So schlimm ist es auch nicht diese zusätzliche Hürde einzubauen für das IoT Spielzeug.

Doch ist es! Für uns Experten sicher nicht, aber für die meisten Menschen schon. Die kaufen ein FritzBox oder bekommen irgend einen Schrottrouter vom Anbieter. Die können alle nichtmal mehr als 1 Netz! Bei der Fritzbox könntest du zumindest unsichere Geräte ins Gastnetz hängen.

Das ist doch kein Maßstab :-)

Wenn man es kann, die Hardware dazu hat, würde ich es immer tun! Ebenso wie andere Schutzarten und auch zur Optimierung des WLAN. Gibt genug Gründe.

Aber klar, alles offen lassen war schon immer einfacher. Wie gesagt, ist kein Maßstab.

Das hab ich früher auch gedacht. Immer alles machen weil man es kann Mittlerweile sehe ich das nicht mehr so. Einzig was ich ggf noch überlege, ist KN zu separieren, alleine wegen dem Multicast Traffic auch wenn eigentlich alles IGMP kann

Die Hardware hätte ich, um ein IoT umzusetzen. Und das Sicherheit immer zu Lasten des Komforts geht, nehme ich in Kauf. Dennoch muss sich die Komplexität dafür im Rahmen halten, da mir schlicht das Know-How fehlt und die Nerven sowie die Zeit, um mir das anzueignen. So kommt auch der Thread zustande.
Vom Prinzip her denke ich mir, dass es sinnvoll wäre eine Außenkamera und meinen chinesischen Haushaltshelfer ins IoT zu packen. Aber die Außenkamera muss ja in der Lage sein mit dem NAS oder Router zu kommunizieren, um Aufnahmen zu übertragen. Block IoT to all funktioniert daher nicht bzw. ich muss dann entsprechende Ausnahmen festlegen. Beim chinesischen Haushaltshelfer sieht das anders aus, mir fällt da kein Grund ein, warum der Verbindungen zu anderen VLAN herstellen können sollte.
Das Motto "alle Geräte in einem Netzwerk als untrusted" zu betrachten, steht einem IoT ja nicht im Wege, oder? Regeln, die den Traffic von meinem untrusted IoT-VLAN zu den anderen VLANs oder zum Internet blockieren oder einschränken, würden das Motto ja umsetzen. Oder wie könnte das (einfacher) umgesetzt werden? Wie sieht demgegenüber ein Auth für alle Dienste im Netzwerk aus? Ist damit in Bezug auf den NAS eine 2-FA gemeint?

gelöscht, da redundant

Wegen den Kameras musst du dann wohl eine Regel erstellen oder vielleicht eine Software auf dem NAS installieren, der den Stream abgreift und ggf. noch KI drauf legt

Hast du einen Link oder kannst du kurz erklären, was man im untrusted Network beachten sollte?

Die Umsetzung des untrusted Netzwerk würde mich auch interessieren.
Und hat jemand Erfahrung zum Zusammenspiel vom ISE Remote Access und Control4? Der ISE Support meinte der Remote Access könne Multicast, der Systemintegrator meinte, dass sei nicht der Fall.