Frage bzgl. „Homelab“

SunnyStar

Benutzer
Mitglied seit
20. Mrz 2022
Beiträge
42
Punkte für Reaktionen
5
Punkte
14
Hallo zusammen,

mein Homelab besteht derzeit aus
1) einer DS118 mit 6TB Ironwolf HDD
2) ein HP Mini mit i5 6500t, 16GB RAM mit Proxmox installiert
2a) Einer Debian VM auf welcher alle Diensta via Docker realisiert werden
[stehen außen am Schreibtisch]


Portfreigaben von außen sind 80,443 und 51820. Via Traefik Reverseproxy sind 3 Dienste (Bitwarden.meinedomain.ddnss.de sowie Nextcloud.meinedomain.ddnss.de und vpn.meinedomain.Ddnss.de) erreichbar.
Zertifikate werden automatisch mit Letsencrypt erstellt)

Die DS118 hat eine eigene IP
Der Proxmox Host hat eine eigene IP
Die Debian VM hat eine eigene IP

Die Portfreigaben gehen auf die IP der Debian VM.

Nun plane ich das bestehende Setup durch eine einzelne DS220+ zu ersetzen - (1x SSD für Docker + 1x 6TB HDD für Daten)
mit dem Ziel:
1) weniger Strom zu verbrauchen
2) mich nicht um 2 Backups (1x Proxmox Host zur NAS, 1x NAS zur USB Platte) zu kümmern

Die Docker Container müsste man auch eigene IP‘s im Host Netzwerk zuteilen können meine ich und somit hätte ich bei den Portfreigaben nie direkt die IP der Synology stehen.

Was ist von dem Plan zu halten?
Übersehe ich etwas? Evtl auch beim Thema Security?

Danke euch 😊✌️
 

Anhänge

  • 2DDAFFC9-265A-4BF8-8B3A-DDB7C855FEFC.jpeg
    2DDAFFC9-265A-4BF8-8B3A-DDB7C855FEFC.jpeg
    170,2 KB · Aufrufe: 12

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Also ich würde nicht alles auf den File Server schmeißen. Du kannst zwar per MACVLAN pro Docker Container eine eigene IP vergeben. Aber dennoch läuft alles auf dem gleichen Host. Und dann greift die DS Firewall nicht mehr.
Solange es aber nur bitwarden und nextcloud betrifft, kann man das schon machen. Aber die Spielerei mit dem MACVLAN würde ich lassen. Notfalls alles in eine schlanke Linux VM im VMM.
Das VPN Gateway gehört aber definitiv NICHT auf den File-Server.
EDIT: Thema HomeLab :D
 

SunnyStar

Benutzer
Mitglied seit
20. Mrz 2022
Beiträge
42
Punkte für Reaktionen
5
Punkte
14
Das VPN Gateway gehört aber definitiv NICHT auf den File-Server.
Dann also doch wieder mindestens 2 Geräte - ärgerlich. Dennoch möchte ich eine „+“ DS haben um den Windows Pc und Laptop via Backup for Business sichern zu können 😂

Dein Homelab ist echt cool !
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564

SunnyStar

Benutzer
Mitglied seit
20. Mrz 2022
Beiträge
42
Punkte für Reaktionen
5
Punkte
14
Router ist eine alte FritzBox 7560 - WireGuard gibts nicht in der OS Version und dieses FritzVPN ist der letzte 🙈🙈🙈
Möchte gerne bei WireGuard bleiben - aber wenn ich meine bestehende DS118 ersetze soll diese an einem entfernten Standort als Backup herhalten - WireGuard auf der DS118 ist nicht - also OpenVPN wäre meine 2. Wahl
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Die Fritte kann doch IPSec. Schlecht ist das auch nicht. Alternativ dann halt in der Linux VM auf der DS WireGuard aufsetzen.
Andere Frage: Wieso brauchst du überhaupt direkten externen Zugriff auf die Dienste, wenn du ohnehin VPN nutzt?
 

SunnyStar

Benutzer
Mitglied seit
20. Mrz 2022
Beiträge
42
Punkte für Reaktionen
5
Punkte
14
Alternativ dann halt in der Linux VM auf der DS WireGuard aufsetzen.
Widerspricht das nicht was du geschrieben hast, dass VPN nicht auf den Fileserver sollte ?

Die anderen beiden Dienste nutze ich überwiegend am Handy von unterwegs. Da bin ich bei der „lokalen“ Einrichtung gescheitert 🙈😅
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Ja, irgendwie widerspricht sich das. Aber lieber in der VM als auf der DS direkt, wenn es schon so sein muss. Ich an deiner Stelle würde aber das IPSec der Fritte nutzen.
Was meinst du mit "lokaler Einrichtung gescheitert"?
 

SunnyStar

Benutzer
Mitglied seit
20. Mrz 2022
Beiträge
42
Punkte für Reaktionen
5
Punkte
14
Was meinst du mit "lokaler Einrichtung gescheitert"?

Ich habe Bitwartden sowie Nextcloud nicht als lokale Instanz ans laufen bekommen mit selbst signierten Zertifikaten etc. - auch wenn ich gelernter IT'ler bin - vor dem Thema konnte ich mich bisher "drücken" :ROFLMAO: *schäm*

Das ging wesentlich einfacher mit public/Letsencrypt
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Achso. Das mache ich auch so. Allerdings habe ich intern einen DNS-Server. Der löst im Heimnetz meinen FQDN auf die private IPv4 meines Reverse Proxies auf. Somit komme ich intern auf meinen Reverse Proxy und extern theoretisch auch. Wenn ich dann per VPN verbunden bin, wird wieder intern aufgelöst.
 
  • Like
Reaktionen: SunnyStar

SunnyStar

Benutzer
Mitglied seit
20. Mrz 2022
Beiträge
42
Punkte für Reaktionen
5
Punkte
14
Hat noch jemand Bitwarden + Nextcloud auf der Syno direkt laufen(via Docker) und macht das via Portfreigabe am Router direkt erreichbar?
Hadere mit mir selbst, ob ich wirklich mit VMM noch eine Debian VM installieren und darüber die beiden Services erreichbar/konfigurieren soll.

Würde in dem Zuge direkt das Wildcard-Zertifikat des Synology.me DDNS verwenden wollen :cool:
Ich frage mich noch immer "sicher" sowas ist. Natürlich bin ich nur eine kleine Privatperson - dennoch möchte ich ja auch nicht, dass mein System von dritten gehackt wird.
 

alexhell

Benutzer
Sehr erfahren
Mitglied seit
13. Mai 2021
Beiträge
2.831
Punkte für Reaktionen
854
Punkte
154
Ich würde alles über den Port 443 laufen lassen und es mit einem Revers Proxy verteilen. Dann hast du nur einen Port offen und mit dem Wildcard Zertifikat alle Services verschlüsselt
 

ctrlaltdelete

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
30. Dez 2012
Beiträge
13.648
Punkte für Reaktionen
5.820
Punkte
524
Docker, Reverse Proxy , Wildcard mit acme.sh, Subdomains und nur Port 443 offen.
 
  • Like
Reaktionen: SunnyStar

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Genau. Nur Port 443. Zusätzlich das Block Script und evtl Fail2Ban und natürlich starke Passwörter
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat