Portfolio · homelab
Red doméstica Sinerxia
Homelab self-hosted que complementa mi perfil profesional: apps web en producción, virtualización, automatización y acceso remoto con criterio de empresa. Esta página amplía la infografía de portfolio del inicio con detalle divulgativo (sin IPs ni credenciales).
Roberto García Paradela — Senior PHP Developer — más de 21 años en desarrollo y análisis (Coremain, K-Infotec, proyectos Simyo y Atlantis). Sinerxia demuestra competencias aplicables fuera del hogar: separación de servicios, túnel sin abrir perímetro, automatización y documentación viva.
Stack: PHP, JavaScript, MariaDB, Docker, Linux, Proxmox. Idiomas: español y gallego nativos; inglés y francés profesional.
La LAN en casa (qué es y por qué importa)
Una LAN (*Local Area Network*) es la «vecindad digital» del hogar: Wi‑Fi, cable y todo lo conectado comparten un barrio privado, invisible desde Internet salvo que decidas abrir una puerta controlada.
En un hogar normal el router de la operadora reparte Wi‑Fi y conecta con la fibra. Aquí se añade una capa extra de organización coordinada por el proyecto Sinerxia.
| Pieza | Por qué no basta con «el Wi‑Fi de Orange» |
|---|---|
| Pi-hole | Directorio de barrio: nombres (*.sinerxia.local), menos anuncios y reparto ordenado de direcciones. |
| Proxmox + LXC | Un solo servidor alberga «apartamentos» ligeros (Plex, contraseñas, música…) en lugar de varios PCs 24 h. |
| Repetidor Alastor | Acerca IoT de 2,4 GHz al router y puede actuar como portero (lista blanca por MAC). |
| Túnel Cloudflare | Publica solo lo elegido hacia fuera; el tráfico sale de dentro hacia fuera, no al revés. |
| WireGuard (VPN) | «Estar en casa» desde el móvil: DNS Pi-hole, servicios locales y salida por la IP del hogar. Complementa el túnel. |
Sinerxia en pocas palabras
Imagina la casa como un pequeño municipio digital:
- Directorio (Pi-hole) — sabe cómo llamar a cada aparato por nombre.
- Catastro (DHCP) — reparte «números de calle» a móviles, bombillas y servidores.
- Edificio de servicios (Proxmox) — apartamentos LXC y dos casas completas (VM).
- IoT — muchos por Wi‑Fi y repetidor Alastor, con reglas de acceso.
- Túnel (Cloudflare) — algunas apps fuera de casa sin dejar el router como escaparate.
- VPN WireGuard — unir el móvil a la LAN entera como si estuvieras en el sofá.
Objetivo cotidiano: menos anuncios, nombres entendibles, música y vídeo en casa, domótica unificada, contraseñas bajo tu control y acceso remoto razonable sin convertir el salón en un datacenter ruidoso.
Qué notarás en el día a día
| Si usas… | En la práctica… |
|---|---|
| Móvil o portátil en casa | Menos ruido publicitario con DNS en Pi-hole; servicios locales por nombre, no por números. |
| Tele o altavoz inteligente | Siguen en Internet, con reservas DHCP para no «perderse» al reiniciar el router. |
| Luces, termostato, timbre | Home Assistant (haos14.1) agrupa estados; MQTT reparte mensajes cuando está activo. |
| Películas o música | Plex y Navidrome sirven bibliotecas; qBittorrent alimenta las carpetas. |
| Gestor de contraseñas | Vaultwarden guarda la bóveda en casa, compatible con clientes Bitwarden. |
| Fuera de casa (apps web) | Algunas webs por el túnel Cloudflare; lo sensible puede exigir Access. |
| Fuera de casa (VPN) | Con WireGuard, tráfico túnel completo por casa: Pi-hole, nombres *.sinerxia.local. |
Cinco capas (cómo encajan)
| Capa | En pocas palabras |
|---|---|
| 1. Internet, Cloudflare y VPN | Dominio personal, pasillo hacia apps web (túnel) y VPN WireGuard para unir el móvil a la red de casa. |
| 2. Pi-hole | Listín y catastro: nombres bonitos, menos anuncios, mismas «calles» tras cada reinicio. |
| 3. Proxmox | Edificio con apartamentos LXC y dos casas VM (Axudante, Home Assistant). |
| 4. Wi‑Fi | C3-PO y XuntaNET; repetidor Alastor con portero opcional. |
| 5. Dispositivos | Bombillas, termostatos, portátiles, consolas y Pis de laboratorio con reglas distintas. |
- Internet, Cloudflare y VPN — túnel Sinerxia, Access y WireGuard (único reenvío UDP 51820).
- Pi-hole — DNS y DHCP: nombres
*.sinerxia.local, anuncios filtrados y reservas fijas. - Proxmox — LXC para servicios ligeros; VMs para Axudante y Home Assistant.
- Wi‑Fi — C3-PO, XuntaNET y Alastor con filtro MAC para la mayoría de IoT.
- Dispositivos — IoT, estaciones de trabajo, consolas y Raspberry Pi de laboratorio.
Flujo habitual en casa: el móvil pregunta a Pi-hole «¿dónde está este nombre?»; si es local, va al contenedor en Proxmox; si es Internet, la consulta sale filtrada. Fuera de casa: el túnel abre webs concretas; WireGuard mete el móvil en la LAN entera.
Diagrama de conjunto
Pi-hole: directorio y catastro
El contenedor pihole es el cerebro de nombres en casa. Alastor y la mayoría de clientes lo usan como DNS; también reparte direcciones (DHCP) y aplica reservas para que timbres y termostatos no cambien de sitio tras un reinicio.
| Idea | Analogía | Beneficio |
|---|---|---|
| DNS | Directorio telefónico | plex.sinerxia.local lleva al servidor sin memorizar números. |
| Bloqueo | Filtrar páginas molestas del directorio | Menos banners y trackers en móviles y TV. |
| DHCP | Oficina de direcciones | Cada dispositivo recibe sitio automáticamente. |
| Reservas | Inscripción fija por equipo | Home Assistant no pierde sensores tras un corte de luz. |
Wi‑Fi y repetidor Alastor
| Elemento | Qué hace | Por qué importa |
|---|---|---|
| C3-PO | SSID 2,4 GHz del router Orange. | Cobertura amplia; muchos IoT solo hablan en 2,4 GHz. |
| XuntaNET | SSID 5 GHz para equipos cercanos. | Portátiles y móviles con menos interferencias. |
| Alastor | Repetidor TP-Link; muchos IoT se conectan aquí. | Concentra aparatos «chicos» lejos del router principal. |
| Filtro MAC | Lista blanca en Alastor. | Solo dispositivos autorizados se asocian a ese AP. |
Agrupar IoT detrás de Alastor reduce mezclar equipos que actualizan poco con portátiles y servidores sin reglas.
Cloudflare: túnel y Access
Abrir puertos en el router es dejar ventanas sin persiana. El túnel Sinerxia
(cloudflared en la VM Axudante) es un pasillo subterráneo hacia Cloudflare:
el tráfico sale desde dentro hacia fuera.
| Pieza | Rol |
|---|---|
| DNS / proxy | Carteles en la entrada de Internet hacia el dominio personal. |
| Túnel | Publica solo lo elegido (TramitaZero, música, bóveda…) sin pinchar HTTP/HTTPS en el router. |
| Access | Portería con identidad (correo, OTP) para SSH o paneles sensibles. |
Desde fuera de casa puedes abrir algunas apps como webs normales; el router no reenvía los puertos 80 ni 443 para eso. Las excepciones NAT (VPN, medios, SSH) están en la sección siguiente.
WireGuard VPN (acceso «como en casa»)
WireGuard es una VPN moderna y ligera en el contenedor LXC wireguard
(wireguard.sinerxia.local). No sustituye al túnel: cada uno resuelve un problema distinto.
| Idea | Analogía | Beneficio fuera de casa |
|---|---|---|
| Túnel completo | Llevas la red de casa en el bolsillo | Pi-hole, plex.sinerxia.local y salida con IP del hogar. |
| Un solo puerto UDP | Ventanilla con llave en el router | Solo 51820/UDP hacia wireguard; sin abrir HTTP/HTTPS. |
| Perfil en el móvil | Carnet de vecino digital | App WireGuard con configuración gestionada internamente (no publicar aquí). |
| Aspecto | Túnel Sinerxia | WireGuard |
|---|---|---|
| Qué publica | Webs y APIs concretas que eliges | Toda la red doméstica al móvil (túnel completo) |
| Cómo entra | Conexión saliente desde Axudante | Móvil → router UDP 51820 → contenedor wireguard |
| Identidad extra | Access en rutas sensibles | Perfil/clave del cliente VPN |
| DNS en el móvil | Depende de cada app | Pi-hole de casa mientras la VPN está activa |
| Cuándo usarlo | Abrir una web concreta fuera | Paneles internos, nombres .local, IP de salida del hogar |
No publicar en la web: claves privadas, ficheros de configuración ni QR del perfil móvil.
Reenvíos en el router (excepciones NAT)
Además del túnel, el router Livebox mantiene cinco reenvíos activos (antes seis; FTP retirado 2026-06-04). Solo nombres de servicio, sin direcciones internas.
| Qué expone | Puerto | Proto | Destino en casa | Para qué |
|---|---|---|---|---|
| VPN WireGuard | 51820 | UDP | wireguard | Túnel completo al móvil; único reenvío UDP. |
| qBittorrent (peers) | 4355 | TCP | qbittorrent | P2P entrante; la interfaz web (8090) no está reenviada. |
| Plex | 32400 | TCP | plex | Acceso remoto directo (alternativa al relay de Plex). |
| SSH gestión | 2304 | TCP | Portátil de gestión | Shell en puerto no estándar; duplica en parte túnel + Access. |
| SSH Raspdrian | 2303 | TCP | Raspberry legacy | Segundo shell; no es la consola Proxmox (esa va por túnel). |
Puertos SSH 2303 y 2304 (no el 22 habitual) reducen ruido de escaneos, pero no sustituyen claves fuertes ni Access.
Contraste: túnel frente a NAT
| Tipo de servicio | Cómo se publica fuera | Comentario |
|---|---|---|
| Webs (TramitaZero, música, bóveda, sitio personal…) | Túnel Sinerxia | Preferido: HTTPS sin abrir HTTP/HTTPS en el router. |
| SSH al portátil de gestión | Túnel + Access o NAT :2304 | El túnel añade identidad; el NAT es atajo directo. |
| SSH a la Pi Raspdrian | Solo NAT :2303 | Sin capa Cloudflare; revisar si sigue haciendo falta. |
| VPN móvil | NAT UDP 51820 | WireGuard no usa el túnel HTTP. |
| Plex / torrents | NAT 32400 / 4355 | Rendimiento o P2P; aumentan superficie expuesta. |
Proxmox: apartamentos (LXC) y casas (VM)
| Concepto | Analogía | Cuándo se usa aquí |
|---|---|---|
| LXC | Apartamento amueblado (comparte cimientos) | pihole, plex, vaultwarden, wireguard, navidrome… |
| VM | Casa entera con su propio sistema | Axudante (Docker y webs) y haos14.1 (Home Assistant OS). |
Hostnames reales del hipervisor; algunos contenedores pueden estar parados.
Contenedores — Infraestructura y red
Red que funciona sola: nombres, direcciones, anuncios filtrados y estado del SAI.
| Hostname | Qué hace en casa |
|---|---|
pihole | DNS, DHCP, bloqueo de anuncios y reservas. |
wireguard | VPN móvil: «llevar la LAN en el bolsillo» con Pi-hole y nombres locales. |
nut / peanut | Monitoriza el SAI (UPS); panel web para ver batería y cortes. |
homepage | Tablero con enlaces a Plex, Pi-hole y otros paneles. |
cloudflare-ddns | Histórico; el DDNS activo vive en Axudante (contenedor parado). |
Contenedores — Medios y descargas
Ver y escuchar lo que ya tienes en disco; rellenar bibliotecas sin saturar el portátil.
| Hostname | Qué hace en casa |
|---|---|
plex | «Netflix de lo tuyo» en TV o móvil en la LAN (y remoto vía NAT o relay). |
qbittorrent | Descargas hacia bibliotecas ZFS; alimenta Plex y Navidrome. |
navidrome | Música propia en streaming (compatible Subsonic). |
Contenedores — Apps y productividad
Trabajo, secretos, notas e IA sin depender de cuentas gratuitas en la nube.
| Hostname | Qué hace en casa |
|---|---|
vaultwarden | Gestor de contraseñas autohospedado (clientes Bitwarden). |
trilium | Notas en árbol: manuales, procedimientos, ideas. |
excalidraw | Pizarras compartidas para esquemas. |
n8n | Automatizaciones visuales; puede estar parado cuando no se usa. |
ollama-server | Modelos de lenguaje en local, sin mandar todo a la nube. |
zeroclaw | Gateway ZeroClaw: asistente IA por Telegram, distinto del bot Axudante. |
phpmyadmin | Administración web de bases (desarrollo en LAN). |
docker | Host reservado para contenedores extra (inactivo). |
Contenedores — Domótica y mensajería
Sensores y reglas que se hablan entre sí sin depender solo de la nube de cada fabricante.
| Hostname | Qué hace en casa |
|---|---|
mqtt | Broker MQTT (puede estar parado): tablón entre sensores y reglas. |
Máquinas virtuales
| VM | Qué hace en casa |
|---|---|
| Axudante | TramitaZero, bot Telegram, MariaDB, túnel Cloudflare, sitio personal y otros Docker. La «oficina» que atiende visitas desde fuera. |
| haos14.1 | Home Assistant OS: un solo mando para luces, clima, aspirador y avisos. |
VM Axudante (aplicaciones y túnel)
Si Pi-hole es el mapa de la aldea, Axudante es la oficina de trámites y el teléfono que atiende desde fuera.
cloudflared mantiene el pasillo hacia Cloudflare; cloudflare-ddns actualiza la IP pública cuando cambia la fibra.
| Componente | Rol |
|---|---|
| cloudflared | Túnel Sinerxia: publica servicios elegidos sin pinchar el router. |
| cloudflare-ddns | Registro A de la IP pública residencial cuando el ISP la cambia. |
| axudante-telegram | Bot de Telegram: comandos y notificaciones (PHP + Apache). |
| apache-tramitazero | Aplicación web de trámites y gestión administrativa. |
| MariaDB | Base de datos compartida por las apps de la VM. |
| twitch-bot | Enlace eventos de Twitch con Telegram u otros canales. |
| Sitio personal | Esta web y contenido estático del operador. |
Home Assistant (haos14.1)
La VM ejecuta Home Assistant OS: un panel para «¿está la luz del salón encendida?» en lugar de cinco apps distintas. Habla con dispositivos por la LAN y, cuando hace falta, con MQTT.
| En casa | Qué centraliza |
|---|---|
| Iluminación | Escenas y horarios con Yeelight / Sonoff. |
| Clima | Termostato Nest y automatizaciones de confort. |
| Limpieza | Roborock y rutinas. |
| Seguridad | Ring, cámaras compatibles y avisos. |
| Cocina / electro | Termomix, lavavajillas LG, según integraciones activas. |
Medios, privacidad y automatización
Plex, Navidrome y qBittorrent
Entretenimiento y archivos grandes en el servidor, no en el portátil.
| Servicio | Aportación cotidiana |
|---|---|
| plex | «Netflix de casa» en TV o móvil en la LAN. |
| navidrome | Música propia en streaming; escucha remota vía túnel. |
| qbittorrent | Descargas torrent hacia ZFS; alimenta Plex y Navidrome. |
Flujo: qBittorrent termina descarga → biblioteca ZFS → Plex o Navidrome indexan → reproducción desde el sofá.
Vaultwarden
| Tema | Por qué importa |
|---|---|
| Bóveda en casa | Tus secretos no dependen de la política de un SaaS ajeno. |
| Cifrado | Datos cifrados en servidor; la clave maestra la controlas en el cliente. |
| Acceso remoto | Sincroniza móvil y navegador por túnel, con HTTPS y Access si aplica. |
Apps, IA y productividad
| Servicio | Qué hace en casa |
|---|---|
| homepage | Índice de la casa: un clic a Plex, Pi-hole, paneles… |
| n8n | «Si llega un correo, avísame en Telegram» sin programar a mano. |
| ollama-server | IA en local; datos que no salen a terceros. |
| zeroclaw | Agente IA local (ZeroClaw); bot Telegram dedicado en su contenedor. |
| trilium | Wiki personal: recetas, procedimientos, ideas. |
| excalidraw | Bocetos y diagramas compartibles. |
| phpmyadmin | Revisar tablas al desarrollar apps en LAN. |
| nut + peanut | Si corta la luz, ves cuánta batería queda del SAI. |
Algunos servicios pueden estar parados cuando no se usan.
Acceso desde Internet (solo roles)
Desde el móvil en la calle algunas apps responden como webs normales por el túnel; el router no reenvía el puerto 80 para eso. Existen además los cinco reenvíos NAT descritos arriba. Lo delicado puede exigir Cloudflare Access.
| Función | Descripción | Metáfora |
|---|---|---|
| TramitaZero | Trámites y gestión en navegador. | Ventanilla abierta fuera de casa, con recepción en Cloudflare. |
| Bot Telegram | Asistente conversacional vía API del bot. | «SMS inteligente» con avisos y comandos. |
| Sitio personal | Página del operador. | Tarjeta de visita servida desde Axudante. |
| Ollama | API de modelos locales (restringida). | Cerebro de IA en el sótano, con llave. |
| Navidrome | Biblioteca musical remota. | Discoteca en el bolsillo al viajar. |
| Vaultwarden | Bóveda para clientes Bitwarden. | Caja fuerte sincronizada; la llave maestra es tuya. |
| Excalidraw | Pizarras compartidas. | Pizarra para familia o amigos a distancia. |
| n8n | Panel de automatizaciones privado. | Cuadro «si A, entonces B» solo para quien debe tocarlo. |
| Consola Proxmox | Administración del hipervisor (protegida). | Cuarto de máquinas: solo personal autorizado. |
| SSH remoto | Estación de gestión vía Access y túnel. | Entrar a arreglar con DNI en recepción. |
| DDNS residencial | Registro a la IP pública del hogar. | Avisar «esta semana estoy en esta calle» cuando cambia la fibra. |
| VPN WireGuard | Túnel completo vía UDP 51820 → wireguard. | Wi‑Fi de casa en la calle: Pi-hole y nombres .local. |
Dispositivos IoT (familias)
Sin inventario completo. Ejemplos de categorías en la red; los nombres estables los gestiona Pi-hole:
| Familia | Ejemplos | En casa |
|---|---|---|
| Iluminación | Yeelight, Sonoff | Escenas desde Home Assistant. |
| Clima / confort | Nest, Thermomix | Temperatura y avisos. |
| Asistentes de voz | Echo, Google Home | Conviven con DNS filtrado. |
| Seguridad | Ring, cámaras Xiaofang | Integrables con revisión de privacidad por marca. |
| Limpieza | Roborock | Rutinas programadas. |
| Electrodomésticos | Lavavajillas LG, etc. | Estado en el panel si la integración está activa. |
| Consolas y móviles | 2DS, móviles, Kindle, Legion Go | Ocio y lectura; comparten Wi‑Fi y DNS. |
| Laboratorio | raspdrian, testdrian | Pruebas de software o sensores sin tocar Proxmox. |
Bots de Telegram
Hay dos asistentes distintos: Axudante (VM Axudante, contenedor axudante-telegram)
atiende comandos y notificaciones del ecosistema de trámites; se publica hacia fuera por el túnel Cloudflare.
ZeroClaw (zeroclaw en Proxmox) es un agente de IA con bot Telegram dedicado
(long-polling, sin hostname público en el túnel). Complementa a Axudante, no lo sustituye.
No publicar tokens de bots, rutas internas ni credenciales de base de datos.
- ¿Por qué reservas DHCP?
- Sin reserva, cada sensor podría recibir otra dirección tras un reinicio y Home Assistant lo «pierde». La reserva fija es la inscripción permanente en el catastro de la LAN.
- ¿Túnel vs abrir un puerto?
- Abrir un puerto publica una ventana hacia Internet. El túnel es un pasillo saliente desde Axudante; solo las rutas que configuras son visibles fuera.
- ¿Por qué no abrir puertos en el router?
- Los routers domésticos reciben escaneos constantes. El túnel reduce la superficie: quien llega pasa por Cloudflare (HTTPS, Access). Hay excepciones deliberadas (VPN, Plex, torrents, SSH) que conviene revisar de vez en cuando.
- ¿WireGuard o túnel Cloudflare?
- No compiten: se complementan. El túnel publica webs concretas con HTTPS y Access; WireGuard mete el móvil dentro de la LAN entera. Si solo quieres una app, el túnel basta; si quieres «estar en casa» con todo, activa la VPN.
- ¿Por qué tantos LXC?
- Cada servicio en su apartamento se actualiza o apaga sin tumbar Plex. Las VM se reservan para sistemas completos (Home Assistant, ecosistema Docker heterogéneo).
- ¿Es seguro publicar la bóveda o la música?
- Depende de HTTPS, contraseñas fuertes y Access en lo sensible. Lo que no necesitas fuera, déjalo solo en la LAN; lo expuesto por túnel debe tratarse como un servicio en Internet.
- ¿Por qué hay reenvíos NAT si hay túnel?
- Algunos protocolos no encajan en el túnel HTTP (VPN UDP, P2P torrent, Plex directo, SSH legacy). Conviene revisarlos de vez en cuando y cerrar los que ya no hagan falta.
- DNS
- Traduce nombres (como
plex.sinerxia.local) a direcciones alcanzables en la red. - DHCP
- Asigna direcciones automáticamente cuando un dispositivo se conecta al Wi‑Fi o cable.
- LXC
- Contenedor Linux ligero en Proxmox; comparte el kernel del host pero aísla el servicio.
- VM
- Máquina virtual con sistema operativo completo (Axudante, Home Assistant).
- Docker
- Empaquetado de aplicaciones en «cajas» que comparten un motor en la VM Axudante.
- IoT
- «Internet de las cosas»: bombillas, termostatos, timbres y similares conectados a la red.
- MQTT
- Mensajería ligera tipo tablón de anuncios entre sensores y automatizaciones.
- Túnel (Cloudflare)
- Conexión saliente permanente que expone servicios sin abrir HTTP/HTTPS en el router.
- Access (Cloudflare)
- Capa de identidad antes de entrar a recursos sensibles del túnel.
- WireGuard
- VPN ligera que une el móvil a la red de casa; un único puerto UDP en el router.
- ZFS
- Sistema de archivos robusto para bibliotecas de medios y copias de seguridad.
Actualización divulgativa 2026-06-06. Fuente ampliada: documentación del proyecto Sinerxia (misma versión que la infografía de portfolio).