Problema

Muchos entusiastas de homelab llegan a un punto donde la combinación de varios nodos Proxmox y una red doméstica basada en VLANs empieza a mostrar limitaciones: la capacidad de la ISP no se aprovecha plenamente, la segmentación genera cuellos de botella y añadir nuevos servidores SFF complica la topología. El patrón típico es una infraestructura que crece sin una base de routing y switching que garantice aislamiento, rendimiento y facilidad de expansión. El reto es diseñar una arquitectura que:

  • Mantenga el tráfico de 1 Gbps sin saturar el router.
  • Permita agregar nodos Proxmox sin reescribir reglas de red.
  • Proporcione rutas claras entre VLANs (por ejemplo, gestión, servicios y usuarios).
  • Evite que una mala configuración de MTU o de firewall degrade los contenedores Docker y las máquinas virtuales.

Causa

  1. Router subdimensionado o configurado con reglas excesivas – El MikroTik hEX es capaz de 1 Gbps, pero reglas de firewall, NAT y QoS mal ordenadas pueden reducir el throughput a menos del 70 % del enlace.
  2. Switch L2 sin VLAN routing – Un switch L2 como el D-Link DGS‑1100‑16 solo etiqueta y reenvía tramas; si la ruta entre VLANs depende del router, cualquier error en la tabla de VLANs provoca pérdida de conectividad.
  3. MTU inconsistente – La combinación de ISP, MikroTik y OpenWrt en el AP a menudo lleva a una MTU de 1500 bytes en algunos puertos y 1492 bytes en otros, generando fragmentación y caída de paquetes TCP.
  4. Falta de planificación de subredes – Usar la misma subred en varias VLAN obliga al router a hacer proxy‑ARP, lo que aumenta la carga de CPU y complica la resolución de nombres.
  5. Escalado de nodos sin sincronización de red – Añadir un nuevo nodo SFF sin replicar la configuración de puente de red (Linux bridge, VLAN aware) provoca que los contenedores no puedan comunicarse con el resto del cluster.

Solución

1. Definir una tabla de VLAN y subredes coherente

VLAN ID Subred Uso típico
Management 10 10.0.10.0/24 Acceso a Proxmox, SSH, SNMP
Services 20 10.0.20.0/24 Docker, VMs, NAS
Guest 30 10.0.30.0/24 Dispositivos Wi‑Fi, IoT

Mantener cada VLAN en una subred distinta elimina la necesidad de proxy‑ARP y simplifica las reglas de firewall.

2. Configurar el MikroTik como router “VLAN aware”

  1. Crear interfaces VLAN sobre la interfaz física que conecta al switch L2.
  2. Asignar direcciones IP a cada VLAN para que actúe como gateway.
  3. Habilitar fast‑path y ordenar las reglas de firewall de forma que el tráfico interno (entre VLANs) pase sin inspección profunda, reservando NAT y filtrado solo para la salida a Internet.
  4. Ajustar MTU a 1500 bytes en todas las interfaces y habilitar mtu=1500 en los puentes de Proxmox.

3. Preparar el switch L2

  • Marcar los puertos que conectan al router y a los nodos Proxmox como tagged para todas las VLANs.
  • Los puertos que alimentan dispositivos finales (AP, PCs) deben ser untagged en la VLAN correspondiente.
  • Activar storm control para evitar broadcast storms que saturen el enlace de 1 Gbps.

4. Configurar Proxmox con puentes VLAN‑aware

En cada nodo, crear un bridge (vmbr0) con la opción vlan-aware=yes. Luego, asignar las VLANs a los contenedores o VMs mediante la columna VLAN tag. Esto permite que el tráfico llegue al router sin pasar por un segundo salto de capa 2.

5. Añadir un nodo SFF sin interrupciones

  1. Clonar la configuración de red del nodo existente (bridge, VLAN tags).
  2. Unir el nodo al cluster con pvecm add <IP‑gateway‑Management>.
  3. Verificar que los contenedores hereden la misma VLAN y que el bridge tenga la misma MTU.

6. Optimizar QoS para 1 Gbps

En el MikroTik, crear una simple simple queue que limite el tráfico de salida a 950 Mbps, dejando margen para ACKs y control de congestión. No usar shaping complejo mientras la red está en fase de pruebas.

Cuándo aplicar esta solución

  • Síntomas: caída de rendimiento bajo carga, contenedores que no alcanzan más de 300 Mbps, pérdida de conectividad entre VLANs después de agregar un nodo.
  • Entorno: homelab con al menos dos nodos Proxmox, router MikroTik hEX o superior, switch L2 gestionado y segmentación VLAN.
  • No aplica: redes que usan solo una subred sin VLAN, o infraestructuras donde el router es un firewall de nivel empresarial con políticas de inspección profunda predefinidas (en ese caso la solución cambia a un router con mayor capacidad de CPU).

Código

# 1. Crear VLANs en MikroTik (asumiendo interfaz ether1 conectada al switch)
 /interface vlan add name=vlan10 interface=ether1 vlan-id=10 disabled=no
 /interface vlan add name=vlan20 interface=ether1 vlan-id=20 disabled=no
 /interface vlan add name=vlan30 interface=ether1 vlan-id=30 disabled=no

# 2. Asignar IPs de gateway
 /ip address add address=10.0.10.1/24 interface=vlan10 comment="Management GW"
 /ip address add address=10.0.20.1/24 interface=vlan20 comment="Services GW"
 /ip address add address=10.0.30.1/24 interface=vlan30 comment="Guest GW"

# 3. Habilitar fast-path y ordenar firewall
 /ip firewall filter add chain=forward action=accept in-interface=vlan10 out-interface=vlan20 comment="Mgmt→Services"
 /ip firewall filter add chain=forward action=accept in-interface=vlan20 out-interface=vlan10 comment="Services→Mgmt"
 /ip firewall filter add chain=forward action=accept in-interface=vlan10 out-interface=vlan30 comment="Mgmt→Guest"
 /ip firewall filter add chain=forward action=accept in-interface=vlan30 out-interface=vlan10 comment="Guest→Mgmt"
 /ip firewall filter add chain=forward action=drop comment="Default drop"

# 4. Simple queue para limitar salida a 950Mbps
 /queue simple add name="Internet limit" target=0.0.0.0/0 max-limit=950M/950M

Verificación

  1. Ping inter‑VLAN: desde una VM en VLAN 20, ping 10.0.10.1. Respuesta sin pérdida indica routing correcto.
  2. Prueba de ancho de banda: usar iperf3 entre dos contenedores en VLAN 20 y VLAN 10. El resultado debe acercarse a 900 Mbps.
  3. Comprobación de MTU: ping -M do -s 1472 10.0.20.1. Si no hay fragmentación, la MTU está alineada.
  4. Revisión de colas: /queue simple print para confirmar que la limitación está activa y no supera el 1 Gbps.

Notas adicionales

  • Backup de configuración: exporta la configuración del MikroTik con /export file=backup y guarda el archivo en el NAS antes de cualquier cambio mayor.
  • MTU en OpenWrt: en el AP Xiaomi, fuerza option mtu '1500' en /etc/config/network para evitar que el firmware reduzca la MTU automáticamente.
  • Monitorización: habilita tool graphing en MikroTik o integra snmp con Grafana para observar el uso de la interfaz de 1 Gbps y detectar saturaciones tempranas.
  • Escalado futuro: si la carga supera 1 Gbps, considera agregar un router de capa 3 dedicado (por ejemplo, un MikroTik CCR) y usar el hEX como switch L2.

Con una tabla de VLAN bien definida, un router MikroTik configurado para tráfico interno sin inspección profunda y puentes VLAN‑aware en Proxmox, la infraestructura doméstica puede crecer sin perder rendimiento ni complicar la gestión. Esta arquitectura sirve tanto a hobbyists como a pequeños entornos de producción que necesitan aislamiento y capacidad de 1 Gbps de forma fiable.