Frage bzgl. „Homelab“

[SunnyStar]

Hallo zusammen,

mein Homelab besteht derzeit aus
1) einer DS118 mit 6TB Ironwolf HDD
2) ein HP Mini mit i5 6500t, 16GB RAM mit Proxmox installiert
2a) Einer Debian VM auf welcher alle Diensta via Docker realisiert werden
[stehen außen am Schreibtisch]


Portfreigaben von außen sind 80,443 und 51820. Via Traefik Reverseproxy sind 3 Dienste (Bitwarden.meinedomain.ddnss.de sowie Nextcloud.meinedomain.ddnss.de und vpn.meinedomain.Ddnss.de) erreichbar.
Zertifikate werden automatisch mit Letsencrypt erstellt)

Die DS118 hat eine eigene IP
Der Proxmox Host hat eine eigene IP
Die Debian VM hat eine eigene IP

Die Portfreigaben gehen auf die IP der Debian VM.

Nun plane ich das bestehende Setup durch eine einzelne DS220+ zu ersetzen - (1x SSD für Docker + 1x 6TB HDD für Daten)
mit dem Ziel:
1) weniger Strom zu verbrauchen
2) mich nicht um 2 Backups (1x Proxmox Host zur NAS, 1x NAS zur USB Platte) zu kümmern

Die Docker Container müsste man auch eigene IP‘s im Host Netzwerk zuteilen können meine ich und somit hätte ich bei den Portfreigaben nie direkt die IP der Synology stehen.

Was ist von dem Plan zu halten?
Übersehe ich etwas? Evtl auch beim Thema Security?

Danke euch

 

[plang.pl]

Also ich würde nicht alles auf den File Server schmeißen. Du kannst zwar per MACVLAN pro Docker Container eine eigene IP vergeben. Aber dennoch läuft alles auf dem gleichen Host. Und dann greift die DS Firewall nicht mehr.
Solange es aber nur bitwarden und nextcloud betrifft, kann man das schon machen. Aber die Spielerei mit dem MACVLAN würde ich lassen. Notfalls alles in eine schlanke Linux VM im VMM.
Das VPN Gateway gehört aber definitiv NICHT auf den File-Server.
EDIT: Thema HomeLab

 

[SunnyStar]

Das VPN Gateway gehört aber definitiv NICHT auf den File-Server.

Dann also doch wieder mindestens 2 Geräte - ärgerlich. Dennoch möchte ich eine „+“ DS haben um den Windows Pc und Laptop via Backup for Business sichern zu können

Dein Homelab ist echt cool !

 

[plang.pl]

via Backup for Business

Is verständlich, ist schon echt ein affengeiles Tool!

Dein Homelab ist echt cool !

Danke sehr

Auf dem Router kannst du keinen VPN-Zugang realisieren?

 

[SunnyStar]

Router ist eine alte FritzBox 7560 - WireGuard gibts nicht in der OS Version und dieses FritzVPN ist der letzte
Möchte gerne bei WireGuard bleiben - aber wenn ich meine bestehende DS118 ersetze soll diese an einem entfernten Standort als Backup herhalten - WireGuard auf der DS118 ist nicht - also OpenVPN wäre meine 2. Wahl

 

[plang.pl]

Die Fritte kann doch IPSec. Schlecht ist das auch nicht. Alternativ dann halt in der Linux VM auf der DS WireGuard aufsetzen.
Andere Frage: Wieso brauchst du überhaupt direkten externen Zugriff auf die Dienste, wenn du ohnehin VPN nutzt?

 

[SunnyStar]

Alternativ dann halt in der Linux VM auf der DS WireGuard aufsetzen.

Widerspricht das nicht was du geschrieben hast, dass VPN nicht auf den Fileserver sollte ?

Die anderen beiden Dienste nutze ich überwiegend am Handy von unterwegs. Da bin ich bei der „lokalen“ Einrichtung gescheitert

 

[plang.pl]

Ja, irgendwie widerspricht sich das. Aber lieber in der VM als auf der DS direkt, wenn es schon so sein muss. Ich an deiner Stelle würde aber das IPSec der Fritte nutzen.
Was meinst du mit "lokaler Einrichtung gescheitert"?

 

[SunnyStar]

Was meinst du mit "lokaler Einrichtung gescheitert"?

Ich habe Bitwartden sowie Nextcloud nicht als lokale Instanz ans laufen bekommen mit selbst signierten Zertifikaten etc. - auch wenn ich gelernter IT'ler bin - vor dem Thema konnte ich mich bisher "drücken" *schäm*

Das ging wesentlich einfacher mit public/Letsencrypt

 

[plang.pl]

Achso. Das mache ich auch so. Allerdings habe ich intern einen DNS-Server. Der löst im Heimnetz meinen FQDN auf die private IPv4 meines Reverse Proxies auf. Somit komme ich intern auf meinen Reverse Proxy und extern theoretisch auch. Wenn ich dann per VPN verbunden bin, wird wieder intern aufgelöst.

 

[SunnyStar]

Hat noch jemand Bitwarden + Nextcloud auf der Syno direkt laufen(via Docker) und macht das via Portfreigabe am Router direkt erreichbar?
Hadere mit mir selbst, ob ich wirklich mit VMM noch eine Debian VM installieren und darüber die beiden Services erreichbar/konfigurieren soll.

Würde in dem Zuge direkt das Wildcard-Zertifikat des Synology.me DDNS verwenden wollen
Ich frage mich noch immer "sicher" sowas ist. Natürlich bin ich nur eine kleine Privatperson - dennoch möchte ich ja auch nicht, dass mein System von dritten gehackt wird.

 

[alexhell]

Ich würde alles über den Port 443 laufen lassen und es mit einem Revers Proxy verteilen. Dann hast du nur einen Port offen und mit dem Wildcard Zertifikat alle Services verschlüsselt

 

[ctrlaltdelete]

Docker, Reverse Proxy , Wildcard mit acme.sh, Subdomains und nur Port 443 offen.

 

[plang.pl]

Genau. Nur Port 443. Zusätzlich das Block Script und evtl Fail2Ban und natürlich starke Passwörter