Mijn netwerkopzet: MikroTik, pfSense en VLANs
Hoe mijn homelab-netwerk nu is opgebouwd met MikroTik, pfSense en VLANs.
Mijn netwerk is langzaam gegroeid van een simpel thuisnetwerk naar iets waar ik echt even over moet nadenken voordat ik een kabel verplaats.
Dat klinkt misschien zwaarder dan het is, maar met meerdere Proxmox-nodes, self-hosted diensten, IoT-apparaten, testomgevingen en storageverkeer wordt een plat netwerk al snel irritant. Niet meteen kapot, wel onhandig. Vooral zodra je wilt weten waarom iets niet werkt, of waarom een apparaat ergens bij kan waar het niets te zoeken heeft.
Daarom gebruik ik nu pfSense, een MikroTik CRS309 en meerdere VLANs.
De switch in het midden
De MikroTik CRS309 is het punt waar het meeste samenkomt. Daarop zitten onder andere mijn Ubiquiti UniFi U7 Pro XG access point, mijn modem, zes Proxmox-nodes en een 1GbE-uplink naar een TP-Link TL-SG108.
Die TP-Link is unmanaged en hangt er vooral bij voor apparaten die geen snelle verbinding nodig hebben. Denk aan simpele IoT-apparaten of mijn test node. Niet alles hoeft direct op 10GbE te zitten.
pfSense doet de routing en firewallregels. De MikroTik doet de switchlaag: welke poort welk VLAN krijgt, wat tagged over een trunk loopt en wat juist untagged naar een apparaat moet.
Dat laatste is het stuk waar je snel fouten maakt. Eén verkeerd VLAN op een poort en je zoekt eerst op de verkeerde plek.
Waarom VLANs?
Ik wil mijn Proxmox-management niet op hetzelfde netwerk hebben als gasten of IoT-apparaten. Ik wil ook niet dat een test-VM per ongeluk bij dingen kan waar hij niets mee te maken heeft.
Een los VLAN lost niet automatisch alles op. Zonder firewallregels is het vooral administratie. Maar het geeft wel een duidelijke basis: dit hoort bij beheer, dit bij servers, dit bij gasten, dit bij IoT, dit bij storage.
Dat maakt het makkelijker om regels te schrijven en later nog te begrijpen waarom ze bestaan.
De segmenten
Mijn management-VLAN is bedoeld voor beheerinterfaces zoals Proxmox, switches en pfSense. Dat netwerk wil ik zo klein mogelijk houden. Alleen apparaten waarmee ik beheer doe, hoeven daarbij te kunnen.
Voor normale diensten gebruik ik een server- en diensten-VLAN. Daar draaien applicaties, VM’s en containers die bereikbaar moeten zijn binnen mijn omgeving, maar niet naast de beheerinterfaces hoeven te staan.
Voor experimenten heb ik een test-VLAN. Daar zet ik tijdelijke VM’s, oude installaties of software neer die ik nog niet vertrouw. Als daar iets stukgaat, wil ik vooral dat het daar blijft.
Gasten krijgen een eigen netwerk met internettoegang, maar zonder toegang tot mijn interne diensten. Dat is geen bijzondere enterprise-regel, gewoon logisch voor wifi die je aan iemand anders geeft.
IoT-apparaten zet ik ook apart. Veel van die apparaten hebben geen reden om mijn interne infrastructuur te zien. Meestal hebben ze internet nodig, soms één specifieke dienst, en verder niets.
Voor Ceph gebruik ik een apart storage-VLAN. Dat verkeer hoort niet tussen normaal clientverkeer, beheer en applicaties door te lopen. Het is druk genoeg van zichzelf.
pfSense en MikroTik samen
pfSense bepaalt wat tussen de VLANs mag praten. Standaard wil ik zo min mogelijk toestaan en daarna gericht openzetten wat nodig is.
De MikroTik zorgt dat het verkeer op de juiste poort en met de juiste tag aankomt. Voor Proxmox-nodes en het access point lopen meerdere VLANs tagged over één verbinding. Voor simpele apparaten moet het juist untagged worden aangeboden.
In theorie is dat overzichtelijk. In de praktijk blijft het opletten, vooral als er ergens een unmanaged switch tussen zit. Dan moet je goed weten welk VLAN daar untagged naartoe gaat, want daarna kun je niets meer taggen.
Wat het oplevert
Het grootste voordeel is niet snelheid. De 10GbE-backbone is fijn, maar de echte winst zit voor mij in overzicht.
Als iets niet werkt, kan ik gerichter zoeken. Zit het in pfSense? In de VLAN-tagging op de MikroTik? In de poortconfiguratie? Of gewoon in de VM zelf? Dat scheelt veel tijd.
Het voorkomt ook dat testwerk en dagelijkse diensten te veel door elkaar lopen. Ik kan iets nieuws proberen zonder meteen het gevoel te hebben dat mijn hele netwerk erbij betrokken is.
Volgende onderwerp
Na netwerk komt backup vanzelf bovendrijven. Niet als spannendste onderdeel van het homelab, wel als onderdeel dat bepaalt hoeveel risico je durft te nemen.
Daarom wil ik hierna opschrijven hoe ik Proxmox Backup Server gebruik, waarom ik backups los wil houden van het primaire cluster en waar ik nog verbetering zie.