inseriti video e todo per il futuro
This commit is contained in:
dado
@@ -40,17 +40,25 @@ Per la realizzazione, utilizzeró:
|
||||
|
||||
### VLAN
|
||||
|
||||
{{< youtube jC6MJTh9fRE >}}
|
||||
|
||||
L’obiettivo dell’introduzione delle VLAN nel mio homelab è la segmentazione della rete in reti logiche distinte, migliorando sicurezza, gestione del traffico e isolamento dei dispositivi.
|
||||
|
||||
Le `Virtual Local Area Networks` (`VLAN`) consentono di appunto suddividere una rete fisica in più reti logiche, raggruppando dispositivi e carichi di lavoro in base a criteri funzionali o di sicurezza. Ogni VLAN agisce come un dominio di broadcast separato, limitando la propagazione del traffico non necessario e migliorando la sicurezza complessiva.
|
||||
{{< youtube YMHN6Tnah1w >}}
|
||||
|
||||
Le VLAN aggiungono un tag di 4 byte (`802.1Q`) all’intestazione dei frame Ethernet, consentendo a switch e dispositivi compatibili di identificare la VLAN di appartenenza. I frame possono essere:
|
||||
Le `Virtual Local Area Networks` (`VLAN`) consentono di appunto suddividere una rete fisica in più reti logiche, raggruppando dispositivi e carichi di lavoro in base a criteri funzionali o di sicurezza. Ogni VLAN agisce come un **dominio di broadcast separato**, limitando la propagazione del traffico non necessario e migliorando la sicurezza complessiva.
|
||||
|
||||
{{< youtube C2FrTZxi_NI >}}
|
||||
|
||||
Le VLAN aggiungono un tag di 4 byte, utilizzando il protocollo di incapsulamento `[802.1Q](https://it.wikipedia.org/wiki/IEEE_802.1Q)`, all’intestazione dei frame Ethernet, consentendo a switch e dispositivi compatibili di identificare la VLAN di appartenenza. I frame possono essere:
|
||||
|
||||
- `Tagged`: contengono un VLAN ID esplicito, che indica a quale VLAN il frame appartiene
|
||||
- `Untagged`: non contengono VLAN ID e vengono assegnati a una VLAN tramite il `PVID` (*Port VLAN ID*)
|
||||
|
||||
Gli switch che offrono il supporto VLAN sono definiti `switch gestiti` o `managed`, mentre quelli che non lo offrono sono `non gestiti` o `unmanaged`.
|
||||
|
||||
{{< youtube MNZa-S4E-To >}}
|
||||
|
||||
#### Tagged frame
|
||||
|
||||
I frame taggati includono un VLAN ID nell’intestazione e sono utilizzati tra dispositivi `VLAN-aware` (switch, firewall, access point, ecc.). Le porte in `trunk` su uno switch consentono il transito di più VLAN su un unico link fisico, taggando i frame per identificarne l’appartenenza.
|
||||
@@ -103,6 +111,8 @@ Di seguito il diagramma dell'infrastruttura fisica:
|
||||
|
||||
In particolare, il router 5g funge da gateway principale per la connessione a Internet (`WAN`).
|
||||
|
||||
{{< youtube NyZWSvSj8ek >}}
|
||||
|
||||
> Come misura di sicurezza, ho deciso di disattivare tutte le porte non utilizzate sullo switch.
|
||||
|
||||
## Configurazione switch
|
||||
@@ -167,6 +177,10 @@ In questo contesto, i termini sono leggermente differenti, ma i concetti sono i
|
||||
|
||||
Proxmox VE è un [hypervisor di tipo 1](https://it.wikipedia.org/wiki/Hypervisor) (*bare-metal*), basato su Debian, che consente di creare ed eseguire macchine virtuali e container LXC.
|
||||
|
||||
Di seguito, un ottimo video che riassume i passaggi successivi:
|
||||
|
||||
{{< youtube VcTGKBHcqmk >}}
|
||||
|
||||
### Installazione di PVE
|
||||
|
||||
- Abilitare `Secure Boot` dal firmware UEFI
|
||||
@@ -224,6 +238,8 @@ rtt min/avg/max/mdev = 0.418/0.451/0.484/0.033 ms
|
||||
|
||||
|
||||
|
||||
{{< youtube _NofH6TjB3U >}}
|
||||
|
||||
Il risultante file di configurazione:
|
||||
|
||||
```txt
|
||||
@@ -270,6 +286,10 @@ OPNsense è un firewall open source basato su FreeBSD, sviluppato da Deciso, un'
|
||||
|
||||
### Creazione VM
|
||||
|
||||
{{< youtube RpCjlyvOt18 >}}
|
||||
|
||||
{{< youtube vJBoCgptF-0 >}}
|
||||
|
||||
- Cliccare il pulsante `Create VM`, in alto a destra
|
||||
- Scegliere un nome e un ID per la VM
|
||||
- Abilitare lo `Start at boot`
|
||||
@@ -322,6 +342,8 @@ SSD emulation
|
||||
|
||||
### Installazione di OPNsense
|
||||
|
||||
{{< youtube 1HRjOvCRaZ8 >}}
|
||||
|
||||
- Avviare la VM e procedere con l'installazione
|
||||
- Durante il boot, quando compare il messaggio *Press any key to start the manual interface assignment*, premere un tasto per assegnare manualmente le interfacce di rete. In questa fase verranno assegnate solo due interfacce, WAN e LAN. Le VLAN verranno create in seguito tramite GUI.
|
||||
|
||||
@@ -342,7 +364,9 @@ SSD emulation
|
||||
- Non serve modificare la password di root in questa fase (verrà cambiata successivamente tramite GUI)
|
||||
- Al termine della instalalzione, il sistema si riavvierà. Quando il boot sarà completato, si consiglia di spegnere la VM e rimuovere l’unità CD/DVD dalle impostazioni hardware della VM. Infine, avviarla nuovamente
|
||||
|
||||
### Primo avvio di OPNsense
|
||||
### Primo avvio
|
||||
|
||||
{{< youtube hg5-jrzevfs >}}
|
||||
|
||||
- Dopo il riavvio, l’interfaccia LAN avrà un indirizzo IP predefinito non corretto
|
||||
- Per prima cosa, tramite la console web, accedere con le credenziali predefinite:
|
||||
@@ -376,6 +400,8 @@ Password: opnsense
|
||||
|
||||
### Creazione delle VLAN
|
||||
|
||||
{{< youtube 9hJyWaQ2x28 >}}
|
||||
|
||||
- Nella sezione `Interfaces > Assignments` viene visualizzato il nome dell’interfaccia fisica associata alla LAN (es. `vtnet1`). Tale interfaccia sarà utilizzata come *parent* per la configurazione delle VLAN
|
||||
- Avviare la VM e creare la VLAN 10 `10_LAN` da `Interfaces > Devices > VLAN`
|
||||
|
||||
@@ -417,6 +443,10 @@ Description: allow acces OPNsense Web GUI
|
||||
|
||||
- Se il collegamento avviene in maniera corretta, è possibile disabilitare la regola temporanea per l’accesso dalla VLAN 10 alla web GUI. Inoltre, da `Interfaces > LAN`, è possibile disabilitare l’interfaccia fisica non taggata, rimuovendo l'assegnazione della LAN da `Interfaces > Assignments`.
|
||||
|
||||
Un video che illustra la creazione delle VLAN, come creare una VPN con Wireguard, Port Forwarding, diverse Firewall Rules, come configurare il DHCP, ecc.
|
||||
|
||||
{{< youtube UI5tO1hP2q8 >}}
|
||||
|
||||
### Configurare DHCP (Opzionale)
|
||||
|
||||
- Accedere alla sezione `Services > Dnsmasq DNS & DHCP` per iniziare la configurazione del servizio DHCP.
|
||||
@@ -530,10 +560,22 @@ void({ //Ext.Msg.show({
|
||||
systemctl restart pveproxy.service
|
||||
```
|
||||
|
||||
### Security Update
|
||||
|
||||
{{< youtube TTXM80dFKSk >}}
|
||||
|
||||
## Videorecap
|
||||
|
||||
{{< youtube fPP4UE6IuRc >}}
|
||||
|
||||
## Futuro
|
||||
|
||||
|
||||
|
||||
- Upgrade switch 1G con switch a 2.5G, come i [SODOLA](https://www.sodola-network.com/products/sodola-9-port-2-5g-smart-web-ethernet-switch-1-10g-sfp-slot-8-x-2-5g-base-t-ports-static-aggregation-qos-vlan-igmp-supported-metal-fanless-managed-multi-gigabit-switch-mtwg)
|
||||
- Introdurre un NAS [UGREEN NASync DXP2800](https://www.amazon.it/UGREEN-Quad-core-Enthernet-archiviazione-collegata/dp/B0D2K9J5TY)
|
||||
- Un `AP PoE`, come il [TP-Link AP TL-WA1201](https://www.amazon.it/TP-Link-TL-WA1201-extender-multi-SSID-tecnologia/dp/B07HWKWH54)
|
||||
|
||||
## Riferimenti
|
||||
|
||||
- [Proxmox VE Administration Guide](https://pve.proxmox.com/pve-docs/pve-admin-guide.html#chapter_introduction)
|
||||
|
||||
Reference in New Issue
Block a user