Fang doch am besten erstmal klein an. Alles zu wollen, ist meistens eine schlechte Idee. Nimm einen alten PC und installiere dort erstmal eine Linux-Distribution Deiner Wahl. Da packst Du dann einen Webserver drauf, installierst vielleicht ein paar Webanwendungen dort und alles was Dich so interessiert und bildest quasi Dein eigenes "Internet" nach. Damit lernst Du schon eine Menge wie das Internet funktioniert, sofern Du das noch nie gemacht hast. Wenn Du das schon gemacht hast, dann sollte es sowieso ein Kindergeburtstag sein.
Dann kannst Du Dein Heimnetz über die Firewall mit dem Test-PC verbinden und erstmal spielen. Sprich z. B. mal ein paar Ports freischalten, schauen ob dies und das klappt, SSH nach draußen und drinnen, andere Dienste, etc.
Danach dann einen einfachen Router (ohne Modem) in das Setup integrieren und NAT mit ins Spiel bringen. Irgendwann dann auch mal einen Angriff vom Test-PC auf Dein Heimnetz starten. Wenn Du Dir da dann ausreichend sicher bist, kannst Du den nächsten Step gehen.
Einen Managed Switch kannst Du hier dann auch gleich sinnvoll einsetzen. Ich halte sowas im Privatbereich für Overkill, aber wenn Du in der IT bist und was lernen willst, dann gerne. Dann kannst Du gleich mal versuchen, das Setup so umzusetzen, dass Du nie wieder ein Kabel umstecken musst. Ich würde die VLANs grundsätzlich auch erstmal so machen:
VLAN Kameras
VLAN Ethernet und normales WLAN
VLAN Gast-WLAN
VLAN Testnetzwerk
POE-Switch würde ich hier keinen verwenden, sondern Injektoren, vorausgesetzt dass es in absehbarer Zeit nicht weitere Kameras geben wird. Wenn alles am Managed-Switch angeschlossen ist, kannst Du durch einfaches Konfigurieren der Ports Dein komplettes Netzwerk vom Internet trennen und in das Testnetzwerk wechseln. Port mit der Fritzbox in anderes VLAN und dann den Port mit dem Test-PC in das VLAN mit den Geräten konfigurieren. Ok, man könnte auch einfach das Kabel umstecken, aber wenn man schon einen so smarten Switch hat.
Für den Internetzugang würde ich zunächst einfach bei der Fritzbox bleiben. Die ist idiotensicher (glaub mir) und ich würde im Heimnetzbereich auch nie weiter gehen. Aber Dir geht es ja um das Lernen -denke ich-, also gerne später auch was komplizierteres auf das Problem werfen (man kann ja immer zurück). Jedenfalls auf der Fritzbox LAN4 als Gastzugang freischalten und diesen Port mit dem Gast-VLAN verbinden und LAN1 mit dem anderen VLAN. Das VLAN mit den Kameras würde ich nicht mit dem Internet bzw. der Fritzbox verbinden, sofern das nicht gebraucht wird, da das sonst die Trennung aufhebt. Um auf die Kameras zu kommen, kannst Du dann entweder immer den Port am Switch mit dem PC in das andere VLAN konfigurieren oder in dem PC eine zweite Netzwerkkarte einbauen. Oder einen eigenen PC dafür verwenden, usw. Gibt da einige Möglichkeiten.
Sofern die Kameras ebenfalls Internetzugang brauchen, muss man etwas improvisieren. Hier ist dann mit einer reinen Fritzbox keine saubere Trennung möglich - wobei ich da nun nicht gleich zusätzliche Geräte auf das Problem werfen würde. Das kann man später immer noch. Ich würde hier trotzdem die Geräte bereits in das korrekte VLAN setzen, dann auch das Kamera-VLAN mit der Fritzbox verbinden, so dass nun das normale Ethernet- und das Kamera-VLAN erstmal im Prinzip ein Netz sind. Den drei Kameras würde ich dann von Hand eine IP-Adresse außerhalb des Netzes der Fritzbox (192.168.178.x) geben, also z. B. 192.168.179.x und die Routingtabelle der Fritzbox so anpassen, dass auch diese Clients Internetzugang bekommen. Das sollte meiner Meinung nach mit der Fritzbox gehen aber kann es nicht sagen, da ich hier einen Speedlink 5501 habe (mit dem das geht).
Im ersten Step ist imho diese Art der Trennung vollkommen ausreichend (Ottonormaluser ausgesperrt) und es ist alles soweit vorbereitet, dass man es später mit pfSense oder anderen Geräten erweitern kann. Man will ja schließlich auch irgendwann fertig werden und wieder Internet haben.
