Ich würde auch empfehlen, mittels VLANs separate Netzwerke zu machen. Dafür eignen sich die Synology-Router aus meiner Sicht sehr gut (siehe meine Signatur punkto Einstellungen). Aber das ist natürlich eine rein individuelle Ansicht.
Ich habe alle fünf möglichen Netzwerke eingerichtet.
Im Hauptnetzwerk sind die Computer meiner Frau und von mir sowie sämtliche Diskstations.
Dann gibt es ein Netzwerk für die Kinder, eines für IOT-Geräte sowie ein separates Netzwerk für die Überwachungskameras. Das fünfte ist das Gastnetzwerk.
Die Firewall auf dem Router ist so eingestellt, dass die IOT-Netzwerke und das Gastnetzwerk nicht auf die anderen beiden Netzwerke kommen. Auch untereinander haben sie keine Verbindung. Das Netzwerk der Kinder hat lediglich Zugriff auf das Hauptnas (weil da auch ihre Daten draufliegen) sowie auf den Drucker. Kann man alles sauber konfigurieren. Da keines der Kinder einen Admin-Account und generell nur beschränkten Zugriff auf das Hauptnas hat, tut mir das auch nicht weh.
So sind die Kinder „isoliert“ im eigenen Netzwerk (mit eigenem WLAN) notabene. Sollen sie da machen, was sie wollen; ihr Risiko. Wenn bei ihnen jemand reinkommt und im schlimmsten Fall ihre NAS-Daten verschlüsselt, kommen die Backups zum Zuge. Auf unsere Daten kommen sie mangels Berechtigung ja gar nicht.
Mit Safe Access auf dem Synology-Router kann man übrigens sehr viel machen, das Tool ist gut. Mich persönlich hat es noch mehr überzeugt, als das Pihole. Ein weiterer Vorteil der Synology-Router ist, dass man dort das Paket DNS-Server ebenfalls installieren kann. Hat bei uns betreffend Zugriffszeiten im internen Netz viel gebracht!
@Daniel Albert: das von Dir gewünschte kann man mit einem Synology-Router sehr gut erreichen, ohne, dass Du einen zweiten Router verwenden musst.
Noch ein Tipp betreffend Safe Access, ist etwas off-topic aber auch nicht ganz: ich dachte, sei klug, häng zum Beispiel die Xbox ins IOT-Netzwerk, denn die ist ja auch sehr „sammelwütig“… Dann dachte ich, sei noch klüger, sperr mittels Safe Access einfach alles für das IOT-Netzwerk, die Geräte da brauchen ja gar nichts…
Falsch gedacht: xbox funktionierte nicht mehr, keine Updates, keine Internet-Verbindung, gar nichts! Nach einer halben Stunde verschiedenster Versuche mit viel Gefluche kam ich auf die Idee, mal das entsprechende Häkchen bei Gaming in Safe Access rauszunehmen. Siehe da: es ging wieder…
Ich weiss, Pihole kann das auch, aber es ist in Safe Access auch ganz interessant zu sehen, welche Geräte dauernd wohin „telefonieren“ wollen…