m4rshal/HomeNetwork
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
3ac78b1332a61fa6a411f6ac171e9b6eda285d0c
HomeNetwork/feature/logic/logic-map.md
m4rshal 33c0459e0e docs: AP選定要件と候補機器を追加、VLAN tagged SSID 設計を更新 
- docs/増備計画.md: AP選定要件表と候補4機種(GL-MT6000推奨)を追加、WRC-BE36QSをVLAN非対応と明記
- feature/network/ip-map.md: SSID/VLAN対応表に更新、tagged/非tagged両構成の注記を追加
- feature/logic/logic-map.md: VLAN tagged SSIDのトランク構成とFWルール表に更新
- feature/phys/phys-map.md: AP接続をトランクポート表記に更新

Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>
2026-04-18 14:20:26 +09:00

4.5 KiB
Raw Blame History

論理構成マップ(増備後)

増備計画 Phase 1〜3 完了後の VLAN・ルーティング・ファイアウォール設計。

1. VLAN 定義

VLAN ID 名称 サブネット GW 用途
10 MGMT 10.0.10.0/24 10.0.10.1 ネットワーク機器管理
20 SERVER 10.0.20.0/22 10.0.20.1 物理ホスト + VM
30 STORAGE 10.0.30.0/24 10.0.30.1 NAS ストレージ
40 CLIENT 10.0.40.0/24 10.0.40.1 有線クライアント端末
50 GUEST 10.0.50.0/24 10.0.50.1 ゲスト端末WAN のみ)
60 IoT 10.0.60.0/24 10.0.60.1 IoT デバイスWAN のみ)
100 PRV 192.168.100.0/22 192.168.100.1 家庭内端末 (OPNsense 管理)

VLAN 10〜60 は RTX 1300 で L3 ルーティング。VLAN 100 は OPNsense が GW。

2. ルーティング設計

SRV セグメントRTX 1300 管理)

送信元 VLAN 宛先 VLAN 許可 備考
MGMT (10) SERVER (20) 管理アクセス
MGMT (10) STORAGE (30) NAS 管理
MGMT (10) WAN ファームウェア更新等
SERVER (20) STORAGE (30) VM → NAS 通信
SERVER (20) MGMT (10) 管理網への侵入防止
SERVER (20) WAN インターネット接続
CLIENT (40) SERVER (20) (限定) 公開サービスのみnexus 経由)
CLIENT (40) STORAGE (30) ストレージ直接接続禁止
GUEST (50) 全内部 WAN のみ
IoT (60) 全内部 WAN のみ

PRV セグメントOPNsense 管理)

SSID → VLAN 対応VLAN tagged SSID 対応 AP 使用時)

ap-prv-01
  ├─ SSID: Main  → VLAN 100 タグ付き → sw-flex → opnsense-01 (vlan100 インターフェース)
  ├─ SSID: IoT   → VLAN 101 タグ付き → sw-flex → opnsense-01 (vlan101 インターフェース)
  └─ SSID: Guest → VLAN 102 タグ付き → sw-flex → opnsense-01 (vlan102 インターフェース)

AP→sw-flex 間はトランクポートVLAN 100/101/102 タグ許可。OPNsense 側で各 VLAN に DHCP スコープと FW ルールを設定。

ファイアウォールルール

送信元 VLAN 宛先 許可 備考
VLAN 100 Main WAN 通常利用
VLAN 100 Main SRV (10.0.0.0/16) (限定) nexus 公開サービスのみ
VLAN 100 Main VLAN 101/102 SSID 間通信遮断
VLAN 101 IoT WAN IoT クラウド通信
VLAN 101 IoT 内部全体 完全遮断
VLAN 102 Guest WAN
VLAN 102 Guest 内部全体 完全遮断

3. サービス依存関係

インターネット
  └─ WAN1 (Flets 10G) / WAN2 (LTE failover)
        └─ rt-edge-01 (RTX 1300)
              ├─ Port Forward: :80/:443 → nexus (192.168.0.20 → 10.0.21.x)
              ├─ Port Forward: :44965 → crafty :25565
              └─ VLAN ルーティング (10/20/30/40/50/60)

nexus (Caddy リバースプロキシ)
  ├─ → Gitea      (docker-app-1 :4000)
  ├─ → Immich     (docker-app-1 :2283)
  ├─ → Nextcloud  (docker-app-1 :11080)
  ├─ → Grafana    (docker-app-1 :3000)
  ├─ → Portainer  (docker-app-1 :9000)
  └─ → Homepage   (docker-app-1 :5000)

docker-db-1 (192.168.2.50 → 10.0.21.x)
  ├─ MySQL/MariaDB :3306
  ├─ PostgreSQL    :5432
  ├─ InfluxDB      :8086
  ├─ Prometheus    :9090
  └─ Redis         :6379

zabbix-1 (192.168.2.10 → 10.0.21.x)
  └─ Zabbix Agent 監視対象:
       n1-pro-pve / x86-01-pve / sc-rpi4-01
       docker-db-1 / docker-app-1 / crafty / fr24-feed

4. DNS 設計

ゾーン サーバ IP 用途
SRV 公開サービス svc-dns 192.168.0.5310.0.21.x 内部サービス名前解決
PRV プライベート priv-dns 192.168.10.5310.0.21.x PRV 端末向け DNS
  • svc-dns / priv-dns はともに LXC コンテナProxmox 管理)
  • 上位 DNS: ISP / Public DNS へフォワード

5. NTP

サーバ IP 用途
NTP (LXC 110) 192.168.0.1010.0.21.x 全ホスト時刻同期源

備考

  • VLAN 間通信は RTX 1300 のルーティングテーブルと ACL で制御
  • PRV セグメントは OPNsense が DHCP / FW / NAT をすべて担当
  • 将来 OPNsense HA 構成時は CARP VIP 192.168.100.1 + pfsync で冗長化