Melhor "Setup" para ter um HA Seguro

@Filipe_P_Marcato

Totalmente redundante a falhas totais de cada um dos equipamentos. Pode no limite ficar só um equipamento operacional (não é recomendado por questões de quórum).

A forma como tenho configurado pode falhar um em três e as VMs passam automaticamente para os outros sem qualquer intervenção humana. Na parte de recuperação (quando o que falha volta a ficar disponível), a distribuição das VMs volta ao normal de forma automática.

Passar de um equipamento para outro, uma VM é praticamente impercetível (tive no máximo meio segundo de indisponibilidade) mantendo todas as operações e transações sempre online.

FB_IMG_15584532375791205×540 37.5 KB

Profissional! Posso montar o cluster com duas caixas dessas x86/AMD64 vendidas na china para uso com pfsense ficando uma como Master e outra como Slave? Você roda Debian na VM?

@Filipe_P_Marcato

As boas práticas recomendam 3 equipamentos para teres quórum de decisão. Dois decidem o que está correto se 1 falhar, por decisão de maioria. No caso de ser só 2 pode dar problemas se ambos “pensarem” o mesmo.

Sim essas máquinas servem perfeitamente. O mais importante é verificar se tens capacidade de virtualização do cpu (para a intel é vt-d ). Não é necessário e muito menos obrigatório as máquinas serem iguais. Podes ter uma mais potente e as restantes servirem só para aguentar a carga em caso de falha.

No meu caso tenho Debian na VM do HA, por ter outras VMs por base nessa distribuição (ex: OMV, …). O proxmox inclusive é também com base em Debian. Contudo é indiferente podia ser Ubuntu, …

Parece-me consensual que a melhor forma para se aceder ao HA é através de VPN, sem abertura de portas no router… mas neste caso como devemos configurar o HA?
Por exemplo, para uma nova configuração do Hassio, como deveremos configurar o acesso http, instalamos ou não o duckdns, deveremos encriptar as comunicações?
Podem-me dar a vossa opinião de como deverei e o que deverei configurar, tendo em conta que necessito comunicação mqtt (tasmota), zwave, zigbee, wireless e que pretendo adicionar brevemente alexa/google home e node-red?

Para o acesso normal ao HA via VPN basta http. Mas o problema está na utilização do Google Home, e penso que dá Alexa também, pois tens de ter um domínio com SSL para puderes utilizar.

Olá Luis Andrade!! O teu setup de rede é realmente inspirador. Gostava de desenhar um diagrama também da minha rede. Para fazeres esse desenho, utilizaste algum software específico? Se sim, qual foi? Obrigado.

Quem acede a casa por VPN e tem serviços de partilha de localização no telemóvel (ex: Owntracks) utiliza o cliente VPN sempre ligado ou usa outro estratagema fora da VPN e que não afecte “muito” a segurança? Para o google assistant dá para meter uma regra na firewall que permita entrada de trafego com origem num range de servidores conhecidos da google. Mas com owntracks não encontro solução…

Obrigado.

Viva,

A partir do PC (onde está instalado o HA) consigo aceder pelo hassio.loca:8123.

Pelo IP:8123 não consigo, nem no PC nem no telemóvel.

Como posso resovler isto?

Estou a usar o duckdns p/ acesso a partir do exterior.

Tens de usar https://:8123

Viva Jorge,

Sim, eu sei e testei desse forma.

Continua sem funcionar.

Vou alterar o DNS no router, pondo como primário o servidor ou sugerem outra solução?

Obg

Qual o DNS que tens agora?

Só me será possivel ver qd chegar a casa.

E o meu router dá vontade de o deitar fora… é limitado em parametrização…

Tenho um TP-LINK M4R

Investe em algo que possa ser flashado com DD-WRT ou similar.

A post was split to a new topic: Separação de dispositivos de IoT na rede interna

Boas, não sou utilizador de HA muito embora não descarte a possibilidade de algum dia o vir a ser.

Tornei-me um “curioso” da domótica quando remodelei a moradia onde vivo e reparei que quer o ar condicionado quer a lareira permitiam controlo via rede IP. Depois disso comprei tomadas TP-Link, lâmpadas Tradfri, um par de Shelly’s e não pretendo ficar por aqui.

Não ter investido em KNX (o que eu desconhecia aquando da remodelação) obrigou-me a ter uma domótica baseada em wifi. Uma coisa era ter o NAS protegido com “login blacklist” e o acesso remoto via OpenVPN, que me parece aceitável para dados, mas agora com a domótica e equipamentos facilmente infectáveis (pelo que dizem) penso que tenho de ir mais longe na segurança.

Tenho estado a pensar seriamente num equipamento do tipo TP-Link deco M9 plus, que me protegeria de tentativas de intrusão via wifi, que também bloqueia dispositivos wifi e zigbee que possam estar infectados (o que provavelmente evitaria que tivesse que andar a criar VLAN’s para domótica), e além disso criaria uma rede mesh para resolver os problemas de cobertura que tenho, que me dizem ser melhor que as “usuais” soluções com PLC e/ou “wifi extenders”.

Alguém aqui conhece / usa este tipo de equipamento ?

Edit: este post poderá parecer “off topic” mas creio que não. Segurança não é só colocar barreiras (VPN, firewall) para proteger o acesso ao controlador de HA, é também colocar barreiras nas redes wifi, identificar e gerir infecções que venham (virão) a existir.

A post was split to a new topic: Problemas com o acesso externo ao HA

@Luis_Andrade De facto tens uma rede que inspira todos nós e é uma fonte de organização.
Se puderes, poderias partilhar qual o software que usas-te para criar esse grafico?
Obrigado.

Este setup apenas para rede doméstica? Ou para trabalho a partir de casa? É bastante impressionante

A parte de "trabalho a partir de casa ", laboratório e outros ambientes, não está apresentada.

Contudo, para um “normal” utilizador a rede simplesmente necessita ser acrescida de uma ou mais vLANs (dependendo do número de entidades patronais/formação diferentes), garantindo assim QoS e segregação de tráfego.

Uau, eu tinha criado um novo topic onde expressava as minhas dúvidas e indecisões acerca de como organizar a rede doméstica e realmente isto é uma excelente ajuda.

Já mudou muito a organização da rede no entretanto?

Cumprimentos,