NAS mit HomeAssistant und Webserver

[TSB]

Hallo zusammen,

ich möchte mir in der Zukunft ~6 Monaten ein NAS zulegen, die NAS möchte ich Hauptsächlich als Speicher nutzen und zusätzlich soll darauf HomeAssistant sowie ein Webserver mit Datenbank laufen, der Webserver ist nur als Hobby Spielerei gedacht.

Ich weiß das dass noch weit in der Zukunft liegt und Kaufvorschläge daher nicht realistisch sind, aber ich wollte mir einmal Meinungen abholen, ob mein Vorhaben umsetzbar ist.

Ich dachte an einen UGreen DX2800 mit 2x4TB Platten im RAID 1.

Als OS würd ich gerne ein OpenSource OS benutzen TrueNAS?.

Ist mein Vorhaben umsetzbar, die NAS hauptsächlich als Speichermedium zu nutzen und Parallel HomeAssistant im vollen umfang + Webserver laufen zu lassen?

Preistechnisch will ich nicht mehr als 500-600€ ausgeben wollen.

 

[Kyze]

Wird funktionieren, TrueNAS kann VMs, dann gibts HA als VM und nen Webserver als Container oder so. Mit dem genannten Gerät kein Problem.

 

[TSB]

Den HA kann ich dann auch mit der "vollen"-Version in der VM benutzen? Ich hab mal auf alten NUC den HA im Container installiert, da waren nicht alle Funktionen verfügbar, die wichtigste war glaube ich der MQTT-Broker, den gibt es wohl nur in der "vollen" HA-OS

 

[Kyze]

Ja, TrueNAS kann VMs.

 

[TSB]

Alles klar, ich danke dir.

 

[tiwa86]

Beim Webserver bitte aufpassen, damit öffnest du einige Türen in dein privates Netzwerk. Das Gleiche betrifft auch das eigene Aufsetzen eines Mailservers. Ich bin selber Webdesigner und habe ein NAS, aber Webhosting lasse ich extern regeln.

Ansonsten kann ich ein NAS sehr empfehlen. Nutze ein Syno DS218+ auch seit Jahren mit Home Assistant und Docker für (Unifi, HA, Vaultwarden, Jellyfin) und bin sehr zufrieden.

 

[diamdomi]

Den HA kann ich dann auch mit der "vollen"-Version in der VM benutzen? Ich hab mal auf alten NUC den HA im Container installiert, da waren nicht alle Funktionen verfügbar, die wichtigste war glaube ich der MQTT-Broker, den gibt es wohl nur in der "vollen" HA-OS

Bei mir läuft HA in einem Docker. MQTT läuft in einem anderen Docker. Funktioniert problemlos
HA-OS kann es aber natürlich "bequemer" machen.

 

[Der_Dicke82]

Das ugreen NAS sollte wunderbar für dein Vorhaben passen!

Du solltest aber vielleicht direkt planen deine backups/Speicher vom Serviceteil (HA usw.) zu trennen.

Mein Ansatz wäre es HDDs für speicher und NVMEs für den produktiven Teil zu nutzen.

 

[TSB]

Beim Webserver bitte aufpassen, damit öffnest du einige Türen in dein privates Netzwerk.

Genau, ich bin Full-Stack entwickler und möchte mich Privat bisschen austesten.

Für den Webserver sollte der Port 80 über die zukünftige FritzBox 7690 geöffnet sein, kann man den Port irgendwie "überwachen", oder sichern das keine Fremde übern Port kommen

Ergänzung (17. Februar 2025)

@Der_Dicke82 das hört sich nicht verkehrt an, produktives auf die NVME auszulagern!

 

[tiwa86]

Ich würde versuchen Port 443 (HTTPS) zu nehmen. Eine Domain musst du ja dann eh bei der DENIC (Webhoster XIZ) registrieren und wohl über DDNS mit dem NAS verknüpfen.

Bei Synology kann ich auch Let`s Enscript nutzen. Ansonsten Firewalls gut konfigurieren.

 

[VDC]

Für den Webserver sollte der Port 80 über die zukünftige FritzBox 7690 geöffnet sein, kann man den Port irgendwie "überwachen", oder sichern das keine Fremde übern Port kommen

Ja, in dem man den nicht öffnet und Wireguard, Cloudflare Zero Connect oder ähnliches nutzt.

 

[Nilson]

Für den Webserver sollte der Port 80 über die zukünftige FritzBox 7690 geöffnet sein, kann man den Port irgendwie "überwachen", oder sichern das keine Fremde übern Port kommen

Über eine entsprechende Firewall ging das. So weit ich weiß kann dass die FB aber nicht und wäre auch nicht praktikabel, da du ja immer von anderen Absende-IPs zugreifst.
Das ist Aufgabe des Webservers entsprechend (sicher) konfiguriert zu sein. Daher nur (Web-)Anwendungen direkt erreichbar machen, die dafür ausgelegt und eingerichtet sind und regelmäßig aktualsiert werden. Dazu ab und zu und die Logs schauen. Wenn die Anwendung dafür nicht ausgelegt ist und/oder du dir den Aufwand nicht betreiben willst, dann richte dir den Zugriff per VPN ein (z.B. per Wireguard über die Fritzbox). Dann übernimmt das VPN die Authentifizierung. Du bzw. andere Nutzer müssen sich dann aber immer erst mit dem VPN Verbinden.

 

[Mar1u5]

Für den Webserver sollte der Port 80 über die zukünftige FritzBox 7690 geöffnet sein, kann man den Port irgendwie "überwachen", oder sichern das keine Fremde übern Port kommen

Davon würde ich abraten. Sollte der Webserver kompromittiert werden, wäre Zugriff auf dein ganzen Heimnetz möglich.
Nutze wenn möglich einen VPN für den Zugriff. Falls nicht möglich, dann stelle ihn in eine DMZ und schaffe dir hierfür eine vernünftige Firewall an. Das geht zum Beispiel mit einer OPNsense. Du könntest zusätzlich auch noch einen Reverse Proxy vorschalten und evtl. die Source einschränken auf gewisse IPs/ FQDNs/ Länder

 

[TSB]

Danke schonmal für die Rückmeldung, das mein Vorhaben gut umsetzbar ist.

Das mit dem Webserver, das dass ein doch größeres Sicherheitsrisiko ist, war mir nicht sooo stark bekannt, damit muss ich mich mal genauer auseinander setzen.

Wireguard, Cloudflare Zero Connect oder ähnliches nutzt.

Diese Möglichkeiten zb.

Source einschränken auf gewisse IPs/ FQDNs/ Länder

Das auch, die Webapp. soll auch nicht für die Welt offen sein, sondern eher für Freunde und/oder bekannte

 

[redjack1000]

Genau, ich bin Full-Stack entwickler

kann man den Port irgendwie "überwachen", oder sichern das keine Fremde übern Port kommen

Wie stellst Du denn bei deinen Anwendungen sicher, das kein "Fremder" über einen genutzten Port kommt?

Cu
redjack

 

[TSB]

Wie stellst Du denn bei deinen Anwendungen sicher, das kein "Fremder" über einen genutzten Port kommt?

Dazu hatte ich mir noch keine Gedanken gemacht, aber der Vorschlag von @Mar1u5 mit dem Einschränken, hört sich interessant an.

 

[Mar1u5]

Dazu hatte ich mir noch keine Gedanken gemacht, aber der Vorschlag von @Mar1u5 mit dem Einschränken, hört sich interessant an.

Wie gesagt, eine Fritzbox kann das nicht. Du könntest jedoch deine Fritzbox austauschen oder du machst die Portfreigabe auf z.B. eine OPNsense und die regelt dann weiter und leitet auf den Webserver weiter.

Deine Bekannten und Freunde haben vermutlich dynamische IPs. Du könntest entweder von jedem einen DynDNS dir geben lassen (müssen sie sich evtl. erst noch konfigurieren, teilweise bekommt man das auch schon automatisch vom Provider oder richtet es z.B. via Myfritz ein) oder du nutzt z.B. einen Reverse Proxy mit Anmeldeseite und bei erfolgreicher Anmeldung hat man Zugriff auf den Webserver.

Wie gesagt, stelle ein System ins Internet, das dafür gedacht ist und schränke es soweit ein wie du kannst. Den Webserver im Idealfall in ein separates Netz (DMZ, per Firewallregeln getrennt vom Rest) stellen. (Sicherheits-)Updates immer sehr zeitnah einspielen etc.

 

[Der_Dicke82]

+1 Keinen Port öffnen

Wenn du einen Webserver haben möchtest, gibt es die doch schon für 1-2 Euro komplett ohne Risiko für dein Heimnetz.

Wenn du Zugriff von Außen haben willst, sind VPNs die bessere Wahl

 

[TSB]

Wenn du einen Webserver haben möchtest, gibt es die doch schon für 1-2 Euro komplett ohne Risiko für dein Heimnetz.

Ja, sich einen Webserver mieten, kostet heutzutage nicht mehr die Welt, aber mir geht es darum es selber zu machen.

 

[Der_Dicke82]

mehr die Welt, aber mir geht es darum es selber zu machen.

Das kann ich gut verstehen! Auch ich wollte das mal! Aber wenn es dann nicht mehr nur HTML ist, sondern PHP, MySQL, JS und eventuell noch weitere Dinge, wird es kompliziert.
Du musst alles vernünftig absichern, updates einspielen usw. wenn es ausfallsicher sein soll, brauchst du eigentlich noch ein Testsystem wo alles wie der Name schon sagt, getestet wird.

Mein Tip: wenn es dir um Webanwendungen geht, dann lass das Hosting von jemand anderen machen!
Wenn du gerne das Hosting machen willst, kümmer dich nur darum und überlasse die Anwendungen anderen.

Beides auf vernünftigem bzw. hohem Niveau machen zu wollen ist wirklich keine Einfache Sache.