysto:

  • Operator jako „internetowa ściana”:
    • router operatora zostaje w trybie routera, ale traktujesz go jak odległy, obcy świat,
    • do jednego z jego portów LAN podłączasz port WAN swojego routera,
    • adresacja u operatora: np. 192.168.0.0/24, a adresacja u ciebie: np. 192.168.50.0/24 – dwie różne podsieci.
  • DMZ lub „wszystko do mojego routera”:
    • jeśli w panelu operatora jest opcja DMZ, ustaw tam adres IP twojego routera (ten, który dostał na WAN, np. 192.168.0.50),
    • dzięki temu cały ruch przychodzący z internetu trafia wprost do twojego routera, a ty możesz tam świadomie decydować o przekierowaniach portów czy VPN.
  • Wszystkie ważne urządzenia za twoim routerem:
    • PC, laptopy, NAS, IoT, AP – wszystko przepięte do twojego routera i jego switchy,
    • Wi‑Fi na routerze operatora wyłączone lub zostawione co najwyżej jako awaryjna sieć „na korytarz” bez dostępu do niczego wrażliwego.

W takim układzie nadal masz double NAT, natomiast logiczną granicą staje się twój router. To tam możesz robić osobne podsieci, reguły firewall, VLAN-y – a router operatora traktujesz jak nieprzejrzystą chmurę „internet + telewizja”.

Gdy własny router jest tylko access pointem: kiedy to ma sens

Czasem okazuje się, że router operatora ma całkiem sprawny firewall, kilka sieci Wi‑Fi i tryb „guest”, a twój „wypasiony” router jest stary, bez wsparcia, i jedyną jego zaletą jest mocniejsze radio Wi‑Fi. Wtedy bardziej opłaca się zrobić z niego głupi punkt dostępowy, niż na siłę pchać go w rolę mózgu.

W praktyce:

  • Przełączasz własny router w tryb Access Point / AP mode:
    • wyłączasz na nim DHCP i NAT,
    • port „LAN” twojego routera łączysz z portem LAN routera operatora,
    • port „WAN” twojego routera bywa w tym trybie wyłączany lub również staje się LAN – zależy od modelu.
  • Wszystkie urządzenia dostają adresy i zasady bezpieczeństwa z routera operatora.
  • Segmentację robisz tam, gdzie ona faktycznie jest dostępna: w panelu operatora (guest, izolacja) plus ewentualne dodatkowe access pointy z własnym VLAN-em dla IoT, jeśli router to wspiera.

Ten model jest uczciwy: nie udajesz, że masz super-zaawansowane laboratorium, tylko wyciskasz maksimum z jednego, w miarę nowoczesnego routera, a reszta sprzętu jest przedłużeniem kabli i anten.

Scenariusz 3: własny router jako centrum dowodzenia i pierwsze „prawdziwe” segmenty

Gdy wreszcie wiadomo, który router rządzi, przychodzi moment na zrobienie czegoś, co realnie zmienia sytuację: osobna sieć dla IoT i osobna dla domowników. Nie trzeba od razu sięgać po enterprise – da się to ogarnąć na wielu domowych routerach z OpenWrt, MikroTikiem czy nawet nowszymi Asusami.

Minimalny zestaw segmentów, który ma sens praktyczny:

  • LAN główny – komputery, laptopy, NAS, drukarki, konsole; sieć, której użytkownikom ufasz najbardziej (nawet jeśli ich systemy czasem łapią śmieci).
  • Sieć IoT – telewizory, kamery, głośniki, żarówki, roboty sprzątające, bramki producentów.
  • Sieć gościnna – telefony i laptopy osób „z zewnątrz”, ewentualnie dodatkowy „śmietnik” na eksperymentalne urządzenia.

Do tego można dołożyć:

  • Sieć administracyjna – mała podsieć dla routera, switchy, AP i NAS; czasem przesada w małym mieszkaniu, ale bardzo wygodna, gdy bawić się w reguły firewall.
  • Sieć dla pracy zdalnej – jeśli masz służbowy laptop/VPN, dobrze go odseparować od reszty (zwłaszcza od IoT), bo polityki firmowe bywają agresywne i skanują lokalny LAN.

Dwa kluczowe pytania przy takim planie to: jak fizycznie dojechać z tymi sieciami do pokoi oraz jak poukładać reguły dostępu, żeby dało się używać sprzętu bez wiecznego przełączania Wi‑Fi.

Przykładowy układ adresacji i podstawowe reguły

Żeby nie utonąć w abstrakcjach, można przyjąć jeden konkretny wzór, który da się łatwo zmodyfikować pod siebie:

  • LAN główny: 192.168.10.0/24, router: 192.168.10.1, DHCP: .100–.200
  • IoT: 192.168.20.0/24, brama: 192.168.20.1, DHCP: .100–.200
  • Goście: 192.168.30.0/24, brama: 192.168.30.1, DHCP: .100–.200
  • Admin (opcjonalnie): 192.168.40.0/24, brama: 192.168.40.1

Podstawowa logika firewall między tymi sieciami:

  • LAN → wszystkie sieci: dozwolone (użytkownik główny może zarządzać IoT, drukarkami, NAS‑em).
  • IoT → LAN: zablokowane z wyjątkiem:
    • konkretnych usług, których naprawdę potrzebujesz (np. kamera IP może wysyłać RTSP do jednego adresu w LAN),
    • odpowiedzi na zapytania inicjowane z LAN (czyli standardowy ruch „stateful”).
  • Goście → LAN i IoT: zablokowane całkowicie.
  • Wszystkie sieci → internet: dozwolone, ale możesz zacząć od IoT z ograniczeniami (patrz dalej: DNS, blokady).

Przy takim układzie IoT nie zagląda samoczynnie do twoich komputerów, ale twój komputer nadal może wejść na panel kamery czy TV, gdy tego potrzebujesz. Goście siedzą w swojej piaskownicy, od której nic nie zależy.

Segmentacja bez VLAN-ów: osobne Wi‑Fi i „kanciasta”, ale działająca izolacja

Zanim przejdzie się w ogóle do 802.1Q, często da się sporo ugrać prostszymi narzędziami. W małych mieszkaniach, gdzie wszystko i tak wisi na jednym access poincie/routerze, najprostszy trik to „pseudo-VLAN” zrobiony na poziomie SSID i firewall.

Układ wygląda wtedy tak:

  • Router ma:
    • SSID1: DOM – przypięty do sieci 192.168.10.0/24,
    • SSID2: DOM-IOT – przypięty do sieci 192.168.20.0/24,
    • SSID3: GOSCIE – przypięty do sieci 192.168.30.0/24 z włączoną izolacją klientów.
  • Każde SSID ma swój osobny zakres DHCP i własne reguły firewall, ale fizycznie to ten sam access point.

Dla użytkownika końcowego oznacza to po prostu trzy różne nazwy sieci Wi‑Fi. Dla routera – trzy różne strefy. Nie ma tu jeszcze „prawdziwych” VLAN-ów na kablu, ale do samej izolacji ruchu radiowego to wystarcza, zwłaszcza gdy większość IoT siedzi właśnie na Wi‑Fi.

Scenka z życia: ktoś przerzuca telewizor, żarówki i robot sprzątający do DOM‑IOT. Po tygodniu sprawdza logi i widzi, że żarówki usiłują gadać z dziwnymi serwerami za granicą. Zamiast paniki – prosty ruch: reguła na firewallu ogranicza IoT tylko do niektórych portów albo wymusza filtrujący DNS. Gdyby wszystko siedziało w jednej sieci, takie obserwacje i blokady byłyby o wiele trudniejsze.

Prawdziwe VLAN-y z tanią infrastrukturą: kiedy wystarczy „smart switch”, a kiedy OpenWrt

W którymś momencie pojawia się pytanie: „a co z pokojem dzieci, przecież tam telewizor i konsola wpinają się po kablu?”. Tu wchodzi na scenę tagowanie ruchu, czyli VLAN-y w sensie 802.1Q, ale zrobione bez szaleństw budżetowych.

Są dwa typowe warianty:

Router z obsługą VLAN + „głupi” switch

Jeśli wszystkie „trudne” urządzenia siedzą na Wi‑Fi, a kable służą głównie do podłączenia jednego, dwóch komputerów czy NAS‑a, często nie potrzebujesz wcale zarządzalnego switcha.

  • Na routerze:
    • tworzysz sieci VLAN logicznie (np. VLAN 10 – LAN, VLAN 20 – IoT, VLAN 30 – goście),
    • przypisujesz je do interfejsów wirtualnych Wi‑Fi (każde SSID do swojego VLAN),
    • porty LAN routera zostawiasz jako „czyste” (untagged) w VLAN 10, bo tylko główne urządzenia przewodowe tam wiszą.
  • Switche, które masz, są zwykłe („głupie”) – przenoszą tylko jeden VLAN (ten główny), co w większości przypadków jest OK.

IoT po kablu? W takim modelu zwykle kończy w gniazdkach Wi‑Fi (np. małe mostki Wi‑Fi→Ethernet) albo zostaje w tej samej sieci co LAN, ale liczebność tych urządzeń jest mała i łatwo je pilnować. To kompromis, ale bez kosztów.

Router + mały „smart switch” z VLAN za kilkadziesiąt złotych

Jeśli jednak chcesz mieć „prawdziwe” segmenty również na kablu, przydaje się mały, 5‑ lub 8‑portowy switch z obsługą VLAN 802.1Q. To sprzęt z niższej półki cenowej, a potrafi bardzo dużo.

Prosty przykład podziału:

  • Port 1 switcha – trunk do routera:
    • tagowane VLAN 10 (LAN), 20 (IoT), 30 (goście),
    • na routerze port LAN, do którego wpinasz ten switch, też jest trunk, obsługując te same VLAN-y.

    • Źródła

  • NIST Special Publication 800-41 Revision 1: Guidelines on Firewalls and Firewall Policy. National Institute of Standards and Technology (2009) – Zalecenia dot. segmentacji sieci, reguł firewall i kontroli ruchu
  • NIST Special Publication 800-125: Guide to Security for Full Virtualization Technologies. National Institute of Standards and Technology (2011) – Opis segmentacji logicznej, VLAN i izolacji w środowiskach sieciowych
  • RFC 1918: Address Allocation for Private Internets. Internet Engineering Task Force (1996) – Definicja prywatnych adresów IP używanych w sieciach domowych

Te artykuły mogą Cię zainteresować: