[Series] Homelab

Bài viết này viết về homelab cơ bản mình đang sử dụng. Vẫn còn cần nhiều improve, tuy nhiên do 1 số hạn chế kiến thức nên vẫn chưa được đầy đủ.

Diagram

https://lucid.app/lucidchart/af457311-6e50-4e83-9249-80f7df36b249/edit?viewport_loc=-98%2C102%2C2083%2C1334%2C0_0&invitationId=inv_1a10f138-8d09-4814-b475-f15a1d1c316a

Homelab diagram

Router

Draytek 3912S

Về cơ bản em nó đóng vai trò Router. Nghĩa là chỉ dial PPPoE, tuy nhiên tạm thời ( cũng được vài năm roài 🙁 ) đóng luôn vai trò

  • DHCP : Cần chuyển về con Switch phía sau
  • Firewall : Cần tách ra 1 firewall riêng

Điểm đặc trưng của 3912S là em Linux.

Suricata

Đúng ra nếu là Linux ( Ubuntu 22.04 ) thì em nó có thể gánh thêm ( vì em nó sẽ luôn start cùng router )

  • HAProxy
  • 1 số monitors khác : Grafana

Tuy nhiên cho đến thời điểm hiện tại vẫn còn bất cập. Vì chỉ cần install thêm, hoặc update là sẽ dính bug và không thể start docker. Dẫn đến việc Suricata cũng không start được luôn.

1. Ports

  • P1 : SFP+ . Tất nhiên là sẽ connect với Core Switch rồi.
  • P3 : Cái này làm sai nhưng tạm thời connect 2.5GGbps với em Workstation. Vì Workstation chưa có card SFP+ cũng như nếu chỉ xài 1Gbps thì quá ít không đủ
  • P4-8 : 4 WANs với tổng bandwidth 2.5Gbps và 1 static IP / 3 dynamic IPs

2. LAN / vLAN

  • Tất nhiên 100% thiết bị phải được quản lý theo MAC . Bất kì thiết bị nào không / chưa register hiển nhiên không được cấp IP. ( Tất nhiên tạm thời vẫn có exceptions )
  • Chia VLAN
    • VLAN1 : Primary VLAN. Dành riêng cho mình
    • VLAN2 : Dành cho Home
    • VLAN3 : Dành cho các IoT devices
    • VLAN4 : Dành riêng cho guest

3. Routing

  • Các devices chính sẽ được chia thành các group và routing tới các WAN / VPN theo nhu cầu
  • Phục vụ cho “crawling” đảm bảo có ít nhất 4 WANs / 5 VPNs tương đương 9 IPs cho crawling

4. NAT

  • 1 số ports đặc thù như 80 / 443 sẽ được NAT về `gatekeeper` còn thì dùng public port khác.
    • Ví dụ SSH thay vì 22 sẽ dùng 1 port khác. Hạn chế 1 phần nào đó việc scan port
  • Chưa triển khai secure bằng port knocking

5. Firewall

  • Mặc định enable hết ( dù ngoài phạm vi hiểu biết :3 )
  • Block các access từ các high risk countries như China

6. DNS

  • Sừ dụng `gatekeeper` với AdGuard và custom DNS do đó DNS sẽ forward về `gatekeeper`

Khúc này chính mình cũng confuse. LAN DNS / DNS Forwarding nó khác gì LAN DNS Server IP Address ???

Theo lý thuyết có vẻ như DNS này chỉ nên dùng cho specific thing

Network Administrator may use a private DNS server to resolve internal hostnames; however, forwarding all the DNS queries to that private DNS server might be inefficient. In such cases, we may use Conditional DNS Forwarding so that only the specified domains will be sent to and resolved by the private DNS server.

7. VPN

  • Tất nhiên VPN sẽ là dùng connect 247 với 3rd party VPN. Mình đang xài tạm Keepsolid .
  • Đúng ra NGAY TRÊN CHÍNH ROUTER SẼ MỞ VPN ĐỂ CONNECT TỪ NGOÀI VỀ. Tuy nhiên mọi thứ vẫn rất unstable !

8. Syslog

  • Và cuối cùng là bắn syslog về `gatekeeper` để render lên Grafana

Vậy là tạm xong mọi thứ RẤT CƠ BẢN cho Draytek 3912s VÀ CHƯA THẬT SỰ HOÀN CHỈNH ĐÚNG NHƯ MONG ĐỢI

Leave a Reply

Your email address will not be published. Required fields are marked *