Когда в доме появляются умные розетки, лампочки и прочий IoT — встаёт вопрос: а стоит ли доверять этим устройствам доступ в ту же сеть, где ноутбук и NAS?

Спойлер: не стоит.

Что было

Один роутер Keenetic, всё в одной подсети. Телефоны, ноутбук, Proxmox-хост, умные лампочки — одна большая плоская сеть. Удобно, но неправильно.

Проблема не в том, что лампочка что-то сделает намеренно. Проблема в том, что прошивки IoT-устройств обновляются редко, патчи не выходят, а производители закрываются. Скомпрометированное устройство в плоской сети — это плацдарм для всего остального.

Что сделал

Keenetic поддерживает несколько VLAN и отдельные подсети прямо из коробки. Разбил на три сегмента:

СегментЧто внутриДоступ наружу
LANНоутбук, телефоны, NASПолный
IoTЛампочки, розетки, датчикиТолько интернет
VirtProxmox и VMПолный

IoT-сегмент изолирован от LAN и Virt на уровне роутера — межсегментный трафик режется правилами firewall. Устройства видят только интернет для обновлений и облачных сервисов.

Proxmox и VM

Здесь интереснее. На Proxmox две виртуальные машины. Обе подключены к Virt-сегменту через vmbr0 — это основной интерфейс наружу.

Но для управления (Portainer на VM1 → Portainer Agent на VM2) делать это через основную сеть некрасиво. Создал второй bridge vmbr1 — изолированный, никуда не смотрит, только между VM1 и VM2 внутри гипервизора.

Proxmox host
├── vmbr0 → Keenetic Virt VLAN (наружу)
│     ├── VM1 eth0
│     └── VM2 eth0
└── vmbr1 → только внутри хоста
      ├── VM1 eth1  (10.10.10.1/24)
      └── VM2 eth1  (10.10.10.2/24)

Управляющий трафик между машинами не выходит за пределы гипервизора. Никакого WireGuard, никакого оверхеда — просто виртуальный свич.

Итог

Сегментация — это не паранойя, это гигиена. Особенно когда IoT-устройства обновляются раз в никогда.

Отдельный bridge для management-трафика между VM — самое простое решение, которое часто игнорируют в пользу туннелей. А зря.

Следующий шаг — настроить алерты если что-то из IoT-сегмента попытается достучаться до LAN. Но это уже отдельная история.