[Einsteiger Hilfe] Mein Proxmox Projekt auf einem Librem Mini

[Kaliburn]

Hallo Welt und grüsse euch liebes Forum. : )
Ich bin komplett neu mit eigenem Server und virtuellen Maschinen. Daher hoffe ich hier ein paar Hilfestellungen zu bekommen.

Wie dem Titel zu entnehmen geht es um den Betrieb eines Proxmox Servers auf einem Librem Mini PC. Den ja viele eventuell auch kennen.
Da es hoch sichere Hardware ist möchte ich dem natürlich auch Software mässig gerecht werden und keine Fehler machen die später eine Sicherheitslücke da stellen können. Und so das gehärtete Gerät auch möglichst gehärtet bleibt.

Keine Sorge ich bin kein Darknet User und werde auch keine Onien Dienste routen wollen.

Um mal zu zeigen wofür ich es nutzen möchte:
- ein kleiner eigener VPN
- Eine Filesharing Lösung, eventuell NextCloud
- ein kleiner Matrix Server für verschlüsselte/private Kommunikation
- eine oder mehrere kleine Webseiten/Blogs mit eigener Domain
- als Firewall hinter meinem Router für mein Home Netzwerk

Um einfach mal die Unterhaltung anzustossen fände ich interessant wie ihr da vorgehen würdet und welche Tips ihr habt?
Was auf jeden Fall als erstes käme schätze ich wäre das Einrichten der Firewall hinter meinem Router und dann der kleine VPN mit dem man sich auch von Aussen connecten kann zB. von Unterwegs mit dem Handy oder Laptop.

Weiter führend würde ich auch gerne das sich User nur über eine statische IP mit der Nextcloud und dem Matrixserver verbinden können.
So das generell alle anderen IPs blockiert werden können.

Mein grosses Fragezeichen und Frage ist, wie ich dafür zB. eine pfSens als Firewall und den kleinen VPN einrichten kann, damit es da keine Lücken oder Fehler gibt. Das alles innerhalb der Firewall so zu vernetzen das die Sicherheit gewahrt bleibt ist denke ich der Kern meiner Frage.

Ich freu mich wenn sich jemand auskennt und Tips gibt. : )

EDIT: Eine Idee wäre auch die Firewall oder den VPN, read only nur über einen USB Stick der am Librem steckt oder im RAM zu betreiben, so das keine Veränderung von Aussen möglich ist.

 

[jim_os]

Da es hoch sichere Hardware ist möchte ich dem natürlich auch Software mässig gerecht werden und keine Fehler machen die später eine Sicherheitslücke da stellen können. Und so das gehärtete Gerät auch möglichst gehärtet bleibt.

Weil ich Dein Posting hier gerade lese eine Frage: Wie kommst Du auf "hoch sichere Hardware" und "gehärtete Gerät"? Weil der Anbieter mit "privacy and security first" Werbung macht, oder den Purism Marketingbegriff PureBoot benutzt?

Ich meine ich kenne diese Librem Mini PC Kiste nicht weiter, aber bei der Produktbeschreibung sehe ich nichts was ihn von anderen, aktuellen und üblichen Mini-PCs unterscheidet.

Was das Thema Sicherheit allgemein betrifft und wenn ich lese was Du mit der Kiste vor hast (Stichwort: Eigene Server betreiben), wäre eine physische Trennung der Netze durch mind. zwei (besser drei) Netzwerkkarten ein sinnvoller Weg. Da der Librem Mini PC wohl nur eine NIC hat bleibt nur die Lösung per USB NIC, wobei ich nicht weiß wie gut und stabil das mit Proxmox und Lösungen wie pfSense/OPNsense (inzwischen) funktioniert. Von Virtual NICs bin ich selber nicht wirklich ein Freund, aber da ich diese dank mehrere NICs in meiner Proxmox Kiste für eine Trennung der Netze auch nicht brauche, habe ich mich damit schon länger nicht mehr befasst.

Was das "Firewall hinter meinen Router" betrifft: Dein Router hat schon mal NAT und ggf. auch noch zusätzliche Firewall-Funktionen. D.h. eine Firewall hinter Deinem Router macht nur dann wirklich Sinn wenn Du für den Betrieb Deiner eigenen Server Ports in dem Router öffnen müsstest/willst. Außerdem hat Proxmox selber auch gewisse Firewall-Features.

Wenn Du Deine Server nicht für Gott und die Welt öffnen willst, sondern eher für einen kleinen Kreis von Nutzern, würde ich einen VPN-Zugang einrichten den dieser kleine Kreis von Usern dann nutzen kann. Dann kannst Du Dir diese ganzen zusätzliche Firewall-Überlegungen ala pfSense/OPNsense nämlich sparen.

VG Jim

 

[Kaliburn]

Weil ich Dein Posting hier gerade lese eine Frage: Wie kommst Du auf "hoch sichere Hardware" und "gehärtete Gerät"? Weil der Anbieter mit "privacy and security first" Werbung macht, oder den Purism Marketingbegriff PureBoot benutzt?

Hi, so weit ich weiss baut Pursim seine Hardware selber. Also keine Platine die einfach so vom Markt kommt. Der Slogan von denen ist ja auch Sicherheit von Grund auf. Natürlich lässt sich über Vertrauen streiten. Und 100% sicher weiss ich, gibt es nicht.
Ja ist halt basierend auf Coreboot das PureBoot. Und das ist doch schon mal besser als jedes andere Bios oder UEFI wo man nicht rein gucken darf.
Stichwort Open Source. Ich weiss bei Hardware spalten sich die Meinungen, darum soll es hier ja auch nicht gehen von meiner Seite aus. : )

eine physische Trennung der Netze durch mind. zwei (besser drei) Netzwerkkarten ein sinnvoller Weg.

Genau, ja über USB war mein erster Gedanke. Eventuell kann man da auch noch was rein bauen, hab ihn aber noch nicht geöffnet.
Ich bin auch hier um es heraus zu finden was am sinnvollsten ist.
Mindestens mal einen über USB werde ich brauchen um das Internet vom Router in die Box zu bekommen. Und den anderen um es zB. zu meinem Desktop PC zu bekommen. Ich nutze auch gar nicht so viele Geräte gleichzeitig, von daher wäre ein Ausgang fürs Netzwerk ok.

Was das "Firewall hinter meinen Router" betrifft: Dein Router hat schon mal NAT und ggf. auch noch zusätzliche Firewall-Funktionen. D.h. eine Firewall hinter Deinem Router macht nur dann wirklich Sinn wenn Du für den Betrieb Deiner eigenen Server Ports in dem Router öffnen müsstest/willst. Außerdem hat Proxmox selber auch gewisse Firewall-Features.

Ja verstehe. Das nennt man auch Portforwarding stimmts? Ja das wäre natürlich kein Problem in Router was auf zu machen.
Überlege im Moment auch noch einen open Source Router zu besorgen, bevor ich den Mini PC überhaupt das erste mal ans Netz anschliesse, was mit OpenWrt oder so. Da hab ich mich aber noch nicht entschieden welcher.

Wenn Du Deine Server nicht für Gott und die Welt öffnen willst, sondern eher für einen kleinen Kreis von Nutzern, würde ich einen VPN-Zugang einrichten den dieser kleine Kreis von Usern dann nutzen kann. Dann kannst Du Dir diese ganzen zusätzliche Firewall-Überlegungen ala pfSense/OPNsense nämlich sparen.

Ja ich dachte da an eine Statische IP aus meinem eigenen VPN. Welche Software da die beste ist, und wie das genau geht, genau das wollte ich hier auch in Erfahrung bringen.

 

[ThoSo]

Wie dem Titel zu entnehmen geht es um den Betrieb eines Proxmox Servers auf einem Librem Mini PC. Den ja viele eventuell auch kennen.
Da es hoch sichere Hardware ist möchte ich dem natürlich auch Software mässig gerecht werden und keine Fehler machen die später eine Sicherheitslücke da stellen können. Und so das gehärtete Gerät auch möglichst gehärtet bleibt.

Wenn du das so möchtest wäre es wohl sinnvoll, deren PureOS zu nutzen. Den darauf zielt deren Konzept ab.
Wenn man sich die Preise für deren Produkte anschaut, wird einem ganz schwummerich vor den Augen - da ist ein iPhone Max ja geradezu ein Schnäppchen.

Mal im Ernst - du willst einen Server?
Dann kauf dir auch einen Server und keinen Mini Desktop PC.

Übrigens ist es auch mal eine gute Idee, sich selber schlau zu machen und ein Konzept auf Papier zu schreiben. Ansätze und Info's finden sich hier zum Thema "Anfänger / Einsteiger / Neu" mehr als genügend.
Aber vielleicht hast ja jetzt deine Unterhaltung angestoßen.

 

[Kaliburn]

Wenn du das so möchtest wäre es wohl sinnvoll, deren PureOS zu nutzen. Den darauf zielt deren Konzept ab.

Ne ach was, die sind voll kompatibel mit jeglichem OS.

Dann kauf dir auch einen Server und keinen Mini Desktop PC.

Ja, ich habe den jetzt halt hier. Wie gesagt mir geht es nicht um Diskussionen über die Hardware, sondern nur um das wie es möglich ist.
Kann sein ich hab zu viele Ansprüche? Dann werde ich es, falls sich wirklich jemand dafür interessiert mir da zu helfen, ja schnell heraus finden.

Ansätze und Info's finden sich hier zum Thema "Anfänger / Einsteiger / Neu" mehr als genügend.

Ja das glaube ich gerne, ich erhoffe mir eventuell jemanden zu finden der schon mal Ähnliches gemacht hat.
Und weil mein Gerät so spezifisch ist, hab ich es mal einfach gepostet.

Eigentlich geht es mir vor allem um die Netzwerklösung. Generell ist mit PureBoot sicher auch mehr möglich. Was dann eventuell irgendwie in Proxmox integriert werden muss. Mal sehen. Ja klar lese ich auch andere Beiträge, ich wusel mich so durch sag ich mal.

 

[Kaliburn]

Ist wohl besser in Englisch aufgehoben der Thread. Und meine Antwort auf Jim ist leider auch noch nicht frei geschaltet. Während die Antwort auf ThoSo direkt erschienen war vorhin.

 

[Falk R.]

Hier werden keine Posts freigeschaltet. Entweder du hast etwas gepostet oder dein Browser hat das verschluckt.

Die Idee für den Thread ist nicht neu und es gibt schon einige davon. Wir wollen ja nicht immer das gleiche schreiben. Such dir schon mal ein Grundgerüst zusammen und sobald spezifische Fragen kommen, helfen wir gerne weiter.

Ich habe mir den Librem Mini mal angeschaut, ist ein wenig angestaubte Hardware mit gutem Marketing versehen.
Mich stört wie mein Vorredner, dass nur ein Netzwerkport dran ist. Klar kannst du auch VLANs nutzen, aber eine Firewall möchte man eigentlich lieber vor dem Switch haben.

 

[boisbleu]

Hier werden keine Posts freigeschaltet. Entweder du hast etwas gepostet oder dein Browser hat das verschluckt.

Doch, ist mir im DOS-ISO Thread auch schon passiert. Und freigeschaltet wurde mein Post erst am Folgetrag nach Nachfrage.

Zum Thema: ich habe selbst einen NUC11 zu Hause stehen. Der hat wenigstens 3 Anschlüsse für SSDs und 2x Netzwerk. Ist jetzt aber auch egal, der Drops ist gelutscht.

@Kaliburn warum pfSense? Warum nicht OPNsense? Und Webseiten? Hast du eine feste IP?

 

[jim_os]

Hier werden keine Posts freigeschaltet. Entweder du hast etwas gepostet oder dein Browser hat das verschluckt.

Moin

Nur FYI: Was auch immer da schiefgelaufen ist, aber irgendwie hat sich die Forensoftware wohl verschluckt.

Ich habe gestern um 19.14 Uhr eine Email vom Forum bekommen das @Kaliburn auf mein Posting geantwortet hat.



Dieses Posting wird hier aber (bisher) nicht angezeigt und auch bei meinen Alerts taucht es nicht auf.

Wenn man sich die Preise für deren Produkte anschaut, wird einem ganz schwummerich vor den Augen

Auf den Preis für die Kiste hatte ich gestern gar nicht geachten, aber dann heute noch mal auf der Webseite nachgeschaut: $ 799 für die Kiste ist echt 'ne Menge Holz, die m.M.n. nicht gerechtfertigt ist. Coreboot + Payload hin oder her.

Was das Thema Nutzung und Einrichtung von Proxmox und das Thema Sicherheit betrifft, sehe ich es so wie @Falk R., sprich dazu gibt es hier schon einige Beiträge und im Internet finden sich natürlich auch massenhaft Infos zum Thema Segmentierung von Netzen und womit und wie man dann was absichern könnte und sollte. Was jetzt nicht wirklich etwas mit Proxmox zu tun hat, sondern eine Frage dessen ist ob man so Dinge wie z.B. pfSense/OPNsense in einer VM unter Proxmox betreibt, oder - wie eher üblich - über eine entsprechende Hardware-Firewall-Lösung die - in dem Fall - vor dem Router zum Einsatz kommen sollte.

Mein grosses Fragezeichen und Frage ist, wie ich dafür zB. eine pfSens als Firewall und den kleinen VPN einrichten kann, damit es da keine Lücken oder Fehler gibt. Das alles innerhalb der Firewall so zu vernetzen das die Sicherheit gewahrt bleibt ist denke ich der Kern meiner Frage.

Das jetzt bitte nicht falsch verstehen! Ich habe das Gefühl das Du mit Deinem Wissen und Plänen noch ganz am Anfang steht - was ja auch durchaus nomal und nicht schlimm ist - aber scheinbar hast Du auch irgendwelche Dinge irgendwo "aufgeschnappt", die Du jetzt hier mal so in dem Raum wirfst und dann hoffst das Dir hier jemand "mal eben" ein paar Vorschläge und Tipps gibt wie man z.B. pfSense/OPNsense am besten einrichten und nutzen könnte und/oder wie und wo man eine Firewall oder VPN einrichtet. Dazu gehört aber leider eine umfangreiche Planung und dabei gibt es Unmengen an Punkten zu beachten, sodass man hier nicht mal eben schreiben kann mach dieses oder jenes so oder so. D.h. der Anfang der Überlegungen wäre z.B. wer und was soll und darf wie auf was und wo zugreifen. Allein darüber wirst Du Dir bei den genannten Dingen die Du vor hast bereits eine Menge Gedanken machen und lange planen müssen.


Edit: Während ich das hier geschrieben habe ist dann auch das o.g. Posting von @Kaliburn von gestern hier auf einmal aufgetaucht.


VG Jim

 

[aaron]

Hier werden keine Posts freigeschaltet. Entweder du hast etwas gepostet oder dein Browser hat das verschluckt.

Wenn der Spamfilter anschlägt, landen manche Posts in der Moderation Queue und müssen von uns freigeschaltet werden.

 

[Kaliburn]

Ich habe mir den Librem Mini mal angeschaut, ist ein wenig angestaubte Hardware mit gutem Marketing versehen.

Kannst du das genauer ausführen. Was genau ist da alt und angestaubt? Es handelt sich übrigens um den Librem Mini v2 den ich habe.
Manch mal ist alt ja nicht schlecht. Vor allem wenn es um sicher geht und zB Coreboot, da gibt es ja mehr oder weniger nur ältere Hardware.
Was ja an den Firmen liegt die seit Jahren grössten Teils die Kooperation mit dem Coreboot Projekt verweigern in dem sie ihre Architetktur nicht offen legen. : )

@Kaliburn warum pfSense? Warum nicht OPNsense? Und Webseiten? Hast du eine feste IP?

Ich hab mich da nicht fest gelegt, nur geschaut was es so gibt. Einige schwören ja auf pfSens andere eher auf OPNsense.

irgendwelche Dinge irgendwo "aufgeschnappt", die Du jetzt hier mal so in dem Raum wirfst

Ganz so ist es nicht. Ich hab mich schon lange mit Sicherheit und Privatsphäre beschäftigt. Aber möglichst sicher, bedeutet halt nicht einfach mal irgend was zu kaufen, was zu installieren und einige Wahrheiten zu ignornieren. Es reicht nicht einfach ein QubesOS auf irgend einem Laptop zu nutzen. Oder einfach nur seinen DNS zu verschlüssel. Bis jetzt konnte ich so was auch noch nicht zu 100% umsetzen. Da ich nicht die passende Hardware hatte.

Und um mein Verstäntnis zu verfeinern, was Sinn macht was nicht. Und weil ich Proxmox als eine gute Idee halte. Alternative wäre halt Docker.
Bin ich hier aufgeschlagen.

Ich stelle mir halt vor das man innerhalb von Proxmox trickreich Dinge nutzen kann so das der Server eben sicher ist. Und da ich mich null mit Proxmox auskenne bis jetzt, nur in den Grundzügen, wo für es ja auch Turoials gibt viele. Aber bis jetzt hat das meine Fragen nie beantwortet, weil es denke ich nicht reicht einfach mal Proxmox auf zu setzen.

 

[Falk R.]

Kannst du das genauer ausführen. Was genau ist da alt und angestaubt? Es handelt sich übrigens um den Librem Mini v2 den ich habe.
Manch mal ist alt ja nicht schlecht. Vor allem wenn es um sicher geht und zB Coreboot, da gibt es ja mehr oder weniger nur ältere Hardware.
Was ja an den Firmen liegt die seit Jahren grössten Teils die Kooperation mit dem Coreboot Projekt verweigern in dem sie ihre Architetktur nicht offen legen. : )

Der i7 ist 10te Generation und aktuelle Mini PCs haben bereits 13te Generation, außerdem ist schon seit ein paar Jahren 2,5 GBit Standard, bei solchen Kisten.
Auf jeden Fall nicht ganz aktuelle Specs aber doppelt so teuer wie vergleichbare Modelle.

Ich hab mich da nicht fest gelegt, nur geschaut was es so gibt. Einige schwören ja auf pfSens andere eher auf OPNsense.

Meine Meinung, OPNSense ist Einsteigerfreudlicher, da übersichtlicher. PFSense hat mehr Möglichkeiten was es für den Anfänger oft etwas unübersichtlich macht. Die Profis schwören natürlich eher auf PFSense.

Ganz so ist es nicht. Ich hab mich schon lange mit Sicherheit und Privatsphäre beschäftigt. Aber möglichst sicher, bedeutet halt nicht einfach mal irgend was zu kaufen, was zu installieren und einige Wahrheiten zu ignornieren. Es reicht nicht einfach ein QubesOS auf irgend einem Laptop zu nutzen. Oder einfach nur seinen DNS zu verschlüssel. Bis jetzt konnte ich so was auch noch nicht zu 100% umsetzen. Da ich nicht die passende Hardware hatte.

Und um mein Verstäntnis zu verfeinern, was Sinn macht was nicht. Und weil ich Proxmox als eine gute Idee halte. Alternative wäre halt Docker.
Bin ich hier aufgeschlagen.

Ich stelle mir halt vor das man innerhalb von Proxmox trickreich Dinge nutzen kann so das der Server eben sicher ist. Und da ich mich null mit Proxmox auskenne bis jetzt, nur in den Grundzügen, wo für es ja auch Turoials gibt viele. Aber bis jetzt hat das meine Fragen nie beantwortet, weil es denke ich nicht reicht einfach mal Proxmox auf zu setzen.

Am besten mal installieren und selbst testen. Es gibt natürlich einige Stellschrauben für Sicherheit. Viele lieben auch die im Hypervisor eingebaute Firewall, da so die Regeln immer greifen, auch wenn jemand auf einer VM böse Sachen machen will.

 

[Kaliburn]

Der i7 ist 10te Generation und aktuelle Mini PCs haben bereits 13te Generation, außerdem ist schon seit ein paar Jahren 2,5 GBit Standard, bei solchen Kisten.
Auf jeden Fall nicht ganz aktuelle Specs aber doppelt so teuer wie vergleichbare Modelle.

Gut ja, 13ner währe natürlich ein + und so ein oder 2 2,5Gbit Ports auch.
Es gibt halt nichts vergleichbares mit eingepflegtem Coreboot.
Auch der NitroPC v1 ist preislich zwar etwas günstiger. Aber hat auch nur den 10th Generation.

Und man vertraut ja wenn auch nur Firmen die eben von Haus aus schon mit Coreboot arbeiten und wissen was sie verbauen.
Von daher gibt es da auf dem Markt auch wenn er vielleicht für Enthusiasten ist, kaum ne Alternative im Privatbereich.

Am besten mal installieren und selbst testen. Es gibt natürlich einige Stellschrauben für Sicherheit. Viele lieben auch die im Hypervisor eingebaute Firewall, da so die Regeln immer greifen, auch wenn jemand auf einer VM böse Sachen machen will.

Ja genau, bis jetzt hab ich ihn noch nicht mal ausgepackt. Ich dachte ich wollte vorher ein bisschen mit ner VM mit Proxmox rumspielen und die Grundstrucktur umsetzen. Matrix und die anderen Dienste zu installieren ist ja nicht schwer. Aber dieses Netzwerk, VPN, Ding, da möchte ich mich ja ran tasten.

 

[jim_os]

innerhalb von Proxmox trickreich Dinge nutzen kann so das der Server eben sicher ist.

Proxmox hat damit eigentlich wenig zu tun, denn das ist ein Hypervisor der eine Plattform für VM und LXC zur Verfügung stellt und nicht mehr. Das Proxmox dann noch (eher rudimentäre) Firewall- oder besser gesagt Filter-Regeln zur Verfügung stellt


ist halt Linux-Standard und dient halt dazu den Host selber ein wenig zu schützen. D.h. wenn es darum geht Netzwerke zu segmentieren und irgendwelche Serverdienste und sonstige Dinge einzurichten und zu konfigurieren, passiert das bei den VM und deren OS. D.h. womit Du Dich beschäftigen musst ist in erster Linie welche VM Du mit was nutzen willst und wenig darum was Du mit Proxmox anstellen kannst.

Anm.: Das man unter Proxmox, was ja auf Debian basiert, auch noch alle möglichen Dinge direkt auf dem Host installieren könnte mal außen vor, denn das hat mit dem üblichen Betrieb und Aufgaben von Proxmox nicht wirklich etwas zu tun.

VG Jim

 

[Kaliburn]

D.h. womit Du Dich beschäftigen musst ist in erster Linie welche VM Du mit was nutzen willst und wenig darum was Du mit Proxmox anstellen kannst.

Gut verstehe, danke.
Ja ich denke ganz klassisch würde ich da zu Debian Server greifen.

Bezüglich VPN denke ich mir halt das man da ein bisschen trixen kann in dem man mehrere VPN VMs laufen hat, die untereinander die Pakete mixen und die ggf. alle feste (gekaufte) VPN IPs haben. (zB. Mulvad)
Denkst du so was ist realisierbar mit Proxmox?

Dann könnte man zB. für Dienste nur diese IPs zulassen eingehend.
Ein Gast muss dann natürlich die Adresse meines VPNs als VPN bei sich installieren. Dann fragt er quasi durch den VPN über mehrere VPN Server die Daten von meiner Cloud an. Bin aber nicht sicher ob das Sinn macht. Weil doch schon viel Umweg ist.
Es reicht für die CLouddienste sicher schon eine einfache feste IP für den User.
Aber für zB. allgemein VPN wäre das finde ich ein spannendes System.

Edit:
Also was ich will, ist halt ein mal einen allgemeinen VPN.
Und zum anderen das die Verbindung zu den Diensten für den User nicht gestört oder entschlüsselt werden kann.
Das sind die 2. grossen Punkte.
Selv Host VPNs gibt es ja einige. Nur welcher ist der beste, vielleicht auch freie Software Linux style.

Edit2:
Das nennt sich auch Multi-Hop VPN.

 

[jim_os]

Was willst Du bzgl. VPN denn da "trixen" und "mixen"? Also mal davon ausgehend das eine VPN als sicher gilt und es darum geht das man von außen nur per VPN auf Deine Dienste ("Server") zugreifen soll und darf, dann könnte man das z.B. bereits eine Fritzbox per VPN-Funktion umsetzen. Wenn Dir das nicht reichen sollte nutzt Du halt so etwas wie z.B. pfSense/OPNsense, OpenWRT oder Ähnliches und davon/damit dann z.B. WireGuard. Oder Du nutzt z.B. OpenVPN oder Ähnliches. Ob dann per VM oder LXC muss man halt bzgl. der Gegenbenheiten, Wünsche und Ziele sehen.

Versuch das ganze nicht dadurch unnötig zu komplizieren das Du da mit verschiedenen und doppelt gemoppelten, wie auch immer gearteten VPN-Geschichten, irgendetwas versuchst, um somit eine vermeintlich "höhere Sicherheit" zu erreichen. Da wirst Du gerade als Einsteiger ganz schnell den Überblick verlieren und das geht garantiert in die Hose.

Ich würde Dir vorschlagen Du fängst erst einmal ganz einfach an in dem Du Proxmox installierst und z.B. testweise irgendeinen File-(Sharing)Server. Dann richtest Du Dir mal OPNsense ein und überlegst Dir was Du mit OPNsense alles so anstellen kannst und wie Du damit Zugriffe von innerhalb und außerhalb auf Dein LAN reglemetieren kannst. Damit wirst Du schon mal gut beschäftigt sein und bekommst erst einmal ein Grundverständnis von Proxmox und wie Du das bei Dir im LAN verwenden kannst und könntest.

VG Jim

 

[Kaliburn]

Ich würde Dir vorschlagen...

Ja den Router den ich der Zeit habe kann man denke ich vergessen. Ist zwar ne Fritzbox, aber wenn man sich da mit Kritiken auseinandersetzt, raten viele dazu VPN oder auch DNS nicht über die Fritzbox zu regeln. Jedenfalls nicht mit einem normalen FritzOS darauf.
Und am Ende ist es ja ein Mini PC. Das praktische daran ist ja gerade das man ihn transportieren kann.
Daher alles über den Librem regeln und konfigurieren.

Ja ich werde es wohl so machen wie du sagst. Aber werde das alles auf einer VM testen am PC. Wenn das geht.
Aber ich denke mal schon. Da könnte man dann auch mit mehreren Netzwerkports arbeiten.

Da hab ich noch ne Menge Lesen und rum probieren vor mir.
Ich tendiere schon zu pfSens, weil von OpenSense immer wieder abgeraten wurde aus Gründen an die ich mich gerade nicht richtig erinnern kann.
Das war aber das Fazit dann für mich, wenn schon FreeBSD Firewall dann mit pfSens. OpenWRT ist ja Linux basiert, was mich eigentlich sogar mehr anspricht, weil FreeBSD ja von Der Java Firma ist. Will hier jetzt aber keine Diskusion los treten mit den FreeBSD Verfächtern. Ist halt kein komplett offener Quellcod wieder.

 

[Falk R.]

Ja den Router den ich der Zeit habe kann man denke ich vergessen. Ist zwar ne Fritzbox, aber wenn man sich da mit Kritiken auseinandersetzt, raten viele dazu VPN oder auch DNS nicht über die Fritzbox zu regeln. Jedenfalls nicht mit einem normalen FritzOS darauf.

Konnte dir irgend jemand einen stichaltigen Grund nennen warum? Die Fritzen sind oft besser als ihr Ruf. Die sind zwar von der Bedienung einfach gestrickt, aber die zielen ja auch auf unwissende Menschen ab, die nicht viele Optionen brauchen.

Deswegen, wenn du Sachen veröffentlichen willst, dann leite die Anfragen von Außen über die Fritze an eine IP und da setzt du eine Sense hin, wo du ein passendes Regelwerk hinterlegst. Die Fritze kann ja immer noch GästeWLAN und Telefonie machen.

Ja ich werde es wohl so machen wie du sagst. Aber werde das alles auf einer VM testen am PC. Wenn das geht.
Aber ich denke mal schon. Da könnte man dann auch mit mehreren Netzwerkports arbeiten.

Da hab ich noch ne Menge Lesen und rum probieren vor mir.
Ich tendiere schon zu pfSens, weil von OpenSense immer wieder abgeraten wurde aus Gründen an die ich mich gerade nicht richtig erinnern kann.
Das war aber das Fazit dann für mich, wenn schon FreeBSD Firewall dann mit pfSens. OpenWRT ist ja Linux basiert, was mich eigentlich sogar mehr anspricht, weil FreeBSD ja von Der Java Firma ist. Will hier jetzt aber keine Diskusion los treten mit den FreeBSD Verfächtern. Ist halt kein komplett offener Quellcod wieder.

Guck dir mal beide Firewalls selbst an. Ich habe OPNSense auch produktiv bei Kunden im Cluster laufen und ich kann mich nicht beschweren.
Die PFSense hat zwar mehr Features, aber der Normale User ist oft schon mit den Features der OPNSense erschlagen.
Nimm einfach die, wo du mit der Bedienung besser klar kommst. Das ist wichtiger als die Meinungen anderer Leute.

 

[Kaliburn]

Konnte dir irgend jemand einen stichaltigen Grund nennen warum?

Laut diesem Blog hier zB. Zitat:

Nachteil: die meisten Router unterstützen kein DNS-over-TLS, DNS-over-HTTPS oder DNScrypt um sicherzustellen, dass man wirklich mit dem gewünschten DNS-Server verbunden ist. Lediglich die Fritz!Boxen mit Fritz!OS 7.24 könnten DNS-over-TLS mit Einschränkungen verwenden, wobei man für störungsfreies Arbeiten den Fallback auf unverschlüsseltes DNS in Kauf nehmen muss, so dass unter Last ein Teil der DNS Anfragen unverschlüsselt rausgehen könnte.

So oder so, ist ein lokaler DNS Resolver generell die bessere Wahl.
Da gibt es auch vom Dennis mit seinem Raspberry Pi Cloud Kanal ein erleuchtendes Video zum Thema DNS.
(Ob Dennis hier wohl mit liest im Forum? )

 

[Falk R.]

Hi Dennis ist nicht so aktiv hier im Forum. Da kannst du besser auf seinem Discord mal vorbeischauen.
Ich persönlich finde DNS-over-TLS etwas sehr Hype statt reeler Nutzen. Klar kann dann dein Provider nicht sehen wenn du xxx.to oder soetwas aufrufst. Aber DNS Fakes und DNS Attacken wirst du zuhause wohl kaum erleben. Wenn man wiederum Journalist bist, wo Staatliche Organe nicht mit deiner Arbeit konform gehen, solltest du nur SecDNS nutzen.

Wo soll denn eigentlich das Problem bei der OPNsense und SecDNS sein?