Das Problem dabei ist, dass das Gastwerk in diesem Sinne überhaupt keine zusätzliche Sicherheit bietet.
Das Gastnetzwerk hat nur eine einzige Eigenschaft gegenüber dem "normalen" LAN: Geräte im Gastnetz können keine Geräte im LAN ansprechen (und gewöhnlich sollte das auch andersrum der Fall sein)
Das Gastnetz ist dazu gedacht, dass Gäste (sic!) den Internetzugang mit nutzen können, dabei aber keinen Zugriff auf die Geräte im LAN bekommen können.
Für das Smarhome sollte es eigentlich genau andersrum sein: Die Geräte des Smarthome sollten nur im Ausnahmefall überhaupt Zugriff auf das Internet bekommen, aber durchaus von Geräten im LAN erreicht werden können. Und wenn die Smarthome Geräte nicht ins Internet kommen (wie gesagt, so sollte es sein), besteht auch weniger Gefahr eines Angriffs aus dem Internet auf diese Geräte und auch eine geringere Gefahr, dass die Geräte als Angriffsvektor für das restliche LAN genutzt werden können.
Die FRITZ!Box bietet hier meines Wissens leider nur wenig (gefühlt gar nichts).
Mein Aufbau (ist aber nichts für "Anfänger"
) sieht so aus, dass ich einen Selbstbau Router mit OpnSense als OS nutze.
Ich spanne fünf separate Subnetze mittels VLAN auf, wobei drei davon für das WLAN sind. Ich nutze Ubiquiti Access Points (Zwei-Familien-Haus, drei AP reichen gerade so für eine einigermaßen vernünftige Abdeckung) und drei verschiedene SSIDs, jeder der AP sendet auf einem anderen Channel und stellt alle SSIDs zur Verfügung. Das heißt, die WLAN Geräte buchen sich jeweils auf dem AP ein, der das beste Signal bietet. Läuft man durch das Haus, wird auch fliegend umgebucht.
Gäste nutzen eine SSID, meine Smarthome Geräte eine zweite SSID, meine "vertrauenswürdigen" Geräte eine dritte SSID. Sämtlicher Datenverkehr läuft über den Router (wegen der fünf Subnetze und Trennung über VLANs)
Gäste haben Internetzugang, sehen aber keine anderen Geräte.
Das "Smarthome-WLAN" kommt nicht ins Internet und kann im LAN genau zwei IP-Adressen erreichen, das sind die IP des MQTT Brokers und die IP des internen Update Servers. openHAB selbst befindet sich im LAN und kann somit ganz normal aufs Internet zugreifen - openHAB stellt aber auch keine Dummheiten an
.
Der Fernzugriff läuft bei mir wahlweise über einen ssh-Tunnel oder Wireguard - dabei sind beide Wege mit Zertifikaten abgesichert, Passwortzugang ist bei dem extern erreichbaren ssh komplett abgeschaltet.
Die WLAN Zugänge sind mit maximal komplexen Passworten gesichert (63 Zufallszeichen... viel Spaß beim Knacken)
Was ich noch nicht umgesetzt habe, ist ein separates Verwaltungsnetz, um den administrativen Zugang auf die Infrastruktur zusätzlich abzusichern. Das ist aber ohnehin ein zweischneidiges Schwert, denn wenn dann eine der zentralen Komponenten aussteigt, hat man gleich gar keine Möglichkeit mehr, außer mit einem extra Adminrechner im Schneidersitz vor dem zentralen Serverrack nach dem Fehler zu suchen. Da müsste ich also den Router ha (hochverfügbar) auslegen, was möglich, aber unverhältnismäßig aufwändig ist.
Eventuell kannst Du in der FRITZ!Box die "Kindersicherung" als Sicherheit für Deine Smarthomegeräte nutzen, darüber kannst Du erlaubte IP-Adressen festlegen (die Liste sollte ja überschaubar sein). Sicher bin ich da aber nicht, die letzte FRITZ!Box ist bei mir schon etwas her...
MyOpenHAB hat übrigens keinen Zugriff auf Dein LAN, es ist vielmehr so, dass openHAB selbst aktiv die Verbindung zu MyOpenHAB aufrecht erhält. Das funktioniert ähnlich wie bei Skype oder "normaler" VoIP Telefonie. Insofern ist MyOpenHAB eine vergleichsweise sichere Möglichkeit, das eigene Smarthome remote zu bedienen - gerade für "Normalos", die nicht unbedingt wissen, wie man ein sicheres VPN in Betrieb nimmt und pflegt.