Hi,
wow das hört sich echt nach einem super Setup und einer tollen Infrastruktur an! Gibt mir viel neuen Input und Ideen für mein kleines Hobby. Ich habe vor einem Jahr mit einem kleinen Raspberry Pi angefangen mich in die Welt von Linux einzuarbeiten. Durch viel Recherche und lesen, ausprobieren, sowie selbst beibringen habe ich nun mittlerweile sehr viel über Computer, Internet und das große System, welches dahintersteht, gelernt. Bin echt erstaunt wie selbstverständlich Internet (EMail, Whatsapp, Webseiten, etc. ) und deren reibungslose Funktion für alle sind - sich aber nur wenige wirklich damit auskennen (solange sie das nicht beruflich machen).
Mittlerweile habe ich auch einen Intel NUC auf dem ich Proxmox als Hypervisor installiert habe. Bin bis jetzt sehr zufrieden damit und kann immer mal kleine Projekte ausprobieren. Beispielsweise habe ich PiHole + Unbound in einem LXC laufen und nutze diesen als DNS Server für meine Geräte. Dann habe ich zwei Nextcloud Instanzen (für mich und meine Familie sowie zum ausprobieren), die bis jetzt ganz gut laufen. In einer VM habe ich mir mit PiVPN WireGuard als VPN Server aufgesetzt um auch immer “Zuhause” zu sein und PiHole nutzen zu können. In einer VM läuft auch Mailcow. Aktuell lokal, um es mal auszuprobieren. Da es mir bis jetzt sehr gefällt, überlege ich wie gesagt einen VPS bei Netcup zu mieten und dort Mailcow laufen zu lassen. Viele Mails verschicke ich eigentlich nicht, meistens empfange ich nur (Bestellbestätigungen, Anmeldungen, Registrierungen, etc.). Berufliche und private Kommunikation wird also kaum über den VPS laufen. Meine Idee wäre (aus Datenschutz und Sicherheitsaspekten) die Mails in der Mailcow auf dem VPS ankommen zu lassen und sie dann per IMAP auf meine lokale Mailcow hinter meinem Router zu verschieben. Somit wären sie auf dem VPS nicht mehr gespeichert, wären dem Hosten nicht mehr zugänglich und falls doch mal etwas mit meiner Mailcow Instanz sicherheitstechnisch nicht stimmt (wovon ich nicht ausgehe, wenn ich die Docker-Container richtig aufsetze) ist dort eine nahezu leere Mailcow, da die Mails ja auf meiner lokalen Mailcow sind. In meiner Firewall müsste ich auch nicht mehrere Ports freigeben. Theoretisch könnte ich mit der lokalen Mailcow sogar die Mails von der VPS Mailcow per POP abholen lassen und hätte sie direkt doppelt gesichert.
- Wie stehst du zu den Ideen?
Ein Projekt, welches ich schon lange umsetzen wollte, jedoch immer an der Netzwerk-Konfiguration gescheitert bin ist: OPNsense bzw. pfSense.
Welche der beiden besser ist, ist sicher eine Glaubensfrage. Ich habe mich bei meiner Recherche für OPNsense entschieden, da es offenbar unabhängiger und vielleicht etwas neuer (mit neuem Entwicklungsmotivationen) ist. Ähnlich wie Owncloud und Nextcloud. Und OPNsense hat WireGuard integriert, sodass ich die VM bei Proxmox einsparen kann und direkt auf “der ersten Ebene” meinen VPN Server mit OPNsense habe. Meine Idee ist OPNsense in Proxmox zu virtualisieren, genau wie du es gemacht hast.
Meine Proxmox Hardware wäre dann direkt an das Modem bzw. den Router im Modem-Modus angeschlossen und zunächst ja direkt aus dem Internet erreichbar. Bei der Installation von Proxmox gibt man ja eine statische IP Adresse an (im Netzbereich vom Router den man normalerweise hat) - was würde ich denn dann dort eingeben wenn Proxmox direkt “am Internet hängt”?
Die Konfiguration wäre in Anlehnung hierzu:
Ausnahme: Ich will die Proxmox Oberfläche natürlich nicht vom Internet erreichbar machen (Port 8006) und SSH (22) natürlich auch nicht, sondern nur WireGuard auf der OPNsense und dann vom internen Netz auf Proxmox und OPNsense zugreifen. In den wenigen Blogs und Info’s die es dazu gibt habe ich von IPtables gelesen bei dem erstmal alles vom Proxmox Host an die OPNsense weitergegeben wird. Das Thema ist für mich jedoch noch ein Fragezeichen - vor allem die vbmr/Netzwerk-Konfiguration in Proxmox.
Meine Idee ist alles auf die OPNsense zu routen und von dort wie du schon bei dir einsetzt, unterschiedliche VLANs/DMZ einrichten zu können. Als Ausgang aus der OPNsense dann einmal die anderen virtuellen Maschinen auf Proxmox und einen LAN-Anschluss an dem ich einen Ubiquity Access Point betreiben möchte.
- Magst du mir vielleicht einen Tipp bzw. Infos zum lesen geben, damit ich dies (genau wie du) umsetzen kann?
- Vielleicht sogar einen Teil deiner Config, wie es bei dir funktioniert?
Ich würde mich jedenfalls riesig darüber freuen 🙂
Beste Grüße
Daniel
(Quelle vom Bild: https://schroederdennis.de/allgemein/proxmox-auf-rootserver-mit-nur-1-public-ip-addresse-pfsense-nat/)