🌐 Rete
Architettura
L'infrastruttura utilizza due bridge virtuali Proxmox per separare il traffico di gestione dai servizi interni.
Bridge virtuali
| Bridge | Subnet | IP Host | Utilizzo |
|---|---|---|---|
| vmbr0 | 192.168.1.0/24 | 192.168.1.61 | LAN domestica — gestione Proxmox |
| vmbr1 | 10.0.0.0/24 | 10.0.0.1 | Rete interna — tutti i container LXC |
vmbr0 — LAN domestica
Collega il server alla rete di casa. Utilizzato esclusivamente dall'host Proxmox per l'accesso all'interfaccia web (porta 8006). Nessun container è connesso direttamente a questo bridge.
vmbr1 — Rete interna servizi
Rete isolata dedicata ai container LXC. L'host funge da gateway con NAT/masquerading verso internet tramite vmbr0. Nessuna porta è esposta direttamente sul router.
DNS — Pi-hole
Pi-hole è configurato come DNS primario per tutti i container della rete 10.0.0.0/24. Blocca domini pubblicitari e di tracciamento a livello di rete.
| Parametro | Valore |
|---|---|
| IP | 10.0.0.x |
| Porta DNS | 53 (UDP/TCP) |
| Web UI | 10.0.0.x:80 |
Accesso remoto
Cloudflare Tunnel
Connessione TLS uscente verso Cloudflare — nessuna porta aperta sul router.
| Hostname | Servizio interno |
|---|---|
| federicolupoli.it | Dashboard Homarr |
| media.federicolupoli.it | Jellyfin |
| mk.federicolupoli.it | Documentazione MkDocs |
Tailscale Mesh VPN
VPN basata su WireGuard per accesso privato ai servizi di gestione.
| Dispositivo | IP Tailscale | Utilizzo |
|---|---|---|
| big4 CT | 100.127.0.56 | Accesso Sonarr/Radarr/Prowlarr/qBittorrent |
| MacBook | 100.75.225.108 | Client principale |
| iPhone | — | Client mobile |
Principi di sicurezza
- Zero port forwarding — nessuna porta esposta sul router domestico
- Segmentazione di rete — LAN domestica e rete servizi completamente separate
- Accesso differenziato — servizi pubblici su Cloudflare, servizi admin solo su Tailscale