← Torna al blog

Progettare l'Architettura di Rete

Pianificazione della topologia di rete per un homelab — VLAN, zone firewall, DNS e come tutto si collega insieme.

homelab networking architettura
In questa pagina

Un homelab senza una rete ben progettata è solo un computer sulla scrivania. La rete è ciò che trasforma hardware standalone in un vero ambiente infrastrutturale. Progettiamola bene.

Zone di Rete

La sicurezza inizia con la segmentazione. Sto creando quattro zone di rete distinte:

  1. Management (VLAN 10) — accesso hypervisor, IPMI, gestione switch
  2. Produzione (VLAN 20) — VM e servizi che uso attivamente
  3. Lab (VLAN 30) — carichi sperimentali, isolati da tutto
  4. IoT (VLAN 40) — dispositivi smart home, pesantemente firewallati
Internet


┌─────────────┐
│  Router ISP  │ (modalità bridge)
└──────┬──────┘

┌──────┴──────┐
│  MikroTik   │ Router/Firewall
│  RB5009     │
└──────┬──────┘

┌──────┴──────┐
│  Switch     │
│  Gestito    │ (VLANs)
├─────────────┤
│ VLAN 10: Mgmt    │
│ VLAN 20: Prod    │
│ VLAN 30: Lab     │
│ VLAN 40: IoT     │
└─────────────┘

Filosofia delle Regole Firewall

Il principio è semplice: nega tutto, permetti il specifico. Ogni VLAN ottiene:

  • Internet in uscita: Permesso (con eccezioni per IoT)
  • Inter-VLAN: Negato di default, regole specifiche per i flussi necessari
  • Accesso management: Solo dalla VLAN 10 verso tutte le altre
  • Isolamento lab: Nessun accesso a produzione o management, solo internet

Strategia DNS

Il DNS interno è critico per una buona esperienza lab. Sto eseguendo:

  • Pi-hole per ad-blocking e risoluzione DNS locale
  • Zona personalizzata: lab.local per tutti i servizi interni
  • Split-DNS: Le query interne risolvono a IP privati, le query esterne vanno upstream

Indirizzamento IP

Uno schema IP pulito semplifica la vita:

VLANSubnetGatewayRange DHCP
10 - Mgmt10.10.10.0/2410.10.10.1.100-.200
20 - Prod10.10.20.0/2410.10.20.1.100-.200
30 - Lab10.10.30.0/2410.10.30.1.100-.200
40 - IoT10.10.40.0/2410.10.40.1.100-.200

Cosa Ho Imparato

Pianificare la rete su carta prima di toccare qualsiasi hardware ha risparmiato ore di troubleshooting successivo. Le intuizioni chiave:

  • Documenta tutto — dimenticherai perché hai creato quella regola firewall
  • Parti restrittivo — è più facile aprire l’accesso che bloccarlo dopo
  • Testa l’isolamento — verifica che le VLAN non possano comunicare tra loro prima di deployare servizi

Prossimi Passi

Con la rete progettata, è il momento della parte emozionante: installare l’hypervisor e dare vita alle prime VM. Questo arriverà nel prossimo post.