Auswahl eines Systems für Homeserver (Netzwerkspeicher, Firewall, Container, VMs)
- Ersteller Berto95
- Erstellt am
FabianX2
Lieutenant
- Registriert
- Apr. 2006
- Beiträge
- 805
Ich würde dir raten das Experiment nicht auf deiner produktiv Hardware zu starten. Für den ersten Versuch reicht auch ein aufbereiteter Mini PC (https://www.mydealz.de/gruppe/mini-pc). Der M920q oben bspw. Nachteil ist das du nur ein NIC hast. Aber da gibt es je nach Modell ggf. Möglichkeiten fuchs dich da am besten mal rein. Wie schon erwähnt kannst du Proxmox einfach von nem USB Stick o.ä. booten.
Wenn du jemand findest der einen Ryzen 3000 oder 5000 abzugeben hat bleibe ich beim mc12:
340€ für ne Mega Basis
Erweiterungen bspw. je nach Bedarf:
Bei Firewalls und VPNs stehe ich selbst noch am Anfang aber das ist ein riesen Thema muss ich bald angehen. Wir haben eine Zweitwohung da hätte ich gerne ein VPN. Und ein Tunnel zu den altersschawachen Eltern wäre oft auch hilfreich. Ich werde mir demnächst PFsense mal näher anschauen. Da hört man viel gutes. Mehr kann ich dir da aktuell noch nicht mitgeben.
Du könntest dir auch die Firewall mit PFSense und einem MC12 bauen. Da reicht dann eine viel kleinere CPU, weniger Ram und ein kleineres Netzteil. Dafür brauchst du halt dann Nics mit vielen Ports was aber wenn nicht alles 10gbe sein muss voll klar geht. Ich würde im Kopf überschlagen behaupten das du mit grob 250€ knapp hinkommen könntest. Random auf die schnelle ein Link wie sowas aussehen kann: https://drakeor.com/2021/04/14/setting-up-pfsense-as-a-router/ -> Ohhh no und jetzt hab ich selbst bock drauf
Wenn du jemand findest der einen Ryzen 3000 oder 5000 abzugeben hat bleibe ich beim mc12:
- 60€ MC12
- 90€ 32gb Ecc Samsung
- 150€ 3950X ca. gebraucht (Falls du niemanden kennst der was über hat)
- 40€ - 80€ Netzteil je nach benötigter Leistung
340€ für ne Mega Basis
Erweiterungen bspw. je nach Bedarf:
- 270€ upgrade auf 128gb ram
- 110€ intel arc 310 (bspw. als Transcoder gibts je nach Gehäuse als ITX aber auch low profile oder und singel slot.
- 50€ Gehäuse
- 30€ - 100€ SAS Controller LSI/INTEL je nachdem ob du IT selbst falshen willst (ist kein stress) oder nicht
- 50€+- Ich nutze gebrauchte Intel Nics und die Karte von Asus. Lief beides bisher ohne Probleme. Laufen mit cat5 Kabeln auf Anschlag.
Bei Firewalls und VPNs stehe ich selbst noch am Anfang aber das ist ein riesen Thema muss ich bald angehen. Wir haben eine Zweitwohung da hätte ich gerne ein VPN. Und ein Tunnel zu den altersschawachen Eltern wäre oft auch hilfreich. Ich werde mir demnächst PFsense mal näher anschauen. Da hört man viel gutes. Mehr kann ich dir da aktuell noch nicht mitgeben.
Du könntest dir auch die Firewall mit PFSense und einem MC12 bauen. Da reicht dann eine viel kleinere CPU, weniger Ram und ein kleineres Netzteil. Dafür brauchst du halt dann Nics mit vielen Ports was aber wenn nicht alles 10gbe sein muss voll klar geht. Ich würde im Kopf überschlagen behaupten das du mit grob 250€ knapp hinkommen könntest. Random auf die schnelle ein Link wie sowas aussehen kann: https://drakeor.com/2021/04/14/setting-up-pfsense-as-a-router/ -> Ohhh no und jetzt hab ich selbst bock drauf
Zuletzt bearbeitet:
Hallo zusammen,
vielen Dank für eure Beiträge.
Ich habe mich für folgendes entschieden:
Als Firewall eine externe Hardware vor meine Dream Machine Pro und dann den Rechner von mir verlinkt als Home Server.
Dazu habe ich nur eine Frage:
Auf der Hardware, die ich verlinke, bekomme ich ohne Probleme Proxmox drauf und dann darauf Home Assistant und Unraid? Die beiden sollen immer laufen, das eine für Smart Home und das andere als NAS und für ein paar Apps. Oder ist die Hardware zu schwach?
Viele Grüße
Umberto
vielen Dank für eure Beiträge.
Ich habe mich für folgendes entschieden:
Als Firewall eine externe Hardware vor meine Dream Machine Pro und dann den Rechner von mir verlinkt als Home Server.
Dazu habe ich nur eine Frage:
Auf der Hardware, die ich verlinke, bekomme ich ohne Probleme Proxmox drauf und dann darauf Home Assistant und Unraid? Die beiden sollen immer laufen, das eine für Smart Home und das andere als NAS und für ein paar Apps. Oder ist die Hardware zu schwach?
Viele Grüße
Umberto
@h00bi Hallo hb00i, ich habe bereits die Dream Maschine Pro als Router. Er kann auch Firewall natürlich, allerdings würde ich eine andere Hardware als Firewall einsetzen, um Erfahrung zu sammeln.
Anbei der Link zum Homeserver: https://de.aliexpress.com/item/1005004822965821.html
Anbei der Link zum Homeserver: https://de.aliexpress.com/item/1005004822965821.html
Sehr geehrte Damen und Herren,
vielen Dank für Ihre bisherige Unterstützung und Mühe bei meinem Projekt. Ich habe nun ein wenig Budget zur Seite gelegt und möchte beginnen, zumindest einen Teil des Projekts umzusetzen. Dabei sind einige technische Fragen aufgetaucht, die ich gerne mit Ihnen klären würde.
In meinem aktuellen Netzwerkaufbau habe ich vier Segmente eingerichtet:
1. Default-Netzwerk (192.168.1.x): Standardbereich des Routers.
2. Privat-Netzwerk (192.168.10.x): Hier befinden sich vertrauenswürdige Geräte wie Smartphones und Computer.
3. IoT-Netzwerk (192.168.20.x): Für IoT-Geräte wie smarte Lampen und andere Geräte, meist mit zweifelhafter Sicherheit.
4. Gast-Netzwerk (192.168.30.x): Für Gäste.
Nun zu meinen Fragen:
1. Managementnetzwerk:
Ich habe gelesen, dass ein dediziertes Managementnetzwerk empfohlen wird. Wozu dient es genau?
Ist in meinem Fall nicht das Default-Netzwerk (192.168.1.x) bereits ein Managementnetz, oder wäre es sinnvoll, ein separates Managementnetz einzurichten?
Wenn ja, welchen Vorteil hätte das in meinem Setup, in dem bisher nur ein Router (ohne Switch) vorhanden ist?
2. Netzwerksegmentierung:
Meine Netzwerke sind derzeit strikt voneinander getrennt und können sich nicht gegenseitig anpingen.
Das könnte allerdings zu einem Problem führen:
Wenn mein Computer im Privat-Netzwerk (192.168.10.x) ist, könnte ich möglicherweise nicht auf meinen Proxmox-Server im IoT-Netzwerk (192.168.20.x) zugreifen.
Wie könnte ich das elegant lösen? Wäre hier eine gezielte Firewall-Regel oder eine spezielle Ausnahme die richtige Lösung?
3. Proxmox und virtuelle Maschinen:
Ich plane, Proxmox als Basis einzurichten und darauf verschiedene virtuelle Maschinen und Container zu betreiben, wie Home Assistant, Docker, TrueNAS usw.
Soweit ich verstanden habe, wäre es sinnvoll, jeder dieser Maschinen eine statische IP-Adresse zuzuweisen (z.B. Home Assistant: 192.168.20.10).
Meine Idee war, diese virtuellen Maschinen im IoT-Netzwerk (192.168.20.x) unterzubringen, da sie mit IoT-Geräten kommunizieren sollen.
Allerdings müsste ich dann wahrscheinlich für jeden dieser Server gezielt Firewall-Regeln erstellen, um von meinem Privat-Netzwerk (192.168.10.x) aus auf sie zugreifen zu können.
Ist dieser Netzwerk-Aufbau aus Ihrer Sicht sinnvoll? Oder würden Sie eine andere Netzwerkstruktur empfehlen?
4. Gesamtkonzept:
Ist mein grundlegendes Netzwerkdesign sinnvoll, oder sehen Sie Optimierungspotenzial?
Ich würde mich sehr freuen, wenn Sie mir bei diesen Fragen weiterhelfen könnten. Vielen Dank im Voraus für Ihre Unterstützung!
Mit freundlichen Grüßen
Berto
vielen Dank für Ihre bisherige Unterstützung und Mühe bei meinem Projekt. Ich habe nun ein wenig Budget zur Seite gelegt und möchte beginnen, zumindest einen Teil des Projekts umzusetzen. Dabei sind einige technische Fragen aufgetaucht, die ich gerne mit Ihnen klären würde.
In meinem aktuellen Netzwerkaufbau habe ich vier Segmente eingerichtet:
1. Default-Netzwerk (192.168.1.x): Standardbereich des Routers.
2. Privat-Netzwerk (192.168.10.x): Hier befinden sich vertrauenswürdige Geräte wie Smartphones und Computer.
3. IoT-Netzwerk (192.168.20.x): Für IoT-Geräte wie smarte Lampen und andere Geräte, meist mit zweifelhafter Sicherheit.
4. Gast-Netzwerk (192.168.30.x): Für Gäste.
Nun zu meinen Fragen:
1. Managementnetzwerk:
Ich habe gelesen, dass ein dediziertes Managementnetzwerk empfohlen wird. Wozu dient es genau?
Ist in meinem Fall nicht das Default-Netzwerk (192.168.1.x) bereits ein Managementnetz, oder wäre es sinnvoll, ein separates Managementnetz einzurichten?
Wenn ja, welchen Vorteil hätte das in meinem Setup, in dem bisher nur ein Router (ohne Switch) vorhanden ist?
2. Netzwerksegmentierung:
Meine Netzwerke sind derzeit strikt voneinander getrennt und können sich nicht gegenseitig anpingen.
Das könnte allerdings zu einem Problem führen:
Wenn mein Computer im Privat-Netzwerk (192.168.10.x) ist, könnte ich möglicherweise nicht auf meinen Proxmox-Server im IoT-Netzwerk (192.168.20.x) zugreifen.
Wie könnte ich das elegant lösen? Wäre hier eine gezielte Firewall-Regel oder eine spezielle Ausnahme die richtige Lösung?
3. Proxmox und virtuelle Maschinen:
Ich plane, Proxmox als Basis einzurichten und darauf verschiedene virtuelle Maschinen und Container zu betreiben, wie Home Assistant, Docker, TrueNAS usw.
Soweit ich verstanden habe, wäre es sinnvoll, jeder dieser Maschinen eine statische IP-Adresse zuzuweisen (z.B. Home Assistant: 192.168.20.10).
Meine Idee war, diese virtuellen Maschinen im IoT-Netzwerk (192.168.20.x) unterzubringen, da sie mit IoT-Geräten kommunizieren sollen.
Allerdings müsste ich dann wahrscheinlich für jeden dieser Server gezielt Firewall-Regeln erstellen, um von meinem Privat-Netzwerk (192.168.10.x) aus auf sie zugreifen zu können.
Ist dieser Netzwerk-Aufbau aus Ihrer Sicht sinnvoll? Oder würden Sie eine andere Netzwerkstruktur empfehlen?
4. Gesamtkonzept:
Ist mein grundlegendes Netzwerkdesign sinnvoll, oder sehen Sie Optimierungspotenzial?
Ich würde mich sehr freuen, wenn Sie mir bei diesen Fragen weiterhelfen könnten. Vielen Dank im Voraus für Ihre Unterstützung!
Mit freundlichen Grüßen
Berto
h00bi
Fleet Admiral
- Registriert
- Aug. 2006
- Beiträge
- 21.623
Verwende lieber
192.168.101.x
192.168.101.x
192.168.102.x
192.168.103.x
Die .1.x würde ich vermeiden wenn ich neu aufsetze, genauso wie die anderen Standardnetzbereiche wie .0.x, .2.x, 100/123/178/179/188/234/254.x
Aber das wäre ein Beispiel fürs Managementnetz, von da aus darf der PC dann auf den Proxmox Host ins IOT Netz zugreifen.
IOT Geräte sind Geräte mit unbekannter Software, der du nicht trauen kannst. Also ein Rollladenmodul zum Beispiel. Da könnte China-Schnüffelsoftware oder Malware drauf sein. Ohne was unterstellen zu wollen - du weißt es schlicht nicht und kannst es auch nicht prüfen. Thema "Zero Trust".
Home Assistant muss klar mit den IOT Geräten kommunizieren.
Hier weiß ich aber nicht, ob die IOT Geräte auch mit Home Assistant kommunizieren müssen. VLAN best practice bei Home Assitant ist sicher ein Thema für sich.
Am einfachsten zeichnest du dein Netz mal auf ein großes Blatt Papier und machst dann bunte Kreise um die Geräte die zusammen gehören. Dann mit den gleichen Farben die Systeme verbinden, die in unterschiedlichen Farbkringel sind, aber auf andere Farbkringel zugreifen sollen.
Dann hast du quasi schon dein VLAN Regelwerk.
192.168.101.x
192.168.101.x
192.168.102.x
192.168.103.x
Die .1.x würde ich vermeiden wenn ich neu aufsetze, genauso wie die anderen Standardnetzbereiche wie .0.x, .2.x, 100/123/178/179/188/234/254.x
In einem Firmennetz ist der Rechner des Admins auch nur ein Client. Er braucht aber Zugang dahin, wo "User" auf VLAN Ebene keinen Zugang haben. z.B. packt man oftmals die meisten Server in ein separates VLAN. Also zumindest die, auf die der User nicht direkt zugreifen muss.Berto95 schrieb:
Ein Proxmox Host ist doch kein IOT Gerät.Berto95 schrieb:
Aber das wäre ein Beispiel fürs Managementnetz, von da aus darf der PC dann auf den Proxmox Host ins IOT Netz zugreifen.
IOT Geräte sind Geräte mit unbekannter Software, der du nicht trauen kannst. Also ein Rollladenmodul zum Beispiel. Da könnte China-Schnüffelsoftware oder Malware drauf sein. Ohne was unterstellen zu wollen - du weißt es schlicht nicht und kannst es auch nicht prüfen. Thema "Zero Trust".
Home Assistant muss klar mit den IOT Geräten kommunizieren.
Hier weiß ich aber nicht, ob die IOT Geräte auch mit Home Assistant kommunizieren müssen. VLAN best practice bei Home Assitant ist sicher ein Thema für sich.
Am einfachsten zeichnest du dein Netz mal auf ein großes Blatt Papier und machst dann bunte Kreise um die Geräte die zusammen gehören. Dann mit den gleichen Farben die Systeme verbinden, die in unterschiedlichen Farbkringel sind, aber auf andere Farbkringel zugreifen sollen.
Dann hast du quasi schon dein VLAN Regelwerk.
Zuletzt bearbeitet:
Hallo h00bi,
vielen Dank für deine bisherige Antwort und Unterstützung!
Kurz zusammengefasst:
Die IP-Adressen kann ich so wie von dir vorgeschlagene ändern, das ist kein Problem.
Wenn ich dann es richtig verstehe, könnte ich das Management-Netz für Proxmox-Host nutzen.
Für jeden Server dann könnte ich, wenn ich sauber arbeiten möchte, ein eigenes getrennten VLAN erstellen.
Da ich mich mit meinem Laptop aber meist im privaten Netz befinde, könnte ich gezielt Regeln erstellen, um auf die jeweiligen Server per Web-Oberfläche vom meinen privaten Netz zugreifen zu können.
Die Firewall-Regel würde dann den Zugriff vom privaten Netz auf die jeweiligen Server in ihren VLANs ermöglichen.
Ist diese Gedanke bis hier korrekt?
Meine Frage ist nun: Wenn ich nicht alles über Ubiquiti Router abwickeln möchte und stattdessen eine dedizierte Firewall nutze – bleibt dann das VLAN-Management weiterhin auf Ubiquiti und nur die Firewall-Regeln auf den Firewall.
Habe ich das so richtig verstanden?
Vielen Dank im Voraus für eure Hilfe!
vielen Dank für deine bisherige Antwort und Unterstützung!
Kurz zusammengefasst:
Die IP-Adressen kann ich so wie von dir vorgeschlagene ändern, das ist kein Problem.
Wenn ich dann es richtig verstehe, könnte ich das Management-Netz für Proxmox-Host nutzen.
Für jeden Server dann könnte ich, wenn ich sauber arbeiten möchte, ein eigenes getrennten VLAN erstellen.
Da ich mich mit meinem Laptop aber meist im privaten Netz befinde, könnte ich gezielt Regeln erstellen, um auf die jeweiligen Server per Web-Oberfläche vom meinen privaten Netz zugreifen zu können.
Die Firewall-Regel würde dann den Zugriff vom privaten Netz auf die jeweiligen Server in ihren VLANs ermöglichen.
Ist diese Gedanke bis hier korrekt?
Meine Frage ist nun: Wenn ich nicht alles über Ubiquiti Router abwickeln möchte und stattdessen eine dedizierte Firewall nutze – bleibt dann das VLAN-Management weiterhin auf Ubiquiti und nur die Firewall-Regeln auf den Firewall.
Habe ich das so richtig verstanden?
Vielen Dank im Voraus für eure Hilfe!
Zuletzt bearbeitet:
h00bi
Fleet Admiral
- Registriert
- Aug. 2006
- Beiträge
- 21.623
Berto95 schrieb:
Nein, das ist (für mich) nicht sauber, das ist übertrieben und eine gigantische Ansammlung von potentiellen Fehlerquellen.Berto95 schrieb:
Du kannst das als "Proof of Concept" betrachten, aber nicht als "best practice".
Was meinst du mit Firewall? pfsense/opnsense?Berto95 schrieb:
Welche Ubiquiti Geräte setzt du dann ein? Nur Accesspoints?
In dem Fall wäre das primäre VLAN Management auf dem zentralen Managed Switch. Auch wenn ich kein Freund von Unifi Switches bin, in diesem Fall wäre es vermutlich die beste Lösung den Switch ins Unifi (VLAN-) Management zu nehmen.