Firewall fürs Heimnetz/HomeLAB (Proxmox, Unifi)

HydraMc

HydraMc

Profi
Thread Starter
Mitglied seit
10.03.2024
Beiträge
15
Abend zusammen,
vielleicht kann mir jemand Verbesserungsvorschläge mitgeben der schon etwas fitter in dem Thema ist,

Kurze Randnotizen, all mein Netzwerkequipment ist von Unifi (UDM-Pro, USW-Pro-Max-16, U6-IW) und alle Server werden via Proxmox gehostet.

Netzwerke für:

- Privat
- Guest
- IoT
-(Sonos) mir ist bewusst, dass es dort Probleme gegen könnte.

Server:
- Game Server (bis jetzt Minecraft)
- TrueNAS
- Nesxtcloud
- AdGuard
- LAN-Cache

- HomeAssistant (IoT VLAN)

Ich versuche einmal alle Zusammenhänge so gut es geht zu erklären.
TrueNAS stellt SMB Shares an alle Windows PCs & Nextcloud bereit. TrueNAS stellt NFS Shares an Proxmox (Backup) & LAN-Cache (Datenspeicherung) bereit.
Nextcloud dient dem Datenaustausch, wenn ich nicht im Netzwerk bin. (via Wireguard welche die UDM-Pro hostet)
DNS Anfragen laufen. Privat/Guest -> LAN-Cache -> AdGuard -> Internet
IoT ist via Privat zu steuern. Nicht via Guest.
MAC Adresse Zugang von diesem PC auf alle Management GUIs (Proxmox, IPMI, Nextcloud, TrueNAS, Unifi, AdGuard)


VLANs.jpeg


Ich freue mich über jegliches Feedback und Kritik und hoffe, dass ich hier einiges lernen kann.
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Mir entgeht gerade die genaue Fragestellung?
Wenn du dir Gedanken gemacht hast wer was wo wie miteinander sprechen kann ist doch super.
Suchst du jetzt eine Lösung wie du das umsetzen kannst oder was genau jetzt?
 
Als Erstes stelle ich mir die Frage, ob das nach best Practices so am sichersten ist.
- wäre super, wenn mir jemand mir mehr Ahnung ein paar best Practices auflisten könnte!
Des Weiteren Frage ich mich ob ich nicht die Server TrueNAS, Nextcloud, LAN Cache in Privat legen könnte, um so den Router zu entlasten und da ja meine GUIs isoliert sind, seh ich dort kein Risiko. Übersehen ich etwas?
 
Also erstmal sind Filter auf MAC-Adresse für die Katz und im Grunde keine Sicherheit - da gibt es bessere Optionen z.B. nen zweiten Faktor bevor man in das Netz kommt oder dergleichen z.B. Smartcard-Auth bevor man weiterkommt. MAC kann jederzeit gefälscht werden.

Stichwort OAM (GUI) und APP (SMB und co) Trennung macht Sinn, aber man muss sich immer bewusst sein dass man auch das SMB-Protokoll und andere Protokolle angreifen kann. Also haut man sich im Grunde dann doch wieder eine Angriffsfläche ins Netz, verringert aber natürlich die Oberfläche etwas, weil GUI/SSH/Management-Kram eben dediziert woanders hängt.
 
Anmelden, um zu antworten.

Ähnliche Themen

free.dll
[Kaufberatung] Homeserver für Proxmox (piHole, Unifi Contr, tvH, nC, wG, win)
Antworten
1
Aufrufe
325
p4n0
p4n0
L
Server und netzwerkumbau richtung 10 g wenn möglich
Antworten
2
Aufrufe
422
loaded
L
janbe87
[Kaufberatung] Unifi Heimnetzwerk + Netzwerkschrank
Antworten
19
Aufrufe
2K
janbe87
janbe87
D
[Guide] Mein neuer Home-Server / NAS im kleinsten Server-PC der Welt [Mini-PC mit Xeon und ECC RAM]
2
Antworten
55
Aufrufe
7K
stifu1
S
G
[User-Review] Grandstream Access Points - bye bye Mikrotik
Antworten
25
Aufrufe
2K
Speeddeamon
Speeddeamon
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh