HomeNetwork/feature/logic/logic-map.md

# 論理構成マップ（増備後）

増備計画 Phase 1〜3 完了後の VLAN・ルーティング・ファイアウォール設計。

---

## 1. VLAN 定義

| VLAN ID | 名称 | サブネット | GW | 用途 |
|---|---|---|---|---|
| 10 | MGMT | `10.0.10.0/24` | `10.0.10.1` | ネットワーク機器管理 |
| 20 | SERVER | `10.0.20.0/22` | `10.0.20.1` | 物理ホスト + VM |
| 30 | STORAGE | `10.0.30.0/24` | `10.0.30.1` | NAS ストレージ |
| 40 | CLIENT | `10.0.40.0/24` | `10.0.40.1` | 有線クライアント端末 |
| 50 | GUEST | `10.0.50.0/24` | `10.0.50.1` | ゲスト端末（WAN のみ） |
| 60 | IoT | `10.0.60.0/24` | `10.0.60.1` | IoT デバイス（WAN のみ） |
| 100 | PRV | `192.168.100.0/22` | `192.168.100.1` | 家庭内端末 (OPNsense 管理) |

> VLAN 10〜60 は RTX 1300 で L3 ルーティング。VLAN 100 は OPNsense が GW。
> VLAN 50/60 は無線（ap-01）と有線（sw-srv 系）の両方から収容し、RTX 1300 で一元管理。

---

## 2. ルーティング設計

### SRV セグメント（RTX 1300 管理）

| 送信元 VLAN | 宛先 VLAN | 許可 | 備考 |
|---|---|---|---|
| MGMT (10) | SERVER (20) | ✅ | 管理アクセス |
| MGMT (10) | STORAGE (30) | ✅ | NAS 管理 |
| MGMT (10) | WAN | ✅ | ファームウェア更新等 |
| SERVER (20) | STORAGE (30) | ✅ | VM → NAS 通信 |
| SERVER (20) | MGMT (10) | ❌ | 管理網への侵入防止 |
| SERVER (20) | WAN | ✅ | インターネット接続 |
| CLIENT (40) | SERVER (20) | ✅ (限定) | 公開サービスのみ（nexus 経由） |
| CLIENT (40) | STORAGE (30) | ❌ | ストレージ直接接続禁止 |
| GUEST (50) | 全内部 | ❌ | WAN のみ |
| IoT (60) | 全内部 | ❌ | WAN のみ |

### AP（SRV / PRV 兼用）と SSID → VLAN 対応

`ap-01` (UX-7) は SRV・PRV 両セグメントをまたいで運用。uplink は sw-flex へトランク接続。

```
ap-01 (UX-7)
  ├─ SSID: Main  → VLAN 100 → sw-flex → opnsense-01 → PRV (192.168.100.x)
  ├─ SSID: IoT   → VLAN 60  → sw-flex → opnsense-01 → RTX 1300 → SRV IoT (10.0.60.x)
  └─ SSID: Guest → VLAN 50  → sw-flex → opnsense-01 → RTX 1300 → SRV Guest (10.0.50.x)
```

> AP→sw-flex 間はトランクポート（VLAN 50/60/100 タグ許可）。
> OPNsense が全 VLAN を終端し、VLAN 50/60 は上流の RTX 1300 へルーティング。

### PRV セグメント（OPNsense 管理）

#### ファイアウォールルール

| 送信元 VLAN | 宛先 | 許可 | 備考 |
|---|---|---|---|
| VLAN 100 Main | WAN | ✅ | 通常利用 |
| VLAN 100 Main | SRV (10.0.0.0/16) | ✅ (限定) | nexus 公開サービスのみ |
| VLAN 100 Main | VLAN 50/60 | ❌ | 無線 SSID 間通信遮断 |
| VLAN 60 IoT | WAN | ✅ | IoT クラウド通信（RTX 1300 経由） |
| VLAN 60 IoT | 内部全体 | ❌ | 完全遮断 |
| VLAN 50 Guest | WAN | ✅ | （RTX 1300 経由） |
| VLAN 50 Guest | 内部全体 | ❌ | 完全遮断 |

---

## 3. サービス依存関係

```
インターネット
  └─ WAN1 (Flets 10G) / WAN2 (LTE failover)
        └─ rt-edge-01 (RTX 1300)
              ├─ Port Forward: :80/:443 → nexus (192.168.0.20 → 10.0.21.x)
              ├─ Port Forward: :44965 → crafty :25565
              └─ VLAN ルーティング (10/20/30/40/50/60)

nexus (Caddy リバースプロキシ)
  ├─ → Gitea      (docker-app-1 :4000)
  ├─ → Immich     (docker-app-1 :2283)
  ├─ → Nextcloud  (docker-app-1 :11080)
  ├─ → Grafana    (docker-app-1 :3000)
  ├─ → Portainer  (docker-app-1 :9000)
  └─ → Homepage   (docker-app-1 :5000)

docker-db-1 (192.168.2.50 → 10.0.21.x)
  ├─ MySQL/MariaDB :3306
  ├─ PostgreSQL    :5432
  ├─ InfluxDB      :8086
  ├─ Prometheus    :9090
  └─ Redis         :6379

zabbix-1 (192.168.2.10 → 10.0.21.x)
  └─ Zabbix Agent 監視対象:
       n1-pro-pve / x86-01-pve / sc-rpi4-01
       docker-db-1 / docker-app-1 / crafty / fr24-feed
```

---

## 4. DNS 設計

| ゾーン | サーバ | IP | 用途 |
|---|---|---|---|
| SRV 公開サービス | svc-dns | `192.168.0.53` → `10.0.21.x` | 内部サービス名前解決 |
| PRV プライベート | priv-dns | `192.168.10.53` → `10.0.21.x` | PRV 端末向け DNS |

- svc-dns / priv-dns はともに LXC コンテナ（Proxmox 管理）
- 上位 DNS: ISP / Public DNS へフォワード

---

## 5. NTP

| サーバ | IP | 用途 |
|---|---|---|
| NTP (LXC 110) | `192.168.0.10` → `10.0.21.x` | 全ホスト時刻同期源 |

---

## 備考

- VLAN 間通信は RTX 1300 のルーティングテーブルと ACL で制御
- PRV セグメントは OPNsense が DHCP / FW / NAT をすべて担当
- 将来 OPNsense HA 構成時は CARP VIP `192.168.100.1` + pfsync で冗長化