by ·0 Comments

Unul din lucrurile pe care le neglijezi când construiești un homelab e rețeaua. Cumperi hardware, instalezi Proxmox, ridici VM-uri — și între timp totul merge pe un switch de 1Gbps și pe router-ul de la ISP. La un moment dat realizezi că transferurile între noduri sunt limitate de rețea, nu de disk sau CPU, și că ar fi cazul să faci lucrurile cum trebuie.

Iată cum arată rețeaua de acasă după câteva iterații.

Hardware-ul de rețea

Întregul stack e TP-Link Omada — un ecosistem gestionat centralizat printr-un controller hardware dedicat:

  • ER605 v2.0 — router/gateway
  • OC200 — Omada Hardware Controller, gestionează întregul stack
  • SG2008P v3.20 — switch managed PoE 8 porturi – 4 alimenteaza AP-urile, 1 alimenteaza OC200
  • EAP653 x2 — AP-uri Wi-Fi 6 (etaj 2 și parter 2)
  • EAP265 HD x2 — AP-uri Wi-Fi 5 (etaj 1 și parter 1)

OC200 e un controller hardware dedicat — un dispozitiv mic cât o cutie de chibrituri mai mare care rulează Omada Controller fără să consume resurse din Proxmox sau să depindă de el. Avantajul față de varianta software: e întotdeauna activ independent de starea cluster-ului, ceea ce contează dacă faci modificări de rețea exact când un nod Proxmox e down.

Avantajul unui stack integrat: configurezi un VLAN o dată în controller și se propagă automat pe switch și pe toate AP-urile. Roaming-ul Wi-Fi între cele 4 AP-uri funcționează transparent — nu simți trecerea de la un AP la altul. Față de soluția de a cumpăra echipamente de la producători diferiți și a le gestiona separat, diferența de confort e semnificativă.

2.5Gbps — unde contează

Nu toată rețeaua are 2.5Gbps — nu are sens. Telefoanele, laptopurile și dispozitivele IoT se descurcă perfect pe 1Gbps. Dar între nodurile Proxmox și QNAP, lățimea de bandă contează direct în performanța homelab-ului:

  • Live migration între nodurile Proxmox — copierea memoriei RAM a unui VM în câteva secunde, nu zeci
  • Backup-uri VM pe NFS spre QNAP — un backup de 50GB în 3 minute, nu 7
  • Plex direct play de pe QNAP spre clienți cu cerințe mari de bandwidth (4K remux, Dolby Atmos)
  • Transferuri de fișiere mari spre/dinspre NAS

Switch-urile de 2.5Gbps sunt luate de pe AliExpress — mă zgârcesc intenționat aici. Un switch unmanaged de 2.5Gbps cu 5-8 porturi costă 80–150 RON pe AliExpress față de 400–600 RON pentru echivalentul de brand. Pentru traficul intern de homelab, diferența de calitate nu justifică diferența de preț.

Topologia: nodurile Proxmox (pve00, pve01, pve02) și QNAP-ul sunt conectate la switch-urile de 2.5Gbps. Switch-urile de 2.5Gbps sunt conectate uplink la SG2008P-ul Omada care face managementul VLAN-urilor. Am mai incercat sa folosesc adaptoare de retea (tot de pe aliexpress) pentru nodurile proxmox dar rezultatele au fost dezamagitoare, asa ca am abandonat si le tin in cutia cu maimute.

3 VLAN-uri — separare clară

Rețeaua e împărțită în trei zone cu politici de trafic diferite:

VLAN Default — uz general

Laptopuri, telefoane, televizoare, calculatoare. Trafic standard spre internet, fără restricții interne.

VLAN IoT

Becuri smart, prize inteligente, camere, termostate, orice dispozitiv care “sună acasă” în mod dubios. Izolat de rețeaua principală — un dispozitiv IoT compromis nu are acces la laptopuri sau la NAS. Poate ieși pe internet dar nu poate comunica cu celelalte VLAN-uri.

Aceasta e poate cea mai importantă decizie de securitate dintr-un homelab. Dispozitivele IoT au firmware actualizat rar, vulnerabilități cunoscute și producători care dispar sau abandonează suportul. Le dai acces la internet pentru că au nevoie să funcționeze, dar le izolezi de restul rețelei.

VLAN Sandbox/HomeLab

Nodurile Proxmox, QNAP, VM-urile și LXC-urile din cluster. Acces la internet controlat, comunicare liberă între componente. Separat de rețeaua de uz general pentru că un experiment care merge prost (un container care consumă tot bandwidth-ul, un VM care face broadcast storms) nu afectează restul casei.

ER605 face routing între VLAN-uri cu reguli explicite — ce poate vorbi cu ce e definit clar, nu implicit.

Diagrama rețelei

Internet
    │
  ER605
    │
  SG2008P Switch Omada
    ├── VLAN Default  ──► Laptopuri, telefoane, TV
    ├── VLAN IoT      ──► Becuri, camere, smart home
    └── VLAN HomeLab  ──► Proxmox + QNAP
              │
    ┌─────────┴──────────┐
    │                    │
Switch 2.5G         Switch 2.5G
(AliExpress)        (AliExpress)
    │                    │
pve00  pve01         pve02  QNAP
                           TS-464

OC200 — Omada Hardware Controller (independent)

AP-uri Omada (4x) — toate VLAN-urile propagate wireless
  EAP653 Etaj 2
  EAP653 Parter 2
  EAP265 Etaj 1
  EAP265 Parter 1

Ce funcționează bine

OC200 ca controller hardware dedicat — independent de cluster-ul Proxmox, mereu activ, consum neglijabil. Îți dă vizibilitate completă pe tot stack-ul: câți clienți sunt pe fiecare AP, ce bandwidth consumă, uptime per dispozitiv.

VLAN-urile prin controller — configuri o dată, se propagă pe switch și pe toate AP-urile automat. Dacă adaugi un AP nou, preia automat configurația VLAN existentă.

2.5Gbps intern — transferurile între Proxmox și QNAP sunt limitate acum de QNAP, nu de rețea. Switch-urile ieftine de pe AliExpress nu au dat nicio problemă în utilizare reală.

Ce aș schimba

Switch-urile de 2.5Gbps de pe AliExpress sunt unmanaged — nu pot face trunking VLAN pe ele. Asta înseamnă că traficul de homelab și traficul de management merg pe același cablu fizic spre SG2008P, unde se separă. Funcționează, dar nu e elegant. La o viitoare iterație aș lua un switch managed de 2.5Gbps — există opțiuni TP-Link TL-SG105-M2 la ~200 RON care fac trunking VLAN și s-ar integra mai curat în stack-ul Omada.

Altfel — rețeaua funcționează exact cum ar trebui. Izolarea IoT dă liniște, 2.5Gbps intern face homelab-ul considerabil mai rapid, și gestionarea centralizată prin OC200 elimină nevoia de a accesa fiecare dispozitiv separat.

Posturi din aceeași serie:

by ·2 Comments

Pe propria piele am decis sa testez versiunea gratuita a lui Cloudflare. Doream un loc unde sa hostez dns-ul pentru ill.ro, am zis ca las pe locul 2 afraid.org pentru moment. Avantajele unui cont gratuit Cloudflare pentru mine ar fi – zona unde sa tin DNS-ul si mai mult decat atat https gratuit – aveam si inainte pe LetsEncrypt dar am zis sa incerc si Cloudflare.

Daca iti hostezi blogul acasa, expunerea acestuia direct pe internet vine cu riscuri de securitate. Folosind un cont gratuit Cloudflare pentru gestionarea DNS-ului si protejarea traficului, poti obtine beneficii semnificative atat in ceea ce priveste securitatea, cat si performanta site-ului tau.

1. Securitate sporita prin filtrarea traficului

Cloudflare functioneaza ca un proxy intre vizitatori si serverul tau, ceea ce inseamna ca atacurile directe asupra IP-ului tau real sunt mult mai dificie. Unul dintre cele mai mari avantaje este posibilitatea de a configura firewall-ul astfel incat sa permita accesul pe portul 443 doar de la IP-urile Cloudflare.

Cum functioneaza?

  • Cloudflare ofera o lista de IP-uri pe care le poti folosi pentru a permite accesul doar de la infrastructura lor. Lista actualizata de IP-uri Cloudflare poate fi gasita aici: Cloudflare IP Ranges.
  • In pfSense/omada sau orice alt firewall, poti configura reguli pentru a bloca accesul direct din internet pe portul 443 si sa permiti doar IP-urile Cloudflare.
  • Acest lucru inseamna ca atacurile automate sau scanarile de porturi nu vor ajunge la serverul tau, deoarece doar traficul proxy Cloudflare este acceptat.

2. Protectie impotriva atacurilor DDoS

Cloudflare include in planul gratuit protectie de baza impotriva atacurilor DDoS, filtrand cererile malitioase si blocand traficul suspect. Acest lucru este esential pentru selfhosting, deoarece conexiunea ta nu are latimea de banda necesara pentru a sustine un atac de amploare (1GB de la RDS poate fi suficient, dar sigur nu ai infrastructura sa treci printr-un DDoS).

3. Cache si imbunatatirea performantelor

Cloudflare poate prelua o parte din continutul static al site-ului tau (imagini, CSS, JavaScript) si sa il serveasca direct din reteaua lor globala, reducand astfel incarcarea pe serverul tau. Acest lucru duce la:

  • Timp de incarcare mai rapid pentru vizitatori
  • Consum mai redus de resurse pe serverul tau
  • Mai putina latime de banda utilizata pe conexiunea ta de internet

4. Certificat SSL gratuit

Activand Cloudflare, poti obtine un certificat SSL gratuit si sa iti securizezi conexiunea HTTPS fara a fi nevoie sa instalezi si sa reinnoiesti manual certificate pe serverul tau – asta mie imi pare un mare avantaj ca mi-a expirat de cateva ori certificatul de la LetsEncrypt ca nu aveam portul corect expus. Dar daca dadea eroarea aia de certificat…. se supara cineva? :))

5. Ascunderea IP-ului real al serverului

Atunci cand folosesti Cloudflare, adresa IP a serverului tau ramane pitita, ceea ce inseamna ca un atacator nu poate identifica cu usurinta unde este hostat blogul tau. Acest lucru iti protejeaza infrastructura si reduce sansele unor atacuri tintite.

6. Beneficiile unui plan platit

Daca esti bogat si decizi sa cumperi macar cea mai basic subscriptie Cloudflare, vei avea acces la functii avansate precum:

  • Load Balancing – distribuirea traficului intre mai multe servere pentru a imbunatati disponibilitatea si performanta.
  • WAF (Web Application Firewall) – protejarea aplicatiilor web impotriva atacurilor comune, cum ar fi SQL injection si XSS.
  • Prioritizare la mitigarea atacurilor DDoS – protectie imbunatatita impotriva atacurilor mai sofisticate.
  • Reguli personalizate pentru firewall – control mai granular asupra traficului si atacurilor blocate.
  • Analize detaliate despre trafic – acces la rapoarte avansate despre cine acceseaza site-ul tau si potentiale amenintari.

Concluzie


In Cloud e simplu, cu toate ca servicii asemanatoare cloudflare se puteau tine acasa sub alte forme / solutii cred ca asta e cea mai rapida metoda, in doar cativa pasi, prin care poti sa te protejezi un pic.