Server + 2 datorer på LAN. Hur dirigera WAN-trafik till servern?

Hoppar in i tråden istället för att skapa ytterligare en.
Mitt nätverk är idag konfigurerat så som du beskrivit.

Har två portar öppna i brandväggen och kör port forward till berörd enhet, det ena är för inbrottslarmet och det andra är hemautomationsservern.
En av dom på port 443 och en på port 90.

Vad finns det för risker med detta?

Har även en Nextcloud server körandes under TrueNAS inom nätverket. Funderar eventuellt på att öppna åtkomsten till Nextcloud, så att jag kommer men även kan synka filer när jag inte är hemma på samma nätverk. Men börjar fundera på om man verkligen vill öppna upp nätverket mer?

Jag kör Unifi Dreammachine med IPS/IDS påslaget om det nu har någon betydelse.
Kan inte mycket om VPN, men kan jag dra nytta av att upprätta en VPN server på mitt nätverk? Tror varken inbrottslarmet eller hemautiomationen har stöd för VPN anslutningar förvisso.

Okej, jag satte upp en L2TP VPN i Ubiquiti routern för skojs skull, så jag har fått det att lira på så vis att komma åt både larm och hemautomation med stänga portar.
Jag är ju tekniskt intresserad, så jag kan tänka mig att ansluta till VPN innan jag försöker komma åt något på hemmanätverket.
Frugan däremot är inte tekniskt intresserad och där har jag ett problem! Kommer nog ha svårt att få henne att ansluta till VPN innan hon loggar in på något, hon vill ha det enket
Hade det gått att ha anslutningen alltid på och filtrera vilken trafik som ska gå via VPN så hade det kanske vart enklare att få igenom. Men det jag märkt på min Android är att gå jag från LTE till WiFi och tillbaka till LTE så är behöver manuellt ansluta till VPN.

Hemautomationsdelen, jag gillar att följa hur värmepumpen etc. jobbar även när jag inte är hemma vintertid. Eller slå av/på lite belysning när man rest bort.

Inbrottslarmet, där vill jag kunna kolla i kameror, eller larma på om man nu glömde det på morgonen.

Båda enheter kräver en inloggning/autentisiering, så det är inte så att man ansluter och sen är det fritt fram att styra saker/larma av etc. om man har IPS och IDS påslaget i routern, hjälper det något även om portarna är öppna? Typ mot brute force andra metoder.. Läser jag i routerns loggar blockar den en hel drös anslutningar per dag.

Hur blir det om jag lägger enheterna på egna VLAN med blockerad trafik, kommer jag inte åt dom via LAN längre från mina enheter?

Vill bara påpeka att L2TP utan IPSEC är osäkert. Du behöver sätta upp IPSEC med och vill minnas att det finns guider på det för Ubiquiti, typ "setting up L2TP+IPSEC". Använder själv inte deras routerlösningar men är ganska säker på att det är separata uppsättningar även i deras produkter.

Ubiquiti verkar inte ha officiellt stöd för IPSEC eller något annat just nu. Bara L2TP verkar det som.
men det verkar gå att SSH'a och installera OpenVPN eller WireGuard, det är dock utanför min comfortzone. Förhoppningsvis har dom nytt protokoll i pajpen.

Osäker L2TP vs 2 portar öppna, vad är störst risk?

Nej, jag har en "Dream Machine Pro SE"