Seguridad para Mi Red, VLAN, Firewall... y un café | VBLOG 31

Por favor,hazte un video con la Vpn de salida...
Por temas de confidencialidad y de que las operadoras no sean capaces de acceder a toda tu información.
Muchas gracias
PD. Hace tiempo que no te lo digo, pero como siempre enhorabuena

Que buen vídeo!! Quiero montar algo parecido pero tengo algunas dudas de cómo plantear las vlans y cómo configurarlas. Que dispositivos meter en cada una, como añadir las mv de Proxmox.. Podrías hacer algún vídeo montando y configurando alguna de las vlan que planteas, sería de gran ayuda!!

Muchas gracias por compartir tus conocimientos 👍.
Quizás te interese tener un solo SSID en la wifi y usar RADIUS-Based MAC Authentication con 802.1X, para de esta forma aun teniendo un solo SSID configurado en los APs (cosa muy ventajosa a nivel de utilización de espectro y canalización RF) cada dispositivo que se conecte se “enlace” a su vlan que le definas para ese dispositivo o usuario.
Por otro lado, respecto del tema TV Movistar, una vlan independiente sin pensarlo, es mi opinión.
De nuevo, gracias por tus publicaciones. Ánimo y saludos 👋.

Estaría genial un tutorial básico de Vlan con Pfsense /OPnsense, gran vídeo señor

Que genial que siempre haces énfasis en dejar una forma de que la infra sobreviva a ti, es genial y aplica especialmente en casa incluso más que en el trabajo

Gracias por estos tipos de videos, me hacen pensar de las implementaciones/mejoras que puedo hacer en mi casa.
Espero con ansias el video de opnsense.

Muy interesante. Gracias por tus comentarios. Saludos!!

No entiendo mucho de redes, pero contigo estoy aprendiendo algunos conceptos interesantes.. muchas gracias por tus aportes..

Excelente video. Con respecto a lo de IOT, en casa tengo un router especifico bajo una subnet y libero los puertos necesarios para poder controlarlos. Con eso me aseguro de descongestionar la red principal.
También hice lo mismo con las camaras, libero ancho de banda en la red principal y lo unico que sale de video es el AgentDVR (intenté configurar frigate, pero tuve mas dolores de cabeza que aciertos)

Muy buena charla, espero puedas hacer un video de como solucionaste el problema de la camara tapo sin conexión. Gracias por tus experiencias.

Siempre quedamos hasta el final, ya que o sé cómo haces, pero nos enganchas... gracias por todo y espero que algún día nos expliques como hacer este pedazo configuración paso a paso. Un saludo

Yo también estoy pensando en segmentar mi red de casa, que aunque todavía tengo muy poca domótica la quiero tener separada. En cuanto a mi caso solo estoy contemplando crear una única vlan para ellos en mi pfsense y la diferenciación de a que dispositivos les doy acceso a internet y a cuales no seguramente la haga a partir de las IP's que les dé (estáticas o dinámicas) de modo que para ello crearé una regla en el firewall que se base en un alias, el cual puedo configurar de modo sencillo en cualquier momento

Gracias por el vídeo. Tengo un pequeña segmentacion en mi red: principal, invitados e iot pero no puedo acceder desde mi principal a iot y si tento algun dispositivo iot tengo que acceder por internet
¿Como haces para acceder a esos dispositivos aislados en la vlan?
Muy gracias de antemano

Grande loco 🙂🙂🙂

Muy buenas. me encantan tus videos, super bien explicado...me empieza a picar la curiosidad con esto de las redes...aunque soy programador y el mundo redes no se yo jejeje. quería empezar por quitar el router de la operadora...y un futuro poner una red mesh....tengo una ont y un ruter con vodafone. que router neutro me recomiendas¿? estoy mirando el TP-Link Archer AX72 Pro; pero quizá con algo mas sencillo me iría bien.
perdona el telegrama. mil gracias

Buen video, muy interesante.
Publicas muy buen contenido.
Ya tienes un nuevo suscriptor.
Saludos.

Muy instructivo! Por cierto, respecto a la noticia que comentabas, lo que se buscan son IPs de emisores, no de receptores de ese servicio del que hablamos. Con la IP del emisor, y si coincide con un abonado, se puede denunciar a alguien por distribuir dicho servicio. Si se buscara a un receptor, hay una amplia jurisprudencia que aclara que una ip no es un dato suficiente para identificar a un usuario. Porque no se puede responsabilizar a un titular de un contrato de telefonia/internet por el uso que todos los usuarios de su red domestica hacen. Pero si, igualmente, es un buen paso. A nadie le importa que usas en tu casa. Ahi te dejo otro apunte para otro vblog: comentarios y opiniones sobre servicios vpn de salida. Pros, contras, y la búsqueda de las tres BBB...

Muchas gracias a tí. Ya te comenté en otros videos. Me encantan los videos cafeteros, nos hace pensar

He llegado al final!! Y muy buen video! Estás montando una mega red empresarial en casa jeje sobretodo con vlans, importante también no meter tantas vlans ya que a mayor cantidad la red puede volverse más lenta si los switch no son de gama alta por temas de cpu y memoria en cuanto al tagueo y destageo de vlans… Pero en conclusión súper genial y motivador! Un saludos

Aquí otro friki! :) gracias como siempre. Yo lo tengo parecido; para mis usos tengo: red de ordenadores, móviles, invitados, iot,cctv,nas,gestion (para las interfaces de switches, controladora unify, dockers de gestión, netbox,etc..),voip, servicios internos (como pihole), servicios externos (alguna cosilla publicada como la VPN) y la propia WAN (que realmente es sd-wan). Respecto a la parte de IOT yo la tengo en uno único y con reglas de firewall y grupos en el propio firewall controlo lo que quiero que salga y lo que no (ya que realmente al estar por Wifi, en Unify tengo que no se vean entre ellos con el Isolation, sólo ven el gateway del firewall); si te es mucho lío por simplificar, podrías configurar las reglas en base a los rangos de red. Al final depende del uso y la flexibilidad; al final vas evolucionándolo con el tiempo pero sentar la base es fundamental. Respecto a lo de la TV, yo la pasaría como una más y listo al igual que tengo yo la de VOIP tras quitar el router de Movistar también

IoT debe obedecer a un servidor y este debe obedecer a un orden por protocolos listados de navegación. Mejor dicho analiza el comportamiento de tráfico interno y despues el como sera el trafico externo hacia internet y a que puertos obedece y bajo que reglas en firewall y cuales tl vez sean dmz

Interesante lo que has comentado de Proxmox... entiendo que al minipc donde está Proxmox le deben llegar todas las vlans y ya ahí gestionarlas de forma independiente en cada VM o LXC.
Por otro lado y precisamente por facilidad en el mantenimiento tenía pensado pillarme un router Unifi para administrar todo desde el controlador pero claro... pones los dientes largos con OPNSense...

Como recomendación anliza el manejo fe trunk de tus vLan y el diseño. Y por otro lado aunque suene raro las vLan no son un tema de seguridad sino de manejo de administración de direcciónes. Para proteger las vLan entre si obedece a el manejo de enrutamiento, puertos, protocolo y encfiptacion de tacacs tags y otros temas de cifrado.

Utilizas un router que soporta diferentes wlans? O son distintos routers?

pues mira te comento tengo una instalacion parecida a la tuya y lo que hice fue los que son 100% local en una cerrada y en la principal los que dependen de cloud

parto de la base de que estas loco pero me caes bien ahi va mi lyke❤

16:35 de nada. Sí, he llegado hasta ahí, he entendido muy poco de lo que has comentado pero lo he escuchado hasta el final con un café que, al final, se me ha quedado frío ;). Un saludo Carlos.

Habrás tenido que cambiar los rangos de IP de los dispositivos, levantar servicio DHCP por cada VLAN, etc. En los dispositivos domóticos es sencillo el cambio de IP ?

Tema que siempre deja indeciso, porque es flexible y puede tener consecuencias importantes. En mis clientes más "gordos" suelo poner:
-vlan administración (servidores, proxmox y administración de los elementos de red como routers, AP y switches). Si puedo, meto allí la interfaz de configuración de las cámaras.
-vlan de sonido. Muchos clientes (y yo en casa) tienen música multiroom con diferentes marcas (sonos, un infierno, yamaha musiccast menos problemático). Ese "multicast"
o "manycast" tiende a tirar a veces la red, así que lo aíslo en una vlan cuando puedo. Hay que hacer algún trabajo para poder usar las app de control de estos cacharros que se suele instalar en los móviles de los habitantes.
-vlan de domótica. Intento usar dispositivos en local, y todos llevan la misma ssid (oculta a los habitantes).
-vlan de videovigilancia, uniendo cámaras con el grabador (últimamente shinobi). Si puedo, por esta vlan sólo viaja el vídeo, no la interfaz de configuración de los cacharros.
-vlan de habitantes. Da acceso a internet y control local de domótica. No suelo dar acceso a las cámaras desde ella.
-vlan de invitados, básicamente un wifi aislado con velocidad también limitada y una clave que va variando. A veces con un hotspot.
-VPN para acceso externo de los habitantes a servicios, como domótica o videovigilancia (ovpn o wireguard)
-VPN para acceso externo a servicio técnico (mi acceso remoto, vaya)
Cada tramo tiene su direccionamiento y el router core es quien filtra.
Últimamente uso CAP's de mikrotik para que cada AP de la red emita las ssid que se necesitan. Esto facilita mucho la distribución por vlan de cada tráfico wifi. Suele haber tramos cableados, tramos wifi mesh... según se necesite.
Esto, si no hay un administrador, se cae. Es así, por mucho que dejes manuales: si el cliente contrata otra empresa para llevarlo, les suele parecer una locura, no lo entienden y revientan todo. Al menos esa es mi experiencia.
En casa es donde hago los experimentos de simplificación, buscando reducir la complejidad para el momento en que yo no esté que la casa sea autónoma y "mantenible" por cualquier persona sin demasiado conocimiento.
Por el momento tengo un server proxmox (demasiado grande, porque lleva un raid de discos de 3,5 y eso ocupa espacio). En una zona alejada de la casa, otro PC con otro raid para las copias de seguridad de todo.
La virtualización ha sido la leche en los últimos 10 años me ha facilitado la cosa hasta el infinito. Pero en estos momentos me planteo sustituir algunas máquinas virtuales por cajas más tontas, tal vez con raspberry pi, para que el sistema sea más resiliente.
Si se rompe una de estas máquinas físicas, pierdo "sólo" la videovigilancia, o el Home Assistant, o el tramo que se muera. Lo demás resistirá.
Obviamente no es lo mismo poner a funcionar un server proxmox con cinco máquinas y su embrollo de red que una sola máquina. Ahí ando sin decidirme.
Últimamente le doy vueltas a la idea de tener un par de máquinas de reserva, que pudieran servir para cualquier propósito y se pudieran restaurar de forma sencilla desde el backup por una persona normal a quien se deje un manual de instrucciones breve. Implicaría cambiar el sistema con el que nombro los backups, hacer scripting para la recuperación, etc; en fin, un proyecto complejo (y chulo!).
Ostia, qué tocho. Perdón
Locura total

Asu mecha dentro de poco va a ser necesario usar VPN como en China, por diferentes motivos pero por el mismo mal, evitar que el gobierno espíe de más

Esta mañana empecé dibujando un mapa de equipos y vlanes, lo dejé porque se complicaba todo .... quedo atento a tus videos
Seguro has probado OpenWRT comenta por qué has elegido OPNSense vs OpenWRT

Veo que no soy el único friki del tema, y aprovechando unos "aparatitos" que se cambiaban en la oficina, estoy montando un firewall FortiGate y un switch Cisco en casa y segmentar el ganado, 4 vlans, Invitados, Casa, Domotica, y Piso (es un apartamento para alquiler que lo tengo cableado con la misma conexión a internet que la mia). Todo lo que no es portátil o móvil, se va a la de domótica. Al no tener cámaras, no me parece tan necesario segmentar tanto la red por el mantenimiento que puede llevar en un futuro.
Salu2 y cables!!

Con todo lo que has comentado que quieres o has hecho ya, da para una carrera de 3 años en telemática. Salvo el tema de las cámaras que te doy la razón. Creo te has pasado con la seguridad en es resto de cosas a no ser que tengas amigos o familiares hackers. Pero supongo que como muchas veces dices, esto no lo haces por necesidad sino porque te gustas y puedes.

Lo primero, me encanta el blog, yo no tengo mucho tiempo de mejorar mi domótica y mi red pero es verdad que algo he hecho a lo largo de los años cuando me han dejado mis hijos 😅, opnsense un acierto 100% te puedo decir como lo monté yo y si te vale, pues encantado (aviso que es un sistema Gastón en electrones pero es mi hobby) el corazón de mi sistema es un cluster proxmox de 5 nodos con placas Xeon chinas y tarjetas duales 10gbe por tanto con ceph usando discos nvme como osd va muy bien y un trunas con 15 x 4 tb que estoy pasando a nvme con adaptadores x4 en pcie por tanto opnsense virtualizado y el resto de servidores ya en red interna configurado con sdn a velocidad 10gbe la wifi con tp-link deco mesh quizás el punto débil (lento digo no tengo wifi 6e ni 7) pero por ahora no lo necesito. Espero que te guste jejeje algunas ideas locas son tuyas

Hola loco. Me tiene intrigado por que has elegido el router Asus (que vale un pastizal) en lugar de una solución más modular, tipo Omada o similar, a la que siempre le puedes añadir más APs si los necesitas….Que sigas tan loco. Un saludo.

Puedes poner IoT con Internet bloqueado pero el home asisstant necesitara 2 ips o una regla de firewall. De todas formas yo si permitiría conectarse a los dispositivos IoT pero con un filtro DNS.

Buenas, puedes comentar qué ONT has puesto para Movistar/O2? Te funciona el teléfono?
Yo tengo la red segmentada en tres vlans: home, domo y guests. En la home están todos los servicios, además de multimedia, en la domo la domotica y la guests es para invitados y pc's de mis hijas y mi mujer.
Un saludo

Gran video! Muy interesante
Imagino que tienes el router principal (open sense en una máquina virtual en proxmox , y eso lo enchufas al modulador ¿ubiquiti?) aparte también lo enchufas a los switches para que manejen todas las vlan
(O al menos así lo imagino yo jajaja) la pregunta es.. no te preocupa que una falla en el server de proxmox (que por cierto donde lo corres?) tire abajo todo el chiringuito? Si se cae proxmox o la mv de open sense te quedas sin red
Que como solución rápida pones otro router o conectas directo un PC al modulador de la fibra y fuera perooo..
No preferirías un router físico (con opensense p.e) pero que sea router físico ?

Sólo te falta tener un servidor con una IA que te ayude con el sistema de seguridad y vigilancia de tu casa al estilo de Jarvis, la IA de Iron Man.

Genial video, que vpn comercial recomiendas?

Gracias Carlos por el vídeo, loco una pregunta yo puedo usar react js en un esp32 😅??

En mi caso para segmentar la red he utilizado openwrt para dividirla en tres invitados, dispositivos domóticos o Iot, y otra para teléfonos portátiles etc, la Iot la he dejado con acceso a internet pero sin acceso a nada más solo he creado una, también he configurado un wireguard en el openwrt para acceder a la red del pueblo directamente, he visto que también está tailscale disponible pero como ya lo tenia montado todo no lo he probado

misma wifi y diferente clave segun la vlan que quieras. es la lejor opción.

Buenas! A mi en mikrotik me enamoró. Es verdad que quizás no es intuitivo, pero se puede hacer casi de todo. Viendo el video se me ocurría un tema. No es mejor un mikrotik que tiene un hardware específico para redes como chip de switch que un minipc genérico.
Respecto a las Vlan yo tengo una de equipos, otra para el home assistant, guest, iot y domotica. Todas pueden acceder a internet, lo que restrinjo es el tráfico entre ellas y si quiero algo en especial ya hago alguna regla específica.
Por ejemplo los Shelly no deberían poder acceder a home Assistant pero hice un script en shelly para que si no había home assistant cambiara los detached por switch normal.
La iptv la tengo muy sencilla. La tengo en una boca directa del router.
Descansa!!

Me he enterado de todo lo que has dicho...solo me queda la duda si ese router te siega el cesped de la zona piscina...? " broma " siempre es un placer escucharte...saludos.
pd....ha se me olvidaba...el router asus las vlans para tu operador "creo que es movistar"...se configuran bien para la tv y datos...perooooo me gustaria saber como has configurado el apartado de voz ip......en mi caso, el telefono fijo...al carajo, se fue....y eso que hable con el operador para que me lo habilitaran en la olt

Respecto a usar un servicio de VPN de salida a internet. He tenido nordvpn y muchas web bloquean o hace que funcione mas lenta la conexión. Por ejemplo el bbva no acepta conexión desde sus ips y pedir una ip estatica es muy caro.
Lo que hacen algunos conocidos es alquilar un vps , ahi crear una vpn con wireguard y al menos cifras todo el trafico saliente de tu casa hasta un lugar que controlas tu, también es una opción económica un vps de 5€ te puede valer. Lo malo es que si se cae tambien te cae la de pulpo 😂😂 por eso no lo monte
Ya nos cuentas lo que decides

yo voy a segmentar tambien por VLANS y en cuanto a Iot solo voy a meter 1. Me niego a tener mil vlans porque esto empieza a complicarse.
Sobre la VPN yo tengo montado Wireguard sobre el PfSense. Dentro del PfSense tengo tambien la VPN de Surfshark. Tengo un añadido el pfsense en HA de forma que puedo activar la VPN con un boton. Ideal para las carreras de F1. Y hablando del PfSense tengo tambien metido el HAProxy y asi me he quitado el NginX

En vez de tener todo en hierros separados, yo he montado un equipo potente (4 Hdd, 3 SSD NVMe, 128Gb ECC ram, Xeon V4 2682, Coral PCIe, 1 puerto SFP+ (LAN 10G) + 1 puerto SFP (WAN XGPON FTTH)) que puede hacerlo todo virtualizando (TrueNAS + NextCloud + HAOS + Frigate + Pfsense) conectado por SFP+(10G) a un Switch Cisco 2960s de 48 puertos POE Gigabit, totalmente administrado. Habiendo cableado toda la casa con CAT7 hasta el rack del garaje, me enamora lo limpia, efectiva y sencilla que ha quedado la instalación, con la facilidad de subir toda la red a 2.5G o 10 cuando lo necesite, tan solo cambiando el switch. Revertir “mis martingalas”, solo requeriría de apagar el servidor y encender el router de Orange, que lo tengo preparado con la misma configuracion de IPs que el PFsense para que la casa siga funcionando en caso de catástrofe con el servidor.

Yo hay algo que no entiendo. Si metes todas las cámaras y frigate en una VLAN aislada que no es accesible desde el el resto ¿cómo haces para ver las cámaras? ¿Desde donde?

Y una duda, no es mejor por ejemplo en la red de IoT, bloquear el acceso a internet desde el router a los dispositivos que quieras? asi en la misma red unos accederan y otros no. Por lo demas, vaya red estas montando jejeje, voy pillando ideas como siempre, Gracias

Referente a la privacidad ,dudo que haya una compañía de VPN zero-log realmente . No se puede mezclar cosas como vpn y Tor, no tiene nada que ver. Por cierto, cuando hablas sobre la vlan-1, supongo que es un decir porque lo primero que hacer es deshabilitar/borrarla esa vlan. Esperando el siguiente video con ansia.un saludo

Buenas loco!
Como dejaste el home assistant?
Con dos tarjetas de red?
Una se contacta a la vlan de iot y otra a la vlan1 donde tienes todos los servidores?
muchas gracias!

hola loco. trabajo en seguridad y mi primer consejo es... duerme tío. a mi el estress y no dormir me ha generado una neumonía de la que estoy convaleciente ahora. La parte de oro yo la dividí en dos vlans con dos ssid, pero al final he levantado un nac con un único ssid y redirijo a la vlan por autenticación por mac con 802.1x. baraje en principio dos vlans para dispositivos que por narices tenían que salir a internet y otra que no deberían bajo ningún concepto. pero honestamente, a mi con estas cosas se me va la pinza y cada dos por tres meto cosas nuevas, las borro... you know. Este vídeo da para largo y para oír opiniones de otros que siempre aprendo algo

Al segmentar, hay que tener en cuenta los servicios que usan multicast para funcionar. Por ejemplo, una TV debería ir a la red de IoT pero si tienes el móvil en otra red no le podrías enviar video. Lo mismo si quieres imprimir desde el móvil y tienes la impresora en otro red. Total, que todo lo que parece que funciona por arte de magia dejará de funcionar si está en redes diferentes.

yo al final configuré una vlan para la domotica en general, no logré que Home Assistant vea los dispositivos en otra red y por tanto los enchufes, esphome y demás estan en la misma red que los servidores y Home asistant

yo tengo una vlan para usar tor para sacar alguna maquina virtual

Has probado twingate como VPN?

Aqui otro friki al termino del video.

Tengo que decir que los videos de vlog son mos favoritos...
Hay una cosa que no entiendo, comentas que quieres proteger el trafico de las camaras a toda costa, pero luego quieres montar tailscale como VPN directamente en el opnsense... Esa VPN depende de un tercero no es así? No te da respeto?

Lamento comentarte que no es cierto que si tienes Vlan no puedas saltarlas. De hecho la 1 no la deberias utilizar para nada ya que es la de default y no puedes evitar que esté activa en todos los puertos. Si el swicth tiene activado el DTP para vlans es de lo mas sencillo hacer un vlan hopping. Las vlan deberian ser modo acces para que fuesen mas seguras y sencillas. En el firewall se deberia evitar que fuera con tag, mejor n puertas en modo acces (sin tag) a las vlans donde le pones la native el número de vlan que necesites. Si debes conectar dos swicthes "tageas" sólo el puerto que los une y lanzas el tráfico al otro swicth sin tagear en modeo acces.

Yo era feliz antes de ver este video, la felicidades de la ignorancia😂😂😂

loco para las camaras prueba un switch d-link cualquiera de la gama smart incluso alguno pequeño de 8p tiene el supervillance que te crea y ojo al dato te crea las VLAN de las camaras automaticamente sin hacer nada para ti eso es fantastico.

Yo voy a ser malo que es mas entretenido }:)