Heimnetzwerk/Homelab Möglichkeiten und Softwarefragen

HerrRossi

Fleet Admiral
Registriert
Apr. 2014
Beiträge
11.038
Moin Moin!

Ich bin gerade dabei mich in das o.g. Thema einzuarbeiten, was mir nicht leicht fällt, weil ich keine anfängertaugliche, grundlegende Einführung finde. Ich will aber auch nicht ausschließen, dass ich falsch suche :(

Was will ich machen?

Der Netzwerkverkehr soll über meinen Proxmox-Server laufen, der hinter einer Fritzbox 7530 AX hängt.
  1. Dazu will ich eine Firewall einrichten, die auch als DHCP-Server fungiert, die Geräte sollen feste IP-Adressen bekommen.
  2. Es soll einen Proxy und einen Reverse Proxy geben, ich möchte von außen auf das Netzwerk bzw. einen Server im Netz zugreifen können (DynDNS? VPN? Wireguard?).
  3. Ich möchte Werbung mit Pihole filtern und DNS lokal mit Unbound cachen.
  4. Ich würde auch gerne webtraffic (Bilder, Fonts, Javascript etc.) cachen, also quasi ein eigenes CDN nur für mein Netzwerk.
  5. Es sollen weitere Dienste laufen wie paperless ngx, SearXNG, Nextcloud, KeePassXC etc pp. Das dürfte aber eher unproblematisch sein.
Punkt 3 habe ich schon probeweise laufen, das funktioniert, allerdings so, dass ich die IP von Pihole als DNS Server in meine Netzwerkverbindung eintrage, das soll über die Firewall geregelt werden.

Welche Software ist für 1. und 2. zu empfehlen? Und solle man das besser als Docker oder als VM aufsetzen?

Als Firewall sind wohl OPNsense oder pfsense die Platzhirsche. Gibt es noch andere evtl. bessere Alternativen?
Für Proxy und Reverse Proxy scheint Nginx das Mittel der Wahl zu sein. Auch hier stellt sich die Frage nach evtl. besseren Alternativen?
Zu Punkt 4 finde ich nicht wirklich etwas :( Kennt ja jemand etwas?

Meine Frage an euch ist erst einmal, ob das überhaupt so funktioniert, wie ich mir das vorstelle und zweitens, welche anfängertauglichen Bücher, websites. Tutorials und/oder Videos ihr mir empfehlen könnt? Meist wird schon viel Wissen vorausgesetzt und mitten ins Thema gesprungen... Wo kann oder soll ich anfangen? Kann auch gerne in englisch sein.
 
Zuletzt bearbeitet:
1. pfSense, VM mit durchgereichten Netzwerkports würde ich nehmen - würde dann aber pfSense die Internetverbindung herstellen lassen.
2. Bei VPN würde ich Wireguard nehmen, docker.
 
  • Gefällt mir
Reaktionen: Vodalex und HerrRossi
HerrRossi schrieb:
derchris schrieb:
würde dann aber pfSense die Internetverbindung herstellen lassen
Deswegen fliegt in so einem Szenario eine FRITZ!Box normal raus bzw. wird nur noch als IP-Client für WLAN und/oder Telefonie genutzt. Vorne setzt Du dann ein reines DSL-Modem. Ginge auch mit der FRITZ!Box, aber ist einfach Kuddelmuddel.
HerrRossi schrieb:
welche anfängertauglichen Bücher, websites. Tutorials und/oder Videos ihr mir empfehlen könnt?
Gäbe noch Administrator.de als Web-Forum.
HerrRossi schrieb:
IP von Pihole als DNS Server in meine Netzwerkverbindung eintrage, das soll über die Firewall geregelt werden.
Wüsste nicht, wie das über die Firewall geht, außer Du möchtest einen „transparenten DNS-Proxy“ basteln, also alles auf Port 53 abfangen. Das geht gar nicht mehr so schön, weil DNS inzwischen von vielen Anwendungen selbst getunnelt wird. Daher trägst Du den Pi-hole in den DHCP-Server (für IPv4) ein und in den IPv6-Router …
 
  • Gefällt mir
Reaktionen: HerrRossi und Raijin
Dieses Video fand ich interessant, zum Thema Fritzbox gibt es ganz am Anfang etwas:

 
  • Gefällt mir
Reaktionen: Vodalex
Möchtest Du einen Kommentar bzw. Einschätzung zu dem YouTube-Vorschlag?
Double-NAT (oder ich habe das Video falsch verstanden), nichts zu IPv6 (oder ich habe den Abschnitt übersehen) … Ein externes DSL-Modem bekommst Du ab 20 €. Hast Du kein Super-Vectoring-DSL, bekommst Du ein Vectoring-DSL-Modem teilweise schon geschenkt. Hast Du einen Internet-Anbieter wie 1&1 – der Mehrfach-Einwahl erlaubt –, kannst Du sogar beide Netze parallel fahren, also FRITZ!Box und OPNsense. Bräuchtest dann nicht einmal ein externes Modem … Aber würde es trotzdem empfehlen. Die Digitalisierungsbox Basic ist echt nett, auch weil sie drei Ethernet-Ports hat, über die man Router anschließen kann. :)
 
Ich möchte eigentlich die Fritzbox nicht loswerden, weil die erst seit Kurzem in Benutzung ist :(
 
Aber für was ist die dann noch am Ende … wenn Du die für WLAN oder Telefonie nutzt, kannst Du die als IP-Client konfigurieren. Die FRITZ!Box spielt dann kein Firewall/NAT/Router mehr. :) Welchen Internet-Anbieter nutzt Du aktuell?
 
norKoeri schrieb:
Aber für was ist die dann noch am Ende … wenn Du die für WLAN oder Telefonie nutzt, kannst Du die als IP-Client konfigurieren.
Ja, als "Modem" damit die Rechner im Netzwerk Zugriff auf das Internet haben, für Wifi und Dect-Telefonie.

Eigentlich soll ja "nur" der Netzwerkkram von der Fritzbox weg hin zum eigenen Server, auf dem die Dienste wie DHCP und Firewall laufen sollen.

Provider ist Telekom DSL mit 100 MBit/s.
 
Ich muss hier wohl noch einmal einen Schritt zurück gehen, weil ich evtl. ganz falsch an die Sache rangehe.

Ich möchte auf meinem Server im lokalen Netzwerk einige Dienste installieren, die von allen Rechnern im lokalen Netzwerk genutzt werden können.

Zum Beispiel Pihole. Wenn ich jetzt die Fritzbox das Netzwerk handlen lasse, dann kann ich die DNS von meinem Pihole-Server in der Fritzbox eintragen.

Aber was mache ich, wenn ein weiterer Service wie zB. Lancache auch über DNS läuft? Muss ich dann nicht zu so etwas wie pfsense greifen?
 
Doppel-NAT hat man nur, wenn am nachgelagerten Router am WAN-Port auch NAT aktiv ist. Ist es nicht aktiv, weil der WAN-Port als normaler LAN-Port behandelt wird (ggfs natürlich dennoch mit Firewall-Regeln), gibt es kein Doppel-NAT und man muss in der Fritzbox lediglich eine statische Route zu dem/den Subnetz(en) des nachgelagerten Routers über dessen quasi-WAN-Port einrichten.

Und selbst wenn. Es wird immer so getan als wenn mit Doppel-NAT das Haus abfackelt. Das ist aber Unsinn. Ich kann ein Dutzend Router mit 12-fach-NAT hintereinander aufbauen und trotzdem funktioniert es. Wenn Zugriff von außen benötigt wird, muss man natürlich umständlich Portweiterleitungen in jedem Router auf dem Weg zum Ziel ganz hinten einrichten, und? Geht auch...


Allerdings verstehe ich tatsächlich die Rolle der *sense noch nicht so wirklich.

HerrRossi schrieb:
Der Netzwerkverkehr soll über meinen Proxmox-Server laufen, der hinter einer Fritzbox 7530 AX hängt.
  1. Dazu will ich eine Firewall einrichten, die auch als DHCP-Server fungiert, die Geräte sollen feste IP-Adressen bekommen.
  2. Es soll einen Proxy und einen Reverse Proxy geben, ich möchte von außen auf das Netzwerk bzw. einen Server im Netz zugreifen können (DynDNS? VPN? Wireguard?).
  3. Ich möchte Werbung mit Pihole filtern und DNS lokal mit Unbound cachen.
  4. Ich würde auch gerne webtraffic (Bilder, Fonts, Javascript etc.) cachen, also quasi ein eigenes CDN nur für mein Netzwerk.
  5. Es sollen weitere Dienste laufen wie paperless ngx, SearXNG, Nextcloud, KeePassXC etc pp. Das dürfte aber eher unproblematisch sein.

Nichts davon erfordert einen separaten Router hinter der Fritzbox, egal ob nu mit oder ohne Doppel-NAT. 2-5 sind prinzipiell Server-Dienste und bei 1., der "Firewall", ist fraglich was diese überhaupt tun soll. Versprichst du dir davon irgendwie mehr Sicherheit? Wenn ja, möchte ich anmerken, dass die Sicherheit einer Firewall einzig und allein durch ihre fachgerechte Konfiguration entsteht. Und nein, wenn dazu youtube-Videos angeschaut werden müssen, kann man sie nicht fachgerecht konfigurieren, weil man offenkundig nicht das nötige Wissen dafür hat (sonst bräuchte man kein youtube).
Von zusätzlichen lokalen Netzwerken ist bisher auch nicht die Rede und auch aus dieser Sicht besteht dann kein Grund für eine *sense.

Daher: Wozu die pfSense/OPNsense/whatever?
 
  • Gefällt mir
Reaktionen: HerrRossi
Du trägst entweder
a) bei LanCache.NET den Pi-hole oder​
b) beim Pi-hole den LanCache.NET​
als Upstream-DNS-Server ein. Wüsste jetzt auf Anhieb nicht, wozu Du eine andere Firewall (als die FRITZ!Box) brauchst. Auch was Du mit dem (Reverse-) Proxy in Deinem Szenario erreichen willst, ist mir noch nicht klar. Machen wir es mal anders herum:
HerrRossi schrieb:
Firewall einrichten, die auch als DHCP-Server fungiert, die Geräte sollen feste IP-Adressen bekommen.
1. Kann die FRITZ!Box. Was möchtest Du zusätzlich haben?
HerrRossi schrieb:
möchte von außen auf das Netzwerk bzw. einen Server im Netz zugreifen können (DynDNS? VPN? Wireguard?)
2. Kann die FRITZ!Box. Was möchtest Du zusätzlich haben?
HerrRossi schrieb:
DNS lokal […] cachen
3. Macht die FRITZ!Box. Was möchtest Du zusätzlich haben?
HerrRossi schrieb:
Werbung mit Pihole filtern
4. Hast Du ja bereits über die FRITZ!Box gelöst. Auch richtig?
HerrRossi schrieb:
Ich würde auch gerne webtraffic (Bilder, Fonts, Javascript etc.) cachen, also quasi ein eigenes CDN nur für mein Netzwerk.
5. Kannst Du uns sagen, warum genau? Das ist nicht mehr so einfach, weil heute zu gut wie jede Internet-Verbindung verschlüsselt erfolgt. Entsprechend sieht niemand außer dem Endgerät bzw. der App auf dem Endgerät in die Verbindung hinein. Du müsstest diese HTTPs-Verbindung aufbrechen. Oder Dich auf Dienste beschränken, die noch Plain-Text übertragen werden.
Raijin schrieb:
[Fackelt] mit Doppel-NAT das Haus ab[?]
Das normale Problem bei Computern: Man merkt den Brand erst dann, wenn man auf den Brand stößt. Gibt genug Apps und Internet-Protokolle, die Probleme mit mehr als einem NAT haben (oder sogar mit bestimmten NATs). Verschiedene NAT-Implementierungen mischen, ist dann sogar noch schlimmer. Problematisch ist auch, dass man mit zwei Firewalls kämpft – bei IPv6 richtig viel Spaß. Und wenn das Alles für 20 € + Stromkosten vermieden werden kann, dann ist das – so sehe ich das – eine Erwähnung wert.
 
  • Gefällt mir
Reaktionen: HerrRossi und Bob.Dig
Raijin schrieb:
Daher: Wozu die pfSense/OPNsense/whatever?
Danke für das posting!

Zur Frage: ich dachte ich müsste das Netzwerk manuell verwalten, wenn ich mehr als einen DNS Server im Netzwerk habe, wie hier nochmal präziser geschrieben: https://www.computerbase.de/forum/t...iten-und-softwarefragen.2137418/post-28051267

Wenn ich das so machen kann wie von @norKoeri in #12 geschrieben, dann erübrigt sich das ja.

Ich glaube ich installiere mir jetzt erstmal alle Serverdienste und gucke, wie weit ich damit komme. Wenn ich auf pfSense/OPNsense/whatever verzichten kann, umso besser.
Ergänzung ()

norKoeri schrieb:
Du trägst entweder
a) bei LanCache.NET den Pi-hole oder​
b) beim Pi-hole den LanCache.NET​
als Upstream-DNS-Server ein.
Okay, das war mir nicht klar.
norKoeri schrieb:
3. Macht die FRITZ!Box. Was möchtest Du zusätzlich haben?
Dann brauche ich unbound nicht?
norKoeri schrieb:
4. Hast Du ja bereits über die FRITZ!Box gelöst. Auch richtig?
Pihole habe ich momentan als Docker in einer VM laufen, rein zum Testen.
norKoeri schrieb:
5. Kannst Du uns sagen, warum genau?
Damit die Antworten zackiger kommen, ich finde das manchmal trotz 100Mbit/s lahm. Aber ok, wenn das mit HTTPs nicht machbar ist, dann hat sich das erledigt.
 
DNS ist ein hierarchisches System. Es entsteht vereinfacht ausgedrückt eine Aufrufkette, die endet, sobald das aktuelle Element die Anfrage beantworten kann.


Gängige Setups für pihole sehen beispielsweise so aus:

pihole Upstream-DNS = 8.8.8.8
Router Upstream-DNS = pihole-IP
Clients DNS = Router (via DHCP verteilt oder manuell eingestellt)

DNS Aufrufkette:
Client --> Router (beantwortet lokale Namen) --> pihole (beantwortet gefiltert) --> 8.8.8.8 (Rest)

---

Router Upstream-DNS = Provider, 8.8.8.8, o.ä.
pihole Upstream-DNS = Router-IP
Client DNS = pihole (via DHCP verteilt oder manuell eingestellt)

DNS Aufrufkette:
Client --> pihole (beantwortet gefiltert) --> Router (beantwortet lokale Namen) --> 8.8.8.8 (Rest)


Unterschied der beiden Setups ist die Sichtbarkeit der Clients in pihole. Im ersten Fall sieht pihole nur den Router als Client, im zweiten Fall sieht pihole alle Clients einzeln.

Weitere DNS-Dienste lassen sich an beliebiger Stelle einfügen. Ohne LanCache jemals benutzt zu haben, würde ich wohl das zweite Setup wählen und LanCache hinter pihole setzen. So sieht man in pihole dennoch sauber alle DNS-Queries der Clients. Vor pihole entstünde wieder dasselbe Problem wie bei der ersten Variante, pihole würde nur LanCache als Client sehen und die Logs von pihole wären nur noch wenig informativ ;)
 
  • Gefällt mir
Reaktionen: HerrRossi
HerrRossi schrieb:
Dann brauche ich unbound nicht?
Wüsste nicht, wozu Du ihn brauchst. Nachtrag: Siehe auch diesen Thread …
HerrRossi schrieb:
Pihole habe ich momentan als Docker in einer VM laufen, rein zum Testen.
Ich meinte, ob auch IPv6 sauber klappt.
HerrRossi schrieb:
Damit die Antworten zackiger kommen
Die kommen nicht schneller, weil ja immer noch einmal darauf zugegriffen werden muss. Dann cached Dein Internet-Browser. Die Inhalte kämen nur dann schneller, wenn Du eine LAN-Party oder sowas machst und sich alle erstmal irgendein Spiel, eine Erweiterung oder ein Update laden müssen.
HerrRossi schrieb:
manchmal trotz 100Mbit/s lahm
Dann sollte man dem auf den Grund gehen. Kann ein Problem mit DNS sein. Kann aber auch ein Problem mit Telekom Deutschland und deren Peering-Verhalten sein …
 
Zuletzt bearbeitet: (Thread zu Unbound hinzugefügt)
Ich verzweifle daran, mit Portainer einem Ddcker container ein Volume zuzuweisen, dass von einer NFS Share kommt :(

Ich bekomme immer die Fehlermeldung "failed to mount local volume .. operation not permitted"

Vermutlich hat es mit den Berechtigung auf TrueNAS zu tun, aber ich habe es dort aber so eingestellt, dass eigentlich jeder Lesen und Schreiben koennen sollte, auch ein docker container.
 
Hat bei mir mit Apps und NFS shares auch was gehapert. Bis ich gemerkt habe ich kann nicht local host nehmen, sondern die IP des TrueNAS Servers (wo auch NFS drauf horcht). Dann ging das.
 
Zurück
Oben