Пока вы прислали только Вариант A — прежде чем окончательно сравнить, пришлите, пожалуйста, Вариант B. Ниже даю разбор вашего Варианта A, комментарии по реализации требований и рекомендации по более масштабируемой и безопасной архитектуре.
Кратко — ваше ТЗ и ключевые моменты
- Два канала: GPON (Ростелеком) и Vladlink (витая пара).
- Нужно: удалённый доступ к Proxmox и к домашнему ПК; гибкая маршрутизация по доменам/сайтам; «fallback»/прозрачный проксинг (OpenWRT + VLESS) для недоступных ресурсов; в будущем — NAS и ещё сервера.
- Желательно масштабирование, сегментация и безопасность.
Разбор Варианта A (что вы написали)
- Eltex в bridge, PPPOE на AX3000 — стандартная и правильная идея, если Eltex умеет в корректный bridge.
- Другой провайдер втыкается в LAN1/переводится в WAN2 — корректно для dual-WAN на OpenWRT.
- Дальше вы начали писать про VPN на AX3000 — логично держать VPN/доступ и policy-routing на роутере.
Плюсы Варианта A
- Простая централизованная точка управления (AX3000/OpenWRT) — оба канала под контролем одного устройства.
- OpenWRT умеет mwan3 (multiwan), ipset + iptables/nftables, DNS + dnsmasq hook для «маркировки» доменов — то есть реализовать policy-routing по доменам можно прямо на роутере.
- Хороший для небольшого лаба, минимально меняет сеть.
Минусы / ограничения и caveats
- AX3000 — бытовой роутер; производительности может не хватить при heavy VPN, many concurrent NAT/conntrack, high throughput + many ipset обновлений / TLS-inspecting прокси.
- Маршрутизация «по домену» на уровне роутера — непростая задача: DNS → IP mapping не идеален (CDN, множество IP, динамика). dnsmasq+ipset работает, но: нужно регулярно обновлять ipset, учитывать IPv6, HTTPS/SNI/QUIC не дают domain в пакетах, и корректность зависит от того, кто делает резолв (роутер vs клиент).
- Exposing Proxmox GUI напрямую — плохая идея. Лучше доступ через VPN или reverse-proxy + auth.
- Если вам понадобятся более сложные политики (VLANы, много VPN-туннелей, маршрутизация между VM/контейнерами), лучше полноценный роутер/фа́йрвол (pfSense/OPNsense/RouterVM) на Proxmox или мощный роутер hardware.
Реализация требований в Варианте A (практические рекомендации)
1) Удалённый доступ к Proxmox и ВМ:
- Не открывайте веб GUI в интернет напрямую.
- Рекомендую: VPN-сервер (WireGuard/OpenVPN) на роутере или отдельном VM; либо использовать Tailscale/ZeroTier (простая настройка, NAT-устойчивость).
- Альтернатива для публичных сервисов: reverse-proxy (Caddy/Nginx) с TLS + HTTP auth / oauth + пробросы к внутренним сервисам, но доступ к Proxmox — только через VPN.
2) Удалённый доступ к домашнему ПК:
- Через тот же VPN (WireGuard) либо через RDP через VPN, либо Tailscale.
3) Гибкая маршрутизация по доменам (пример youtube через Vladlink):
Варианты:
- На роутере: dnsmasq с опцией ipset (в OpenWRT) — при резолве домена ip добавляется в ipset, затем iptables/nftables помечает пакеты по ipset и mwan3/route policy отправляет помеченные в нужный WAN.
Ограничения: CDN/распределённые IP, кеширование DNS у клиентов, IPv6 учесть отдельно.
- На уровне клиента: более надёжный путь — настроить прокси/SSH/VPN на клиенте (например, browser extension или локальный SOCKS/Proxy) и использовать его для конкретных доменов.
- Проще и надёжнее: запуск локального прокси (e.g. browser + переключатель) либо настроить split-tunnel WireGuard на ПК: маршрут для youtube.com через second-WAN — но для этого нужно резолв IP и динамическое обновление.
4) Гибкая маршрутизация для «доступных/недоступных ресурсов»:
- Подход с podkop + VLESS на OpenWRT возможен: на AX3000 внутри OpenWRT поднять v2ray/clients и использовать policy-based routing (pbr) чтобы направлять помеченные IP в туннель.
- Для определения «недоступности» нужен скрипт, который делает тесты и добавляет ip в ipset при фейлах, или использовать прокси-сервер с failover logic.
- Опять же: лучше держать решение в одном месте (роутер/VM) и централизованно управлять списками.
Рекомендации по масштабированию и более корректная архитектура (рекомендую выбрать одну из двух)
Вариант 1 — OpenWRT (AX3000) как основной роутер — простая и рабочая схема (подходит если нагрузка невелика):
- Eltex -> (bridge) -> AX3000 WAN1 (PPPoE).
- Vladlink -> AX3000 WAN2 (DHCP).
- На AX3000:
- настроить mwan3 для dual-WAN и policy routing;
- dnsmasq + ipset для domain-based routing (скрипты для обновления IP наборов);
- WireGuard server (или Tailscale) для удалённого доступа;
- v2ray/VLESS клиент + policy routing для «недоступных» сайтов.
- Внутренняя сеть: выделить подсети/VLANы: management (Proxmox, серверы), lab, IoT. Назначать статики/резервировать DHCP.
- Proxmox и домашний ПК — в management VLAN с фаерволом; NAS и сервера — тоже в своих VLAN по мере появления.
Вариант 2 — Proxmox (VM) как сетевой/маршрутизирующий слой (более гибко и масштабируемо)
- Подключение: Eltex (bridge) и Vladlink оба к уровню L2 -> отдельный физический интерфейс/порог на коммутаторе -> эти интерфейсы проброшены в Proxmox VM с pfSense/OPNsense или VyOS.
- pfSense/OPNsense VM на Proxmox выполняет:
- dual-WAN, policy routing, более мощный firewall, OpenVPN/WireGuard, HA/плагин управления,
- легче управлять NAT/portforward, VLANами, logging, IDS.
- AX3000 можно использовать как простой AP/коммутатор (или оставить как запасной роутер).
- Плюсы: масштабируемость, бОльшая производительность при использовании сервера, удобство бэкапа/кластеризации. Минусы: чуть более сложная настройка, Proxmox host — single point of failure (нужно обеспечить его доступность).
- В этой схеме remote access, reverse-proxy, SSL termination, и тонкая маршрутизация будут реализованы централизованно и легко масштабируются при добавлении NAS/серверов.
Практические советы и «чек-лист» безопасности/настройки
- Не открывайте Proxmox/Web GUI в интернет — доступ только через VPN.
- Используйте static IP/DHCP reservations для серверов и Proxmox VMs.
- Разделяйте трафик по VLAN (management, servers, guests, IoT).
- Для domain-based routing:
- Если делаете на роутере: убедитесь, что все клиенты резолвят через ваш роутер (настройте DNS), используйте dnsmasq + ipset + скрипт для обновления и учтите IPv6.
- Рассмотрите per-app proxy (браузерные расширения или системный прокси) для критичных доменов (YouTube).
- Для remote access возьмите WireGuard или Tailscale:
- WireGuard — лёгкий, быстрый, можно поднять на роутере или VM.
- Tailscale — минимальная настройка, NAT traversal, легко добавить устройства.
- Для публикации множества сервисов — reverse proxy (Caddy/Nginx) с certbot/Let's Encrypt, ЛОГИН+2FA.
- Мониторинг: подключите мониторинг канала и сервисов (simple scripts, Prometheus+Grafana или готовые утилиты).
- Бэкап конфигураций (OpenWRT, Proxmox, pfSense) и ключей.
Заключение / что дальше
- Вариант A (AX3000 как основной роутер) — рабочий и проще; подойдёт если нагрузка и количество сервисов невелики и вы готовы управлять сложными dnsmasq/ipset-скриптами.
- Для долгосрочного масштабирования и гибкости я рекомендую либо:
- Вариант A, но тщательно реализовать VLAN, WireGuard/Tailscale, mwan3+ipset и следить за производительностью роутера; либо
- Сделать AX3000 «тонким» AP/сплиттером и поместить роутинг в pfSense/OPNsense VM на Proxmox — это даст вам enterprise-функции и удобство управления при росте числа серверов/NAS.
Присылайте, пожалуйста, Вариант B (и укажите модель AX3000/версию OpenWRT, есть ли управляемый коммутатор и сколько у Proxmox физических NIC), и я подробно сравню схемы и дам конкретную пошаговую схему с командами/пакетами для реализации.