Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Consigli per Nuovo progetto

    Scheduled Pinned Locked Moved
    Italiano
    2
    3
    1.1k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • W
      wifi75
      last edited by wifi75

      Ciao a tutti, finalmente ho messo su una macchina su cui è installato PFsense ( non ancora in produzione) con le seguenti caratteristiche:

      • Cpu I5-3470 3.2Ghz,
      • Ram: 8 Gb
      • Disco: SSD da 120Gb
      • Rete: 7 schede ethernet Gb.

      Partiamo dalla wan che sarà ben presto una Ftth 1Gb con ip pubblico dinamico.

      Adesso invece la mia rete si presenza cosi:

      Un router Fritzbox con dns dinamico con un mio dominio, i dispositivi sono tutti su un'unica rete, e sono:

      • 4 access point AC Zyxel
      • 2 switch management Poe
      • 2 Nas Qnap
      • 1 mini server proxmox
      • 1 Ups con scheda di rete
      • diverse decine di dispositivi smart, pc, tablet, telecamere con recorder, antifurto casa, ecc ecc

      Come dicevo prima, su questa rete è presente un mini server con Proxmox sul quale girano diversi server raggiungibili dalla wan:

      • Server Home Assistant
      • Server meteo
      • Server gestione fotovoltaico
      • Server Reverse Proxy
      • Server Pihole
      • Server gestione irrigazione

      tutti con certificato ssl generato da reverse proxy, il quale scarica i certificati ssl gratuiti Let's Encrypt.

      La mia idea è quella di creare per ogni scheda di rete una zona DMZ su cui far girare il mini server Proxmox e differenti vlan ma soprattutto OpenVPN.

      su una vlan potrei metterci il management degli AP, gli switch
      su un'altra vlan tutti i dispositivi come smartphone, tv smart, pc
      su un'altra vlan tutti i dispositivi domotici

      Su firewall Pfsense installare HAProxy e Acme Certificates e dare a pfsense il compito di scaricare i vari certificati da assegnare al mio dominio mentre con l'ausilio di HAProxy assegnare i ceriticati ai vari server.

      rimuovere il server pihole ed installare SNort.

      ...poi vedremo come configurare il tutto....

      Intanto cosa ne pensate?
      Attendo vostre idee e soluzioni al fine di migliorare questo progetto casa.

      Grazie

      S 1 Reply Last reply Reply Quote 0
      • S
        sandrinho1976 @wifi75
        last edited by

        @wifi75
        alcune cosette qua e la:

        • creerei delle vlan per:
        1. management device di rete
        2. pc, qnap
        3. smartphone
        4. videosorveglianza + recorder (a meno che non sia il recorder non sia il qnap)
        5. antifurto + ups
        6. tv smart e altra domotica (se il tv smart accede anche al qnap forse ti conviene creare una vlan dedicata, tanto sono gratis ;-) )
        7. dmz
        8. connessione wan all'ont

        • vista l'estrema abbondanza di schede di rete sul firewall, farei dei trunk lagg su cui attesterei le vlan, raggruppandole magari per criticità/security (es. tre trunk 8+7+6 | 3+4+5 | 1+2 da due link eth ciascuno, e ti lasci una interfaccia spare), in modo che hai ridondanza/loadbalancing

        • non so quanto ti convenga spostare la generazione dei certificati su pfsense, piuttosto vedi se il tuo provider DNS ha delle api, con un po' di scripting potresti generarti un certificato wildcard.

        my2cents

        Ciao.

        W 1 Reply Last reply Reply Quote 0
        • W
          wifi75 @sandrinho1976
          last edited by

          @sandrinho1976 Ciao e grazie per la tua risposta, io da locale comunque dovrò raggiungere tutte le vlan.
          Forse l'unico server che resterà pubblico sarà il server meteo, se creo l'accesso Vpn sono apposto, con credi?
          Ti confermo che il mio provider Dynu.com ha le api, infatti le avevo configurate su acme sotto pfsene (per provare...), ma se dici che posso fare a meno di aceme+HAproxy, puoi spiegarmi quali sono i passaggi per generare in automatico i vari certificati ?

          Dato che sei abbastanza esperto, vorrei prendere il tuo consiglio come una soluzione definitiva al mio progetto.
          ho visto che mi hai consigliato di creare 8 vlan, io francamente avrei messo tutti i server sotto una vlan inclusi i 2 qnap.

          Il trunk non dovrebbe aumentare la larghezza di banda ?
          comunque io ho a disposizione 7 schede di rete come faccio a creare i trunk che mi hai indicato? mancherebbe una scheda o sbaglio?

          1 Reply Last reply Reply Quote 0
          • First post
            Last post