Consiglio acquisto router con support VLAN e MESH

SimonBerry Ci sarebbero i Keenetic che hanno praticamente tutte le funzionalità che chiedi e pure di più

Mi interessa perché sono in una situazione simile... In realtà non ho intenzione di fare hosting per il momento ma sono convinto che la sicurezza garantita del router "fornito" non sia sufficiente e sono disposto a spendere qualcosa e sbattermi un po' con le configurazioni... Non è facile definire "qualcosa" ed "un po'"
Al momento sto valutando:
Un ottimo router che abbia tutte le funzionalità che indichi (ma quale?);
UniFi Dream Machine Pro come scelta più costosa ma più "longeva";
Un apparato Netgate (2100) con sottoscrizione annuale a pfsense+ (overkill?).
Vi ascolto.

SimonBerry È complicata la configurazione di un router personale facendo un contratto fibra senza router

No, la configurazione in sé è piuttosto semplice, che sia PPPoE o DHCP.

La parte più complessa, se non hai esperienza, e con maggiori rischi per la sicurezza è:

SimonBerry Vorrei iniziare a smanettare con home assistant e aggiungere un bel po’ di dispositivi smart e anche fare il self hosting di alcuni servizi (nextcloud, photoprism, ecc).

Specialmente la parte di "self-hosting" - che averebbe bisogno di una "DMZ" (vera, non i "default host" degli switch consumer), e appropriato hardening del tutto. Basta poco per farsi bucare.

SimonBerry perché è a costo zero ed andrei ad eliminare un dispositivo da tenere acceso 24/24 (il router) però ho paura di incasinarmi troppo visto che non ho mai usato nè proxmox nè pfsense.

Quante interfacce di rete ha la macchina? Lato WAN dovresti dedicarne una a pfSense, se vuoi prestazioni elevate. Mettere tutto sulla stessa macchina è possibile, ma significa anche che hai tutte le uova nello stesso cesto, in termini di affidabilità e sicurezza.

Quello che vuoi fare è un pelo ambizioso, se non hai l'esperienza necessaria ti consiglierei di procedere per gradi.

SimonBerry sembrano interessanti ma non sono documentati come ubiquiti e pfsense

Che cosa cercavi nello specifico? La nostra knowledge base è molto estesa ed ha tante guide fatte passo-per-passo, rese semplici per chiunque, inoltre siamo sempre aperti a nuovi consigli/necessità per poterla estendere.
Abbiamo anche la community apposita, dove basta chiedere per essere aiutati da varie persone che sui Keenetic hanno perso diversi giorni a divertirsi.

^L

SimonBerry Per quest'ultimi ci sono parecchie guide a prova di idiota e quindi perfette per me

"Ubiquiti" accostata ad "idiot proof" è una contraddizione in termini.

SimonBerry Ho visto che molti usano l’ubiquiti dream machine ma costa parecchio

Se non ti interessano i 2.5Gb/s la Ubiquiti ha appena rilasciato l'Unifi Express. Funzionalità simili all'UDM-Pro/SE, ma meno potente.

Come fa a fare "quello che deve fare" con una sola porta LAN? DMZ, VLANs... Tutto solo via WiFi?

d1ego Come fa a fare "quello che deve fare" con una sola porta LAN? DMZ, VLANs... Tutto solo via WiFi?

RoaS

SimonBerry Nel senso che le guide sono idiot proof, non necessariamente che l'interfaccia di ubiquiti è idiot proof. Non ho mai usato i loro prodotti però cercando su youtube "ubiquiti vlan" vengono fuori parecchi risultati. Ne ho guardato qualcuno e sono piuttosto facili da seguire e capire.

Parlando in senso stretto dei nostri prodotti, le VLAN sono gestite "ad alto livello", è tutto estremamente semplice.

SimonBerry Idealmente vorrei una guida passo passo per i principianti per una configurazione ottimale delle vlan + regole di firewall per utilizzo IOT/selfhosting con esempi pratici, best practices, a cosa far attenzione, errori comuni, ecc.

Per questo fai prima a fare un salto sul gruppo telegram (lo trovi in descrizione del profilo), così ti si aiuta per il singolo caso.
Per quello che chiedi direi che comunque il nostro OS fa al caso tuo, gestione semplificata di tutto, ma trovi ogni particolare "avanzato" che possa servire per il suddetto scenario.

SimonBerry Non sapevo questa cosa.

Essenzialmente si tratta di mettere i servizi pubblicati in una rete separata dalla LAN, e con regole di firewall sia WAN - DMZ, sia DMZ - LAN. Così che se anche un servizio è compromesso, l'attaccante non si trova direttamente in LAN con tutto facilmente accessibile. Per massima sicurezza andrebbe fatta con due firewall diversi, si può fare anche con un firewall solo mettendo i servizi su una VLAN separata. Poi ci vorrebbe un reverse proxy, configurazione di certificati per HTTPS, opportuno hardening dei sistemi, ecc. ecc. I container semplificano il deployment ma di per sé non incrementano la sicurezza.

Cloudflare ti può dare una mano, ma anche in quel caso va fatta la configurazione corretta, e i servizi non devono essere accessibili altrimenti.

SimonBerry Per quest'ultimi ci sono parecchie guide a prova di idiota e quindi perfette per me

Attenzione che le guide possono anche essere:

• Obsolete
• Fatte per requisiti diversi
• Basiche, e non adatte a sistemi "in produzione"
• Scorrette (capita)

A meno che non si stia semplicemente imparando senza nulla di importante in gioco, occorre sempre un minimo di competenze per capire se si è sulla strada giusta o no. Per questo consiglio di procedere per gradi, prima di mettere in linea sistemi con dati "importanti".

SimonBerry Ok ma quindi tu come procederesti?

Prima configurerei il router e ci prenderei confidenze, quindi passerei a prendere confidenza con le VLAN ed il routing/firewalling per gestire il traffico tra di loro e con l'esterno. Anche se il tutto è virtualizzato, il networking virtuale funziona con gli stessi concetti. Quindi metterei in piedi una DMZ e comincerei a deployarci dei servizi di prova, per prendere confidenza con l'hardening del tutto - hardening dell'OS o dei container, condifurazione e hardening dei servizi (web server, ecc.) reverse proxy, certificati per TLS, ecc. Quando ti senti pronto cominci a mettere in produzione un servizio per volta.

SimonBerry O dici che non ne vale la pena?

I miei servizi sono ormai ospitati su VPS - maggiore affidabilità e meno problemi rispetto a tenere acceso un server in casa. Quando avrò la FTTH è possibile che metterò qualcosa su un serverino locale, ma non servizi indispesdabili.

SimonBerry È preferibile un prodotto commerciale?

Dovrei vedere i dettagli, dipende da cosa vuoi farci girare sopra. pfSense è usato un po' con tutto...

SimonBerry I certificati li crea cloudflare.

Se usi Cloudflare il reverse proxy lo fanno loro. Però se termini le connessione TLS solo su Cloudflare tra te e cloudflare i traffico viaggia in chiaro. Inoltre se accetti connessioni anche da sistemi diversi da quelli di Cloudflare, non né la protezione di Cloudflare né quella di TLS. Ovviamente poi da problemi applicativi che possono creare vulnerabilità sfruttabili (mancanza di patch, configurazioni sbagliate, credenziali deboli, ecc.) Cloudflare non ti salva.

SimonBerry Quello che ho scritto inizialmente.

Sì, non sono stato chiaro, anche in termini di traffico. Un conto sono servizi che usa una ristretta cerchia di familiari/amici/conoscenti e quindi traffico limitato, un altro servizi a cui accedono molte più persone e che quindi creano un traffico più sostenuto. pfSense poi ha anche una serie di moduli - es. Snort/Suricata, pfBlocker, ecc. - che possono incrementare la sicurezza ma se usati richiedono anche più CPU e memoria, in base al traffico che passa.