Homelab - VLAN Einrichtung, Reverse Proxy und Frage zu Subdomain

M

MisterY

Urgestein
Thread Starter
Mitglied seit
17.03.2007
Beiträge
2.792
Hi,

Da ich in meinem Homelab bestehend aus 4 Servern auch Internetdienste laufen lassen möchte (Nextcloud (=Domain A), Wordpress (=Domain B); beides sind eigenständige LXC auf Proxmox), möchte ich diese gerne vom restlichen Netzwerk trennen. Aktuell ist dies über die Proxmox-Firewall geregelt (der Proxmox-Server hat 5 NICs, eine davon ist für diese Internetanwendungen reserviert und im Switch (Mikrotik CSS326) darf diese NIC nur mit meinem DNS-Server und Router kommunizieren).

Mein Aufbau ist aktuell wie folgt:
Modem (IP: 192.168.1.1) --> alles weitergeleitet an einen Router (TP-Link Acher C5 V1.2; IP: 192.168.0.1) --> Mikrotik Switch --> Server (Server + VMs im 192.168.0.xxx Bereich)
Ich würde gerne es so haben:

Ich rufe "domainA.de" auf und ich komme direkt auf die SSL-Verschlüsselte Seite von der Nextcloud im VLAN100 und wenn ich "domainB.de" aufrufe, dann auf die SSL-Verschlüsselte Wordpress-Seite auch im VLAN100. Wie mache ich das am Besten? Habe sowohl von VLANs als auch Reverse Proxys absolut keine Ahnung.
Ich glaube, dass weder Modem noch Router VLAN-fähig sind. Ist das ein Problem? Würde es Sinn machen, den Proxmox-internen Verkehr über eine eigene Pfsense-Instanz laufen zu lassen (eine eigene NIC mit 2 vNICs)?

Und zu den Subdomains: Ich habe bei Strato zwei Domains. Afaik ist bei jeder nur eine Subdomain dabei. Heißt das, dass ich nur z.b. "domainA.de" und "cloud.domainA.de" haben kann, aber nicht noch zusätzlich "plex.domainA.de"? Für extern reicht mir zwar eine subdomain, aber intern würde ich das gerne anders machen, da mich es nervt die ganzen IPs immer einzutippen.

Grüße
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Das mit den Domains kommt drauf an; möchtest du Split-DNS* (eigentlich recht eklig) betreiben, oder nicht. Wenn du mit mehreren Domains intern arbeiten möchtest, würde sich dieses aber anbieten. Stell dir erst einmal die Frage, ob du die Server von außen erreichen möchtest, oder ob dir Zugriff von innen ausreicht.

*Split-DNS bedeutet, dass deine Domain "von außen" andere Einträge hat als "von innen". Intern hast du Zugriff auf alles, von außen nur eben auf die Subdomains die du beim Hoster anlegst. Kann aber ganz böse ins Auge gehen.

Wenn dies der Fall ist, so reicht dir im Grunde ein lokaler DNS wie ein Bind9 (z.B. mit Webmin) oder wenn du es etwas einfacher haben möchtest ein dnsmasq. Natürlich geht hier auch ein Windows Server, der einen guten DNS-Server enthält - je nach Geschmack.

ABER

Was den SSL-Reverseproxy angeht; na klar geht das. Woher kommen die Zertifikate? Ich würde Let's Encrypt empfehlen, aber hier liegt auch schon der Hase im Pfeffer. Für LE muss der Server auf Port 80 von außen erreichbar sein, damit musst du dann aber auch die Domains und Subdomains von außen erreichbar machen. Bei Strato läufst du, wie du ja hier beschrieben hast in dem Punkt schon in ein Limit (Paketupgrade?).

Ich würde folgende Config vorschlagen:

Hoster: subdomain.int.domain.tld -> CNAME auf einen Hoster wie SPDNS/No-IP/DynDNS -> deine IP zu Hause.

Dein SSL-Reverseproxy (hier kann ich nginx sehr empfehlen) muss natürlich die Zertfikate abfragen können. Ich verwendet z.B. für diesen Aufbau Dehydrated. Wie gesagt, Port 80 muss hierfür schon offen sein; für Zugriff von außen natürlich auch Port 443.

nginx läuft wunderbar in einem Container - den Overhead einer VM kannst du dir hier auf jeden Fall sparen. 512MB RAM, 8GB "HDD" und gut ist.

Routing
Das kommt jetzt auf deine Firewall an. Die in Proxmox habe ich nicht ausprobiert, aber ich würde auf eine Firewall (wie z.B. IPFire) entweder als Appliance (Alix/APU oder Mini PC) davor setzen und die Netze dann getrennt in den Proxmox auf einzelne Bridges verteilen, oder das ganze eben auch virtualisieren (beim IPCop war das noch eine Todsünde, bei IPFire werden Anleitungen gegeben). pfsense & opnsens können das sicher auch, aber ich pers. finde Charme von "farbigen" Netzen für Privatpersonen, die sich "mal eben" ne DMZ/Perimeter bauen wollen einfach ansprechender als bei anderen Firewalls. Der langen Rede kurzer (Un)Sinn: du müsstest dann natürlich für LAN (grün) & WAN (rot) Ports in Richtung des SSL-Reverseproxys freischalten. Deine Dienste gehören dann am besten in ein eigenes Netz, so dass nur der SSL-Reverseproxy in einer DMZ steht (oder eben auch die Server). Ich kenne es so, dass es verschiedene "DMZetten" gibt, dann bist du auf jeden Fall safe - hier sprechen wir allerdings auch definitiv von Zugriff von außen. Brauchst du das Ganze NICHT, dann spar dir den Aufwand und packe alles in dein LAN, dann brauchst du auch keine Firewall dafür. Ich gehe ja davon aus, dass dein TP-Link Router bereits nach außen eine Firewall hat. In meinem Beispiel der Appliance würde so ein IPFire dann diesen ersetzen. Ach und... die MikroTiks haben doch fast alle RouterOS - kann der dann nicht schon alles was du brauchst?

Ich hoffe da waren jetzt ein paar gute Infos für dich bei :)

Ciao
Dennis
 
Anmelden, um zu antworten.

Ähnliche Themen

P
[Kaufberatung] Budget-NAS für Backup, Foto-Selfhost und Firewall+VLAN - EpycEmbedded vs AM4 vs gebrauchte Workstation?
Antworten
14
Aufrufe
3K
Pete_5
P
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh