Rede de Casa - Proxmox Pfsense Homeassistant

xtypebox · 26 Setembro , 2023 11:22

Boa tarde a todos,

E a primeira vez aqui no fórum e pelo que andei a ler por aqui acho que pode ser o local certo para me ajudarem e quem sabe ajudar outros.

Agora que mudei para uma moradia pretendia fazer uma configuração de rede que me permita alguma estabilidade, porque usar o router da Vodafone está fora de questão.

Eu neste momento tenho um servidor HP com proxmox, onde corre um LXC com vários serviços de media, e outra máquina com o homeassistant.

Agora pretendo instalar uma máquina virtual com pfsense e alargar a rede com APS dedicados e desabilitar o WiFi do router Vodafone.

Eu tenho um switch tp-link Omada e APs também Omada que permitem VLANS.

Precisava era de umas dicas de quais VLANs criar e onde colocar o quê. Por exemplo o HA numa VLAN da rede Local ou IOT ou ambas?
Estou um bocado perdido.

Qualquer ajuda é bem vinda.

Cumprimentos

Peixeiro · 26 Setembro , 2023 16:18

Eu ainda não implementei, ainda só vou na fase de projecto, mas o que tenho em mente para fazer com um Router Mikrotik e APs Ubiquity (que já possuo) é o seguinte:

VLAN Management : com acesso a tudo, inclusive gestor do router, …
VLAN Main : com acesso à internet e às outras vlans
VLAN UIOT : para dispositivos Untrusted IOT, sem acesso à internet
VLAN IOT : para dispositivos iot com acesso à internet e à VLAN UIOT
VLAN Guest : para as visitas, só com internet

Para o acesso do exterior, uso VPN Wireguard.

Não sei se é o cenário ideia, mas estou aberto a novas ideias, para melhorar também o que vou implementar.

xtypebox · 26 Setembro , 2023 17:34

A minha ideia pelo que andei a ver noutros locais é algo muito semelhante a essa configuração, mas tenho algumas dúvidas de onde devo colocar por exemplo a maquina virtual do homeassistant. Nessa configuração seria em que VLAN?

moody_blue · 26 Setembro , 2023 18:16

Eu só colocaria o pfSense numa VM para fazer testes. Hoje em dia há mini-PCs com dois interfaces de rede na casa dos 130-160€ que correm OPNsense na perfeição. Diria que:

Router ISP → mini PC com opn/pfSense → switch Omada (ao qual ligam o HA, AP’s e servidor HP)

Não vejo necessidade de duas vlans para iot, uma chega, e é nessa que o sistema de domótica (no meu caso o OH mas no HA deve ser igual) deve estar. Cá em casa tenho as seguintes vlan: home, guest, iot, lan (onde está o opnsense, switches e APs), video (onde está o video porteiro) e solar (onde tenho o painel fotovoltaico).

A firewall permite que alguns dispositivos comuniquem entre vlans. A rede iot não tem acesso à internet (quando é preciso abro o acesso e volto a fechar em seguida).

xtypebox · 26 Setembro , 2023 18:21

Eu ia colocar numa VM porque já tenho o servidor e aproveitava e colocava tudo lá.
Não sente falta do acesso a internet para a rede IOT?

moody_blue · 26 Setembro , 2023 18:24

Mais vale aproveitar para sistema de testes de HA. O router tem de ter 100% de disponibilidade.

Nunca senti. Aliás é a melhor maneira de evitar actualizações de firmware automáticas, e também que dispositivos “hackeados” efectuem ataques DoS. Claro que assim não posso usar as cloud dos fabricantes, mas quem precisa disso quando se tem HA ou OH ?

xtypebox · 26 Setembro , 2023 18:33

Sim eventualmente vou criar um segundo proxmox num cluster para garantir que quanto uma tiver de reiniciar tenho uma alternativa.

Realmente a cloud dos fabricantes acaba por não acrescentar nada se tiver tudo implementado no HA. Só é mesmo necessário para os updates do próprio HA certo?

moody_blue · 26 Setembro , 2023 18:37

Sim, e updates do zigbee2mqtt, shelly, tomadas TP-Link, firmware Ikea, etc, coisas que só vale a pena fazer depois de se verificar a compatibilidade (ainda agora tivemos uma issue no OH por causa de uma actualização de firmware em tomadas Tapo P100, provavelmente esse tipo de situação também pode acontecer em HA)

Edit: lembrei-me de uma coisa. Não uso, nem tenciono alguma vez vir a usar, Alexa e quejandos. Esse tipo de dispositivos necessita de ligação à internet e não poderia estar numa vlan sem internet. Mas nada que não se possa contornar com a firewall.

Peixeiro · 26 Setembro , 2023 19:57

Eu pretendo ter duas redes para IOT por causa das colunas do Google Home. Estas precisam de internet e de ter acesso ao Home Assistant.
No meu caso, não tenho nenhum dispositivo IOT com a cloud do fabricante. Tudo tem EspHome ou tasmota. Sempre foi regra para mim que tem que funcionar tudo de forma offline.

xtypebox · 26 Setembro , 2023 19:59

Então terei que seguir a mesma abordagem porque também tenho dispositivos da google que vão precisar de ligação à internet.

xtypebox · 27 Setembro , 2023 14:17

Boa tarde,

Uma vez que já tenho equipamentos todos OMADA da tp-link acham que faz sentido comprar um router Omada e esquecer o PFsense virtualizado?

Alguém usa e recomenda?

Cumprimentos

Paulo_Martins · 28 Setembro , 2023 20:43

Tenho esse setup implementado em vários locais. Tanto com pfsense como opnsense. Podes colocar o HA na tua Lan e apenas permitir ligações da VLan IOT ao IP do HA. Cuidado com os APs , os APs tp link mesh não permitem criação de VLANs. Apenas deixam criar uma VLan guest ou IPTv. Para teres a possibilidade de criar VLans necessitas de algo da série PRO. A vantagem da VLan ter acesso a internet tem a ver com as atualizações de firmware . Devido as constantes atualizações do HA é muitas vezes necessário atualizar firmwares, nomeadamente se utilizarem mqtt, tasmota ou esphome.

xtypebox · 29 Setembro , 2023 09:40

Eu tenho já um switch e APS da tp-link tudo com Omada. Agora a minha dúvida é se compro um router da tp-link e esqueço o PFsense ou uso na mesma o PFsense.

joaoportela · 29 Setembro , 2023 10:08

Existe esta série de vídeos que pode ser interessante para tirar ideias.

joaoportela · 29 Setembro , 2023 10:14

Entretanto lembrei-me que também tinha isto nas bookmarks.

Tudo bons sítios para tirar ideias, mas tens que ver o que se adequa ao teu caso.

xtypebox · 29 Setembro , 2023 11:26

Este último GitHub é realmente interessante.

Eu só estou agora indeciso em relação ao Pfsense por estar numa máquina virtual e não saber o que fazer no caso de ficar sem luz. Posso configurar o proxmox para desligar mas depois como vou conseguir voltar a ligar tudo se o router é o próprio servidor?

Paulo_Martins · 29 Setembro , 2023 15:08

Nao são comparáveis. Os routers da TP Link são muito limitados. Se a tua preocupação é segurança acho que devias optar por outro.

JPatriarca · 30 Setembro , 2023 17:30

Relativamente a Vodafone e router externo, é relevante o seguinte:

Vodafone não tem bridge mode
Sendo o router também ONT, não é possível tem IP público no router alternativo
A utilização desta solução implica um double NAT, com as demais consequências a nível de gestão de portas e acessos externos
IPTV e media services sem utilizar o router da operadora é praticamente impossível

A Meo, com bridge mode, já permite a utilização do router alternativo ou pfsense/opnsense

xtypebox · 30 Setembro , 2023 18:55

Sim num próximo contrato acho que terei de ir para a MEO por uma questão de facilidade.
Acho que é possível comprar uma ONT branca e conseguir acesso às credenciais da Vodafone mas não é algo assim tão simples.

Agora terei que ir para a solução double NAT.

Estando em DMZ a questão das portas coloca-se?

Cumprimentos

JPatriarca · 1 Outubro , 2023 10:47

Se fixares um IP na DMZ e o alocares ao interface WAN do pfsense/opnsense, então toda a gestão de portas e firewall não passa pelo router