HomeAssistant - Download nicht möglich

[Pfanne]

Hab jetzt einen ThinClient bestellt, scheint mir die flexibelste Wahl zu sein.
Es kann nie schaden ein natives Linux-System im Dauerbetrieb zu haben.

Die Paketgeschichten in der Synology sind teilweise echt hakelig......

Danke für den Tipp!!

 

[Ronny1978]

Und es wurde ja auch schon mehrfach gesagt: Ein Upgrade auf einem Thinclient oder MiniPC ist einfache und billiger, wie auf einer DS, die "Kraft" ist viel höher und der Austausch geht schneller und billiger.

Nach meiner Meinung die richtige Entscheidung.

 

[ctrlaltdelete]

Ich habe mittlerweile auch einen "ThinClient" mit Proxmox laufen mit 17 Docker Stacks und 37 Containern, einer Ubuntu VM und einer Test Win2022 Server VM.

 

[Ronny1978]

Test Win20222 Server VM

Du bist aber weit in die Zukunft gereist . Doc Brown hat dich mitgenommen? Nein, Spaß beiseite. Ich kann nur bestätigen, dass ein Proxmox wirklich Freude bereitet und man unheimlich viel probieren und neues lernen kann.

 

[JohneDoe]

Ja bevor ich mir nochmal ein Synology Gerät kaufe, hol ich mir lieber einen besseren Thin Client/Server und bau mir den Storage Kram selber. Für alles andere gibt es dann separate VMs weiterhin. Großer Vorteil: Storage und Anwendungen sind strikt getrennt.
Ich habe aktuell 12 VMs dauerhaft laufen auf 2 Nodes verteilt. Wobei auf Node 2 nur die VMs für Ausfallsicherheit (keepalived) laufen. Auf meiner Docker VM laufen aktuell 29 Stacks. Ich könnte paar VMs auch durch einen LXC ersetzen um Ressourcen noch zu sparen, aber mir ist die Isolation wichtiger.

Daher finde ich deine Entscheidung pro ThinClient statt einer neuen DS auch richtig und glaube damit wirst du mehr Spaß haben.

 

[ctrlaltdelete]

Ich habe die Docker Stacks auch in einer Ubuntu VM anstatt LXC, bin mir aber noch nicht 100% sicher ob ich das so lasse. Allerdings läuft es im Moment mega smooth und ich habe mit AI Hilfe ein sauberes Backup Script für die Stacks inklusive DB Dumps und den Stack compose/env gebaut..

 

[JohneDoe]

Darf ich fragen wieso du dafür ein Script brauchst? Ich sichere einfach mit dem PBS. Da kann ich jede Datei einzeln restoren/downloaden. PSQL Dump mach ich auch regelmäßig (6x am Tag). Aber alles andere nur über den PBS. Die Stacks liegen bei mir in Forgejo. Darüber läuft eh das Deployment mit Ansible.
Ich würde dir nicht empfehlen Docker in LXC zu betreiben. Das kann bei jedem PVE Update kaputt gehen. Die PVE Macher empfehlen die VM ja nicht ohne Grund. Wenn man im Proxmox Forum liest, dann gibt es auch häufiger Ausfälle.

 

[Ronny1978]

Ich bin eher ein Freund von LXC's, weil ich das etwas besser im Netzwerk steuern, da jeder LXC seine eigene IP hat. Wenn alle Docker/Podman Stacks in einer Ubuntu VM laufen, haben die ja alle die gleiche IP, aber unterschiedliche Ports. Ja, die Sicherheit ist hier besser, aber man kann ja viel über Firewall-Regeln absichern. Aber zum Schluss sucht und findet jeder die passende Lösung für sich selbst.

Ich würde dir nicht empfehlen Docker in LXC zu betreiben. Das kann bei jedem PVE Update kaputt gehen. Die PVE Macher empfehlen die VM ja nicht ohne Grund.

Dem muss ich beipflichten. Docker im "Docker" ist ungünstig. Aber auch hier ist alles abhängig von der Config und was für Docker/Prozesse laufen.

 

[ctrlaltdelete]

Ich fahre zweigleisig, PBS und Script mit den Dumps.

 

[JohneDoe]

Ja, die Sicherheit ist hier besser, aber man kann ja viel über Firewall-Regeln absichern

Ja natürlich, aber wenn ein LXC z.B. abschmiert, dann kann das auch folgen für dein PVE haben. Weil die teilen sich ja den Kernel.

Wegen alle Docker die selbe IP... Ja dafür gibt es ja den Reverse Proxy bzw. ich mach das auch so, dass einige Anwendungen eine eigene VM haben. Immich z.B. hat eine eigene VM. Da läuft nichts anderes. Das selbe gilt für 2FAuth. Das läuft auch auf einer eigenen VM mit keepalived. Das heißt ich habe zwei VMs auf zwei Nodes damit. Wenn ich meinen Hauptserver ausmache, dann ist halt die zweite Instanz direkt da und übernimmt. Ist auch unter der selben URL erreichbar. Das heißt du merkst es nicht mal. Die "kleineren" Stacks laufen halt alle in einer VM
Aber das muss jeder für sich selber entscheiden wie er es betreiben will.

 

[Ronny1978]

Ja dafür gibt es ja den Reverse Proxy bzw. ich mach das auch so, dass einige Anwendungen eine eigene VM haben. Immich z.B. hat eine eigene VM. Da läuft nichts anderes

Da hast du natürlich recht. Ich habe auf meiner OpnSense davor auch einen RP. Einen 2. Proxmox habe ich nicht. Und wenn ich zum Schluss 3-4 VMs und RAM und Kerne fest zugewiesen habe, muss ich halt aufpassen, dass man die Sache nicht "überreizt" oder aus dem Auge verliert.

Ich möchte mich demnächst mit Ubuntu VM und Yubikey SSH Key auseinandersetzen und auch mit Docker und Podman. Aber im Moment fehlt mir etwas die Zeit dafür. OpnSense wartet auf das Upgrade auf die 26er Version und den HAProxy möchte ich gern auf Ngnix umbauen und bei der Gelegenheit die vielen Zertifikate für den RP auf ein Wildcard Zertifikat mit der Netcup DNS API umstellen. Den Wechsel von ISC DHCP auf DNSmasq habe ich schon hinter mir. Auch wenn der Tag 27h () hat, irgendwann ist die Zeit zu Ende oder es passieren Fehler. Und die Frau und meine Söhne verzeihen ein Ausfall oder Fehler beim / im Netzwerk nicht wirklich .

 

[JohneDoe]

Ubuntu VM und Yubikey SSH

Was genau? Bin neugierig

Docker und Podman.

Hab ich auch überlegt. Also zu wechseln. Aber das ist leider ein größeres Unterfangen, weil das läuft ja im User Context. Das wär das gleiche, wenn du Docker ohne root laufen lässt. Ich würde es gerne bei mir umbauen, aber wie du schon sagst... Die Zeit.

HAProxy möchte ich gern auf Ngnix umbauen

Bevor du das machst guck dir mal Caddy an. Ist um einiges leichter zum einrichten und auch die Configs sind sehr übersichtlich. SSL Wildcard Zertifikate kann es auch direkt.

Und die Frau und meine Söhne verzeihen ein Ausfall oder Fehler beim / im Netzwerk nicht wirklich .

Kenn ich.... Nur ohne die Kinder Es darf auch kein Dienst ausfallen der ihr wichtig ist. Und egal was mal nicht geht, erstmal bin ich Schuld. Auch wenn ich nichts geändert habe und gar nicht dran war

 

[Ronny1978]

Was genau? Bin neugierig

Ich möchte nicht bloß ein SSH Login ohne Passwort, ohne "ROOT-User", sondern per SSH Key vom Yubikey:

keygen -t ed25519-sk wenn ich es noch richtig im Kopf habe. Dann wird nämlich der Key auf dem Yubikey gespeichert und es ist auch noch eine Aktion erforderlich -> sowas für paranoide. Gibt auch schon Youtube Videos, die ich aber auf Arbeit nicht zur Hand habe.

https://developers.yubico.com/SSH/Securing_SSH_with_FIDO2.html

Bevor du das machst guck dir mal Caddy an. Ist um einiges leichter zum einrichten und auch die Configs sind sehr übersichtlich.

Ich weiß, dass es das auch auf der OpnSense gibt. Aber da muss ich mich noch etwas einlesen. Hintergrund ist, dass ich gern Authentik oder Authelia haben möchte, um einige Container, die keine 2FA können, zusätzlich zum SSL Zertifikat, abzusichern. Aber geht mit dem HAProxy nur über lua Script, aber da bin ich kein Freund von und begreifen tue ich nur 20%.

erstmal bin ich Schuld

So ist das im Leben. Einer muss schuld sein. Und die Frau ist es mit Sicherheit nicht.

 

[ctrlaltdelete]

Zum Thema Proxy, ich nutze NPMplus mit crowdsec und crowdsec_ui. NPMplus macht bei mir auch die Certs. Das läuft bei mir auf einen Raspi, zusammen mit Pihole, WG-Easy, rustdesk und ntfy

 

[Ronny1978]

Ja, das geht alles und mit Sicherheit auch auf Proxmox im LXC oder VM. Aber ich möchte halt die "Grenze" direkt auf der OpnSense setzen. Das läuft auch schon Crowdsec. Aber danke für deinen Tipp.

P.S. Ich habe mir gerade mal die OpnSense Docu zu Caddy durchgelesen. Oje, da muss ich noch viel recherchieren, bevor ich das alles begreife.

 

[JohneDoe]

Ich möchte nicht bloß ein SSH Login ohne Passwort, ohne "ROOT", sondern per SSH Key vom Yubikey:

Ah das hab ich als Notfall SSH Key eingerichtet. Hast du einen Mac? Wenn ja dann sieh dir mal das an: https://gist.github.com/BertanT/9d222da115ca2d1274ef34735c4260cf MacOS funktioniert leider nicht direkt mit Hardware Keys. Apple hat das raus gepatcht.

So ist das im Leben. Einer muss schuld sein. Und die Frau ist es mit Sicherheit nicht.

Wo kommen wir auch hin, wenn die Frau Schuld wär

Docu zu Caddy durchgelesen

Ich habe kein OpenSense, aber wenn du Fragen direkt zu Caddy hast dann nur zu. Bei mir läuft das als VM mit Crowdsec. Authentik und Authelia funktionieren auch, aber ich habs nicht im Einsatz. Wenn man sich das mal angeguckt und bisschen mit befasst, dann merkt man eigentlich, dass es gar nicht so kompliziert ist.

 

[ctrlaltdelete]

Das wird bei mir im Homelab noch der Finale Schritt, saubere VLANs (Zyxel XGS1250-12) dedizierte HW (N100, 4 x 2,5 Gbit) mit OPNsense.

 

[Ronny1978]

dedizierte HW (N100, 4 x 2,5 Gbit)

Das steht bei mir auch noch auf. Ich habe den MiniPC schon seit einem Jahr rumliegen, komme aber nicht richtig dazu. Ich möchte gern meine OpnSense von Grundauf neu aufbauen und mit einem LACP Bond und VLAN. Derzeit sind bei mir die VLAN durch einzelne NICs auf der OpnSense getrennt.

aber wenn du Fragen direkt zu Caddy hast dann nur zu

Vielen Dank für deine Hilfe und das Angebot. Ich versuche mich erstmal im WWW schlau zu machen und schaue mal, was ich alles noch tun muss. Bei der OpnSense bin ich immer etwas "scheu", was die Konsole betrifft. Und wenn ich Crowdsec und Caddy in der OpnSense "verheiraten" möchte, muss ich in die Konsole.

Aber... ich glaube, wie kapern hier etwas den Thread. Machte es Sinn einen neuen Aufzumachen und uns über OpnSense und Reverse Proxy auszutauschen?

 

[Ronny1978]

Hast du einen Mac?

Nein . Windows und Linux. Das passt schon. Man kann auch die Keys in KeepassXC einpflegen und dann auch gleich nutzen. Aber da muss ich noch einmal genauer schauen.

 

[JohneDoe]

Eine Hardware Firewall hätte ich auch noch gerne im Homelab. Und einen Bare Metal PBS. Einen ThinClient hätte ich noch rumliegen. Der braucht nur noch eine ordentliche Platte.
Ansonsten habe ich vor kurzem meine Ports geschlossen. Ich hatte eh einen VPS bei Netcup und hab jetzt umgestellt. Domain zeigt auf den VPS. Dieser ist mit Wireguard mit zu Hause verbunden. Der VPS darf im internen Netz nur die virtuelle IP vom Reverse Proxy per 443 im Homelab erreichen und per SSH seinen Backup Server (Borg Backup). Ansonsten darf er nichts erreichen. Damit zu Hause nicht alles übers Internet laufen muss, leite ich die Domains mit Adguard Home auf meine interne virtuelle IP vom Reverse Proxy. So habe ich immerhin schon mal einiges extrem eingeschränkt, selbst wenn jemand den VPS hacken sollte.
Achja zwei Scripte laufen auf den VPS mit einem System Timer.
1. Prüft wie alt der WG Handshake ist. Wenn er zu alt ist, dann verbindet er sich neu. Falls ich eine neue IP bekomme oder ich den Server neustarte, dann verbindet sich der VPS immer direkt wieder.
2. Läuft jede Minute und löst meine myfritz DynDNS Domain auf. Wenn die sich mal ändert, dann passt das Script die UFW Firewall Regel an, dass SSH Verbindungen nur von dieser IP durch gelassen werden. So habe ich SSH für alle Verbindungen außer zu Hause geblockt. Wenn ich unterwegs bin und mich verbinden muss, dann muss ich mich eben mit zu Hause er VPN verbinden oder per VPN zum VPS.

Nächster Schritt wird demnächst das Borg Backup auf Pull umzustellen. Das Setup bliebt so lange bis ich eine Hardware Firewall habe