HomeAssistant - Download nicht möglich

[Ronny1978]

Da bist du technisch viiiieeeellll weiter wie ich.

 

[ctrlaltdelete]

Bei mir ist im Router (Fritzbox) nur 443 offen und ich will OPNsense dann dazwischen schalten, als Firewall mit Routing der VLANs:

Internet
↓
FritzBox (Wlan, DVB-C, Telefon und Internetgateway)
↓
OPNsense (Firewall + VLAN + Routing)
└─(1x Trunk-Port mit VLAN 10/20/30)
↓
Zyxel Switch mit VLANs
├─ VLAN10 → Server / NAS / Proxmox (VMS und Docker) / HA / Raspi (Proxy + CrowdSec + Pi-hole + WG + ntfy)
├─ VLAN20 → PoE-Switch → Kameras
└─ VLAN30 → FritzBox-WLAN / Clients / Wohnzimmer-Media

 

[JohneDoe]

Zyxel Switch mit VLANs
├─ VLAN10 → Server / NAS / Proxmox (VMS und Docker) / HA / Raspi (Proxy + CrowdSec + Pi-hole + WG + ntfy)
├─ VLAN20 → PoE-Switch → Kameras
└─ VLAN30 → FritzBox-WLAN / Clients / Wohnzimmer-Media

Das ist das was mich stört und noch abhält umzustellen. Die Extra Hardware, weil ich hätte auch gerne per WLAN Zugriff auf die einzelnen VLANs. Also durch unterschiedliche SSIDs. Ich bräuchte neue Switche und einen Accesspoint der mehrere SSIDs unterstützt.
Wie würde denn ein Client aus VLAN30 auf die NAS zugreifen?

 

[ctrlaltdelete]

ALLOW
Source: 10.10.30.50
Destination: 10.10.10.10
Port: 445 (SMB)

oder generell nur bestimmte Ports
ALLOW
Source: VLAN30 net
Destination: 10.10.10.10 (NAS)
Ports: 445 (SMB), 5000 (DSM), etc.

VLAN trennt – Firewall verbindet gezielt wieder

Meine VLAN Aufteilung ist noch nicht endgültig, evtl. werde ich es noch ein wenig "feiner" strukturieren.

Edit: Das ist kein Bastel-Setup mehr, sondern geht schon deutlich in Richtung Enterprise-Architektur – mit sauber getrennten Netzsegmenten und Security auf mehreren Ebenen (Netzwerk und Application Layer).

 

[JohneDoe]

Ah ok.Stimmt das geht natürlich auch. Dann muss man nur explizit die Ports freigeben auf die man zugreifen muss.. Danke für den Denkanstoß
Hmm mein ThinClient der rumliegt hat zwei NICs. Könnte dann damit mal experimentieren. Könnte weil ich ja nur ein WLAN Netz habe, das per Wireguard lösen. Also man kommt ins andere VLAN per Wireguard. Dann hätte ich eine klare Trennung und einen Workaround, damit ich alles erreiche. Mal überlegen und wenn ich mehr Zeit habe würde ich es mal prüfen/experimentieren.

 

[ctrlaltdelete]

Das wäre m.E. ein großer Umweg und würde ggf. ja auch wieder Security aushebeln, wenn auf dem Client mit dem du zugreifst irgendetwas "ausbricht"

 

[JohneDoe]

Wär das aber nicht immer der Fall, wenn du mit deinem Rechner in das jeweilige VLAN wechselst? Das wären bei mir nur ein oder zwei Clients die das dürften.
Oder hab ich da einen Denkfehler drin?

 

[ctrlaltdelete]

Aber ich würde nur die zu verwendenden Ports freigeben.

 

[JohneDoe]

Aber irgendwann musst du ja auch mal ins andere Netz, wenn du Proxmox zugreifen musst oder aufs NAS. Wenn du auch Proxmox oder SSH freigibst, dann verlierst du ja auch viel an Sicherheit.

 

[Ronny1978]

Meine VLAN Aufteilung ist noch nicht endgültig, evtl. werde ich es noch ein wenig "feiner" strukturieren

Man sollte es aber bei VLANs aber auch nicht übertreiben. Sonst schreibt man sich an den Firewallregeln tot.

weil ich ja nur ein WLAN Netz habe

Hole 1-2 Omada oder Unifi APs und installiere den Unifi Controller in einer VM. Geht leider nicht mehr als LXC oder Docker, da Unifi mit dem selbstgehosteten OS Controller auf Podman umgestellt hat.

Wär das aber nicht immer der Fall, wenn du mit deinem Rechner in das jeweilige VLAN wechselst?

Ich habe in meiner Firewall die Einstellung, dass mein PC in alle VLANs kommt, die VLANs aber nicht zu "mir". Das lässt sich in der OpnSense wunderbar steuern. Bei OpnSense gefällt mir, im Gegensatz zu Unifi, dass da ALLES zu ist. Es funktioniert erst, wenn man bewusst die wichtigsten Wege öffnet.

Bei Unifi ist das genau anders herum: Alles auf und funktioniert, bis man es verbietet.

nur die zu verwendenden Ports freigeben

@JohneDoe: Ich denke, @ctrlaltdelete meint, die Firewallregel:

VLAN PC -> 22 -> frei zu VLAN Proxmox (Server, was auch immer). Da wird kein Port generell freigegeben, sondern nur für einen bestimmten Benutzer / IP Bereich oder ggf. auch das Netzsegment.

 

[Ronny1978]

@ctrlaltdelete -> Post #42 -> Hast du 2 Fritzboxen? Oder wie meinst du das mit dem WLAN vor und nach der OpnSense (im VLAN 30)? Ich würde, (bitte nur ich) das WLAN an der Fritzbox deaktivieren oder nur für Gäste nutzen und Unifi oder Omada ins Netzwerk integrieren.

Ich habe als Router / Gateway die OpnSense, welche als Modem ein Vigor 165 nutzt. Damit habe ich auch kein doppeltes NAT.

 

[Ronny1978]

@prudishly Weil ich mich das erst Einlesen muss und mich mit Caddy (noch) nicht auskenne. Du sagt doch auch keinem Fahranfänger, "...warum keinen Porsche...".

So, das Wildcard Zertifikat mit der Netcup API (DNS-01 Challenge) habe ich hinbekommen und gleich ein neueres "ECDSA-Signatur mit SHA-384" Zertifikat genommen. Wieder was zum abhaken.....

 

[JohneDoe]

Hole 1-2 Omada oder Unifi APs und installiere den Unifi Controller in einer VM. Geht leider nicht mehr als LXC oder Docker, da Unifi mit dem selbstgehosteten OS Controller auf Podman umgestellt hat.

Ja irgendwann werde ich mal umsteigen

ch habe in meiner Firewall die Einstellung, dass mein PC in alle VLANs kommt, die VLANs aber nicht zu "mir".

VLAN PC -> 22 -> frei zu VLAN Proxmox (Server, was auch immer). Da wird kein Port generell freigegeben, sondern nur für einen bestimmten Benutzer / IP Bereich oder ggf. auch das Netzsegment.

Ja, aber das würde ich doch mit dem Wireguard auch so machen oder wo ist mein Denkfehler?

@prudishly Weil ich mich das erst Einlesen muss und mich mit Caddy (noch) nicht auskenne

Wo ist denn der Beitrag auf den du dich beziehst? Ich seh nichts von dem User irgendwie.
Einarbeiten muss man sich ja immer und das dauert auch immer wieder mal. Niemand weiß doch direkt alles MAn muss nur genug Interesse dran haben.

 

[Ronny1978]

Und die Frau und meine Söhne verzeihen ein Ausfall oder Fehler beim / im Netzwerk nicht wirklich .

@prudishly Und bitte noch einmal das beachten . Wenn ich hier am RP rumspiele und es geht Jellyfin nicht mehr, wo unsere Filme, Audiobooks und Musik läuft, hängt der Haussegen schnell schief.

 

[Ronny1978]

Wo ist denn der Beitrag auf den du dich beziehst? Ich seh nichts von dem User irgendwie.

Na sag mal, der war doch gerade noch da. Bin ich denn schon so alt....

MAn muss nur genug Interesse dran haben.

Habe ich definitiv, aber ich suche auch immer die praktikabelste und nützlichste bzw. besten Aufwand-Nutzen-Lösung. Das muss zwangsweise das Topprodukt sein.

 

[JohneDoe]

Habe ich definitiv, aber ich suche auch immer die praktikabelste und nützlichste bzw. besten Aufwand-Nutzen-Lösung. Das muss zwangsweise das Topprodukt sein.

Es muss ja nur für dich gut passen. Ich finde Caddy super und empfehle es immer, aber das heißt ja nicht, dass es für jeden das richtige ist. Das muss jeder für sich entscheiden.

 

[Pfanne]

Hier ist was los.....

Der ThinClient (Dell Wyse 7040 TC - Intel Core i5-6500TE - 8 GB DDR4 - 75€) ist in der Post... Eine 256GB SSD habe ich noch rumfliegen, die soll reichen.

Jetzt wäre die Frage nach dem Betriebssystem:

1. Home Assistant OS (easy und los, Schwerpunkt HA)
2. Proxmox (aufwendiger aber universeller bei erweiterter Nutzung)

So wie ich es bisher rausgehört habe ist hier wohl eher die Proxmox-Fraktion führend...
Ist das so?

 

[JohneDoe]

Ich würde Proxmox installieren und dann da eine VM mit Home Assistant OS installieren. Dann kannst du davon immer ein Backup erstellen oder Snapshots wenn du was ausprobieren willst. Und kannst noch was anderes installieren in dem du dir einfach eine weitere VM einrichtest.

 

[Ronny1978]

@Pfanne Ich stimme @JohneDoe zu. Du wirst mit der Nutzung von HA merken, dass hier ein "Spieltrieb" geweckt wird. Planst du wirklich nur HA und hast kein weiteres Interesse an Containern und VMs, dann geht natürlich auch Baremetal HA auf dem ThinClient. Bitte dann aber eine gute Backupstrategie überlegen. Im HA Forum hatten wir letztens einen User, der ein Backup von HA hatte, es aber nicht zurückspielen konnte, weil das Backup seitens HA schon defekt war, aus welchem Grund auch immer.

Bei Proxmox bist du unheimlich flexibel, allein schon was die Apps von HA selbst anbelangt. Ich nenne hier nur mal die Datenbank (ggf. MariaDB), Zigbee2MQTT und der Mosquitto Broker. Kann alles unter HA selbst laufen, aber man hat auch die Möglichkeit diese Apps in einen Proxmox LXC auszulagern und somit HA schlank zu halten. Ich persönlich habe meine Datenbank in einem LXC laufen und lege dort alle Daten von HA rein. Die Updates von HA gehen schneller und ich hatte noch nie eine korrupte Datenbank.

Von Snapshots und Backups der VMs und LXC unter Proxmox will ich jetzt noch gar nicht anfangen. ABER! Man darf, wie von dir richtig genannt, nicht den Mehraufwand unterschätzen und ein wenig technisches Netzwerkwissen. Wenn du dich dem nicht scheust und auch was neues dazulernen möchtest, ist Proxmox aber auch kein Hexenwerk. Und einmal eingerichtet und konfiguriert, läuft das eigentlich (bis auf die Updates) von allein. Upgrades von Proxmox können etwas tricky sein, müssen es aber nicht. Auch hier kommt es auf den technischen Background an.

8GB RAM und 256GB SSD finde ich persönlich etwas knapp, aber sollte für Proxmox und HA reichen. Bei mir sind es:

- ein i7
- 64GB RAM (Proxmox habe ich aber vor 3 Jahren eingerichtet - da war RAM noch nicht so teuer)
- 2x 1TB SSD NvME als Raid1

Angefangen hat es bei mir mit dem Unifi Controller, Adguard und einer Win10 (damals, jetzt 11) VM und HA. Dazugekommen ist:
- Cloudflare Tunnel für jedes VLAN
- MariaDB
- Rustdesk
- Jellyfin
- Kimai 2
- und ich habe noch einige Ideen (Authelia oder Authentik), Duplicati, Immich, Ubunutu Server, usw....

 

[prudishly]

Na sag mal, der war doch gerade noch da. Bin ich denn schon so alt..

Sry, hatte ihn gelöscht, da hier Caddy auf OPNSense ja schon erwähnt wurde...