Networking

Problema En entornos con varios servidores Proxmox es frecuente disponer de enlaces de distinta velocidad (1 GbE y 10 GbE) y de diferentes topologías (VLAN de gestión, enlaces agregados, enlaces dedicados a almacenamiento). El objetivo es: Mantener conectividad de gestión independiente del tráfico de datos. Usar enlaces LACP para agregación de ancho de banda y redundancia. Permitir que los nodos sin 10 GbE sigan operando sin forzar todo el tráfico por los puertos de 10 GbE. Implementar failover automático cuando un enlace o un nodo falla, sin perder conectividad de clúster ni de máquinas virtuales. Aprovechar la capa de SDN de Proxmox para segmentar subredes sin crear una red física compleja. Cuando se combina Open vSwitch (OVS) con la pila SDN de Proxmox, aparecen limitaciones: OVS no admite “bond stacking” (un bond dentro de otro bond) y algunos drivers (p. ej. i40e) no soportan RSTP. La solución debe funcionar con cualquier NIC que tenga soporte de Linux y permitir que los enlaces de 1 GbE y 10 GbE se utilicen de forma independiente según la carga. ...

Problema En muchos homelabs se busca maximizar la relación costo‑beneficio usando la menor cantidad de hardware posible. Un escenario típico es ejecutar un router OpenWrt como máquina virtual dentro de Proxmox y, al mismo tiempo, habilitar la replicación ZFS y la alta disponibilidad (HA) del propio clúster. La pregunta que surge con frecuencia es: ¿es más fiable un router virtualizado dentro del clúster HA que un router físico dedicado? El problema subyacente es la necesidad de mantener conectividad de red incluso cuando una o más piezas de hardware fallan, sin perder acceso remoto para diagnóstico y reparación. ...

Problema En entornos de homelab o pequeñas oficinas es frecuente usar una única subred amplia (por ejemplo 10.0.0.0/8) para simplificar la asignación de direcciones IP. Después de actualizar o reconfigurar un switch gestionado, varios hosts dejan de comunicarse con el firewall pfSense/Netgate: los intentos de SSH, HTTP o cualquier otro puerto interno terminan en connection timed out. La regla predeterminada “Allow LAN to any” parece estar activa, y los cables están conectados correctamente, pero el tráfico interno simplemente no pasa. ...

Problema En muchos homelabs la tendencia natural es añadir más nodos, discos y servicios sin replantear la arquitectura de red. El resultado típico es una red fragmentada donde: Las VLANs se crean de forma ad‑hoc y los switches aplican reglas implícitas que el administrador no ve. El firewall de capa 3 introduce reglas automáticas que generan “cajas negras” y hacen que el tráfico legítimo se pierda o se ralentice. El ancho de banda de la WAN (por ejemplo 100 Mbps) se convierte en cuello de botella cuando los discos mecánicos intentan servir datos a alta velocidad. La mezcla de diferentes sistemas de almacenamiento (TrueNAS, NAS viejo, discos SATA) sin una política de cache o tiering genera latencias inesperadas. El síntoma más frecuente es una degradación progresiva del rendimiento y fallos intermitentes en servicios críticos (VMs, contenedores, backups) que aparecen cuando la red ya está saturada o cuando una regla de firewall oculta bloquea una ruta necesaria. ...

Problema En muchos entornos domésticos el router suministrado por el ISP no permite configuraciones avanzadas como VLANs, QoS o firewall granular. Cuando el objetivo es crear una red segmentada —por ejemplo, separar servidores de virtualización, dispositivos IoT y tráfico de invitados— el router del ISP se vuelve un cuello de botella. La solución típica es colocar un router VLAN‑aware detrás del equipo del ISP y delegar toda la lógica de red a este segundo dispositivo. Sin embargo, sin acceso directo al WAN del ISP, la única forma de exponer el router VLAN‑aware al exterior es mediante la función DMZ del router del ISP. El reto consiste en saber si esta arquitectura es viable, qué limitaciones tiene y cómo mitigar los riesgos de seguridad y de rendimiento. ...

Problema Al ejecutar wg‑easy dentro de un contenedor Docker en un router OpenWrt, los clientes WireGuard establecen la conexión pero pierden la capacidad de alcanzar tanto la LAN como la WAN. Las peticiones DNS (por ejemplo a 1.1.1.1) nunca llegan, y cualquier intento de ping a la puerta de enlace local devuelve Destination Port Unreachable. El síntoma típico es una interfaz tun0 activa en el cliente, tráfico visible en el contenedor, pero sin rutas de salida hacia la red del router ni hacia Internet. ...

Problema En entornos domésticos donde se publican servicios mediante IPv6 (por ejemplo, una aplicación Docker expuesta en el puerto 443), es frecuente observar que la dirección AAAA funciona perfectamente desde la LAN, pero que clientes externos, monitores de uptime o usuarios en distintas regiones experimentan “unreachable” de forma intermitente. El síntoma típico es: Algunas regiones (p.ej. Frankfurt, Madrid) reciben respuestas HTTP 200. Otras (Berlin, Tokio, Chicago) devuelven timeout o “connection refused”. El comportamiento varía con el tiempo sin cambios en la configuración del servidor. Este patrón indica que el problema no está en la aplicación (Immich, Nextcloud, etc.) sino en la capa de red que lleva el tráfico IPv6 desde el ISP hasta el host. ...

Problema En muchos homelabs el tráfico de dispositivos de confianza, invitados, IoT y servidores se mezcla en una única subred. Esa arquitectura simplifica la configuración inicial, pero rápidamente muestra sus límites: un dispositivo comprometido puede escanear la red, acceder a bases de datos internas o evadir las políticas de DNS. Cuando un adolescente experimenta con resolvers externos (DoH, DoT, VPN) el control de la red se vuelve casi imposible, y el tráfico de servicios críticos (NAS, CI/CD, bases de datos) queda expuesto a ataques internos o a filtraciones accidentales. La necesidad real es una segmentación clara, reglas de firewall estrictas entre zonas y una forma de obligar a todos los clientes a usar el resolver interno sin que puedan sobrescribirlo. ...

Problema En entornos Windows es frecuente que, tras ejecutar varias herramientas anti‑malware, la conexión a Internet deje de funcionar aunque el adaptador Wi‑Fi o Ethernet siga activo. El síntoma típico es la imposibilidad de resolver nombres de dominio: los navegadores muestran errores de DNS, nslookup devuelve Server failed y los comandos ping a direcciones externas fallan aunque se pueda hacer ping a la puerta de enlace local. Este tipo de bloqueo no es exclusivo de un caso concreto; ocurre cuando alguna capa de la pila de red (hosts, proxy, NCSI, filtros NDIS) queda corrupta o en estado “pendiente” después de la desinfección. La solución requiere una revisión sistemática de los componentes que intervienen en la resolución de nombres y en la autorización de tráfico saliente. ...

Problema Muchos entusiastas de homelab intentan replicar entornos empresariales usando equipos de gama alta, pero el presupuesto y el espacio a menudo son limitados. El desafío recurrente es lograr una arquitectura de red segmentada (VLANs, routing inter‑VLAN, políticas de firewall) sin depender de switches y routers costosos. En la práctica, el cuello de botella suele estar en el router doméstico de 100 Mbps, que no soporta VLAN tagging ni reglas avanzadas. El objetivo es construir una infraestructura que ofrezca aislamiento de tráfico, gestión centralizada y capacidad de escalar a laboratorios de seguridad o SD‑WAN, todo dentro de un chasis de mini PC. ...