Thomas Bella
Über dieses Homelab
Auszug aus dem Homelab über verwendete Software:
Proxmox, Plex, Tautulli, Mailcow, Plausible, Vaultwarden, Monica, Firefly III, AdGuard Home, step-ca, FreshRSS, Grafana, Athens, Syncthing, WireGuard, FRR, GitLab, GitLab Runner, Motion, sftpgo, Postfix Mail Relay, Sentry, parsedmarc, phpIPAM, SonarQube, Graylog, OPNsense, checkmk, wger Workout Manager, Nextcloud, Windows Active Directory, Active Directory Federation Services, Active Directory Certificate Services, UniFi Controller, paperless-ngx, Guacamole, Weblate, Immich, Open WebUI, Mealie, ...

Interesse oder Fragen? Kontaktiere mich unter Kontakt in Deutsch oder Englisch.
Letzte Ausfälle
  • Lade letzte Ereignisse ...
Seite 1

Kurze Internetausfälle, selbstverschuldete Ausfälle und Folgeausfälle sind nicht aufgelistet.
Zeitangaben werden auf volle Minuten gerundet. Alle Angaben ohne Gewähr.
(Unter 1 Minute wird auf eine Minute aufgerundet, nicht gerundete Dauer in Aufzeichnung vorhanden)

Netzwerkaufbau

Die Anbindung erfolgt über eine FritzBox 7530, die als VDSL2-Modem fungiert für DSL 35b G.Vector als Medienkonverter. Die Einwahl mittels PPPoE findet dahinter durch eine opnsense statt, welches für IPv4 NAT und IPv6 Routing zuständig ist. Die opnsense fungiert ebenfalls als BGP Router und VRF Router, um verschiedene Netzwerke voneinander zu trennen. Die Firewall ist mit einem 10Gb LWL-Anschluss an den Switch im Serverraum verbunden.

Die Switches sind alle untereinander mit 10Gb LWL-Verbindungen verbunden, um eine hohe Bandbreite und geringe Latenz zu gewährleisten. Da sich die FritzBox im Keller befindet ist diese per 1Gb Ethernet direkt mit dem Switch im Carport und so weiter zur opnsense Verbunden, so sind Serverdienste auch bei Ausfall des Kellerswitches weiter erreichbar. Durch die Altverkabelung sind alle Switches zusätzlich per 2x 1Gb Ethernet verbunden, welche aber nur als Fallback zur Verfügung stehen. Alle Switches werden durch checkmk überwacht, um eine hohe Verfügbarkeit zu gewährleisten, Fehler und zu hohe Auslastungen frühzeitig zu erkennen.

Switches sind untereinander via TRUNK-Ports verbunden, um benötigte VLANs zu transportieren. Die meisten VLANs befinden sich im Carport, um Serverdienste von einander getrennt zu betreiben. Weitere VLANs werden bis zu Endgeräten durchgereicht (LAN, IoT, Gäste, ...), um eine Trennung von Diensten zu ermöglichen. Hier wird dot1x Authentifizierung, MAC based VLAN assignment und dynamic VLAN assignment für Ethernet und WLAN Access Point Clients via RADIUS verwendet.

Die Access Points werden durch die Switches durch PoE+ versorgt und sind strategisch platziert, um eine optimale WLAN-Abdeckung im gesamten Haus, Terrasse und Garten zu gewährleisten.

---
config:
  theme: dark
---
flowchart TB
INET[Internet]
ISP[FritzBox 7530]
FW[opnsense
BGP/VRF/IPS]

SW-CARPORT[WS-C2960X-48TD-L
Serverraum]
SW-KELLER[WS-C2960X-48PD-L
Keller]
SW-DACHBODEN[WS-C2960X-48PD-L
Dachboden]

SW-GARTENHAUS[Switch Gartenhaus]
SW-MOCA[MoCA Master]
SW-TB[Switch Kinderzimmer]
SW-BUERO[Switch Büro]
SW-WOHNZIMMER[Switch Wohnzimmer]
SW-FITNESS[Switch Keller-Fitnessraum]

AP1[U6-Pro
Dachboden]
AP2[U6-Pro
Wohnzimmer]
AP3[U6-Plus
Serverraum]
AP4[U6-LR
Terrasse]
AP5[UAP-AC-Lite]
AP6[TP-Link AccessPoint]
AP7[AP Wasserschacht]
AP8[AP Kellerstüberl]

subgraph Servers
	A@{ shape: processes, label: "Servers" }
	B@{ shape: processes, label: "Storage" }
	C@{ shape: processes, label: "VMs" }
end

ISP --VDSL2+ --> INET
ISP --PPPoE --- FW
FW -- 10Gb LWL --- SW-CARPORT
SW-KELLER ---> AP8
SW-CARPORT --- Servers
SW-CARPORT --> AP3
SW-CARPORT --1Gb Ethernet --- SW-GARTENHAUS
SW-GARTENHAUS --> AP6
SW-GARTENHAUS --> AP7
SW-CARPORT -- 1x 10Gb LWL
3x 1Gb Ethernet --- SW-KELLER
SW-KELLER -- 1x 10Gb LWL
2x 1Gb Ethernet --- SW-DACHBODEN

SW-DACHBODEN ---- SW-MOCA
SW-DACHBODEN -- 1Gb Ethernet ---- SW-TB
SW-DACHBODEN --> AP1
SW-DACHBODEN --> AP2
SW-DACHBODEN --> AP4
SW-DACHBODEN -- 1Gb Ethernet --- SW-BUERO --- SW-WOHNZIMMER --- SW-FITNESS --> AP5
Externe Erreichbarkeit

Die meisten Services meines Homelabs sind über verschiedene Wege ausschließlich via HTTPS erreichbar. Grundsätzlich unterscheidet sich hier die Art der Bereitstellung durch den erzielten Nutzen, Absicherungen, Erreichbarkeit sowie Modernität der Technik.
Dies führt dazu, dass wie in der Abbildung dargestellt aktuell 3 verschiedene Wege zur Verfügung stehen, um auf die Dienste zuzugreifen.

NAT Port Forwarding - proxy.bella.network
Da mein Homelab eine öffentliche statische IPv4-Adresse besitzt sowie ein IPv6-Netzwerk, ist es möglich, Dienste direkt über Port Forwarding zu erreichen. Dies ist die älteste und am weitesten verbreitete Methode, um auf Dienste zuzugreifen. Diese Methode ist jedoch nicht so sicher wie die anderen Methoden, da sie anfällig für Angriffe ist.
Die Absicherung der Komponenten findet lokal statt, IDS/IPS der Firewall ist nur eingeschränkt aktiv da HTTPS nicht aufgebrochen wird. IPv6 wird direkt freigegeben, die Firewall regelt hier nur die freizugebenen Ports. Da mehrere interne Webserver bereitgestellt werden, ist ein zentraler Reverse Proxy erforderlich.

Cloudflare Tunnel - tunnel.bella.network
Dieser Zugriff erfolgt über einen Cloudflare Tunnel, der eine sichere Verbindung zu meinen internen Diensten herstellt, ohne dass diese direkt im Internet exponiert sind.
Die Dienste sind nur über HTTPS erreichbar und die Verbindung wird durch Cloudflare geschützt. Diese Methode ist sicherer als NAT Port Forwarding, da sie eine verschlüsselte Verbindung verwendet und die Dienste nicht direkt im Internet verfügbar sind. Allerdings besitzt der Anbieter Cloudflare Zugriff auf alle Daten, die über den Tunnel übertragen werden.

WireGuard VPN & BGP Routing - pulse.bella.network
Meine Server sind über WireGuard VPN und BGP Routing miteinander verbunden. Dies ermöglicht es mir, auf meine Dienste zuzugreifen, ohne dass ich eine öffentliche IP-Adresse benötige. Dadurch wird jede interne Kommunikation für internen Datenzugriff, Wartung und Administration geschützt. Diese Methode ist sicherer als NAT Port Forwarding, da sie eine verschlüsselte Verbindung verwendet und die Dienste nicht direkt im Internet verfügbar sind.
Dieses Setup ist das komplexeste und Fehleranfälligste von allen, da hierfür mehrere Server, VPN Verbindungen, dynamisches Routing und Zugriffssteuerungen notwendig für den Betrieb sind.

Darstellung externer Zugriff
---
config:
  theme: dark
---
flowchart TD
	A[Homelab Web Server]
	A -->|Direct| A1[Reverse Proxy] -->|NAT| U1[Users]
	A -->|Cloudflare Tunnel| B1[Cloudflare] --> U2[Users]
	A -->|WireGuard| C1[BGP Routing] -->|WireGuard| C2[Reverse Proxy] --> U3[Users]
Zukünftige Projekte, welche nicht sensible HTTPS Dienste bereitstellen, stelle ich vermehrt via Cloudflare Tunnel bereit.

Dies bietet mir eine einfache und sichere Möglichkeit, Dienste ohne zentralem Reverse Proxy bereitzustellen, keine VPN Anbindung schaffen zu müssen sowie keine öffentliche IP-Adresse zu benötigen.

Zusätzlich profitieren diese Dienste von erhöhter Sicherheit, DDoS-Schutz und anderen Vorteilen von Cloudflare.
PV & USV

PV-Eigenproduktion, Notstromversorgung bei Netzunterbrechung

  • E3DC S10 E
  • 8.850 Wp Leistung
  • 13.800 Wh Batteriekapazität
  • 2.900 Wh Transferleistung
  • Versorgung komplettes Haus
  • 2x APC Back-UPS Pro 1500 VA
  • Serverversorgung
  • Unterbrechungsfrei
Homecontrol Pi

Datenerfassung, Notstromüberwachung und Automatisierung mit pv-proxy

  • Raspberry Pi 4
  • 4 GB RAM
  • 64 GB microSD
  • 120 GB SSD
  • 1Gb Ethernet
  • Aktive Kühlung
  • 3x DS18B20
Time Pi

Sensorik und GPS PPS basierter Stratum 1 NTP Server

  • Raspberry Pi 3 B
  • WAVGAT NEO-6M GPS
  • 4x DS18B20
  • 32 GB microSD
  • 100Mb Ethernet
MultiControl

Home automation und Entwicklungsplattform (Visual Studio Code Remote Development)

  • Lenovo ThinkCentre M710q
  • Intel Core i3-7100T @ 3.40GHz
  • 8 GB RAM
  • 1 TB SSD
  • 256 GB NVMe
  • 1Gb Ethernet
BigVirt

Virtualisierung

  • HP Proliant DL360p G8
  • 2x Intel Xeon E5-2680 @ 2.70GHz
  • 192 GB ECC RAM
  • 4x 4 TB HW-RAID 10 HDD & 2GB FBWC
  • 4 GB SD
  • 4x 1Gb Ethernet
  • 1Gb Ethernet iLO 4
IX7

Storage, LLM und Virtualisierung

  • ASUS MAXIMUS VII HERO
  • Intel Core i7-4790K @ 4.00GHz
  • 32 GB RAM
  • 2x 500 GB SSD RAID 1
  • 2x 1 TB SSD RAID 1
  • 4x 8 TB HDD RAIDZ (RAID 5)
  • 3x 12 TB HDD RAIDZ (RAID 5)
  • 4 TB HDD
  • 500 GB HDD
  • 4x 1Gb Ethernet
  • 2x 10Gb SFP+
ThinkCentre

Virtualisierung

  • Lenovo ThinkCentre M710q
  • Intel Core i3-7100T @ 3.40GHz
  • 32 GB RAM
  • 500 GB SSD
  • 500 GB NVMe
  • 500 GB HDD
  • 1Gb Ethernet
ThinkCentre2

Virtualisierung, DVR und Backup

  • Lenovo ThinkCentre M710q
  • Intel Core i3-7100T @ 3.40GHz
  • 32 GB RAM
  • 64 GB SSD
  • 256 GB NVMe
  • 4 TB HDD
  • 1 TB HDD
  • 1Gb Ethernet
ThinkCentre3

Virtualisierung

  • Lenovo ThinkCentre M710q
  • Intel Core i3-7100T @ 3.40GHz
  • 16 GB RAM
  • 256 GB SSD
  • 256 GB NVMe
  • 1Gb Ethernet
ThinkCentre4

Virtualisierung

  • Lenovo ThinkCentre M710q
  • Intel Core i3-7100T @ 3.40GHz
  • 16 GB RAM
  • 480 GB SSD
  • 256 GB NVMe
  • 1Gb Ethernet
ThinkCentre5

Virtualisierung

  • Lenovo ThinkCentre M710q
  • Intel Core i3-7100T @ 3.40GHz
  • 16 GB RAM
  • 1 TB SSD
  • 256 GB NVMe
  • 1Gb Ethernet
DATADRIVE

Backup NAS

  • QNAP TS-419P II
  • Feroceon 88F6282 @ 2 GHz
  • 512 MB RAM
  • 3x 4 TB RAID 5 HDD
  • 1.5 TB HDD
  • 2x 1Gb Ethernet
Brunnix

Offsite-Server für Datensicherung, Virtualisierung, DVR und Routing

  • ACEMAGICIAN AM06 Pro
  • AMD Ryzen 7 5825U - 8C/16T @ 4.50GHz
  • 32 GB RAM
  • 512 GB NVMe
  • 1 TB SanDisk SSD Plus
  • 2x 1Gb Ethernet
Plexus

Storage, Multimedia-Server (Plex) und Synchronisation

  • SZBOX N305 NAS MINI ITX Motherboard
  • Intel Core i3-N305 @ 3.80GHz
  • 32 GB RAM
  • 2x 1 TB NVMe SSD (RAID 1)
  • 6x 16TB HDD RAIDZ (RAID 5)
  • 4x 1Gb Ethernet
Network Devices

Netzwerkgeräte

  • 4x WS-C2960X-48PD-L
    (48x 1Gb, 2x 10Gb SFP+, 48x PoE+)
  • 1x WS-C2960X-48TD-L
    (48x 1Gb, 2x 10Gb SFP+)
  • 3x UniFi U6-Pro
  • 1x UniFi U6-LR
  • 1x UniFi U6-Lite
  • UniFi Switch US-24-250W
  • FritzBox 7530 (VDSL2 35b G.Vector)