Sim a ideia é essa. A gestão passa a ser feita pela Pfsense estou correto?
Cumprimentos
Sim, certo. Mas DMZ com double NAT, é mais fácil a saida de tráfego do que a entrada de tráfego. E dependerá que quais subnet de redes irás ter do lado do pfSense. São questões para se testar.
Diria que utilizar CloudFlare tunnel seria uma solução mais simples, já que tens ProxMox instalado no lado da DMZ. Mas implica terem domínio registrado na plataforma deles. DDNS pode ser complicado
Testes, testes, testes, testes
Simplifiquei um pouco:
VLAN interna para equipamentos de confiança
VLAN IOT sem acesso à internet para a maioria, alguns têm mas só para uma determinada range de endereços
VLAN para convidados e familiares que só liga se tiver de facto visitas (via HA)
Tudo assente em cima de uma firewall física, restantes serviços, HA, DVR, etc, virtualizado com Proxmox também.
PiHole e outros serviços num NUC à parte com Debian+Docker, não vi necessidade de ter proxmox neste.
Firewalls em VM’s ainda me fazem espécie, prefiro ter uma appliance dedicada, assim ao menos posso brincar com o proxmox à vontade sem downtime.
Bom dia a todos,
Voltando a questão da rede de casa tenho algumas questões que talvez me consigam ajudar.
Tenho Pfsense virtualizado numa VM no PROXMOX. É possível colocar o próprio proxmox numa rede própria atribuida a uma porta específica do switch para ser sempre acessível mesmo que a máquina VM esteja down?
Cumprimentos
Hugo sou novo neste mundo. Que mini pc me poderia recomendar?
Estava a ver um HP recondicionado com um i5 8500T que me permitia ter até 3 discos (2x NVME e 1x 2.5), isto uma vez que tenho visto muitas pessoas a recomendarem Proxmox (o que daria para depois usar não só para HA).
A minha grande dúvida seria mesmo os consumos…
Daniel, não serei a pessoa mais indicada para indicar o que é preciso para HA. Se fosse OH recomendaria um Rasberry Pi4B, pode-se descarregar o OH para um cartão SD e a partir daí é plug & play, inclusivé a instalação de zigbee2mqtt, mosquitto, etc é “plug & play”. Uma dongle usb zigbee suportada pelo z2m https://www.zigbee2mqtt.io/guide/adapters/#recommended para aceder a dispositivos zigbee (sensores, lâmpadas, botões, etc). Eu recomendaria a ZBDongle-E dado que o OH a suporta nativamente sem teres de entrar no “mundo do MQTT”, pelo menos numa fase inicial.
Ou seja, no teu caso, um kit de 3xZyXel WSM20 em OpenWRT (um para router, dois para AP), numa das portas do router (ou de algum dos AP’s) ligas o RPi4. Escolher os canais do wifi e do zigbee para não interferirem entre si https://support.metageek.com/hc/en-us/articles/203845040-ZigBee-and-Wi-Fi-Coexistence
Não sou nada fã de VM’s, containners e afins, só quem é muito techie é que se sente à vontade com isso.
Um dos principais benefícios de um sistema de domótica é o controlo do aquecimento. Facilmente se poupam 20€ mensais (ou mais) com uma boa gestão de energia. Se usares ar condicionado, daikin é uma boa opção, liga com OH (e creio que com HA). Estufas e lareiras de pellets tens por exemplo a Ecoforest, tanto OH como HA suportam os modelos com wifi.
Se precisares de um sistema para fazer back-up dos PCs da casa e ainda armazenar fotos, filmes, etc. podes juntar um NAS a tudo isto (Plex para multimedia e Urbackup são os meus favoritos).
Para ser honesto sinto me um pouco perdido por onde começar. Queria começar por organizar a rede cá de casa, mas mesmo este tópico de vlans e novo para mim
Creio que já decidiste onde colocar os APs, com esta ferramenta da ubiquiti podes validar https://design.ui.com/projects
Mesmo que uses APs de outra marca terás uma ideia da cobertura.
Se optares por Ubiquiti (Dream machine e APs) gastas uma pipa de massa mas a implementação de vlans é feita de forma muito simples. Se $$$ são um problema, então o kit de ZyXel com openWRT (se bem que terás de aprender openWRT).
Num ambiente vlan as mensagens trocadas na rede levam um cabeçalho com o nº da vlan. Para os equipamentos que não sabem que estão numa vlan (como por exemplo os PC’s e equipamento IoT) o router (ou switch) coloca um tag com o número correcto. Os APs sabem que estão em vlan e associam cada nº de vlan a um deterrminado ssid. Ou seja, o conceito de vlan só existe dentro da rede, a grande maioria dos equipamentos ligados à rede desconhece que existem vlans. Cada vlan tem uma gama de IP’s diferente das outras, o router tem um serviço de DHCP para cada vlan de modo a poder gerir os endereços IP.
De um modo geral os equipamentos dentro de uma vlan não podem comunicar com outras vlan, mas existe uma coisa chamada firewall onde se podem definir regras de acesso entre vlans e/ou entre vlans e a internet.
Mas por exemplo como poderia fazer:
Uma vlan para mim (para desenvolvimento etc)
Uma vlan para Shelly’s etc sem acesso à internet
E uma vlan para servidor e home assistant
Não sei se vai ser confuso, mas vou pôr aqui as definições do meu AP que está com openWRT. Tenho 5 redes definidas
LAN é uma rede onde tenho os equipamentos de rede separados do resto. Hás-de repara que é a única que tem IP atribuído, que é por onde faço a gestão do AP.
Este AP está ligado ao router por um cabo ethernet. Fisicamente o cabo está ligado a eth1 (corresponde a uma das portas físicas do AP), mas cada uma das redes acima tem uma definição de vlan. Por exemplo, a guest
Aqui se vê que tudo o que vier do router com o tag 1000 vai ser associado à rede guest. Para outras redes uso outros nº de tag.
No meu caso não criei um ssid para todas as vlan (não necessito, alguns equipamentos são ligados por cabo)
Por exemplo, no caso de Aveiro-Guest a definição é
Ou seja, a rede Aveiro-Guest está associada ao network guest, e este definido sobre o interface br-guest, o qual está associado à porta eth1 do AP usando 1000 como nº de vlan.
No router tenho esta definição de firewall
No caso optei por os equipamentos que estão na rede home poderem aceder a todas as redes (excepto guest), mas o inverso não é verdade.
Além da firewall, no router também tenho de definir as gamas de IP para cada rede, aqui vão algumas dessa definições
Por aqui também se vê que é a porta eth0 do router que está ligada à porta eth1 do AP (no meu caso não é bem assim, tenho um switch entre o router e os diversos APs e também tive de fazer definições de vlan nesse switch)
Esse switch é um tp-link TL-SG108PE
Finalmente, aqui vai um diagrama das minhas ligações a esse switch
Obrigado, r um pouco confuso mas vou tentar planear como vou fazer.
A VLAN solar é só para painéis? Nos meus tenho um APSystems para controlar produção e consumo.
e quando aos dispositivos IOT com Wi-Fi, a VLAN teria um Wi-Fi só para estes dispositivos?
Obrigado e desculpe as perguntas de noob…
A vlan solar é só para os painéis. No meu caso o inversor é um Huawey que, além de se ligar à rede da casa, emite uma outra rede (por onde se faz a manutenção do inversor). O problema é que o inversor emite essa rede no mesmo canal da minha, pelo que interfere e tinha quebras de sinal. Por isso comprei um AP em 2º mão (um Archer C7) e coloquei uma rede solar num canal diferente dos que uso cá em casa. Se o inversor permitisse parametrizar o canal da sua rede não precisaria de ter criado uma rede solar à parte.
No caso do IoT, creio recordar que queres ter dispositivos com e sem acesso à internet, irias precisar de duas vlan, cada uma com o seu ssid. No meu caso, como não quero ter Alexa e afins, só tenho uma rede IOT. No teu caso ligarias os servidor de domótica à rede IOT com internet, e farias uma regra na firewall para poder aceder desta rede à outra (IOT sem internet).
Pessoalmente prefiro ter uma VLAN dedicada para IOT e tudo o que é servidor/APS/switch management está na rede de confiança. Isto inclui HA, unifi controller, inversores de rede e similares.
Na rede IOT, os dispositivos não tem acesso à internet e se estes precisarem de acesso a algum dos serviços que correm nos servidores, é adicionada uma interface via proxmox na VM/LXC de forma a que não seja preciso routing a passar pelo PFSense. A VLAN (LAN) tem acesso a todas as redes existentes (via Routing), Guest só em acesso à internet e IOT só tem acesso à sua rede.
No futuro irei optar por virtualizar o pfsense quando chegar os 10Gbps, mas até lá, tenho uma box de 4 portas que faz de WAN e tem uma porta dedicada por cada VLAN da casa. Tenho a noção que poderia fazer LAGG aggregation entre as 3 portas e optar ter as 3 VLANs em cada mas optei por só suportar 1 em cada.
Eu neste momento tenho a seguinte configuração em termos de vlans:
- VLAN Management : com acesso a tudo, inclusive gestor do router, omada controler, aps e switchs
- VLAN Main Wired : com acesso à internet e às outras vlans
- VLAN Main Wifi: com acesso à internet e às outras vlans
- VLAN NIOT : para dispositivos Untrusted IOT, sem acesso à internet (VLAN ISOLADA)
- VLAN IOT : para dispositivos iot com acesso à internet (VLAN ISOLADA)
- VLAN Media: para Plex e TVS (VLAN ISOLADA)
- VLAN CCTV: cameras reolink poe (VLAN ISOLADA)
- VLAN Guest : para as visitas, só com internet (VLAN ISOLADA)
Em termos de hardware:
- Router da Operadora Vodafone
- Servidor HP com Proxmox com as seguintes VMS:
- PFSENSE - Router virtualizado
- MediaServices - Docker com plexs e afins na VLAN Media
- HA em todas as VLANS
- HomeGuard na LAN do PFsense para DNS server do PFsense
Ter o HA em todas as VLANS é de alguma forma um contrassenso? Eu tenho em todas para conseguir ter todas as entidades disponíveis.
Já agora o que usam para acesso remoto do HA? Eu estava a usar tailgate mas em termos de bateria creio que é excessivo…
1 Curtiu
não vejo problema ter o HA exposto a todas as redes mas outra opção seria ter inter-vlan routing a passar pelo PFSense, autorizando somente tráfego iniciado do HA para os dispositivos.
Pessoalmente não vejo vantagem em ter VLAN wired/wifi dedicada pois só os dispositivos autorizados entram na rede de management. No entanto compreendo porque possa ter optado por essa segregação.
Quanto ao IOT/NIOT, prefiro ter uma única e gerir o acesso à internet através do PFSense.
Ainda não me dei foi ao trabalho de instalar o freeRadius e ter um wifi único e atribuir VLAN através da autenticação/autorização.
Já agora o que usa para acesso remoto do HA?
Cumprimentos,
tenho duas formas alternativas, tailscale e wireguard. Pessoalmente prefiro tailscale pois é mais fácil de configurar mas o wireguard já estava configurado por isso ficou como acesso alternativo.
1 Curtiu
E não sente um consumo excessivo de bateria no telemóvel?
só ligo quando preciso realmente de ver o que seja. Fora de casa, poucas são as situações em que preciso pois a maior parte do sistema está automatizado e não requer supervisão.