El problema que tendrá aquí tiene que ver con los límites L2 y L3, y cómo se exponen las direcciones MAC.
Cuando un paquete L2 es manejado por una puerta de enlace L3, especialmente una que le aplica NAT, esto hará que el paquete sea retransmitido por la puerta de enlace l3 en lugar de reenviarse como está. Esto significa que para el mundo público, IE, su ubicación remota verá el enrutador ASUS como el origen y el destino de la conversación, y el punto final remoto no sabrá qué hay detrás del enrutador ASUS. Esto es contrario a una red solo L2 en la que la lógica es mucho más simple, la dirección MAC se compara con una tabla ARP, o lista de puertos y las direcciones MAC asociadas con ese puerto. La tabla ARP se completa con las conversaciones que realiza un cliente de red al interrogar la red cuando se conecta por primera vez. Luego, los conmutadores replican efectivamente el paquete de datos y lo envían al puerto de destino hasta que llega.
Lo mejor que puedes hacer es restringirlo a una IP remota, o podrías colocar algo de seguridad más alto en la pila de la red, como en la sesión o en la propia aplicación.
El problema con las direcciones MAC, es que se falsifican fácilmente. Es solo seguridad a través de la oscuridad, porque adivinar qué MAC usar no sería trivial. Por lo general, las personas usan claves SSL u otras más difíciles para hacerse pasar por mecanismos de identificación únicos para garantizar una buena seguridad. Por ejemplo, podría tener una VPN que solo permitiera a los miembros conectarse si tenían una clave privada SSL correcta que estaba autorizada.
En una nota semi-relacionada: recomiendo encarecidamente obtener una Dropcam para ver a un bebé en casa. Maneja bien el problema de seguridad y ofrece una excelente calidad HD.