# 論理構成マップ(増備後) 増備計画 Phase 1〜3 完了後の VLAN・ルーティング・ファイアウォール設計。 --- ## 1. VLAN 定義 | VLAN ID | 名称 | サブネット | GW | 用途 | |---|---|---|---|---| | 10 | MGMT | `10.0.10.0/24` | `10.0.10.1` | ネットワーク機器管理 | | 20 | SERVER | `10.0.20.0/22` | `10.0.20.1` | 物理ホスト + VM | | 30 | STORAGE | `10.0.30.0/24` | `10.0.30.1` | NAS ストレージ | | 40 | CLIENT | `10.0.40.0/24` | `10.0.40.1` | 有線クライアント端末 | | 50 | GUEST | `10.0.50.0/24` | `10.0.50.1` | ゲスト端末(WAN のみ) | | 60 | IoT | `10.0.60.0/24` | `10.0.60.1` | IoT デバイス(WAN のみ) | | 100 | PRV | `192.168.100.0/22` | `192.168.100.1` | 家庭内端末 (OPNsense 管理) | > VLAN 10〜60 は RTX 1300 で L3 ルーティング。VLAN 100 は OPNsense が GW。 > VLAN 50/60 は無線(ap-01)と有線(sw-srv 系)の両方から収容し、RTX 1300 で一元管理。 --- ## 2. ルーティング設計 ### SRV セグメント(RTX 1300 管理) | 送信元 VLAN | 宛先 VLAN | 許可 | 備考 | |---|---|---|---| | MGMT (10) | SERVER (20) | ✅ | 管理アクセス | | MGMT (10) | STORAGE (30) | ✅ | NAS 管理 | | MGMT (10) | WAN | ✅ | ファームウェア更新等 | | SERVER (20) | STORAGE (30) | ✅ | VM → NAS 通信 | | SERVER (20) | MGMT (10) | ❌ | 管理網への侵入防止 | | SERVER (20) | WAN | ✅ | インターネット接続 | | CLIENT (40) | SERVER (20) | ✅ (限定) | 公開サービスのみ(nexus 経由) | | CLIENT (40) | STORAGE (30) | ❌ | ストレージ直接接続禁止 | | GUEST (50) | 全内部 | ❌ | WAN のみ | | IoT (60) | 全内部 | ❌ | WAN のみ | ### AP(SRV / PRV 兼用)と SSID → VLAN 対応 `ap-01` (UX-7) は SRV・PRV 両セグメントをまたいで運用。uplink は sw-flex へトランク接続。 ``` ap-01 (UX-7) ├─ SSID: Main → VLAN 100 → sw-flex → opnsense-01 → PRV (192.168.100.x) ├─ SSID: IoT → VLAN 60 → sw-flex → opnsense-01 → RTX 1300 → SRV IoT (10.0.60.x) └─ SSID: Guest → VLAN 50 → sw-flex → opnsense-01 → RTX 1300 → SRV Guest (10.0.50.x) ``` > AP→sw-flex 間はトランクポート(VLAN 50/60/100 タグ許可)。 > OPNsense が全 VLAN を終端し、VLAN 50/60 は上流の RTX 1300 へルーティング。 ### PRV セグメント(OPNsense 管理) #### ファイアウォールルール | 送信元 VLAN | 宛先 | 許可 | 備考 | |---|---|---|---| | VLAN 100 Main | WAN | ✅ | 通常利用 | | VLAN 100 Main | SRV (10.0.0.0/16) | ✅ (限定) | nexus 公開サービスのみ | | VLAN 100 Main | VLAN 50/60 | ❌ | 無線 SSID 間通信遮断 | | VLAN 60 IoT | WAN | ✅ | IoT クラウド通信(RTX 1300 経由) | | VLAN 60 IoT | 内部全体 | ❌ | 完全遮断 | | VLAN 50 Guest | WAN | ✅ | (RTX 1300 経由) | | VLAN 50 Guest | 内部全体 | ❌ | 完全遮断 | --- ## 3. サービス依存関係 ``` インターネット └─ WAN1 (Flets 10G) / WAN2 (LTE failover) └─ rt-edge-01 (RTX 1300) ├─ Port Forward: :80/:443 → nexus (192.168.0.20 → 10.0.21.x) ├─ Port Forward: :44965 → crafty :25565 └─ VLAN ルーティング (10/20/30/40/50/60) nexus (Caddy リバースプロキシ) ├─ → Gitea (docker-app-1 :4000) ├─ → Immich (docker-app-1 :2283) ├─ → Nextcloud (docker-app-1 :11080) ├─ → Grafana (docker-app-1 :3000) ├─ → Portainer (docker-app-1 :9000) └─ → Homepage (docker-app-1 :5000) docker-db-1 (192.168.2.50 → 10.0.21.x) ├─ MySQL/MariaDB :3306 ├─ PostgreSQL :5432 ├─ InfluxDB :8086 ├─ Prometheus :9090 └─ Redis :6379 zabbix-1 (192.168.2.10 → 10.0.21.x) └─ Zabbix Agent 監視対象: n1-pro-pve / x86-01-pve / sc-rpi4-01 docker-db-1 / docker-app-1 / crafty / fr24-feed ``` --- ## 4. DNS 設計 | ゾーン | サーバ | IP | 用途 | |---|---|---|---| | SRV 公開サービス | svc-dns | `192.168.0.53` → `10.0.21.x` | 内部サービス名前解決 | | PRV プライベート | priv-dns | `192.168.10.53` → `10.0.21.x` | PRV 端末向け DNS | - svc-dns / priv-dns はともに LXC コンテナ(Proxmox 管理) - 上位 DNS: ISP / Public DNS へフォワード --- ## 5. NTP | サーバ | IP | 用途 | |---|---|---| | NTP (LXC 110) | `192.168.0.10` → `10.0.21.x` | 全ホスト時刻同期源 | --- ## 備考 - VLAN 間通信は RTX 1300 のルーティングテーブルと ACL で制御 - PRV セグメントは OPNsense が DHCP / FW / NAT をすべて担当 - 将来 OPNsense HA 構成時は CARP VIP `192.168.100.1` + pfsync で冗長化