Hallo.
Gut möglich, dass es schon etliche Male gefragt wurde und vermutlich könnte ich, sofern ich noch mehr Zeit in die Recherche investiere, auch alles selbst herausfinden...Aber ich habe jetzt schon knapp zwei Wochen hin und her überlegt, tutorials geguckt/gelesen, probiert, abgeräumt, getestet und bin letzendlich an dem Punkt, wieder alles abzureißen und zum x-ten Male neu zu strukturieren.
Kurzum, es geht darum, ob ich für mein Heimnetzwerk eine opnsense fw und vlans benötige oder ob das für meinen case overengineering wäre...
Ich selbst war als System Engineer tätig und fühle mich ziemlich überfordert mit dem, was es mittlerweile so alles gibt. Habe den Durchblick etwas verloren (Tailscale, Zerotier, Wireguard, TwinGuard), auch weil alles in Verbindung mit Heimnetzwerken so individuell ist und jeder da seine eigenen Philosophien hat, die mMn teilweise auch ganz schön paranoid sind
Ich habe:
- einen VPS bei digital ocean auf dem ADGUARDhome als DNS eingerichtet ist. in- & outbound UDP Port 53 (Cloudflare A = johndoe.de)
- eine FritzBox 7590 (Cloudflare CNAME = *.home.johndoe.de). Portfreigaben: 80 & 433 für Traefik auf einem PI4. Mit im Traefik Stack auf dem PI4 laufen ein socket Proxy, Crowdsec, Crowdsec Bouncer und (optional) die Authentifizierung über Google Oauth.
- 1 Proxmox Server, mit diversen Services (die vereinzelt auch als IoT angedacht sind) und eine Proxmox Spielwiese.
- Home Assistant
- K8 mit AWX
- QNAP als File- & Backupserver
- Alles vorerst im Netz der FritzBox...
Ich möchte:
- Alles mit Zertifikaten ausstatten über LetsEncrypt, Cloudflare und ne DNS Challenge (schon erledigt)
- Die Spielwiese in einem dedizierten Netzwerk (VLAN) betreiben (Bin mittlerweile im DevOps Umfeld tätig und arbeite viel mit Ansible, Terraform, Docker & Kubernetes)
- Komplettes Monitoring mit Zabbix, ELK
- Authentik für die Authentifizierung
- Media Server mit Kodi, Jellyfin ...
- Alles absichern...und da bin ich mir unsicher
Soweit ich das verstanden habe, federt der Cloudflare Proxy ja schon das Meiste ab und meine VPS IP ist nicht öffentlich!?
Der CNAME, welcher ja auf die FritzBox geht, hat keinen Clouflare Proxy und hier wäre jetzt meine Frage, wie sicher das ist!? Dahinter arbeitet ja ein Traefik, der den Verkehr über Port 80 auf Port 443 umleitet und parallel noch Crowdsec, was Angriffe erkennt und verdächtige IP's bannt...
Traefik akzeptiert auch nur spezielle IP's, die ich per Konfiguration mitgebe (Cloudflare & lokale IP's)...
Das sollte doch eigentlich ausreichen oder übersehe ich potentielle Gefahren, die mir eine Firewall abnehmen könnten?
Liebe Grüße und Sorry, wenn es zu viel Text ist
....
Gut möglich, dass es schon etliche Male gefragt wurde und vermutlich könnte ich, sofern ich noch mehr Zeit in die Recherche investiere, auch alles selbst herausfinden...Aber ich habe jetzt schon knapp zwei Wochen hin und her überlegt, tutorials geguckt/gelesen, probiert, abgeräumt, getestet und bin letzendlich an dem Punkt, wieder alles abzureißen und zum x-ten Male neu zu strukturieren.
Kurzum, es geht darum, ob ich für mein Heimnetzwerk eine opnsense fw und vlans benötige oder ob das für meinen case overengineering wäre...
Ich selbst war als System Engineer tätig und fühle mich ziemlich überfordert mit dem, was es mittlerweile so alles gibt. Habe den Durchblick etwas verloren (Tailscale, Zerotier, Wireguard, TwinGuard), auch weil alles in Verbindung mit Heimnetzwerken so individuell ist und jeder da seine eigenen Philosophien hat, die mMn teilweise auch ganz schön paranoid sind
Ich habe:
- einen VPS bei digital ocean auf dem ADGUARDhome als DNS eingerichtet ist. in- & outbound UDP Port 53 (Cloudflare A = johndoe.de)
- eine FritzBox 7590 (Cloudflare CNAME = *.home.johndoe.de). Portfreigaben: 80 & 433 für Traefik auf einem PI4. Mit im Traefik Stack auf dem PI4 laufen ein socket Proxy, Crowdsec, Crowdsec Bouncer und (optional) die Authentifizierung über Google Oauth.
- 1 Proxmox Server, mit diversen Services (die vereinzelt auch als IoT angedacht sind) und eine Proxmox Spielwiese.
- Home Assistant
- K8 mit AWX
- QNAP als File- & Backupserver
- Alles vorerst im Netz der FritzBox...
Ich möchte:
- Alles mit Zertifikaten ausstatten über LetsEncrypt, Cloudflare und ne DNS Challenge (schon erledigt)
- Die Spielwiese in einem dedizierten Netzwerk (VLAN) betreiben (Bin mittlerweile im DevOps Umfeld tätig und arbeite viel mit Ansible, Terraform, Docker & Kubernetes)
- Komplettes Monitoring mit Zabbix, ELK
- Authentik für die Authentifizierung
- Media Server mit Kodi, Jellyfin ...
- Alles absichern...und da bin ich mir unsicher
Soweit ich das verstanden habe, federt der Cloudflare Proxy ja schon das Meiste ab und meine VPS IP ist nicht öffentlich!?
Der CNAME, welcher ja auf die FritzBox geht, hat keinen Clouflare Proxy und hier wäre jetzt meine Frage, wie sicher das ist!? Dahinter arbeitet ja ein Traefik, der den Verkehr über Port 80 auf Port 443 umleitet und parallel noch Crowdsec, was Angriffe erkennt und verdächtige IP's bannt...
Traefik akzeptiert auch nur spezielle IP's, die ich per Konfiguration mitgebe (Cloudflare & lokale IP's)...
Das sollte doch eigentlich ausreichen oder übersehe ich potentielle Gefahren, die mir eine Firewall abnehmen könnten?
Liebe Grüße und Sorry, wenn es zu viel Text ist
....