Beratung zu Heimnetzwerk Setup, ReverseProxy, PfSense

[MeroPen]

Hallo Community,

bin gerade damit beschäftigt unser Heimnetzwerk neu zu ordnen und zu erweitern, vorhandene Hardware besser einzubinden. Hierbei gibt es einige Frage bzw. wäre ich über Hinweise und Tipps sehr dankbar. Insbesonders in der Thematik ReverseProxy/PfSense habe ich noch keinen vernüftigen roten Faden.

Erstmal ein Bild zum physischen Setup des Heimnetzwerks und erste Gedanken zu den VM-Bridges:

Setup:

• Internet via VDSL auf die FritzBox 7590 (DualStack ist vorhanden)
• via WAN auf die PVE und erstmal alles durch die PfSense, dann routing zu den VMs/Containern
• Externer Zugriff via Port 80/443, ReverseProxy soll Verteilen auf die VMs/Container
• PfSense soll routen Richtung Switch
• Switch versorgt 2xAP, multiple Clients, NAS
• WLAN der FritzBox soll GastWlan werden bzw. zunächst allen unbeteiligten erstmal Internet ermöglichen

Fragen:
1. Ist das abgebildete Setup aus eurer Sicht sinnvoll und tragfähig
2. Welche Subnetze würdet ihr einrichten
3. Welchen ReverseProxy würdet ihr nutzen bzw. empfehlen, einfache Vergabe von Certs wäre super

• Nginx Revers Proxy (ein bisschen Erfahrung)
• HAProxy (keine Erfahrung)

4. Worauf ist bei den Bridge-Einstellungen in Proxmox zu achten.

• VDSL via WAN auf ETH0 des Heimserversers
• ETH0 auf VMBR0 zur PFSense
• VMBR1 auf LXC/VMs
• VMBR1 auf ETH1
• ETH1 auf Switch

Zukunft:

• DMZ, aber ich muss mich erst belesen
• GästeWLAN könnte man auch auf die APs umziehen

Vielen Dank für eure Hilfestellung, Tipps und Empfehlungen. *

Beste Grüße MeroPen

 

[kamanu]

Mal nur auf Frage 3 eingehend:
Ich nutze dafür in einem ähnlichen Anwendungsfall einen LXC-Container mit nginx. In dem Container liegt dann auch noch ein Script, was für mich dyndns bei Cloudflare macht und natürlich läuft certbot um ein Zertifikat für meine domain zu bekommen. Hab mich da, aufgrund von Cloudflare und deren API auch entschlossen direkt die Wildcard-Variante zu nehmen, weils mit Certbot kinderleicht ist das einzurichten.

Noch so am Rande:
Überleg dir gut, was du nach außen hin erreichbar machen willst. Da hast da ja auch ein VPN, mit dem du die Erreichbarkeit nach außen massiv einschränken könntest, weil du ja immer noch Zugriff via VPN hast. In dem Zuge würde ich mir dann auch direkt mal noch nen Wireguard Container statt OpenVPN anschauen. Läuft wesentlich perfomanter (vor allem im Verbindungsaufbau).
Falls du dich nicht zu sehr auf pfsense eingeschossen hast, eventuell auf opnsense wechseln. Der Ruf von pfsense hat deutlich gelitten.

 

[Tornhoof]

Ggf. dir die Frage stellen wieso du Eth0 nicht direkt an die FW-VM durchreichst sondern über eine Bridge gehen willst. Via QEMU/KVM solltest du eth0 direkt durchreichen können. Dann bridgest du ETH1 und gehst dann auf damit auf die FW VM. Ich persönlich würde die container usw. nicht über eine Bridge laufen lassen sondern das ggf. via virtual switch oder so lösen, damit eine saubere Trennung zwischen den Containern existiert. Ansonsten ggf. Konzepte wie Kata-Container oder so anschauen um eine saubere Trennung zwischen den extern sichtbaren und den intern sichtbaren containern zu haben.

Wenns nicht absolut notwendig ist würde ich auch kein OpenVPN nutzen sondern strongswan/ipsec oder wenn du die passenden clients hast halt wireguard.

 

[snaxilian]

Die ganzen Serverdienste packst du bitte auf eine vmbr2 und erlaubst von den VMs/LXCs keinen Traffic Richtung VMBR1 damit jemand, der $Server übernommen hat, sich nicht weiter auf Endgeräte und das NAS ausbreiten kann.

Reverse Proxy: pfSense hat unter "Services" doch afaik einen Reverse Proxy inkludiert, warum nochmal extra Aufwand betreiben?
+1 für OpnSense, solltest dir zumindest mal ansehen.

Du musst sicherstellen, dass Proxmox selbst nicht mit vmbr0 verbunden ist sonst ist das Webinterface und ggf. weitere Services von extern erreichbar. Alternativ die NIC von eth0 per PCIe Passthrough direkt an die pfSense. Beide Wege sind möglich, beide Wege haben Vor- und Nachteile und sind Gründe warum man als Laie nicht unbedingt die Firewall auf nem Hypervisor betreiben sollte...

Im Bild lese ich FreNas und denke, du meinst FreeNAS? Falls ja: Du bist End of Life. FreeNAS ist abgekündigt und afaik aus dem Support, Nachfolger ist TrueNAS Core. Du solltest updaten und falls du einer der Spezialisten bist die meinen ihr FreeNAS auf USB-Stick zu betreiben: Migriere auf ne kleine HDD/SSD.

 

[MeroPen]

Vielen Dank für eure Gedanken und Hinweise!

bzgl. Firewall:

• OpnSense plus Nginx ist für mich die beste Lösung, gut dokumentiert
• pfSense hat mM HAProxy Erweiterung, OpnSense hat Nginx Erweiterung

bzgl. VPN
- WireGuard ist für mich die beste Lösung, gut dokumentiert

bzgl. NAS (@snaxilian Danke für die Korrektur)

• gab bis jetzt keins, wurde einzeln lokal gesichert, ist aber nicht besonders praktikabel, in diesem Fall ist USB wirklich nicht mein Fall
• Schwanke noch etwas zwischen PBS (Schnell, Inkrementelle BackUps) und TrueNAS Core (kann man eben noch für die Clients nutzen

bzgl. Setup des HomeServers und der Vorschläge zu Bridges, habe eure Gedanken in einem weiteren Bild zusammengefasst

• WAN auf ETH0 dann PCIe Passthrough auf OpnSense
• vmbr1 auf ETH1
• vmbr2 auf VMs/LCX ohne Traffic Richtung vmbr1
• wie würdet ihr Proxmox anbinden?

bzgl. Setup mit OVS muss ich mich erstmal belesen und dann zeichne ich etwas, aber so vorab erscheint es mir sehr komplex

Danke nochmals für eure Hilfe!

 

[snaxilian]

• wie würdet ihr Proxmox anbinden?

Einfach an vmbr1 für den Anfang.