homelab-network-readiness

家庭实验室网络准备

在更改混合 VLAN、Pi-hole 或其他本地 DNS 解析器、防火墙规则和远程 VPN 访问的家庭或小型实验室网络之前使用此技能。

这是一个规划和审查技能。不要将其转换为复制粘贴的路由器、防火墙或 VPN 配置，除非目标平台、当前拓扑、回滚路径、控制台访问和维护窗口都已知。

何时使用

• 准备将扁平网络分割为可信、IoT、访客、服务器或管理 VLAN。
• 将 DHCP 客户端移动到 Pi-hole、AdGuard Home、Unbound 或其他本地 DNS 解析器。
• 添加 WireGuard、Tailscale、ZeroTier、OpenVPN 或路由器原生 VPN 访问。
• 审查家庭实验室变更是否可能将操作员锁定在网关、交换机、接入点、DNS 服务器或 VPN 服务器之外。
• 将非正式的家庭网络想法转换为带有验证证据的分阶段迁移计划。

安全规则

• 保持第一个答案为只读：清单、风险、分阶段计划、验证和回滚。
• 不要直接向公共互联网公开网关管理面板、DNS 解析器、SSH、NAS 控制台或 VPN 管理 UI。
• 在没有确认平台和回滚程序的情况下提供防火墙、NAT、VLAN、DHCP 或 VPN 命令。
• 在更改管理 VLAN、中继端口、防火墙默认策略或 DHCP/DNS 设置之前，要求带外或同房间控制台访问。
• 在将整个网络指向新的 DNS 解析器或 VPN 路由之前，保持通往互联网的可行路径。
• 将 IoT、访客、摄像头和实验室服务器网络视为不同的信任区域，直到操作员明确选择其他方式。

所需清单

在给出实现步骤之前收集：

区域	问题
互联网边缘	调制解调器或 ONT 是什么？ISP 路由器是桥接还是仍在路由？
网关	什么路由、防火墙、处理 DHCP 并终止 VPN？
交换	哪些交换机端口是上行链路、接入端口、中继或非托管？
Wi-Fi	哪些 SSID 映射到哪些网络，AP 是有线还是网状？
寻址	今天存在哪些子网，哪些范围与 VPN 站点冲突？
DNS/DHCP	哪个服务当前分发租约和解析器地址？
管理	更改后操作员将如何到达网关、交换机和 AP？
恢复	如果 DNS、DHCP、VLAN 或 VPN 路由中断，可以本地恢复什么？

VLAN 和信任区域计划

从意图而非供应商语法开始。

区域	典型内容	默认策略
可信	笔记本电脑、手机、管理员工作站	仅在需要时才能到达共享服务和管理
服务器	NAS、Home Assistant、实验室主机、DNS 解析器	接受来自可信客户端的窄入站流量
IoT	电视、智能插头、摄像头、扬声器	仅互联网访问 + 显式例外
访客	访客设备	仅互联网，无 LAN 可达性
管理	网关、交换机、AP、控制器	仅可从可信管理员设备访问
VPN	远程客户端	与可信客户端相同或更窄的访问

在推荐 VLAN ID 或子网之前，确认：

1. 网关支持 VLAN 间路由和防火墙规则。
2. 交换机支持所需的标记和未标记端口行为。
3. AP 可以将 SSID 映射到 VLAN。
4. 操作员知道他们在变更期间通过哪个端口连接。
5. 管理网络在中继和 SSID 更改后仍然可达。

DNS 过滤准备

应将 Pi-hole 或其他本地解析器作为依赖项引入，而非作为单点故障。

1. 在 DHCP 选项中使用之前，为解析器保留地址。
2. 确认它可以解析公共 DNS 和本地 home.arpa 名称。
3. 保持网关或第二个解析器可用作为临时后备。
4. 在更改每个 DHCP 范围之前测试一个客户端或一个 VLAN。
5. 记录哪些网络可能绕过过滤以及原因。
6. 检查阻止规则不会破坏强制门户、工作 VPN、固件更新或医疗/安全设备。

有用的验证证据：

客户端获得预期的 DHCP 租约
客户端收到预期的 DNS 解析器
公共 DNS 查找成功
本地 home.arpa 查找成功
仅在预期位置阻止了被阻止的测试域
网关和 DNS 管理界面无法从访客或 IoT 网络访问

远程访问准备

对于 WireGuard 风格访问，在生成密钥或打开端口之前决定允许 VPN 到达什么。

模式	何时使用	风险说明
分隧道到一个子网	NAS 或实验室主机的远程管理	保持路由列表窄
分隧道到可信服务	通过 IP 或 DNS 访问选定的应用程序	需要精确的防火墙规则
全隧道	不受信任的网络或旅行	更多带宽和 DNS 责任
叠加 VPN	更简单的远程访问，具有身份控制	仍需要 ACL 审查

在操作员确认之前不要推荐端口转发：

• VPN 端点已修补并主动维护。
• 转发的端口仅到 VPN 服务，而非管理 UI。
• 理解动态 DNS、公共 IP 行为和 ISP CGNAT 状态。
• 可以在不重建整个网络的情况下撤销对等密钥。
• 日志或连接状态可以验证谁连接以及何时连接。

变更顺序

优先考虑小型、可逆的变更：

1. 快照当前拓扑、IP 计划、DHCP 设置、DNS 设置和防火墙规则。
2. 为网关、DNS、控制器、AP、NAS 和 VPN 端点保留基础设施地址。
3. 在不移动关键设备的情况下创建新区域或 VLAN。
4. 移动一个测试客户端并验证 DHCP、DNS、路由、互联网和阻止行为。
5. 为所需流量添加窄防火墙例外。
6. 移动一个低风险设备组。
7. 添加满足用例的最窄路由和防火墙策略的 VPN 访问。
8. 记录最终状态、已知例外以及所选平台 UI 或 CLI 词汇的回滚命令或步骤。

审查检查清单

• 每个网络都有存在的理由和清晰的信任边界。
• 没有管理界面可从访客、IoT 或公共互联网访问。
• DNS 故障不会剥夺操作员本地恢复的能力。
• DHCP 范围变更在广泛推出之前在一个客户端上测试。
• VPN 客户端仅接收他们需要的路由和 DNS 设置。
• 防火墙规则在区域之间默认拒绝，具有命名例外。
• 操作员仍然可以到达网关、交换机、AP、DNS 和 VPN 管理表面。
• 回滚以所选平台 UI 或 CLI 的相同词汇记录。

反模式

• 在知道哪些交换机端口和 SSID 携带哪些 VLAN 之前分割网络。
• 将管理员工作站移离唯一可达的管理网络。
• 在测试后备 DNS 之前将所有 DHCP 范围指向 Pi-hole。
• 将 NAS、DNS、路由器或虚拟机监控程序管理直接发布到互联网。
• 将 VPN 访问视为等同于完全可信 LAN 访问。
• 添加临时允许所有防火墙规则并忘记删除。
• 在检查确切平台语法之前从另一个供应商或固件版本复制命令。

另见

• 技能：homelab-network-setup
• 技能：network-config-validation
• 技能：network-interface-health