T3 · retrofit progressivo 2020–2026

A casa onde tudo começou.

Não foi planeada como caso de estudo. Foi planeada para resolver um problema pessoal.

Contexto

T3 em Almada, habitação principal. Quando começou, o objetivo era simples: substituir uma campainha cloud que tinha falhado pela terceira vez. A campainha levou a uma câmara. A câmara levou a uma rede separada. A rede separada levou a um servidor. O servidor levou a tudo o resto.

Seis anos depois, é o sistema que ofereço a clientes — testado, refinado, e a viver na pele todos os dias. Cada decisão técnica do tier Profissional veio daqui: foi tentada, falhada, ajustada, e validada antes de chegar a qualquer cliente.

O sistema em números

Componente	Quantidade
Redes segmentadas (VLANs)	4, a evoluir para 6
Câmaras com gravação local	4 (Reolink RTSP)
Sensores integrados (movimento, porta, temperatura)	~15
Dispositivos Zigbee	~20
Automações ativas	~30
Tempo médio de downtime mensal	< 5 minutos
Dados enviados para cloud comercial	0

A arquitetura, em camadas

Camada 1 — Rede

Router atual: Asus com firmware Merlin, três redes separadas (pessoal, IoT, visitas), VPN WireGuard ativada para acesso remoto. As redes IoT não têm acesso à internet — apenas falam com o servidor central. As visitas têm internet mas estão isoladas de tudo o resto.

Em transição: migração planeada para arquitetura com firewall dedicado (OPNsense ou UniFi Cloud Gateway, ainda a decidir) com 6 redes segmentadas — pessoal, IoT local, IoT cloud, câmaras, visitas, gestão.

Camada 2 — Servidor central

Em transição. Setup atual: Home Assistant a correr em HA Green. Setup futuro: mini-PC com Proxmox, virtualizando Home Assistant + Debian com Frigate + AdGuard Home, com armazenamento local em NVMe para eventos recentes e HDD para arquivo. Frigate com acelerador Coral TPU para detecção inteligente local sem chamada a serviços cloud.

Camada 3 — Videovigilância

Quatro câmaras Reolink ligadas via RTSP ao Frigate. Acesso à internet bloqueado nas próprias câmaras e na firewall — defesa em profundidade. Gravação local com retenção de 30 dias, máscaras de privacidade nas zonas que apanham via pública.

Lição aprendida: o bloqueio cloud nas próprias câmaras (via menu da Reolink) não é suficiente. As câmaras tentam alcançar servidores externos mesmo com a "cloud desativada". O bloqueio tem que ser feito na firewall, com regras explícitas que negam acesso à internet por defeito.

Camada 4 — Dispositivos

Dispositivos Zigbee centralizados num coordinator local (sem hub do fabricante, sem app cloud). Módulos Shelly para controlo de circuitos elétricos onde fez sentido. Sensores variados de movimento, abertura de porta/janela, temperatura, humidade.

Princípio aplicado: preferência por Zigbee/Z-Wave sobre WiFi quando possível, porque mantém os dispositivos numa rede mesh isolada que nem está na infraestrutura IP da casa.

Camada 5 — Acesso remoto

WireGuard com perfis por dispositivo (telemóvel principal, telemóvel secundário, portátil). Sem porta aberta no router — uso de DDNS apenas para resolução de nome. Acesso desde qualquer lado, encriptado, com latência inferior a 50ms para a maioria das operações.

Lição aprendida: WireGuard ganha por larga margem ao OpenVPN em mobile — não dreca bateria significativamente, e a reconexão automática quando se muda de WiFi para dados móveis é praticamente invisível.

Três automações que vale a pena explicar

Rotina de saída

Quando o último telemóvel da família sai do alcance do WiFi durante mais de 5 minutos, o sistema desliga as luzes que ficaram acesas, confirma que portas/janelas com sensor estão fechadas (notificação se não estiverem), coloca a videovigilância em modo "ausente", e desliga aparelhos não-essenciais via Shelly. Sem cloud no meio. Sem dependência de geolocalização externa.

Resposta a corte de luz

Detecção via UPS conectado ao servidor: envia notificação imediata aos telemóveis da família via VPN, reduz consumo do servidor, e se o corte durar mais de 20 minutos inicia shutdown gracioso do NAS. Quando a energia volta, tudo arranca pela ordem correta. Esta automação salvou dados pelo menos duas vezes em seis anos.

Notificação inteligente nas câmaras

Quando o Frigate detecta uma pessoa numa zona "perímetro" (não nas zonas mascaradas que apanham via pública): envia notificação com snippet de vídeo direto para o telemóvel via VPN, acende discretamente uma luz exterior (deterrence sem ser agressivo), e regista o evento no log. A diferença para um sistema cloud: a notificação chega em ~2 segundos (em vez dos 8–15 típicos), nunca falha por o servidor da fabricante estar em baixo, e o vídeo nunca sai de casa.

Trade-offs honestos

Curva de aprendizagem inicial

Levei meses a ter um sistema decente, e anos a ter um sistema robusto. Para um cliente, este custo é absorvido — recebes a versão refinada. Mas a complexidade existe, e isso traduz-se em valor do serviço.

Atualizações exigem atenção

O Home Assistant atualiza a cada duas semanas. Algumas atualizações partem coisas. Por isso, no meu sistema e nos dos clientes, atualizações não são automáticas — são testadas, agendadas, e aplicadas com janela de rollback.

Custo inicial superior

Comparado com "comprar um Echo Show e ligar coisas Tuya", isto é mais caro à partida. A diferença paga-se em 4–6 anos via ausência de subscrições, mas é honesto admitir o investimento inicial.

Maior dependência da relação com o instalador

Sistemas como este não são "instalas e esqueces". Há manutenção real. Para clientes que valorizam autonomia técnica, posso documentar tudo de forma a poderem auto-gerir. Para clientes que querem tranquilidade, o plano de manutenção mensal existe.

O que mudou ao longo do tempo

2020–2022

Caótico. Tudo num Raspberry Pi 2 com discos USB. Funcionava, mas a fiabilidade era média. Várias migrações falhadas, dois discos perdidos, muitas noites a debuggar.

2022–2025

Consolidação. Migração para Home Assistant em HA Green dedicado. Introdução de Frigate. Segmentação de rede formalizada. Backups automatizados. Sistema fiável, pronto para uso real, mas ainda com peças de "hobby".

2025–2026

Profissionalização. Em curso: migração para mini-PC com Proxmox, NAS dedicado, UPS adequado, e firewall empresarial. Esta é a versão que ofereço a clientes Profissional, validada na minha casa antes de chegar à de mais ninguém.

A boa notícia: tu não vais passar por seis anos de evolução.

O valor de instalar um sistema deste tipo em 2026, comigo, é exatamente este: o caminho já foi feito. As decisões erradas já foram tomadas e corrigidas. As ferramentas certas já foram identificadas. A arquitetura está estabilizada.

A tua instalação não é um experimento — é a aplicação refinada de seis anos de iteração na minha casa. Recebes a versão final, com 5–7 dias de trabalho, em vez dos seis anos que demoraram a descobrir.

Pedir orçamento para a tua casa

Sem compromisso, sem custo, sem follow-up insistente. Uma conversa de 30 minutos para perceber o que faz sentido para o teu caso.

Pedir orçamento Voltar à lista de casos