VPN (red privada virtual) · Malla · Zero Trust (modelo de seguridad sin confianza implícita) · WireGuard
NetBird — Red overlay Zero Trust¶
Crearía una malla peer-to-peer con políticas de Zero Trust entre todos los dispositivos. Es el único punto de entrada a SmallCountry desde el exterior. Sin NetBird, nadie de fuera puede acceder.
Como usuario¶
Qué podrás hacer¶
- Conectarte desde fuera de casa como si estuvieras dentro
- Acceso a todos los servicios desde el móvil/portátil estés donde estés
- Instalación única (un QR y listo)
- Activación automática al salir de casa
Cómo se accederá¶
| Plataforma | Cómo |
|---|---|
| Navegador | No aplica (es capa de red) |
| Ubuntu | Cliente NetBird |
| Android | App NetBird desde Google Play |
| iOS | App NetBird |
| FireTV | No aplica |
Primeros pasos (previstos)¶
Escanear QR que proporciona el admin → la VPN se activa sola al salir del WiFi de casa. Una vez conectado, todos los servicios .sc son accesibles como si estuvieras en la red local.
Integración con otros servicios de SmallCountry¶
| Servicio | Relación |
|---|---|
| Authentik | Autenticación OIDC (protocolo de autenticación OpenID Connect) de la malla |
| WireGuard | Protocolo de túnel subyacente |
| Pi-hole | DNS (servidor de nombres de dominio) una vez dentro de la VPN |
| Caddy | Todo el tráfico web pasa por Caddy tras autenticarse en NetBird |
| deSEC | DDNS (DNS dinámico) para resolver la IP pública |
Servicios que lo hacen posible¶
Para el administrador (diseño previsto)
Datos del servicio¶
| LXC (contenedor ligero de Proxmox) | 100 |
| IP | 10.10.100.100 |
| Tier | A |
| Impacto | 🔴 Crítico (caída = nadie fuera de casa puede acceder) |
Docker: netbirdio/netbird:latest.
Almacenamiento persistente¶
ZFS (sistema de archivos con integridad de datos): rpool/datos/netbird → /opt/netbird/
Subdirectorios: config/ data/ logs/
Backup: PBS (sistema de copias de seguridad de Proxmox) diario + ZFS snapshot @15min.
Healthcheck¶
Logs y diagnóstico¶
Backup manual¶
Problemas comunes¶
- No puedo conectar desde fuera → Verificar que el túnel WireGuard está activo y que la IP pública no ha cambiado.
- Velocidad lenta → Normal si la conexión es 4G, NetBird establece conexión P2P directa cuando puede.
Dos perfiles:
- wg0 admin (UDP 51820, acceso a toda la red 10.10.0.0/16)
- wg1 familia (UDP 51821, solo red familia 10.10.20.0/24)
Para el arquitecto (diseño previsto)
Relaciones con otros servicios¶
flowchart LR
Internet -->|UDP 51820/21| NetBird
NetBird -->|OIDC| Authentik
NetBird -->|DNS| Pi-hole
NetBird -->|TLS| CaddyConfiguración de red¶
| Bridge | Puerto | Acceso desde |
|---|---|---|
| vmbr1 | UDP 51820 (admin) | Exterior |
| vmbr1 | UDP 51821 (familia) | Exterior |
ÚNICOS puertos expuestos al exterior.
En Pi-hole¶
En Authentik¶
Provider: OIDC. La autenticación inicial redirige a Authentik. Después de autenticado, el tráfico web va por Caddy, no por el proxy de NetBird. NetBird solo gestiona la capa de red. Políticas Zero Trust: cada peer tiene reglas de qué IPs puede alcanzar.
Orquestación¶
| Componente | Path |
|---|---|
| Rol Ansible | roles/netbird/ |
| Playbook | deploy-netbird.yml |
| Módulo OpenTofu | modules/netbird/ |
| Semaphore | Proyecto netbird |
| Forgejo Actions | .forgejo/workflows/netbird.yml |
| Repo Forgejo | infra-core/ |
| Ficha versionada | docs/fichas/programas/netbird.md |