Que buen vídeo!! Quiero montar algo parecido pero tengo algunas dudas de cómo plantear las vlans y cómo configurarlas. Que dispositivos meter en cada una, como añadir las mv de Proxmox.. Podrías hacer algún vídeo montando y configurando alguna de las vlan que planteas, sería de gran ayuda!!
Muchas gracias por compartir tus conocimientos 👍. Quizás te interese tener un solo SSID en la wifi y usar RADIUS-Based MAC Authentication con 802.1X, para de esta forma aun teniendo un solo SSID configurado en los APs (cosa muy ventajosa a nivel de utilización de espectro y canalización RF) cada dispositivo que se conecte se “enlace” a su vlan que le definas para ese dispositivo o usuario. Por otro lado, respecto del tema TV Movistar, una vlan independiente sin pensarlo, es mi opinión. De nuevo, gracias por tus publicaciones. Ánimo y saludos 👋.
Esta opcion es la que uso actualmente y es de lo mejorcito, incluso que si no tienes registrada la mac, que se pueda conectar, pero vaya directamente a la vlan de invitados/aislada y asi, podra tener internet, pero no se podra conectar a ningun dispositivo, tanto de casa o que este conectado a esa red de invitado
Que genial que siempre haces énfasis en dejar una forma de que la infra sobreviva a ti, es genial y aplica especialmente en casa incluso más que en el trabajo
Por favor,hazte un video con la Vpn de salida... Por temas de confidencialidad y de que las operadoras no sean capaces de acceder a toda tu información. Muchas gracias PD. Hace tiempo que no te lo digo, pero como siempre enhorabuena
Como recomendación anliza el manejo fe trunk de tus vLan y el diseño. Y por otro lado aunque suene raro las vLan no son un tema de seguridad sino de manejo de administración de direcciónes. Para proteger las vLan entre si obedece a el manejo de enrutamiento, puertos, protocolo y encfiptacion de tacacs tags y otros temas de cifrado.
Yo también estoy pensando en segmentar mi red de casa, que aunque todavía tengo muy poca domótica la quiero tener separada. En cuanto a mi caso solo estoy contemplando crear una única vlan para ellos en mi pfsense y la diferenciación de a que dispositivos les doy acceso a internet y a cuales no seguramente la haga a partir de las IP's que les dé (estáticas o dinámicas) de modo que para ello crearé una regla en el firewall que se base en un alias, el cual puedo configurar de modo sencillo en cualquier momento
16:35 de nada. Sí, he llegado hasta ahí, he entendido muy poco de lo que has comentado pero lo he escuchado hasta el final con un café que, al final, se me ha quedado frío ;). Un saludo Carlos.
Siempre quedamos hasta el final, ya que o sé cómo haces, pero nos enganchas... gracias por todo y espero que algún día nos expliques como hacer este pedazo configuración paso a paso. Un saludo
Muy instructivo! Por cierto, respecto a la noticia que comentabas, lo que se buscan son IPs de emisores, no de receptores de ese servicio del que hablamos. Con la IP del emisor, y si coincide con un abonado, se puede denunciar a alguien por distribuir dicho servicio. Si se buscara a un receptor, hay una amplia jurisprudencia que aclara que una ip no es un dato suficiente para identificar a un usuario. Porque no se puede responsabilizar a un titular de un contrato de telefonia/internet por el uso que todos los usuarios de su red domestica hacen. Pero si, igualmente, es un buen paso. A nadie le importa que usas en tu casa. Ahi te dejo otro apunte para otro vblog: comentarios y opiniones sobre servicios vpn de salida. Pros, contras, y la búsqueda de las tres BBB...
Si, pero ya sabes por donde empiezan y donde terminan... y mira que no consumo ese tipo de servicio, pero a veces me fastidia enormemente la falta de privacidad que tenemos
Gracias por el vídeo. Tengo un pequeña segmentacion en mi red: principal, invitados e iot pero no puedo acceder desde mi principal a iot y si tento algun dispositivo iot tengo que acceder por internet ¿Como haces para acceder a esos dispositivos aislados en la vlan? Muy gracias de antemano
Excelente video. Con respecto a lo de IOT, en casa tengo un router especifico bajo una subnet y libero los puertos necesarios para poder controlarlos. Con eso me aseguro de descongestionar la red principal. También hice lo mismo con las camaras, libero ancho de banda en la red principal y lo unico que sale de video es el AgentDVR (intenté configurar frigate, pero tuve mas dolores de cabeza que aciertos)
Interesante lo que has comentado de Proxmox... entiendo que al minipc donde está Proxmox le deben llegar todas las vlans y ya ahí gestionarlas de forma independiente en cada VM o LXC. Por otro lado y precisamente por facilidad en el mantenimiento tenía pensado pillarme un router Unifi para administrar todo desde el controlador pero claro... pones los dientes largos con OPNSense...
Muy buenas. me encantan tus videos, super bien explicado...me empieza a picar la curiosidad con esto de las redes...aunque soy programador y el mundo redes no se yo jejeje. quería empezar por quitar el router de la operadora...y un futuro poner una red mesh....tengo una ont y un ruter con vodafone. que router neutro me recomiendas¿? estoy mirando el TP-Link Archer AX72 Pro; pero quizá con algo mas sencillo me iría bien. perdona el telegrama. mil gracias
Una pregunta, he visto que has dejado solo las cámaras solas. Yo tengo varias WLAN, una principal, la del trabajo (el PC del trabajo no se si fiarme mucho de lo que hagan ya que no lo administro yo), otra para IOT (TV, Kindle, Alexa) y otra domotica (Shellys, tado ...). Ya no puedo meter más WLAN. Recomendarías meter lo que he llamado IOT en la de domótica y dejar una de cámaras? Saludos!
Tema que siempre deja indeciso, porque es flexible y puede tener consecuencias importantes. En mis clientes más "gordos" suelo poner: -vlan administración (servidores, proxmox y administración de los elementos de red como routers, AP y switches). Si puedo, meto allí la interfaz de configuración de las cámaras. -vlan de sonido. Muchos clientes (y yo en casa) tienen música multiroom con diferentes marcas (sonos, un infierno, yamaha musiccast menos problemático). Ese "multicast" o "manycast" tiende a tirar a veces la red, así que lo aíslo en una vlan cuando puedo. Hay que hacer algún trabajo para poder usar las app de control de estos cacharros que se suele instalar en los móviles de los habitantes. -vlan de domótica. Intento usar dispositivos en local, y todos llevan la misma ssid (oculta a los habitantes). -vlan de videovigilancia, uniendo cámaras con el grabador (últimamente shinobi). Si puedo, por esta vlan sólo viaja el vídeo, no la interfaz de configuración de los cacharros. -vlan de habitantes. Da acceso a internet y control local de domótica. No suelo dar acceso a las cámaras desde ella. -vlan de invitados, básicamente un wifi aislado con velocidad también limitada y una clave que va variando. A veces con un hotspot. -VPN para acceso externo de los habitantes a servicios, como domótica o videovigilancia (ovpn o wireguard) -VPN para acceso externo a servicio técnico (mi acceso remoto, vaya) Cada tramo tiene su direccionamiento y el router core es quien filtra. Últimamente uso CAP's de mikrotik para que cada AP de la red emita las ssid que se necesitan. Esto facilita mucho la distribución por vlan de cada tráfico wifi. Suele haber tramos cableados, tramos wifi mesh... según se necesite. Esto, si no hay un administrador, se cae. Es así, por mucho que dejes manuales: si el cliente contrata otra empresa para llevarlo, les suele parecer una locura, no lo entienden y revientan todo. Al menos esa es mi experiencia. En casa es donde hago los experimentos de simplificación, buscando reducir la complejidad para el momento en que yo no esté que la casa sea autónoma y "mantenible" por cualquier persona sin demasiado conocimiento. Por el momento tengo un server proxmox (demasiado grande, porque lleva un raid de discos de 3,5 y eso ocupa espacio). En una zona alejada de la casa, otro PC con otro raid para las copias de seguridad de todo. La virtualización ha sido la leche en los últimos 10 años me ha facilitado la cosa hasta el infinito. Pero en estos momentos me planteo sustituir algunas máquinas virtuales por cajas más tontas, tal vez con raspberry pi, para que el sistema sea más resiliente. Si se rompe una de estas máquinas físicas, pierdo "sólo" la videovigilancia, o el Home Assistant, o el tramo que se muera. Lo demás resistirá. Obviamente no es lo mismo poner a funcionar un server proxmox con cinco máquinas y su embrollo de red que una sola máquina. Ahí ando sin decidirme. Últimamente le doy vueltas a la idea de tener un par de máquinas de reserva, que pudieran servir para cualquier propósito y se pudieran restaurar de forma sencilla desde el backup por una persona normal a quien se deje un manual de instrucciones breve. Implicaría cambiar el sistema con el que nombro los backups, hacer scripting para la recuperación, etc; en fin, un proyecto complejo (y chulo!). Ostia, qué tocho. Perdón Locura total
Jajaja si, menudo tocho. No me sorprende que venga otro mantenedor y lo cambie. Es algo muy custom y no habitual para una vivienda. Imagino que serán clientes con mansiones o similares pero me ha sorprendido que les parezca bien que accedas a su red. Que es cómodo para los problemas pero en cuanto a privacidad, si ya no lo soy en mi casa que me queda... Curioso cuanto menos.
@@oOSephirothOo si, no es para un piso de tres habitaciones. Fincas ¿pijas? tipo torero con casa principal, jardines, cocheras, casas de invitados... De pronto te organizan un sarao con 200 invitados, siempre incluido Bertin Osborne.Y te sorprendería (para mal) ver la seguridad que tienen muchas de ellas.
IoT debe obedecer a un servidor y este debe obedecer a un orden por protocolos listados de navegación. Mejor dicho analiza el comportamiento de tráfico interno y despues el como sera el trafico externo hacia internet y a que puertos obedece y bajo que reglas en firewall y cuales tl vez sean dmz
He llegado al final!! Y muy buen video! Estás montando una mega red empresarial en casa jeje sobretodo con vlans, importante también no meter tantas vlans ya que a mayor cantidad la red puede volverse más lenta si los switch no son de gama alta por temas de cpu y memoria en cuanto al tagueo y destageo de vlans… Pero en conclusión súper genial y motivador! Un saludos
pues mira te comento tengo una instalacion parecida a la tuya y lo que hice fue los que son 100% local en una cerrada y en la principal los que dependen de cloud
Aquí otro friki! :) gracias como siempre. Yo lo tengo parecido; para mis usos tengo: red de ordenadores, móviles, invitados, iot,cctv,nas,gestion (para las interfaces de switches, controladora unify, dockers de gestión, netbox,etc..),voip, servicios internos (como pihole), servicios externos (alguna cosilla publicada como la VPN) y la propia WAN (que realmente es sd-wan). Respecto a la parte de IOT yo la tengo en uno único y con reglas de firewall y grupos en el propio firewall controlo lo que quiero que salga y lo que no (ya que realmente al estar por Wifi, en Unify tengo que no se vean entre ellos con el Isolation, sólo ven el gateway del firewall); si te es mucho lío por simplificar, podrías configurar las reglas en base a los rangos de red. Al final depende del uso y la flexibilidad; al final vas evolucionándolo con el tiempo pero sentar la base es fundamental. Respecto a lo de la TV, yo la pasaría como una más y listo al igual que tengo yo la de VOIP tras quitar el router de Movistar también
Me gusta, tienes un trabajazo ahí también . Respecto a voip yo empecé a montar un asterisc con Movistar pero me pasé a 10 Gbe de digi y ya no uso fijo solo móvil y lo dejé apartado
Habrás tenido que cambiar los rangos de IP de los dispositivos, levantar servicio DHCP por cada VLAN, etc. En los dispositivos domóticos es sencillo el cambio de IP ?
Con todo lo que has comentado que quieres o has hecho ya, da para una carrera de 3 años en telemática. Salvo el tema de las cámaras que te doy la razón. Creo te has pasado con la seguridad en es resto de cosas a no ser que tengas amigos o familiares hackers. Pero supongo que como muchas veces dices, esto no lo haces por necesidad sino porque te gustas y puedes.
Puedes poner IoT con Internet bloqueado pero el home asisstant necesitara 2 ips o una regla de firewall. De todas formas yo si permitiría conectarse a los dispositivos IoT pero con un filtro DNS.
Hola loco. Me tiene intrigado por que has elegido el router Asus (que vale un pastizal) en lugar de una solución más modular, tipo Omada o similar, a la que siempre le puedes añadir más APs si los necesitas….Que sigas tan loco. Un saludo.
Yo hay algo que no entiendo. Si metes todas las cámaras y frigate en una VLAN aislada que no es accesible desde el el resto ¿cómo haces para ver las cámaras? ¿Desde donde?
En mi caso para segmentar la red he utilizado openwrt para dividirla en tres invitados, dispositivos domóticos o Iot, y otra para teléfonos portátiles etc, la Iot la he dejado con acceso a internet pero sin acceso a nada más solo he creado una, también he configurado un wireguard en el openwrt para acceder a la red del pueblo directamente, he visto que también está tailscale disponible pero como ya lo tenia montado todo no lo he probado
En realidad Tailscale utiliza wireguard por debajo, lo que te quita es la configuración... así que si ya tienes montado wireguard, no ganas nada como tal :)
@@unlocoysutecnologia si, ya me calenté bien la cabeza para hacerlo funcionar , pero mereció la pena por qué me simplifica mucho el gestionar lo que tengo allí
Veo que no soy el único friki del tema, y aprovechando unos "aparatitos" que se cambiaban en la oficina, estoy montando un firewall FortiGate y un switch Cisco en casa y segmentar el ganado, 4 vlans, Invitados, Casa, Domotica, y Piso (es un apartamento para alquiler que lo tengo cableado con la misma conexión a internet que la mia). Todo lo que no es portátil o móvil, se va a la de domótica. Al no tener cámaras, no me parece tan necesario segmentar tanto la red por el mantenimiento que puede llevar en un futuro. Salu2 y cables!!
Buenas, puedes comentar qué ONT has puesto para Movistar/O2? Te funciona el teléfono? Yo tengo la red segmentada en tres vlans: home, domo y guests. En la home están todos los servicios, además de multimedia, en la domo la domotica y la guests es para invitados y pc's de mis hijas y mi mujer. Un saludo
Mi OLT es Alcatel así que tengo puesta una Nokia ahora mismo (huawei también funciona). El teléfono fijo lo tengo configurado en el móvil a través de SIP, en casa no quedan teléfonos fijos, pero hay alternativas, se puede comprar un adaptador SIP ATA
Me he enterado de todo lo que has dicho...solo me queda la duda si ese router te siega el cesped de la zona piscina...? " broma " siempre es un placer escucharte...saludos. pd....ha se me olvidaba...el router asus las vlans para tu operador "creo que es movistar"...se configuran bien para la tv y datos...perooooo me gustaria saber como has configurado el apartado de voz ip......en mi caso, el telefono fijo...al carajo, se fue....y eso que hable con el operador para que me lo habilitaran en la olt
Tengo a medias un proyecto parecido y el webserver lo programo con Thonny en MicroPython. Me simplifica mucho las cosas dado que tengo que hacer muchos cambios.
En vez de tener todo en hierros separados, yo he montado un equipo potente (4 Hdd, 3 SSD NVMe, 128Gb ECC ram, Xeon V4 2682, Coral PCIe, 1 puerto SFP+ (LAN 10G) + 1 puerto SFP (WAN XGPON FTTH)) que puede hacerlo todo virtualizando (TrueNAS + NextCloud + HAOS + Frigate + Pfsense) conectado por SFP+(10G) a un Switch Cisco 2960s de 48 puertos POE Gigabit, totalmente administrado. Habiendo cableado toda la casa con CAT7 hasta el rack del garaje, me enamora lo limpia, efectiva y sencilla que ha quedado la instalación, con la facilidad de subir toda la red a 2.5G o 10 cuando lo necesite, tan solo cambiando el switch. Revertir “mis martingalas”, solo requeriría de apagar el servidor y encender el router de Orange, que lo tengo preparado con la misma configuracion de IPs que el PFsense para que la casa siga funcionando en caso de catástrofe con el servidor.
Lo primero, me encanta el blog, yo no tengo mucho tiempo de mejorar mi domótica y mi red pero es verdad que algo he hecho a lo largo de los años cuando me han dejado mis hijos 😅, opnsense un acierto 100% te puedo decir como lo monté yo y si te vale, pues encantado (aviso que es un sistema Gastón en electrones pero es mi hobby) el corazón de mi sistema es un cluster proxmox de 5 nodos con placas Xeon chinas y tarjetas duales 10gbe por tanto con ceph usando discos nvme como osd va muy bien y un trunas con 15 x 4 tb que estoy pasando a nvme con adaptadores x4 en pcie por tanto opnsense virtualizado y el resto de servidores ya en red interna configurado con sdn a velocidad 10gbe la wifi con tp-link deco mesh quizás el punto débil (lento digo no tengo wifi 6e ni 7) pero por ahora no lo necesito. Espero que te guste jejeje algunas ideas locas son tuyas
Como casi todos empecé con una vera lite o similar 10 años atrás -> una pi -> un nuc barato -> tan barato que me pillé 4 (pensé 4 me suena a mini cluster de proxmox ) -> esto iría mejor con un Synology de 4 -> mejor me paso a Synology de 8 junto a los 4 nuc’s -> el sinology fue de los que murieron por la CPU defectuosa NO QUIERO SYNOLOGY ME MONTO UN FREENAS!!!!! -> ¿que hace un freenas con unos nuc’s atom? -> monto 3 nodos chinos Xeon 24 hilos y su truenas chino -> ya que lo tengo a lo grande lo uso con mis alumnos del instituto (34 alumnos en remoto instalando Windows/linux a la vez) Me cachis! Va lento y me falta RAM ecc -> dos nodos más la navidades pasadas -> y papá Noel me ha traído este año 2 switch de fibra 10 Gbe 5 tarjetas duales fibra 10 Gbe con sus latiguillos de fibra y montado con Ceph 😢 todo en el black Friday -> Mi mujer dice que le debo el nuevo iPhone como castigo. PD me encantan tus vídeos !!
Al segmentar, hay que tener en cuenta los servicios que usan multicast para funcionar. Por ejemplo, una TV debería ir a la red de IoT pero si tienes el móvil en otra red no le podrías enviar video. Lo mismo si quieres imprimir desde el móvil y tienes la impresora en otro red. Total, que todo lo que parece que funciona por arte de magia dejará de funcionar si está en redes diferentes.
@@unlocoysutecnologiaun vídeo explicando un poco más esta parte estaría de lujo para los que, como yo, se están planteando la segmentación pero no terminamos de verlo claro.
@@unlocoysutecnologia vlan, mdns ,reglas, redirecciones, forwarding, firewall, multicast, tagged, etc... son palabros que la mayoría de gente desconoce, incluso si conoces algo de iot. Bastante tenemos con saber que es una subred y como definir un gateway como para más historias. Ahí tienes mucho contenido para sacar una serie de video sencillos cuando no tengas nada nuevo de iot (Es decir, cuando tu mujer no te deje comprarte mas cacharros).
Son IoT. En realidad no es mayor problema que permitir el tráfico desde la vlan donde esté el móvil a la de IoT, y activar el mdns entre vlanes. Probado y funciona :)
yo voy a segmentar tambien por VLANS y en cuanto a Iot solo voy a meter 1. Me niego a tener mil vlans porque esto empieza a complicarse. Sobre la VPN yo tengo montado Wireguard sobre el PfSense. Dentro del PfSense tengo tambien la VPN de Surfshark. Tengo un añadido el pfsense en HA de forma que puedo activar la VPN con un boton. Ideal para las carreras de F1. Y hablando del PfSense tengo tambien metido el HAProxy y asi me he quitado el NginX
Buenas loco! Como dejaste el home assistant? Con dos tarjetas de red? Una se contacta a la vlan de iot y otra a la vlan1 donde tienes todos los servidores? muchas gracias!
@@elmaslisto muchas gracias! Cual sería una buena configuración para el HA teniendo por ej 2 vlans. Una para iot y otra para servidores. El HA debería poder ser accedido desde la vlan de servidores y los dispositivos de iot acceder al HA Muchas gracias!
hola loco. trabajo en seguridad y mi primer consejo es... duerme tío. a mi el estress y no dormir me ha generado una neumonía de la que estoy convaleciente ahora. La parte de oro yo la dividí en dos vlans con dos ssid, pero al final he levantado un nac con un único ssid y redirijo a la vlan por autenticación por mac con 802.1x. baraje en principio dos vlans para dispositivos que por narices tenían que salir a internet y otra que no deberían bajo ningún concepto. pero honestamente, a mi con estas cosas se me va la pinza y cada dos por tres meto cosas nuevas, las borro... you know. Este vídeo da para largo y para oír opiniones de otros que siempre aprendo algo
Gran video! Muy interesante Imagino que tienes el router principal (open sense en una máquina virtual en proxmox , y eso lo enchufas al modulador ¿ubiquiti?) aparte también lo enchufas a los switches para que manejen todas las vlan (O al menos así lo imagino yo jajaja) la pregunta es.. no te preocupa que una falla en el server de proxmox (que por cierto donde lo corres?) tire abajo todo el chiringuito? Si se cae proxmox o la mv de open sense te quedas sin red Que como solución rápida pones otro router o conectas directo un PC al modulador de la fibra y fuera perooo.. No preferirías un router físico (con opensense p.e) pero que sea router físico ?
Y una duda, no es mejor por ejemplo en la red de IoT, bloquear el acceso a internet desde el router a los dispositivos que quieras? asi en la misma red unos accederan y otros no. Por lo demas, vaya red estas montando jejeje, voy pillando ideas como siempre, Gracias
Esta mañana empecé dibujando un mapa de equipos y vlanes, lo dejé porque se complicaba todo .... quedo atento a tus videos Seguro has probado OpenWRT comenta por qué has elegido OPNSense vs OpenWRT
Respecto a usar un servicio de VPN de salida a internet. He tenido nordvpn y muchas web bloquean o hace que funcione mas lenta la conexión. Por ejemplo el bbva no acepta conexión desde sus ips y pedir una ip estatica es muy caro. Lo que hacen algunos conocidos es alquilar un vps , ahi crear una vpn con wireguard y al menos cifras todo el trafico saliente de tu casa hasta un lugar que controlas tu, también es una opción económica un vps de 5€ te puede valer. Lo malo es que si se cae tambien te cae la de pulpo 😂😂 por eso no lo monte Ya nos cuentas lo que decides
Sinceramente, ninguna. Cada una tiene sus ventajas e inconvenientes. No te miento si te digo que ya he probado una decena y no me ha convencido del todo ninguna
Referente a la privacidad ,dudo que haya una compañía de VPN zero-log realmente . No se puede mezclar cosas como vpn y Tor, no tiene nada que ver. Por cierto, cuando hablas sobre la vlan-1, supongo que es un decir porque lo primero que hacer es deshabilitar/borrarla esa vlan. Esperando el siguiente video con ansia.un saludo
Buenas! A mi en mikrotik me enamoró. Es verdad que quizás no es intuitivo, pero se puede hacer casi de todo. Viendo el video se me ocurría un tema. No es mejor un mikrotik que tiene un hardware específico para redes como chip de switch que un minipc genérico. Respecto a las Vlan yo tengo una de equipos, otra para el home assistant, guest, iot y domotica. Todas pueden acceder a internet, lo que restrinjo es el tráfico entre ellas y si quiero algo en especial ya hago alguna regla específica. Por ejemplo los Shelly no deberían poder acceder a home Assistant pero hice un script en shelly para que si no había home assistant cambiara los detached por switch normal. La iptv la tengo muy sencilla. La tengo en una boca directa del router. Descansa!!
Mikrotik es un bicho muy potente, y no sé cuantos años lo he tenido, pero siempre he pensado que todo era como muy rebuscado, y ahora que he probado la familia pfsense/opnsense tengo la sensación de que todo es como más amigable. En cuanto a hardware, pues también me plantee lo mismo, pero para conexiones de 1gb va perfecto cualquier mini pc. Posiblemente para conexiones más burras (estilo 10gb con pppoe, opnsense se quede corto con este tipo de hardware)
Lamento comentarte que no es cierto que si tienes Vlan no puedas saltarlas. De hecho la 1 no la deberias utilizar para nada ya que es la de default y no puedes evitar que esté activa en todos los puertos. Si el swicth tiene activado el DTP para vlans es de lo mas sencillo hacer un vlan hopping. Las vlan deberian ser modo acces para que fuesen mas seguras y sencillas. En el firewall se deberia evitar que fuera con tag, mejor n puertas en modo acces (sin tag) a las vlans donde le pones la native el número de vlan que necesites. Si debes conectar dos swicthes "tageas" sólo el puerto que los une y lanzas el tráfico al otro swicth sin tagear en modeo acces.
¿Cómo que no se puede desactivar la 1 en los switches? Cuando quieras te enseño la configuración en los tp-link y en los d-link, tan fácil como sacar los puertos del grupo... y adios vlan 1 en esas bocas. Con respecto a que no puedes saltarlas, pues seguro que si aparece un experto en seguridad informática en casa me saca mil pegas... pero para mis necesidades, más que suficiente para tener seguridad.
yo al final configuré una vlan para la domotica en general, no logré que Home Assistant vea los dispositivos en otra red y por tanto los enchufes, esphome y demás estan en la misma red que los servidores y Home asistant
Tengo que decir que los videos de vlog son mos favoritos... Hay una cosa que no entiendo, comentas que quieres proteger el trafico de las camaras a toda costa, pero luego quieres montar tailscale como VPN directamente en el opnsense... Esa VPN depende de un tercero no es así? No te da respeto?
10 месяцев назад
Yo era feliz antes de ver este video, la felicidades de la ignorancia😂😂😂
loco para las camaras prueba un switch d-link cualquiera de la gama smart incluso alguno pequeño de 8p tiene el supervillance que te crea y ojo al dato te crea las VLAN de las camaras automaticamente sin hacer nada para ti eso es fantastico.
Que buen vídeo!! Quiero montar algo parecido pero tengo algunas dudas de cómo plantear las vlans y cómo configurarlas. Que dispositivos meter en cada una, como añadir las mv de Proxmox.. Podrías hacer algún vídeo montando y configurando alguna de las vlan que planteas, sería de gran ayuda!!
No entiendo mucho de redes, pero contigo estoy aprendiendo algunos conceptos interesantes.. muchas gracias por tus aportes..
Muchas gracias por compartir tus conocimientos 👍.
Quizás te interese tener un solo SSID en la wifi y usar RADIUS-Based MAC Authentication con 802.1X, para de esta forma aun teniendo un solo SSID configurado en los APs (cosa muy ventajosa a nivel de utilización de espectro y canalización RF) cada dispositivo que se conecte se “enlace” a su vlan que le definas para ese dispositivo o usuario.
Por otro lado, respecto del tema TV Movistar, una vlan independiente sin pensarlo, es mi opinión.
De nuevo, gracias por tus publicaciones. Ánimo y saludos 👋.
Esta opcion es la que uso actualmente y es de lo mejorcito, incluso que si no tienes registrada la mac, que se pueda conectar, pero vaya directamente a la vlan de invitados/aislada y asi, podra tener internet, pero no se podra conectar a ningun dispositivo, tanto de casa o que este conectado a esa red de invitado
Parece muy interesante, como funciona esto de Radius? Algún sitio donde pueda buscar algo de INFO o algún vídeo,
Que genial que siempre haces énfasis en dejar una forma de que la infra sobreviva a ti, es genial y aplica especialmente en casa incluso más que en el trabajo
Gracias por estos tipos de videos, me hacen pensar de las implementaciones/mejoras que puedo hacer en mi casa.
Espero con ansias el video de opnsense.
Muy interesante. Gracias por tus comentarios. Saludos!!
Gracias a ti
Por favor,hazte un video con la Vpn de salida...
Por temas de confidencialidad y de que las operadoras no sean capaces de acceder a toda tu información.
Muchas gracias
PD. Hace tiempo que no te lo digo, pero como siempre enhorabuena
Como recomendación anliza el manejo fe trunk de tus vLan y el diseño. Y por otro lado aunque suene raro las vLan no son un tema de seguridad sino de manejo de administración de direcciónes. Para proteger las vLan entre si obedece a el manejo de enrutamiento, puertos, protocolo y encfiptacion de tacacs tags y otros temas de cifrado.
Estaría genial un tutorial básico de Vlan con Pfsense /OPnsense, gran vídeo señor
No sé si será "básico", opnsense es muy completo, pero lo haré :)
Gracias! Es que tengo que migrar de Pfsense a OPnsense y miedo me da jaja
Muchas gracias a tí. Ya te comenté en otros videos. Me encantan los videos cafeteros, nos hace pensar
Gracias! Es la idea... daros la murga, jajaja
Yo también estoy pensando en segmentar mi red de casa, que aunque todavía tengo muy poca domótica la quiero tener separada. En cuanto a mi caso solo estoy contemplando crear una única vlan para ellos en mi pfsense y la diferenciación de a que dispositivos les doy acceso a internet y a cuales no seguramente la haga a partir de las IP's que les dé (estáticas o dinámicas) de modo que para ello crearé una regla en el firewall que se base en un alias, el cual puedo configurar de modo sencillo en cualquier momento
16:35 de nada. Sí, he llegado hasta ahí, he entendido muy poco de lo que has comentado pero lo he escuchado hasta el final con un café que, al final, se me ha quedado frío ;). Un saludo Carlos.
❤️
Siempre quedamos hasta el final, ya que o sé cómo haces, pero nos enganchas... gracias por todo y espero que algún día nos expliques como hacer este pedazo configuración paso a paso. Un saludo
Mil gracias!
Muy instructivo! Por cierto, respecto a la noticia que comentabas, lo que se buscan son IPs de emisores, no de receptores de ese servicio del que hablamos. Con la IP del emisor, y si coincide con un abonado, se puede denunciar a alguien por distribuir dicho servicio. Si se buscara a un receptor, hay una amplia jurisprudencia que aclara que una ip no es un dato suficiente para identificar a un usuario. Porque no se puede responsabilizar a un titular de un contrato de telefonia/internet por el uso que todos los usuarios de su red domestica hacen. Pero si, igualmente, es un buen paso. A nadie le importa que usas en tu casa. Ahi te dejo otro apunte para otro vblog: comentarios y opiniones sobre servicios vpn de salida. Pros, contras, y la búsqueda de las tres BBB...
Si, pero ya sabes por donde empiezan y donde terminan... y mira que no consumo ese tipo de servicio, pero a veces me fastidia enormemente la falta de privacidad que tenemos
Gracias por el vídeo. Tengo un pequeña segmentacion en mi red: principal, invitados e iot pero no puedo acceder desde mi principal a iot y si tento algun dispositivo iot tengo que acceder por internet
¿Como haces para acceder a esos dispositivos aislados en la vlan?
Muy gracias de antemano
Excelente video. Con respecto a lo de IOT, en casa tengo un router especifico bajo una subnet y libero los puertos necesarios para poder controlarlos. Con eso me aseguro de descongestionar la red principal.
También hice lo mismo con las camaras, libero ancho de banda en la red principal y lo unico que sale de video es el AgentDVR (intenté configurar frigate, pero tuve mas dolores de cabeza que aciertos)
Interesante lo que has comentado de Proxmox... entiendo que al minipc donde está Proxmox le deben llegar todas las vlans y ya ahí gestionarlas de forma independiente en cada VM o LXC.
Por otro lado y precisamente por facilidad en el mantenimiento tenía pensado pillarme un router Unifi para administrar todo desde el controlador pero claro... pones los dientes largos con OPNSense...
Haré un video (o varios) de OPNSense... me tiene enamorado, de verdad
Si, es quien gestiona los accesos entre vlanes
Muy buenas. me encantan tus videos, super bien explicado...me empieza a picar la curiosidad con esto de las redes...aunque soy programador y el mundo redes no se yo jejeje. quería empezar por quitar el router de la operadora...y un futuro poner una red mesh....tengo una ont y un ruter con vodafone. que router neutro me recomiendas¿? estoy mirando el TP-Link Archer AX72 Pro; pero quizá con algo mas sencillo me iría bien.
perdona el telegrama. mil gracias
Buen video, muy interesante.
Publicas muy buen contenido.
Ya tienes un nuevo suscriptor.
Saludos.
Gracias, saludos!
Muy buena charla, espero puedas hacer un video de como solucionaste el problema de la camara tapo sin conexión. Gracias por tus experiencias.
donde esta el articulo en el blog? no lo he visto
Una pregunta, he visto que has dejado solo las cámaras solas. Yo tengo varias WLAN, una principal, la del trabajo (el PC del trabajo no se si fiarme mucho de lo que hagan ya que no lo administro yo), otra para IOT (TV, Kindle, Alexa) y otra domotica (Shellys, tado ...). Ya no puedo meter más WLAN. Recomendarías meter lo que he llamado IOT en la de domótica y dejar una de cámaras?
Saludos!
Tema que siempre deja indeciso, porque es flexible y puede tener consecuencias importantes. En mis clientes más "gordos" suelo poner:
-vlan administración (servidores, proxmox y administración de los elementos de red como routers, AP y switches). Si puedo, meto allí la interfaz de configuración de las cámaras.
-vlan de sonido. Muchos clientes (y yo en casa) tienen música multiroom con diferentes marcas (sonos, un infierno, yamaha musiccast menos problemático). Ese "multicast"
o "manycast" tiende a tirar a veces la red, así que lo aíslo en una vlan cuando puedo. Hay que hacer algún trabajo para poder usar las app de control de estos cacharros que se suele instalar en los móviles de los habitantes.
-vlan de domótica. Intento usar dispositivos en local, y todos llevan la misma ssid (oculta a los habitantes).
-vlan de videovigilancia, uniendo cámaras con el grabador (últimamente shinobi). Si puedo, por esta vlan sólo viaja el vídeo, no la interfaz de configuración de los cacharros.
-vlan de habitantes. Da acceso a internet y control local de domótica. No suelo dar acceso a las cámaras desde ella.
-vlan de invitados, básicamente un wifi aislado con velocidad también limitada y una clave que va variando. A veces con un hotspot.
-VPN para acceso externo de los habitantes a servicios, como domótica o videovigilancia (ovpn o wireguard)
-VPN para acceso externo a servicio técnico (mi acceso remoto, vaya)
Cada tramo tiene su direccionamiento y el router core es quien filtra.
Últimamente uso CAP's de mikrotik para que cada AP de la red emita las ssid que se necesitan. Esto facilita mucho la distribución por vlan de cada tráfico wifi. Suele haber tramos cableados, tramos wifi mesh... según se necesite.
Esto, si no hay un administrador, se cae. Es así, por mucho que dejes manuales: si el cliente contrata otra empresa para llevarlo, les suele parecer una locura, no lo entienden y revientan todo. Al menos esa es mi experiencia.
En casa es donde hago los experimentos de simplificación, buscando reducir la complejidad para el momento en que yo no esté que la casa sea autónoma y "mantenible" por cualquier persona sin demasiado conocimiento.
Por el momento tengo un server proxmox (demasiado grande, porque lleva un raid de discos de 3,5 y eso ocupa espacio). En una zona alejada de la casa, otro PC con otro raid para las copias de seguridad de todo.
La virtualización ha sido la leche en los últimos 10 años me ha facilitado la cosa hasta el infinito. Pero en estos momentos me planteo sustituir algunas máquinas virtuales por cajas más tontas, tal vez con raspberry pi, para que el sistema sea más resiliente.
Si se rompe una de estas máquinas físicas, pierdo "sólo" la videovigilancia, o el Home Assistant, o el tramo que se muera. Lo demás resistirá.
Obviamente no es lo mismo poner a funcionar un server proxmox con cinco máquinas y su embrollo de red que una sola máquina. Ahí ando sin decidirme.
Últimamente le doy vueltas a la idea de tener un par de máquinas de reserva, que pudieran servir para cualquier propósito y se pudieran restaurar de forma sencilla desde el backup por una persona normal a quien se deje un manual de instrucciones breve. Implicaría cambiar el sistema con el que nombro los backups, hacer scripting para la recuperación, etc; en fin, un proyecto complejo (y chulo!).
Ostia, qué tocho. Perdón
Locura total
Jajaja si, menudo tocho. No me sorprende que venga otro mantenedor y lo cambie. Es algo muy custom y no habitual para una vivienda. Imagino que serán clientes con mansiones o similares pero me ha sorprendido que les parezca bien que accedas a su red. Que es cómodo para los problemas pero en cuanto a privacidad, si ya no lo soy en mi casa que me queda... Curioso cuanto menos.
@@oOSephirothOo si, no es para un piso de tres habitaciones. Fincas ¿pijas? tipo torero con casa principal, jardines, cocheras, casas de invitados... De pronto te organizan un sarao con 200 invitados, siempre incluido Bertin Osborne.Y te sorprendería (para mal) ver la seguridad que tienen muchas de ellas.
IoT debe obedecer a un servidor y este debe obedecer a un orden por protocolos listados de navegación. Mejor dicho analiza el comportamiento de tráfico interno y despues el como sera el trafico externo hacia internet y a que puertos obedece y bajo que reglas en firewall y cuales tl vez sean dmz
He llegado al final!! Y muy buen video! Estás montando una mega red empresarial en casa jeje sobretodo con vlans, importante también no meter tantas vlans ya que a mayor cantidad la red puede volverse más lenta si los switch no son de gama alta por temas de cpu y memoria en cuanto al tagueo y destageo de vlans… Pero en conclusión súper genial y motivador! Un saludos
Gracias!
Muy interesante, como sería una visita a tu trastero solo por curiosidad, adelante ánimo hay más frikis de lo que parece 😊😊😊
Mucho desastre... jajaja
Utilizas un router que soporta diferentes wlans? O son distintos routers?
pues mira te comento tengo una instalacion parecida a la tuya y lo que hice fue los que son 100% local en una cerrada y en la principal los que dependen de cloud
Aquí otro friki! :) gracias como siempre. Yo lo tengo parecido; para mis usos tengo: red de ordenadores, móviles, invitados, iot,cctv,nas,gestion (para las interfaces de switches, controladora unify, dockers de gestión, netbox,etc..),voip, servicios internos (como pihole), servicios externos (alguna cosilla publicada como la VPN) y la propia WAN (que realmente es sd-wan). Respecto a la parte de IOT yo la tengo en uno único y con reglas de firewall y grupos en el propio firewall controlo lo que quiero que salga y lo que no (ya que realmente al estar por Wifi, en Unify tengo que no se vean entre ellos con el Isolation, sólo ven el gateway del firewall); si te es mucho lío por simplificar, podrías configurar las reglas en base a los rangos de red. Al final depende del uso y la flexibilidad; al final vas evolucionándolo con el tiempo pero sentar la base es fundamental. Respecto a lo de la TV, yo la pasaría como una más y listo al igual que tengo yo la de VOIP tras quitar el router de Movistar también
Me gusta, tienes un trabajazo ahí también . Respecto a voip yo empecé a montar un asterisc con Movistar pero me pasé a 10 Gbe de digi y ya no uso fijo solo móvil y lo dejé apartado
Pues me has dado alguna que otra idea :)
Habrás tenido que cambiar los rangos de IP de los dispositivos, levantar servicio DHCP por cada VLAN, etc. En los dispositivos domóticos es sencillo el cambio de IP ?
Con todo lo que has comentado que quieres o has hecho ya, da para una carrera de 3 años en telemática. Salvo el tema de las cámaras que te doy la razón. Creo te has pasado con la seguridad en es resto de cosas a no ser que tengas amigos o familiares hackers. Pero supongo que como muchas veces dices, esto no lo haces por necesidad sino porque te gustas y puedes.
Asu mecha dentro de poco va a ser necesario usar VPN como en China, por diferentes motivos pero por el mismo mal, evitar que el gobierno espíe de más
Puedes poner IoT con Internet bloqueado pero el home asisstant necesitara 2 ips o una regla de firewall. De todas formas yo si permitiría conectarse a los dispositivos IoT pero con un filtro DNS.
El filtro dns es algo esencial hoy en día, si
Hola loco. Me tiene intrigado por que has elegido el router Asus (que vale un pastizal) en lugar de una solución más modular, tipo Omada o similar, a la que siempre le puedes añadir más APs si los necesitas….Que sigas tan loco. Un saludo.
parto de la base de que estas loco pero me caes bien ahi va mi lyke❤
Yo hay algo que no entiendo. Si metes todas las cámaras y frigate en una VLAN aislada que no es accesible desde el el resto ¿cómo haces para ver las cámaras? ¿Desde donde?
En mi caso para segmentar la red he utilizado openwrt para dividirla en tres invitados, dispositivos domóticos o Iot, y otra para teléfonos portátiles etc, la Iot la he dejado con acceso a internet pero sin acceso a nada más solo he creado una, también he configurado un wireguard en el openwrt para acceder a la red del pueblo directamente, he visto que también está tailscale disponible pero como ya lo tenia montado todo no lo he probado
En realidad Tailscale utiliza wireguard por debajo, lo que te quita es la configuración... así que si ya tienes montado wireguard, no ganas nada como tal :)
@@unlocoysutecnologia si, ya me calenté bien la cabeza para hacerlo funcionar , pero mereció la pena por qué me simplifica mucho el gestionar lo que tengo allí
Veo que no soy el único friki del tema, y aprovechando unos "aparatitos" que se cambiaban en la oficina, estoy montando un firewall FortiGate y un switch Cisco en casa y segmentar el ganado, 4 vlans, Invitados, Casa, Domotica, y Piso (es un apartamento para alquiler que lo tengo cableado con la misma conexión a internet que la mia). Todo lo que no es portátil o móvil, se va a la de domótica. Al no tener cámaras, no me parece tan necesario segmentar tanto la red por el mantenimiento que puede llevar en un futuro.
Salu2 y cables!!
Buenas, puedes comentar qué ONT has puesto para Movistar/O2? Te funciona el teléfono?
Yo tengo la red segmentada en tres vlans: home, domo y guests. En la home están todos los servicios, además de multimedia, en la domo la domotica y la guests es para invitados y pc's de mis hijas y mi mujer.
Un saludo
Mi OLT es Alcatel así que tengo puesta una Nokia ahora mismo (huawei también funciona). El teléfono fijo lo tengo configurado en el móvil a través de SIP, en casa no quedan teléfonos fijos, pero hay alternativas, se puede comprar un adaptador SIP ATA
Me he enterado de todo lo que has dicho...solo me queda la duda si ese router te siega el cesped de la zona piscina...? " broma " siempre es un placer escucharte...saludos.
pd....ha se me olvidaba...el router asus las vlans para tu operador "creo que es movistar"...se configuran bien para la tv y datos...perooooo me gustaria saber como has configurado el apartado de voz ip......en mi caso, el telefono fijo...al carajo, se fue....y eso que hable con el operador para que me lo habilitaran en la olt
Gracias Carlos por el vídeo, loco una pregunta yo puedo usar react js en un esp32 😅??
react es un framework de front... ¿que quieres hacer en un esp32? ¿un webserver? En realidad supongo que se podría, no veo por que no...
@@unlocoysutecnologia gracias Carlos si eso mismo me gustaría hacer un webserrver y el front hacerlo con react 😬
Tengo a medias un proyecto parecido y el webserver lo programo con Thonny en MicroPython. Me simplifica mucho las cosas dado que tengo que hacer muchos cambios.
@@blinkitogaming interesante amigo gracias por la información, te agradezco si me puedes guiar, en dónde conseguir más información al respecto saludos
En vez de tener todo en hierros separados, yo he montado un equipo potente (4 Hdd, 3 SSD NVMe, 128Gb ECC ram, Xeon V4 2682, Coral PCIe, 1 puerto SFP+ (LAN 10G) + 1 puerto SFP (WAN XGPON FTTH)) que puede hacerlo todo virtualizando (TrueNAS + NextCloud + HAOS + Frigate + Pfsense) conectado por SFP+(10G) a un Switch Cisco 2960s de 48 puertos POE Gigabit, totalmente administrado. Habiendo cableado toda la casa con CAT7 hasta el rack del garaje, me enamora lo limpia, efectiva y sencilla que ha quedado la instalación, con la facilidad de subir toda la red a 2.5G o 10 cuando lo necesite, tan solo cambiando el switch. Revertir “mis martingalas”, solo requeriría de apagar el servidor y encender el router de Orange, que lo tengo preparado con la misma configuracion de IPs que el PFsense para que la casa siga funcionando en caso de catástrofe con el servidor.
Lo primero, me encanta el blog, yo no tengo mucho tiempo de mejorar mi domótica y mi red pero es verdad que algo he hecho a lo largo de los años cuando me han dejado mis hijos 😅, opnsense un acierto 100% te puedo decir como lo monté yo y si te vale, pues encantado (aviso que es un sistema Gastón en electrones pero es mi hobby) el corazón de mi sistema es un cluster proxmox de 5 nodos con placas Xeon chinas y tarjetas duales 10gbe por tanto con ceph usando discos nvme como osd va muy bien y un trunas con 15 x 4 tb que estoy pasando a nvme con adaptadores x4 en pcie por tanto opnsense virtualizado y el resto de servidores ya en red interna configurado con sdn a velocidad 10gbe la wifi con tp-link deco mesh quizás el punto débil (lento digo no tengo wifi 6e ni 7) pero por ahora no lo necesito. Espero que te guste jejeje algunas ideas locas son tuyas
Me has dado mucha envidia! :)
Como casi todos empecé con una vera lite o similar 10 años atrás -> una pi -> un nuc barato -> tan barato que me pillé 4 (pensé 4 me suena a mini cluster de proxmox ) -> esto iría mejor con un Synology de 4 -> mejor me paso a Synology de 8 junto a los 4 nuc’s -> el sinology fue de los que murieron por la CPU defectuosa NO QUIERO SYNOLOGY ME MONTO UN FREENAS!!!!! -> ¿que hace un freenas con unos nuc’s atom? -> monto 3 nodos chinos Xeon 24 hilos y su truenas chino -> ya que lo tengo a lo grande lo uso con mis alumnos del instituto (34 alumnos en remoto instalando Windows/linux a la vez) Me cachis! Va lento y me falta RAM ecc -> dos nodos más la navidades pasadas -> y papá Noel me ha traído este año 2 switch de fibra 10 Gbe 5 tarjetas duales fibra 10 Gbe con sus latiguillos de fibra y montado con Ceph 😢 todo en el black Friday -> Mi mujer dice que le debo el nuevo iPhone como castigo. PD me encantan tus vídeos !!
PD no compres switch de fibra tp-link en AliExpress viene todo en chino y me estoy muriendo para configurar las vlan 😂😂😂😂😂😂
Al segmentar, hay que tener en cuenta los servicios que usan multicast para funcionar. Por ejemplo, una TV debería ir a la red de IoT pero si tienes el móvil en otra red no le podrías enviar video. Lo mismo si quieres imprimir desde el móvil y tienes la impresora en otro red. Total, que todo lo que parece que funciona por arte de magia dejará de funcionar si está en redes diferentes.
Mdns reflector y reglas de fw y todo funciona sin problemas 👍
@@unlocoysutecnologiaun vídeo explicando un poco más esta parte estaría de lujo para los que, como yo, se están planteando la segmentación pero no terminamos de verlo claro.
@@unlocoysutecnologia vlan, mdns ,reglas, redirecciones, forwarding, firewall, multicast, tagged, etc... son palabros que la mayoría de gente desconoce, incluso si conoces algo de iot. Bastante tenemos con saber que es una subred y como definir un gateway como para más historias. Ahí tienes mucho contenido para sacar una serie de video sencillos cuando no tengas nada nuevo de iot (Es decir, cuando tu mujer no te deje comprarte mas cacharros).
misma wifi y diferente clave segun la vlan que quieras. es la lejor opción.
los chromecast son iot o los alexas? y para acceder desde el móvil al Chromecast? en eso está el problema de segmentar por iot
Son IoT. En realidad no es mayor problema que permitir el tráfico desde la vlan donde esté el móvil a la de IoT, y activar el mdns entre vlanes. Probado y funciona :)
yo voy a segmentar tambien por VLANS y en cuanto a Iot solo voy a meter 1. Me niego a tener mil vlans porque esto empieza a complicarse.
Sobre la VPN yo tengo montado Wireguard sobre el PfSense. Dentro del PfSense tengo tambien la VPN de Surfshark. Tengo un añadido el pfsense en HA de forma que puedo activar la VPN con un boton. Ideal para las carreras de F1. Y hablando del PfSense tengo tambien metido el HAProxy y asi me he quitado el NginX
En que máquina tienes montado pfsense?
es un netgate 4100 y estoy encantado con el.
Buenas loco!
Como dejaste el home assistant?
Con dos tarjetas de red?
Una se contacta a la vlan de iot y otra a la vlan1 donde tienes todos los servidores?
muchas gracias!
Se vuelve loco el ha con esa config ni se te ocurra
@@elmaslisto muchas gracias!
Cual sería una buena configuración para el HA teniendo por ej 2 vlans. Una para iot y otra para servidores.
El HA debería poder ser accedido desde la vlan de servidores y los dispositivos de iot acceder al HA
Muchas gracias!
hola loco. trabajo en seguridad y mi primer consejo es... duerme tío. a mi el estress y no dormir me ha generado una neumonía de la que estoy convaleciente ahora. La parte de oro yo la dividí en dos vlans con dos ssid, pero al final he levantado un nac con un único ssid y redirijo a la vlan por autenticación por mac con 802.1x. baraje en principio dos vlans para dispositivos que por narices tenían que salir a internet y otra que no deberían bajo ningún concepto. pero honestamente, a mi con estas cosas se me va la pinza y cada dos por tres meto cosas nuevas, las borro... you know. Este vídeo da para largo y para oír opiniones de otros que siempre aprendo algo
Gran video! Muy interesante
Imagino que tienes el router principal (open sense en una máquina virtual en proxmox , y eso lo enchufas al modulador ¿ubiquiti?) aparte también lo enchufas a los switches para que manejen todas las vlan
(O al menos así lo imagino yo jajaja) la pregunta es.. no te preocupa que una falla en el server de proxmox (que por cierto donde lo corres?) tire abajo todo el chiringuito? Si se cae proxmox o la mv de open sense te quedas sin red
Que como solución rápida pones otro router o conectas directo un PC al modulador de la fibra y fuera perooo..
No preferirías un router físico (con opensense p.e) pero que sea router físico ?
En realidad un router puede fallar igual que un mini pc. En mi caso, al estar virtualizado, si casca, paso la VM a otro equipo y a tirar
Y una duda, no es mejor por ejemplo en la red de IoT, bloquear el acceso a internet desde el router a los dispositivos que quieras? asi en la misma red unos accederan y otros no. Por lo demas, vaya red estas montando jejeje, voy pillando ideas como siempre, Gracias
El problema es que con muchos dispositivos se puede volver una locura el firewall a la hora de gestionarlo
Esta mañana empecé dibujando un mapa de equipos y vlanes, lo dejé porque se complicaba todo .... quedo atento a tus videos
Seguro has probado OpenWRT comenta por qué has elegido OPNSense vs OpenWRT
Grande loco 🙂🙂🙂
Respecto a usar un servicio de VPN de salida a internet. He tenido nordvpn y muchas web bloquean o hace que funcione mas lenta la conexión. Por ejemplo el bbva no acepta conexión desde sus ips y pedir una ip estatica es muy caro.
Lo que hacen algunos conocidos es alquilar un vps , ahi crear una vpn con wireguard y al menos cifras todo el trafico saliente de tu casa hasta un lugar que controlas tu, también es una opción económica un vps de 5€ te puede valer. Lo malo es que si se cae tambien te cae la de pulpo 😂😂 por eso no lo monte
Ya nos cuentas lo que decides
Genial video, que vpn comercial recomiendas?
Sinceramente, ninguna. Cada una tiene sus ventajas e inconvenientes. No te miento si te digo que ya he probado una decena y no me ha convencido del todo ninguna
Referente a la privacidad ,dudo que haya una compañía de VPN zero-log realmente . No se puede mezclar cosas como vpn y Tor, no tiene nada que ver. Por cierto, cuando hablas sobre la vlan-1, supongo que es un decir porque lo primero que hacer es deshabilitar/borrarla esa vlan. Esperando el siguiente video con ansia.un saludo
Buenas! A mi en mikrotik me enamoró. Es verdad que quizás no es intuitivo, pero se puede hacer casi de todo. Viendo el video se me ocurría un tema. No es mejor un mikrotik que tiene un hardware específico para redes como chip de switch que un minipc genérico.
Respecto a las Vlan yo tengo una de equipos, otra para el home assistant, guest, iot y domotica. Todas pueden acceder a internet, lo que restrinjo es el tráfico entre ellas y si quiero algo en especial ya hago alguna regla específica.
Por ejemplo los Shelly no deberían poder acceder a home Assistant pero hice un script en shelly para que si no había home assistant cambiara los detached por switch normal.
La iptv la tengo muy sencilla. La tengo en una boca directa del router.
Descansa!!
Mikrotik es un bicho muy potente, y no sé cuantos años lo he tenido, pero siempre he pensado que todo era como muy rebuscado, y ahora que he probado la familia pfsense/opnsense tengo la sensación de que todo es como más amigable. En cuanto a hardware, pues también me plantee lo mismo, pero para conexiones de 1gb va perfecto cualquier mini pc. Posiblemente para conexiones más burras (estilo 10gb con pppoe, opnsense se quede corto con este tipo de hardware)
Lamento comentarte que no es cierto que si tienes Vlan no puedas saltarlas. De hecho la 1 no la deberias utilizar para nada ya que es la de default y no puedes evitar que esté activa en todos los puertos. Si el swicth tiene activado el DTP para vlans es de lo mas sencillo hacer un vlan hopping. Las vlan deberian ser modo acces para que fuesen mas seguras y sencillas. En el firewall se deberia evitar que fuera con tag, mejor n puertas en modo acces (sin tag) a las vlans donde le pones la native el número de vlan que necesites. Si debes conectar dos swicthes "tageas" sólo el puerto que los une y lanzas el tráfico al otro swicth sin tagear en modeo acces.
¿Cómo que no se puede desactivar la 1 en los switches? Cuando quieras te enseño la configuración en los tp-link y en los d-link, tan fácil como sacar los puertos del grupo... y adios vlan 1 en esas bocas.
Con respecto a que no puedes saltarlas, pues seguro que si aparece un experto en seguridad informática en casa me saca mil pegas... pero para mis necesidades, más que suficiente para tener seguridad.
@@unlocoysutecnologia NO hace falta debes tener razón.
yo tengo una vlan para usar tor para sacar alguna maquina virtual
Espero que tengas los nodos de tor bien cuidados... es un mundo maravilloso, pero tiene sus peligros
Has probado twingate como VPN?
Nop
yo al final configuré una vlan para la domotica en general, no logré que Home Assistant vea los dispositivos en otra red y por tanto los enchufes, esphome y demás estan en la misma red que los servidores y Home asistant
Es por el mdns, seguro. Aún así, es posible que la VM de Home Assistant la meta con varios adaptadores de red para que vea la vlan de iot directamente
Tengo que decir que los videos de vlog son mos favoritos...
Hay una cosa que no entiendo, comentas que quieres proteger el trafico de las camaras a toda costa, pero luego quieres montar tailscale como VPN directamente en el opnsense... Esa VPN depende de un tercero no es así? No te da respeto?
Yo era feliz antes de ver este video, la felicidades de la ignorancia😂😂😂
Yo voy a ser malo que es mas entretenido }:)
loco para las camaras prueba un switch d-link cualquiera de la gama smart incluso alguno pequeño de 8p tiene el supervillance que te crea y ojo al dato te crea las VLAN de las camaras automaticamente sin hacer nada para ti eso es fantastico.
La verdad es que una vez que le pillas el tranquillo al tema de vlans, es todo bastante sencillo... pero requiere que te entre en la cabeza
medio video de cuento.