Wenn du eine Idee für ein semi-paranoides Setup haben möchtest, kannst du dir ja mein Setup ansehen. Ich würde allerdings auch hinter die Fritte nichts stellen, empfinde ich als unnötig. Entweder einfach exposed Host und durchreichen an die Sense oder ein Modem nutzen - was einfacher ist. Ich sehe Doppel-NAT nicht als Drama an wie manch andere hier aber ich sehe ein Providergerät eben als "untrusted" an und das Netz dahinter ist für mich ebenso "unsicher" weil ich das Gerät ggf. nicht unter voller Kontrolle habe. Gab es schon oft genug, dass der ISP dann neue Firmware einspielt und danach meine Einstellungen resettet hat. Daher untrusted.
Ab der pfSense kontrolliere ich alles. WiFi empfinde ich nicht als untrusted, sondern als moderat. Nur weil ein Gerät in unterschiedlichen Netzen unterwegs ist, ist es nicht per se gefährlich. Das Problem ist da eher ob man alles ins gleiche Netz stopft, vom Smartphone über Laptop zu Firmengeräten die gut abgesichert sind. Daher habe ich das anders gebaut und nutze mit den UAP-AC-PROs von Ubiquiti den WiFi Enterprise Modus, bei dem sich eben nicht jeder den gleichen PSK teilt und jeder Dummie der mal bei mir war auf ewig im Netz ist, sondern es gibt User/PWs für die Geräte und abhängig davon werden die in unterschiedliche VLANs/Netze verteilt und vertraut. Mein Firmennotebook und mein Mgmt Lappy tauchen dann im LAN auf, Smartphones im Gästenetz das nichts darf außer Internet, Medienplayer dann im Media Netz damit sie ggf. Zugriff haben auf DLNA Geräte etc. etc.
Damit hast du wesentlich mehr und feingranulareren Zugriff auf die Geräteverteilung und Sicherheit als einfach nur tumb "WLAN an". ;)
