おうちサーバーを公開すると、家中のデバイスが同じネットワークにいるのはセキュリティ的に気持ち悪い。外部に公開してるサーバーがやられたら、そこから家族のPCやスマホに侵入される可能性がある。
解決策はVLAN(Virtual LAN)。物理的には同じスイッチとケーブルでも、論理的にネットワークを分離する技術。管理ができるL2スイッチかL3スイッチが必要だけど、最近は安いUniFiやMikroTikで十分。
僕のVLAN構成:
| VLAN ID | 用途 | IP範囲 |
|---|---|---|
| 1 | 管理用(ルーター、スイッチ、AP) | 192.168.1.0/24 |
| 10 | メイン(家族のPC、スマホ) | 192.168.10.0/24 |
| 20 | サーバー(公開サービス) | 192.168.20.0/24 |
| 30 | IoT(スマート電球、プリンタ) | 192.168.30.0/24 |
| 40 | ゲストWi-Fi | 192.168.40.0/24 |
VLAN間の通信はファイアウォールで制御。メインVLAN(10番)からサーバーVLAN(20番)へは特定ポート(SSH、HTTPS)だけ許可。IoT VLAN(30番)からはインターネットのみ、他のVLANとは完全遮断。これでスマート電球が乗っ取られても他のデバイスには影響しない。
設定に必要なもの:
- VLAN対応ルーター(OPNsense、pfSense、MikroTikなど)
- VLAN対応スイッチ(管理機能付き。UniFi Switch Lite 8 PoEが安くて優秀)
- VLAN対応AP(UniFi APならSSIDごとにVLANタグ付け可)
正直、VLANの設定は最初の学習コストが高い。でも一度組んでしまえば、ネットワークの「見える化」と「安心感」が段違い。家中のデバイスがそれぞれ適切な場所に収まってる感覚、クセになる。