Nach umfassender Planung bin ich bereit, mein erstes Homelab-Netzwerk zu implementieren und würde Feedback zum Design begrüßen. Der Kern der Einrichtung wird OPNsense sein, das auf Proxmox virtualisiert wird, als primärer Router und Firewall, mit dem Hardware des ISP im Brückenmodus. Für drahtlose Zugriffe wird ein OpenWRT-Gerät als VLAN-fähiger Zugangspunkt fungieren.
Ein Schlüsselfeature des Plans ist eine umfassende Netzwerksegmentierung. Ich plane, mehrere VLANs für Verwaltung, Benutzer, IoT, Multimedia, Gäste und Server zu erstellen. Das Verwaltungs-VLAN wird volle Zugriffsrechte haben, während die anderen standardmäßig isoliert bleiben, mit Regeln, die spezifische inter-VLAN-Kommunikation ermöglichen, falls erforderlich. Um diesen Datenverkehr zu verwalten, verwende ich einen einzigartigen Ansatz mit meinem Trigkey Mini-PC, der zwei Realtek 2,5GbE-NICs besitzt. Da Link-Aggregation mit dieser Hardware unzuverlässig sein kann, teile ich die VLANs asymmetrisch über die beiden physischen Schnittstellen. Dieses Design sorgt bewusst dafür, dass hochverkehrsbelastete VLANs wie IoT und Multimedia von anderen, wie dem für Gaming verwendeten, getrennt werden, um eine Überlastung eines einzelnen Trunk-Links zu vermeiden.
Mein aktueller Fokus für Ratschläge betrifft die drahtlose Implementierung. Ich möchte den OpenWRT-Zugangspunkt mit mehreren SSIDs konfigurieren, wobei jede einem dedizierten VLAN zugeordnet wird. Ich plane, chatty Netzwerke wie IoT auf verschiedenen Kanälen zu platzieren und einige davon als unsichtbare SSIDs zu verwenden. Ein weiteres fortgeschrittenes Ziel ist die Implementierung einer pro-Pre-Authentifizierungsschlüssel (PPSK)-Zuweisung bei einem gemeinsamen SSID, bei dem das Verwenden eines anderen Schlüssels den Client in ein anderes VLAN versetzt. Ich bin unsicher, ob der Cudy WR3000H, der OpenWRT läuft, diese PPSK-zu-VLAN-Zuordnung zuverlässig unterstützen kann, mehrere SSIDs mit unabhängiger Kanalzuweisung über beide Radios und insgesamt Stabilität mit zahlreichen Netzwerken.
In Bezug auf zukunftssichere Ausgestaltung ist meine aktuelle Switch-Hardware auf 1GbE begrenzt. Um sicherzustellen, dass die NAS nicht bei gleichzeitiger Nutzung oder Proxmox-Backups zur Engstelle wird, plane ich, eine Dual-2,5GbE- oder 10GbE-Netzwerkkarte direkt an die OPNsense-VM anzuschließen. Dies würde eine Hochgeschwindigkeits-Direktverbindung zur NAS ermöglichen, möglicherweise unter Verwendung der vorhandenen zwei Realtek 2,5GbE-Ports, während ich gleichzeitig eine ordnungsgemäße Link-Aggregation mit dem Hauptswitch über eine separate Multi-Port-Intel-basierte NIC erkunde. Schließlich möchte ich bestätigen, dass OPNsense bei aktiviertem Brückenmodus des ISP-Routers alle DHCP- und NAT-Aufgaben übernimmt und somit ein Doppel-NAT-Szenario für Gaming und andere Dienste erfolgreich vermeidet.
Apologies for the image compression on Reddit. You can view the full image file [here](https://imgur.com/a/njoQUop).
The image is too blurry to read when enlarged.
Thanks for letting me know. I’ve added a link to the original image in the comments.
The Cudy can support multiple SSIDs across both radios, but each virtual access point you create must use the same channel. For example, if you create four VAPs on the 2.4GHz radio, they will all operate on the same channel.
Thank you for your reply. Do you know if flashing plain OpenWRT onto the Cudy would allow me to have SSIDs on different WiFi channels instead?
No, it won’t. Firmware cannot overcome this hardware limitation. With one radio, you only have one channel selection, so there can be no overlap.
Some units, like the Linksys MX4300, have more than two radios. Wi-Fi 6E units also have separate radios for 2.4GHz, 5GHz, and 6GHz. However, any virtual access points you create will always operate on the same channel as the main one.
Thanks for the explanation.
No problem.