Met wat ik lees heeft de Fritzbox nogal beperkingen aangaande het gast netwerk.
Veel informatie vind je er ook niet over.
Heb hier net een nieuwe Synology RT6600ax router draaien. (Zo’n beetje 14 dagen op de markt).

Daar kun je tot maximaal 5 VLAN netwerken instellen, tevens ook door te trekken naar WiFi.
Enorm flexibel in te richten.  (Als je de WiFi ook nog splitst, kun je tot maximaal 15 verschillende SSID's inzetten). Er zitten echter nog wel een aantal bugs in de firmware, wat aangepast moet worden. De eerste update was overigens binnen enkele dagen geregeld, omdat KPN IPTV routed mode niet goed functioneerde. Als je minder haast hebt eerst de verdere firmware updates afwachten, en kijken of het dan iets voor je is?

Eerste indrukken, zie een uiteenzetting < HIER > (en nog verder uit te breiden onderwerpen).

Home assistant is toch bedoeld om op je eigen home netwerk dingen te doen?

Je kunt het dan volgens mij niet in een apart lan zetten, dan kan HomeAssistant ook niet meer bij je zonnepanelen smart verlichting of wat je ook hebt.

Als de home assistant op een aparte server draait, kun je er denk ik het beste  van alles aan doen om te zorgen dat er geen misbruik gemaakt wordt.

Zaken die goed ondersteund worden door de fritz: VPN naar je server HomeAssistant server, en filters instellen die de autorisatie op je lan beperken. Je kunt filters instellen die bepalen waar de homeassistant server heen mag.

 Kijk of je 2FA kunt gebruiken op homeAssistant, en een aparte gebruiker gebruiken, die zowel op je server, homeAssistant applicatie als op de andere devices weinig tot geen rechten heeft.

Als je dat niet ziet zitten zou je altijd nog een tweede router kunnen nemen, die een apart lan opzet voor homeAssistant, dan zou je een poort kunnen forwarden naar de andere router.

Natuurlijk kun je dat wel, tezamen met die zonnepanelen, smart verlichting en al die IoT zaken in een apart gescheiden netwerk / VLAN.  Dat is nu juist datgene wat de topic starter voorstaat.

Die snap ik. Wat ik bedoel te zeggen is dan je dan alsnog van buiten naar binnen een risico voor je  netwerk brengt, alleen dan in een ander deel van je netwerk. Of ga je een firewall inrichten tussen de twee vlans? 

Precies dat. (Het is allemaal mogelijk met die nieuwe Synology router).

De topic poster vroeg of het met de fritzbox kan, en die ondersteunt geen vlans, vandaar mijn feedback. 

Teruggaand naar de originele vraag van de arrien: Het scheiden van twee vlans, met een firewall, hoe doe je dat, als de gebruiker “ de homeAssistant” applicatie is, met legitieme toegangsbehoeften in het andere lan?, maar die gehackt kan zijn? 

Is een Vlan de oplossing hier?

Precies ook mijn feedback om eens te kijken naar zo'n Synology router die het wel ondersteunt.

Je kunt de beveiliging erg ver doorvoeren.
Allereerst op firewall niveau door zo veel mogelijk op "regio" niveau alles af te blokken, wat geen functie heeft m.b.t. je IoT zaken, (of slechts enkele IP-adressen of IP-bereiken toe te staan).

Daarnaast kun je bij Synology ook een extra pakket "Threat Prevention" installeren, wat op packet niveau data controleert op verdacht in- en uitgaand verkeer.

https://www.synology.com/nl-nl/srm/feature/secure_network_foundation

Tot nu toe nog geen argument gehoord waarom de topic starter 325 euro zou moeten uitgeven, en daarvoor iets terugkrijgt dat helpt om zijn probleem op te lossen.

Met filters kun je specifiek toegang verlenen op in en output  op de Frizbox, en packet inspection is standaard. 
Alleen Vlan functionaliteit  mist, maar ik denk dat dit niet gaat helpen, want je wilt eigenlijk geen vlan omdat de twee lans niet echt gescheiden netwerken zijn, en er geen duidelijke regels zijn wanneer je van de een naar de ander mag.

Mijn input is gegeven, succes.
 

Ik denk dat u geen idee heeft wat vlans zijn. Ik heb hier ook vlans. En er is echt absoluut geen enkele mogelijkheid dat apparaten van het ene vlan bij apparaten van het andere vlans kunnen tenzij ik dat nadrukkelijk instel.

Precies. Zo is dat.

Ook ik heb omwille van veiligheid mijn IoT devices op een apart vlan staan.

Onderstaand de inkomende firewall vanaf het IoT vlan waarbij mijn NAS op TCP poort 80 wel benaderbaar is voor één specifiek IoT device maar de rest van de lokale IP adressen niet.

Bovenstaande is op een EdgeRouter 4 en dat is een beest als het gaat om het kunnen inrichten van een netwerk. Dat komt omdat de EdgeRouters behoorlijk veel door bedrijven met meerdere vestigingen gebruikt worden waarbij onderling een corporate private network ingericht is en (uiteraard) meer gevraagd wordt van de functionaliteit van een router dan bij een gemiddelde consumenten aansluiting.

Thanks voor de reacties. Ik ga eens verdiepen in wat ik op den duur aan ga schaffen voor router.