Hace relativamente poco, tuve la ocasión de leer un pequeño artículo donde comentaban como crear una red WiFi “dedicada” para separar los dispositivos domóticos del resto: ordenadores, móviles, tablets, etcétera.
La cuestión es que tal y como se planteó el tema, esto es, crear una red WiFi de INVITADOS, las ventajas de dicha red son bastante limitadas. Básicamente se reducen a una -y eso siempre y cuando actives dicha opción- evitar que los dispositivos domóticos puedan interactuar con el resto. La utilidad es obvia, caso de que alguien hackeara alguno de ellos, no podría -en teoría- acceder al resto de tu red.
Hasta aquí todo correcto, viendo la desidia de muchos fabricantes a la hora de mejorar/actualizar su domótica, el poder impedir que aprovechen alguno de sus bugs para acceder a nuestra red es algo a tener en cuenta.
El problema, al menos para mí, es que falla en el otro motivo importante por el cual resulta más que interesante aislar la red domótica de la principal: la cantidad de tráfico que la primera puede llegar a generar. Esto puede no parecer importante caso de tener 6,8 ó 10 dispositivos conectados vía WiFi. Pero puede dispararse muchísimo si hablamos de 50 ó 60, algo que ya empieza a ser común en bastantes hogares.
En éste punto, cabría detenerse y comentar que hay otras soluciones para limitar/filtrar el tráfico; una de las más conocidas consiste en utilizar el programa Pi Hole. Pi Hole es una fantástica aplicación gratuita y disponible para múltiples sistemas operativos, que nos permite filtrar todo el tráfico DNS que se dirige desde nuestra red hacia Internet. Aquí, no la voy a comentar dado que la idea sería no sólo filtrar tráfico sino además “aislar” por completo la red domótica de nuestra red principal.
Sigamos pues. Con la creación de la red de INVITADOS para domótica, seguimos sin poder limitar/filtrar todo su tráfico de nuestra red principal y la explicación es muy sencilla, ambas pertenecen al mismo dominio de broadcast.
Para poder “romper” un dominio de broadcast sólo hay dos opciones: intercalar un (1) Router (N3) entre redes o un (2) Switch con Vlans.
El problema es que realizando todo desde el mismo router, como es el caso de crear la red INVITADOS, todo el tráfico queda dentro del mismo dominio broadcast. Y la segunda opción, es prácticamente inviable a nivel doméstico dado que se requeriría de usar switchers + access points.
La única opción, más o menos viable -por temas económicos básicamente- pasar por usar un Router que permita la creación de Vlans en la parte LAN.
En éste caso, sí podemos aislar por completo la red domótica del resto creando vlans separadas para cada una de ellas:
- Vlan 100 red 10.10.10.0/25 para domótica
- Vlan 200 red 192.168.10.0/25 para el resto
Cada una con su correspondiente DHCP, filtros, QoS o lo que necesitemos y nos permita el Router.
Ahora mismo hay varios Routers que lo permiten, uno de ellos es el QNAP QHora-301W. El problema, como dije antes es su precio 340 euros.
Esperemos que con el tiempo, empresas punteras dentro del ámbito doméstico como Asus, D-Link o Netgear vayan sacando más modelos a precios más asequibles.
Con la proliferación que se espera para la domótica en los próximos años, el poder separar y controlar nuestro tráfico LAN irá cobrando especial relevancia para garantizar la seguridad y correcto funcionamiento de todos nuestros dispositivos.