Firewall fürs Heimnetz/HomeLAB (Proxmox, Unifi)

HydraMc

HydraMc

Profi
Thread Starter
Mitglied seit
10.03.2024
Beiträge
16
Abend zusammen,
vielleicht kann mir jemand Verbesserungsvorschläge mitgeben der schon etwas fitter in dem Thema ist,

Kurze Randnotizen, all mein Netzwerkequipment ist von Unifi (UDM-Pro, USW-Pro-Max-16, U6-IW) und alle Server werden via Proxmox gehostet.

Netzwerke für:

- Privat
- Guest
- IoT
-(Sonos) mir ist bewusst, dass es dort Probleme gegen könnte.

Server:
- Game Server (bis jetzt Minecraft)
- TrueNAS
- Nesxtcloud
- AdGuard
- LAN-Cache

- HomeAssistant (IoT VLAN)

Ich versuche einmal alle Zusammenhänge so gut es geht zu erklären.
TrueNAS stellt SMB Shares an alle Windows PCs & Nextcloud bereit. TrueNAS stellt NFS Shares an Proxmox (Backup) & LAN-Cache (Datenspeicherung) bereit.
Nextcloud dient dem Datenaustausch, wenn ich nicht im Netzwerk bin. (via Wireguard welche die UDM-Pro hostet)
DNS Anfragen laufen. Privat/Guest -> LAN-Cache -> AdGuard -> Internet
IoT ist via Privat zu steuern. Nicht via Guest.
MAC Adresse Zugang von diesem PC auf alle Management GUIs (Proxmox, IPMI, Nextcloud, TrueNAS, Unifi, AdGuard)


VLANs.jpeg


Ich freue mich über jegliches Feedback und Kritik und hoffe, dass ich hier einiges lernen kann.
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Mir entgeht gerade die genaue Fragestellung?
Wenn du dir Gedanken gemacht hast wer was wo wie miteinander sprechen kann ist doch super.
Suchst du jetzt eine Lösung wie du das umsetzen kannst oder was genau jetzt?
 
Als Erstes stelle ich mir die Frage, ob das nach best Practices so am sichersten ist.
- wäre super, wenn mir jemand mir mehr Ahnung ein paar best Practices auflisten könnte!
Des Weiteren Frage ich mich ob ich nicht die Server TrueNAS, Nextcloud, LAN Cache in Privat legen könnte, um so den Router zu entlasten und da ja meine GUIs isoliert sind, seh ich dort kein Risiko. Übersehen ich etwas?
 
Also erstmal sind Filter auf MAC-Adresse für die Katz und im Grunde keine Sicherheit - da gibt es bessere Optionen z.B. nen zweiten Faktor bevor man in das Netz kommt oder dergleichen z.B. Smartcard-Auth bevor man weiterkommt. MAC kann jederzeit gefälscht werden.

Stichwort OAM (GUI) und APP (SMB und co) Trennung macht Sinn, aber man muss sich immer bewusst sein dass man auch das SMB-Protokoll und andere Protokolle angreifen kann. Also haut man sich im Grunde dann doch wieder eine Angriffsfläche ins Netz, verringert aber natürlich die Oberfläche etwas, weil GUI/SSH/Management-Kram eben dediziert woanders hängt.
 
Verstehe. Haben sie Verbesserungsvorschläge bzw. wie würden sie an so ein Netzwerk herangehen?
 
Ich habe pfsense als VM in proxmox .
Zwei Interfaces
- ein sfp+ Port an dem die Glasfaser ankommt
- ein 2.5 Gbit Port von dem die fw zu meinem Netzwerk/switch ab geht.

Von dem Switch geht dann wiederum eine Verbindung an den Proxmox Host.

Ob das gut ist, kann ich nicht beurteilen. Läuft halt.
 
pf/opn sense als vm ist mega schlecht und sollte man nicht tun - das wird überall geschrieben und davon abgeraten ...

auch in pf/opn sense foren ...
 
xST4R schrieb:
pf/opn sense als vm ist mega schlecht und sollte man nicht tun - das wird überall geschrieben und davon abgeraten ...

auch in pf/opn sense foren ...
Zum Vergrößern anklicken....
Gibts dafuer gruende?
 
Die Familie schimpft jedesmal wenn du am Server schraubst.

In der pfsense Doku ist es ganz verständlich erklärt wie man es mit proxmox virtualisiert.

Sicherheitsbedenken kann ich nicht wirklich nachvollziehen.
 
p4n0 schrieb:
Gibts dafuer gruende?
Zum Vergrößern anklicken....

sicherheits things - es ist einfach nicht sicher , auserdem wie mbc schon schreibt, bastelst du am server geht einfach plötzlich nichts mehr.

ich würde sowas nicht virtualisieren

vorallem kostet hardware heutzutage nicht mehr die welt, wo ist das problem ein extra gerät für pf/opnsense anzuschaffen

es reicht ja schon sowas :

cKrRCp4.png
 
Und was ist daran nicht sicher? Abseits der Verfügbarkeitsgeschichte kenne ich keinen Grund der dagegenspricht.
 
Öhm ja, ich wiederhole meine Frage: Was hat das - abseits der Verfügbarkeit - mit Sicherheit zu tun?
Hint: Wenn dein Hypervisor befallen ist hast du eh verkackt. Und da wir in diesem Szenario immer davon reden das es ein Proxmox gibt wird die Sicherheit nicht weniger wenn man opnsense virtualisiert. Wenn jemand es schafft aus KVM rauszukommen und in eine sense hinein ist eh Hopfen und Malz verloren - der kommt dann auch in einer nicht virtualisierte sense...
 
Geht so. Mir ist das auch zu viel Balanceakt mit der Verfügbarkeit und vor allem Redundanz. Ist aber eher eine Frage der Philosophie... Zeug was sich direkt um den Weg nach draußen kümmert läuft als alleiniger Herrscher auf der eigenen HW und diese gibt es tatsächlich auch immer doppelt und Plug&Play konfiguriert.

Kann man aber natürlich auch mit der VM-Kiste machen. Ist nur bisschen mehr Aufwand das Ersatzexemplar up to date zu halten :coolblue:

Wenn jemand es schafft aus KVM rauszukommen und in eine sense hinein ist eh Hopfen und Malz verloren - der kommt dann auch in einer nicht virtualisierte sense...
Zum Vergrößern anklicken....
Hmm...

PS:
Früher hab ich dank Kleinanzeigen auch immer 2 komplette und gleiche Fritten fertig gehabt, falls was sein sollte. Und tatsächlich schon 1x im Leben gebraucht. HW defekt, 15min. später war alles wieder online.
 
Zuletzt bearbeitet:
Shihatsu schrieb:
Öhm ja, ich wiederhole meine Frage: Was hat das - abseits der Verfügbarkeit - mit Sicherheit zu tun?
Zum Vergrößern anklicken....
Du hast an der Grenze zum "bösen" Internet mit den wahscheinlich vorhandenen Schwachstellen im Hypervisor und in der Firewall zu kämpfen, also höhere Wahrscheinlichkeit für einen erfolgreichen Angriff. Wie relevant das für den OP ist muss er selber entscheiden. Ich baue an dieser Stelle auf eigene Hardware.

-teddy
 
Zuletzt bearbeitet:
Man kann sich ‚Probleme‘ auch kuenstlich konstruieren. Ich sehe im Homelab ueberhaupt kein Problem darin ne FW zu virtualisieren. Mit ner passthrough NIC hast du quasi nix mit dem Host zu tun. Hinreichend sicher und effizient. Man muss auch mal die Kirche im Dorf lassen. Nicht jeder kann und will sich 20 Geraete hinstellen :d
 
Wobei eine Minikiste für Router/FW und den Rest wie sonst, ist jetzt nicht gleich direkt ein Thema von "20" Geräten :hust: Oder einer allgemeinen Abneigung (what ever?) gegenüber der Virtualisierung. Wenn man schon selbst das Thema Kirche im Dorf ansprichst.

Wobei pöses Web für mich auch kein Grund wäre. Eher Überlegungen über Verfügabrkeit und Redundanz. Das Ding stellt den Zugang zum Netz her. Wenn man das Glück hat nicht alleine zu leben weiß man, daß es mittlerweile kein größeres Gut daheim gibt als das ;) Ich krieg da sonst Albträume über abgerauchte Hosts um 19Uhr am Samstag...
 
Zuletzt bearbeitet:
meine Pfsense ist seit 2 Jahren ohne irgendwelche Probleme Virtualisiert und dümpelt vor sich hin. So viel Leistung benötigt sie nicht sodass man das gerät für mehre andere wichtige Dienste nutzen kann.
 
magicteddy schrieb:
Du hast an der Grenze zum "bösen" Internet mit den wahscheinlich vorhandenen Schwachstellen im Hypervisor und in der Firewall zu kämpfen, also höhere Wahrscheinlichkeit für einen erfolgreichen Angriff. Wie relevant das für den OP ist muss er selber entscheiden. Ich baue an dieser Stelle auf eigene Hardware.

-teddy
Zum Vergrößern anklicken....
Damit der Hypervisor betroffen ist, muss das KVM jail gebrochen werden, aus einem BSD heraus, durch iommu isolation und hardware abstraction. Wer das schafft schafft auch ganz andere Dinge.
Ja, die angreifbare Fläche ist minimal erhöht, nur: Ich sehe keinen Vektor!
 
Anmelden, um zu antworten.

Ähnliche Themen

free.dll
[Kaufberatung] Homeserver für Proxmox (piHole, Unifi Contr, tvH, nC, wG, win)
Antworten
1
Aufrufe
479
p4n0
p4n0
L
Server und netzwerkumbau richtung 10 g wenn möglich
Antworten
2
Aufrufe
461
loaded
L
D
[Guide] Mein neuer Home-Server / NAS im kleinsten Server-PC der Welt [Mini-PC mit Xeon und ECC RAM]
2 3
Antworten
66
Aufrufe
10K
dakazze
D
G
[User-Review] Grandstream Access Points - bye bye Mikrotik
Antworten
25
Aufrufe
2K
Speeddeamon
Speeddeamon
J
OpenVPN Client auf Debian: Network is unreachable bei Verbindungsaufbau
Antworten
0
Aufrufe
531
justinh999
J
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh