Thomas Bella
Über mein Homelab

In meinem Homelab betreibe ich eine wachsende Sammlung an Self-Hosted-Services, die ich (und teilweise auch Familie/Freunde) fast täglich nutze – von Passwort- und Fotoverwaltung bis Monitoring, Logging und CI/CD. Es ist gleichzeitig mein "digitales Zuhause" für private Daten und eine realistische Testumgebung, in der ich Infrastruktur, Security-Patterns und Automatisierung praxisnah ausprobiere. 🧪

Technisch läuft der Großteil als Container/VMs auf Proxmox, ergänzt um einzelne Bare-Metal-Workloads. Der Fokus liegt dabei nicht auf "möglichst viele Services", sondern auf sauberer Trennung, Wartbarkeit und nachvollziehbarer Security und Nutzen: segmentierte Netze (VLANs), zentrale Erreichbarkeit via Reverse Proxy (nginx/PassBeyond), interne PKI (step-ca), automatisierte Updates, sowie Monitoring & Alerting (z. B. checkmk) und zentrales Logging (Graylog). 🔐

Der Netzwerkaufbau ist bewusst overengineered: OPNsense übernimmt PPPoE, IPv4-NAT und IPv6-Routing, dazu kommen dynamisches Routing (FRR/BGP) und WireGuard-Site-to-Site/Remote-Access. Die Core-Switching-Strecken sind auf 10Gb LWL ausgelegt, Access-Layer und WLAN werden durch PoE-Switching und mehrere APs abgedeckt. Extern stelle ich Services je nach Risiko und Zweck über drei Wege bereit: klassisches NAT/Reverse-Proxy, Cloudflare Tunnel oder VPN-basierter Zugriff. 🌍

Auf dieser Seite zeige ich den Aufbau, die wichtigsten Services und warum ich manche Dinge bewusst komplizierter aber dadurch auch bequemer und einfacher im Betrieb mache – und wo ich es ganz bewusst nicht tue. Bei Fragen oder Interesse an Details, kontaktiere mich gerne! 📬

Über dieses Homelab
Auszug aus dem Homelab über verwendete Software:
Proxmox, Plex, Tautulli, Mailcow, Plausible, Vaultwarden, Monica, Firefly III, AdGuard Home, step-ca, FreshRSS, Grafana, Athens, Syncthing, WireGuard, FRR, GitLab, GitLab Runner, Motion, sftpgo, Postfix Mail Relay, Sentry, parsedmarc, phpIPAM, SonarQube, Graylog, OPNsense, checkmk, wger Workout Manager, Nextcloud, Windows Active Directory, Active Directory Federation Services, Active Directory Certificate Services, UniFi Controller, paperless-ngx, Guacamole, Weblate, Immich, Open WebUI, Mealie, ...

Interesse oder Fragen? Kontaktiere mich unter Kontakt in Deutsch oder Englisch.
Letzte Ausfälle
  • Lade letzte Ausfälle...
Seite 1

Kurze Internetausfälle, selbstverschuldete Ausfälle und Folgeausfälle sind nicht aufgelistet.
Zeitangaben werden auf volle Minuten gerundet. Alle Angaben ohne Gewähr.
(Unter 1 Minute wird auf eine Minute aufgerundet, nicht gerundete Dauer in Aufzeichnung vorhanden)

Netzwerkarchitektur

Die Anbindung erfolgt über eine FritzBox 7530, die als VDSL2-Modem fungiert für DSL 35b G.Vector als Medienkonverter. Die Einwahl mittels PPPoE findet dahinter durch eine opnsense statt, welches für IPv4 NAT und IPv6 Routing zuständig ist. Die opnsense fungiert ebenfalls als BGP Router und VRF Router, um verschiedene Netzwerke voneinander zu trennen. Die Firewall ist mit einem 10Gb LWL-Anschluss an den Switch im Serverraum verbunden.

Die Switches sind alle untereinander mit 10Gb LWL-Verbindungen verbunden, um eine hohe Bandbreite und geringe Latenz zu gewährleisten. Da sich die FritzBox im Keller befindet ist diese per 1Gb Ethernet direkt mit dem Switch im Carport und so weiter zur opnsense Verbunden, so sind Serverdienste auch bei Ausfall des Kellerswitches weiter erreichbar. Durch die Altverkabelung sind alle Switches zusätzlich per 2x 1Gb Ethernet verbunden, welche aber nur als Fallback zur Verfügung stehen. Alle Switches werden durch checkmk überwacht, um eine hohe Verfügbarkeit zu gewährleisten, Fehler und zu hohe Auslastungen frühzeitig zu erkennen.

Switches sind untereinander via TRUNK-Ports verbunden, um benötigte VLANs zu transportieren. Die meisten VLANs befinden sich im Carport, um Serverdienste von einander getrennt zu betreiben. Weitere VLANs werden bis zu Endgeräten durchgereicht (LAN, IoT, Gäste, ...), um eine Trennung von Diensten zu ermöglichen. Hier wird dot1x Authentifizierung, MAC based VLAN assignment und dynamic VLAN assignment für Ethernet und WLAN Access Point Clients via RADIUS verwendet.

Die Access Points werden durch die Switches durch PoE+ versorgt und sind strategisch platziert, um eine optimale WLAN-Abdeckung im gesamten Haus, Terrasse und Garten zu gewährleisten. 

---
config:
  theme: dark
---
flowchart TB
INET[Internet]
ISP[FritzBox 7530]
FW[opnsense
BGP/VRF/IPS]

SW-CARPORT[WS-C2960X-48TD-L
Serverraum]
SW-KELLER[WS-C2960X-48PD-L
Keller]
SW-DACHBODEN[WS-C2960X-48PD-L
Dachboden]

SW-GARTENHAUS[Switch Gartenhaus]
SW-MOCA[MoCA Master]
SW-TB[Switch Kinderzimmer]
SW-BUERO[Switch Büro]
SW-WOHNZIMMER[Switch Wohnzimmer]
SW-FITNESS[Switch Keller-Fitnessraum]

AP1[U6-Pro
Dachboden]
AP2[U6-Pro
Wohnzimmer]
AP3[U6-Plus
Serverraum]
AP4[U6-LR
Terrasse]
AP5[UAP-AC-Lite]
AP6[TP-Link AccessPoint]
AP7[AP Wasserschacht]
AP8[AP Kellerstüberl]

subgraph Servers
	A@{ shape: processes, label: "Servers" }
	B@{ shape: processes, label: "Storage" }
	C@{ shape: processes, label: "VMs" }
end

ISP --VDSL2+ --> INET
ISP --PPPoE --- FW
FW -- 10Gb LWL --- SW-CARPORT
SW-KELLER ---> AP8
SW-CARPORT --- Servers
SW-CARPORT --> AP3
SW-CARPORT --1Gb Ethernet --- SW-GARTENHAUS
SW-GARTENHAUS --> AP6
SW-GARTENHAUS --> AP7
SW-CARPORT -- 1x 10Gb LWL
3x 1Gb Ethernet --- SW-KELLER
SW-KELLER -- 1x 10Gb LWL
2x 1Gb Ethernet --- SW-DACHBODEN

SW-DACHBODEN ---- SW-MOCA
SW-DACHBODEN -- 1Gb Ethernet ---- SW-TB
SW-DACHBODEN --> AP1
SW-DACHBODEN --> AP2
SW-DACHBODEN --> AP4
SW-DACHBODEN -- 1Gb Ethernet --- SW-BUERO --- SW-WOHNZIMMER --- SW-FITNESS --> AP5
Externe Erreichbarkeit

Die meisten Services meines Homelabs sind über verschiedene Wege ausschließlich via HTTPS erreichbar. Grundsätzlich unterscheidet sich hier die Art der Bereitstellung durch den erzielten Nutzen, Absicherungen, Erreichbarkeit sowie Modernität der Technik.
Dies führt dazu, dass wie in der Abbildung dargestellt aktuell 3 verschiedene Wege zur Verfügung stehen, um auf die Dienste zuzugreifen.

NAT Port Forwarding - proxy.bella.network
Da mein Homelab eine öffentliche statische IPv4-Adresse besitzt sowie ein IPv6-Netzwerk, ist es möglich, Dienste direkt über Port Forwarding zu erreichen. Dies ist die älteste und am weitesten verbreitete Methode, um auf Dienste zuzugreifen. Diese Methode ist jedoch nicht so sicher wie die anderen Methoden, da sie anfällig für Angriffe ist.
Die Absicherung der Komponenten findet lokal statt, IDS/IPS der Firewall ist nur eingeschränkt aktiv da HTTPS nicht aufgebrochen wird. IPv6 wird direkt freigegeben, die Firewall regelt hier nur die freizugebenen Ports. Da mehrere interne Webserver bereitgestellt werden, ist ein zentraler Reverse Proxy erforderlich.

Cloudflare Tunnel - tunnel.bella.network
Dieser Zugriff erfolgt über einen Cloudflare Tunnel, der eine sichere Verbindung zu meinen internen Diensten herstellt, ohne dass diese direkt im Internet exponiert sind.
Die Dienste sind nur über HTTPS erreichbar und die Verbindung wird durch Cloudflare geschützt. Diese Methode ist sicherer als NAT Port Forwarding, da sie eine verschlüsselte Verbindung verwendet und die Dienste nicht direkt im Internet verfügbar sind. Allerdings besitzt der Anbieter Cloudflare Zugriff auf alle Daten, die über den Tunnel übertragen werden.

WireGuard VPN & BGP Routing - pulse.bella.network
Meine Server sind über WireGuard VPN und BGP Routing miteinander verbunden. Dies ermöglicht es mir, auf meine Dienste zuzugreifen, ohne dass ich eine öffentliche IP-Adresse benötige. Dadurch wird jede interne Kommunikation für internen Datenzugriff, Wartung und Administration geschützt. Diese Methode ist sicherer als NAT Port Forwarding, da sie eine verschlüsselte Verbindung verwendet und die Dienste nicht direkt im Internet verfügbar sind.
Dieses Setup ist das komplexeste und Fehleranfälligste von allen, da hierfür mehrere Server, VPN Verbindungen, dynamisches Routing und Zugriffssteuerungen notwendig für den Betrieb sind.

Darstellung externer Zugriff
---
config:
  theme: dark
---
flowchart TD
	A[Homelab Web Server]
	A -->|Direct| A1[Reverse Proxy] -->|NAT| U1[Users]
	A -->|Cloudflare Tunnel| B1[Cloudflare] --> U2[Users]
	A -->|WireGuard| C1[BGP Routing] -->|WireGuard| C2[Reverse Proxy] --> U3[Users]

Zukünftige Projekte, welche nicht sensible HTTPS Dienste bereitstellen, stelle ich gemischt via Cloudflare Tunnel sowie via WireGuard VPN & BGP Routing bereit.

Dies bietet mir eine einfache und sichere Möglichkeit, Dienste ohne zentralem Reverse Proxy bereitzustellen, keine VPN Anbindung schaffen zu müssen sowie keine öffentliche IP-Adresse zu benötigen.

Zusätzlich profitieren diese Dienste von erhöhter Sicherheit, DDoS-Schutz und anderen Vorteilen von Cloudflare.

Services im Homelab
Immich
Meine Familie und ich nutzen Immich zur Verwaltung und Sicherung unserer Fotos und Videos. Alle Medien werden automatisch synchronisiert und durch mehrere Backup-Strategien geschützt.

Dies umfasst aktuell:
95.000 Fotos & 2.500 Videos
Zusammen 950.00 GB
Proxmox VE
Proxmox VE ist die Virtualisierungsplattform, auf der ich meine Container und virtuellen Maschinen betreibe. Sie ermöglicht mir eine effiziente Ressourcennutzung, einfache Verwaltung und flexible Skalierung meiner Homelab-Workloads.

Aktuell 25 (von 50) VMs & Container aktiv
RAM: 50 GB / 100 GB
CPU: 16 Cores, 8% Auslastung
Paperless-NGX
Paperless-NGX hilft mir, meine physischen Dokumente zu digitalisieren und zu organisieren. Ich scanne wichtige Unterlagen ein und speichere sie in Paperless-NGX, wo sie durchsuchbar und leicht zugänglich sind.
OPNsense
OPNsense ist die Firewall und Router-Software, die mein Netzwerk sichert und verwaltet. Sie bietet Funktionen wie Intrusion Detection, VPN, Traffic Shaping und detailliertes Monitoring.
AdGuard Home
AdGuard Home fungiert als mein lokaler DNS-Server und blockiert Werbung sowie Tracker auf Netzwerkebene. Dies verbessert die Privatsphäre und das Surferlebnis für alle Geräte in meinem Homelab.
Vaultwarden
Ich verwalte meine Passwörter und sensiblen Daten mit Vaultwarden, einer selbst gehosteten Passwortverwaltungslösung. Sie bietet mir sicheren Zugriff auf meine Passwörter von überall und unterstützt Funktionen wie Zwei-Faktor-Authentifizierung und Passwort-Sharing.
GoAPTCacher
GoAPTCacher beschleunigt Software-Updates für meine Debian-basierten Systeme, indem es heruntergeladene Pakete zwischenspeichert. Dies spart Bandbreite und reduziert die Update-Zeiten erheblich.
Syncthing
Syncthing synchronisiert Dateien sicher zwischen meinen Geräten, ohne dass ein zentraler Server erforderlich ist. Es gewährleistet, dass meine Daten immer aktuell und zugänglich sind, egal wo ich mich befinde.
checkmk
checkmk überwacht die Verfügbarkeit und Leistung meiner Server, Netzwerkgeräte und Dienste. Es benachrichtigt mich bei Problemen und hilft mir, die Gesundheit meines Homelabs zu gewährleisten.
Geräte & Hardware
PV & USV

PV-Eigenproduktion, Notstromversorgung bei Netzunterbrechung

  • E3DC S10 E
  • 8.850 Wp Leistung
  • 13.800 Wh Batteriekapazität
  • 2.900 Wh Transferleistung
  • Versorgung komplettes Haus
  • 2x APC Back-UPS Pro 1500 VA
  • Serverversorgung
  • Unterbrechungsfrei
Homecontrol Pi

Datenerfassung, Notstromüberwachung und Automatisierung mit pv-proxy

  • Raspberry Pi 4
  • 4 GB RAM
  • 64 GB microSD
  • 120 GB SSD
  • 1Gb Ethernet
  • Aktive Kühlung
  • 3x DS18B20
Time Pi

Sensorik und GPS PPS basierter Stratum 1 NTP Server

  • Raspberry Pi 3 B
  • WAVGAT NEO-6M GPS
  • 4x DS18B20
  • 32 GB microSD
  • 100Mb Ethernet
MultiControl

Home automation und Entwicklungsplattform (Visual Studio Code Remote Development)

  • Lenovo ThinkCentre M710q
  • Intel Core i3-7100T @ 3.40GHz
  • 8 GB RAM
  • 1 TB SSD
  • 256 GB NVMe
  • 1Gb Ethernet
BigVirt

Virtualisierung

  • HP Proliant DL360p G8
  • 2x Intel Xeon E5-2680 @ 2.70GHz
  • 192 GB ECC RAM
  • 4x 4 TB HW-RAID 10 HDD & 2GB FBWC
  • 4 GB SD
  • 4x 1Gb Ethernet
  • 1Gb Ethernet iLO 4
IX7

Storage, LLM und Virtualisierung

  • ASUS MAXIMUS VII HERO
  • Intel Core i7-4790K @ 4.00GHz
  • 32 GB RAM
  • 2x 500 GB SSD RAID 1
  • 2x 1 TB SSD RAID 1
  • 4x 8 TB HDD RAIDZ (RAID 5)
  • 3x 12 TB HDD RAIDZ (RAID 5)
  • 4 TB HDD
  • 500 GB HDD
  • 4x 1Gb Ethernet
  • 2x 10Gb SFP+
opnSense

Primary Firewall, IDS/IPS & Router

  • NRG Systems IPU672
  • Intel Core i5-7200U @ 2.50GHz
  • 8 GB RAM
  • 120 GB SSD
  • 6x 1Gb Ethernet
ThinkCentre2

Virtualisierung, DVR und Backup

  • Lenovo ThinkCentre M710q
  • Intel Core i3-7100T @ 3.40GHz
  • 32 GB RAM
  • 64 GB SSD
  • 256 GB NVMe
  • 4 TB HDD
  • 1 TB HDD
  • 1Gb Ethernet
ThinkCentre3

Virtualisierung

  • Lenovo ThinkCentre M710q
  • Intel Core i3-7100T @ 3.40GHz
  • 16 GB RAM
  • 256 GB SSD
  • 256 GB NVMe
  • 1Gb Ethernet
ThinkCentre4

Virtualisierung

  • Lenovo ThinkCentre M710q
  • Intel Core i3-7100T @ 3.40GHz
  • 16 GB RAM
  • 480 GB SSD
  • 256 GB NVMe
  • 1Gb Ethernet
ThinkCentre5

Virtualisierung

  • Lenovo ThinkCentre M710q
  • Intel Core i3-7100T @ 3.40GHz
  • 16 GB RAM
  • 1 TB SSD
  • 256 GB NVMe
  • 1Gb Ethernet
DATADRIVE

Backup NAS

  • QNAP TS-419P II
  • Feroceon 88F6282 @ 2 GHz
  • 512 MB RAM
  • 3x 4 TB RAID 5 HDD
  • 1.5 TB HDD
  • 2x 1Gb Ethernet
Brunnix

Offsite-Server für Datensicherung, Virtualisierung, DVR und Routing

  • ACEMAGICIAN AM06 Pro
  • AMD Ryzen 7 5825U - 8C/16T @ 4.50GHz
  • 32 GB RAM
  • 512 GB NVMe
  • 1 TB SanDisk SSD Plus
  • 2x 1Gb Ethernet
Plexus

Storage, Multimedia-Server (Plex) und Synchronisation

  • SZBOX N305 NAS MINI ITX Motherboard
  • Intel Core i3-N305 @ 3.80GHz
  • 32 GB RAM
  • 2x 1 TB NVMe SSD (RAID 1)
  • 6x 16TB HDD RAIDZ (RAID 5)
  • 4x 1Gb Ethernet
Network Devices

Netzwerkgeräte

  • 4x WS-C2960X-48PD-L
    (48x 1Gb PoE+, 2x 10Gb SFP+)
  • 1x WS-C2960X-48TD-L
    (48x 1Gb, 2x 10Gb SFP+)
  • 3x UniFi U6-Pro
  • 1x UniFi U6-LR
  • 1x UniFi U6-Lite
  • UniFi Switch US-24-250W
  • FritzBox 7530 (VDSL2 35b G.Vector)