grundsätzliche Verständnisfrage Zugriff sichern

RaSc

New Member
Sep 20, 2023
11
0
1
Halle wertes Forum,

ich betreibe derzeit auf einem RasPi OMV als NAS im Heimnetzwerk. Ich möchte das nun etwas leistungsfähiger gestalten und ein NAS selbst zusammenbauen. Beim Stöbern im Netz kam ich dann auf Proxmox und dessen Möglichkeiten. Nun ist mein Interesse geweckt. Meine Idee bislang: NAS mit SSD und HDD. Auf der SSD Proxmox und darin dann VMs oder Container und darin dann bspw. OMV für (interne) Netzwerkfreigaben und bspw iobroker für Smart-Home-Projekte. Das ganze hängt an einer FritzBox. Bislang habe ich keine Freigaben außerhalb des Heimnetzes. Kann ich mit einfachen Mitteln bspw. iobroker (nur) für mich aus dem Internet freigeben und dabei das Risiko eines Hacks überschaubar halten oder ist das dann eher etwas für Profis. Ist die Idee, OMV oder iobroker in einerm Container oder eine VM in Proxmox laufen zu lassen sinnvoll, oder ist das zu viel des Guten.
Sorry, wenn meine Fragen etwas laienhaft gestellt sind.

Danke vorab.
 
Dinge frei vom Internet aus zugänglich zu machen hat immer ein Risiko. Das sollte man nur tun wenn man auch regelmäßig Updates durchführt, versteht was man da mit PVE und dem GastOS tut, die Netzwerkgrundlagen kennt und versteht wie man Firewalls richtig bedient.

Mittelweg wäre sich ein VPN server wie Wireguard aufsetzen und sich dann von unterwegs über einen VPN Tunnel mit dem heimischen LAN remote verbinden. Dann kommst du aber halt nur mit Geräten an deine selbstgehosteten Dienste, wo du auch einen VPN Client eingerichtet hast.
Aber andere kommen dann eben auch nicht ran, was ja erwüscht sein kann,
 
OK. Das habe ich soweit verstanden. Funktioniert sogar. Dann könnte ich Wireguard ja auch als kostenlose VPN - Verbindung in einem fremden WLAN nutzen.

Und ist dann der Rest sinnvoll? Also OMV zur Freigabe / Streaming von Daten / Bildern / Filmen in einer VM von Proxmox zu nutzen?

Dunuin Super schnelle Antwort. Danke.​

 
Wenn dir das reicht ja. Die meisten Leute würden sich da aber eher was wie Plex/Emby/Jellyfin aufsetzen was dann Dinge vom OMV streamt.
 
Statt VPN kann Cloudflare in einer Zero Trust Konfiguration sehr gut funktionieren. Man muss dann immer eingeloggt sein, um auf private Dienste aus dem Internet zugreifen zu können. Getrennt davon können auch öffentliche Dienste (e.g. eine Homepage) ohne Benutzerauthentifizierung angeboten werden.

Die Einschränkung ist hier nur, daß das ausschließlich für Dienste funktioniert, die über HTTPS laufen. Ein VPN ist da natürlich flexibeler. Cloudflare unterstützt bedingt zwar noch eine kleine Anzahl anderer Protokolle, aber das ist nicht so einfach und universell wie die Unterstützung von HTTPS
 
Danke erstmal soweit. Die Variante mit Wireguard gefällt mir ganz gut. Es funktioniert, ist bei AVM gut erklärt und ich verstehe es. Ich werde dazu auch keine wechselnden Clients nutzen. Daher bleibt das für mich übersichtlich.

Nun muss ich mir nur noch überlegen, ob Proxmox an sich für meinen Anwendungsfall sinnvoll ist oder nicht.

Dunuin: PLEX habe ich auch im Blick, weil mein TV PLEX an Bord hat. Könnte dann ja in einem LXC laufen und auf die HDDs zugreifen.

So stelle ich mir das jedenfalls im Moment vor.
 
Wireguard ist eine wirklich schöne Lösung, insbesondere für langlebige (semi-)permanente Netzwerkverbindungen.

Wenn Du zum Beispiel Proxmox bei einem Hoster installiert hast, aber Du möchtest auf deine Container and VMs von zuhause einfach zugreifen können, dann ist Wireguard perfekt. Du richtest es einmal auf deinem Router ein (z.B. Fritzbox, Dream Machine, oder auch nur ein Raspberry Pi ...) und es funktioniert dann automatisch. Das sieht dann so aus, als wären diese virtuellen Geräte direkt in Deinem LAN.

Mit ein bißchen Aufwand, kannst Du wahrscheinlich sogar eine Bridge über Wireguard konfigurieren. Dann tun es sogar so Sachen wie MDNS. Das ist allerdings ein bißchen schwieriger zum Laufen zu bringen, da Wireguard Layer 3 ist, und eine Bridge Layer 2 benötigt. Du brauchst wahrscheinlich ein GRETUN device und das schließt so etwas wie Fritzbox und Dream Machine aus. Aber ist im Prinzip machbar -- und die Preise für Raspberry Pi kommen ja glücklicherweise auch langsam wieder runter.

Da Du Proxmox zuhause und nicht bei einem Hoster installierst, wird das ganze natürlich noch viel einfacher. Aus dem privaten LAN kannst Du immer direkt auf Deine Proxmox Dienste zugreifen. Wenn Du etwas aufpaßt und die passenden Bridges einrichtest, dann sind die Container sogar im selben Subnet. Das macht einiges erheblich einfacher.

Wo Wireguard nicht so gut funktioniert ist, wenn Du regelmäßig von außen auf Dienste hinter Deiner Firewall zugreifen willst. Das kann entweder von deinem Handy, von deinem Bürocomputer, oder von anderen öffentlichen Geräten sein. Diese Geräte haben entweder gar kein Wireguard, oder es ist umständlich, den Wireguard Client zu installieren. Und das ist dann etwas wo Cloudflare wirklich gut funktioniert. Es fragt Dich einfach nach User ID und Passwort, und danach kannst Du direkt auf alle Deine privaten Dienste zugreifen.

Aber Du mußt dich hier nicht festlegen. Fange mit einer Lösung an, und wenn Du möchtest, kannst Du die andere später zusätzlich konfigurieren. Wireguard and Cloudflare können sich beide sehr gut ergänzen.

Und Wireguard auf dem Handy und Laptop ist durchaus machbar. Cloudflare ist vermutlich etwas bequemer, aber es ist nicht wirklich schwierig, immer erst das VPN anzuschalten. Hängt halt ganz von Deinem privaten Bedarf ab. Wenn es wirklich immer nur dieselben Klienten sind, dann ist Wireguard nicht schlecht. Habe ich auch Jahre lang so gemacht.

Insgesamt ist Proxmox VE eine tolle Lösung. Macht die Verwaltung verschiedener Dienste so viel einfacher. Ich richte für jeden Dienst, den ich anbieten will, eine eigene virtuelle Maschine oder einen Container ein. Nicht wird mehr direkt auf einem physischen Gerät installiert. Das macht es erheblich übersichtlicher, wie alle diese Dienste zusammenspielen und wie sie konfiguriert sind. Backups, Snapshots, und Rollbacks funktionieren auch viel einfacher.

Du kannst auch Ubuntu, Windows, MacOS, ... in VMs laufen lassen. Aber das braucht natürlich eine Maschine, die ein bißchen schneller ist als nur ein Raspberry Pi.
 
Last edited:
Na, ich teste das mit Wireguard. Die Apps für mein Handy bzw. Tablet funltionieren reibungslos und ich werde auch nur gelegentlich von außen zugreifen. Und für den RasPi plane ich Ersatz.

Ungefähr so: https://geizhals.de/wishlists/3350733

Ich hoffe, damit läuft dann auch Proxmox und ein paar VMs oder Container.
 
Der Preis stimmt so. Und das sollte eigentlich ausreichen, um eine ganze Reihe Container laufen zu lassen. Für VMs kann es knapp werden, je nachdem was Du konkret machen willst. Einen einfachen Windows VM wirst Du zum Laufen bringe, aber graphikintensive Aufgaben werden nicht so gut funktionieren. Ist nicht wirklich ein Problem. Man muß nur die richtige Erwartungshaltung haben.

Mein einziger Kommentar ist, daß Du darüber nachdenken solltest, was Du machst, wenn Deine SSD sterben. M.2 Laufwerke haben den Ruf, daß sie schnell sind, aber auch schnell kaputt gehen können, insbesondere wenn Du ZFS benutzt, was recht viel Schreiboperationen auslösen kann. SATA SSD sind langsamer, halten ein bißchen besser, aber sterben auch nach ein paar Jahren. Und wenn Du Laufwerke aus der selben Serie kaufst, kann das bei zwei Laufwerken in schneller zeitlicher Folge passieren.

U.2 "enterprise" Laufwerke haben einen besseren Ruf, insbesondere wenn Du mehr RAID Redundanz (z.B. zwei Laufwerke Redundanz) einplanst. Aber das macht alles gleich viel teurer.

Wenn Du Deinen Proxmox VE Host möglichst unverändert lässt, alle Deine Konfiguration und Daten in den Containern oder VMs lässt, und regelmässige Backups auf einem separaten Medium machst, dann kannst Du im Zweifel alles wieder sehr schnell reparieren.
 
Das klingt ja durchaus nach einem Risiko. Das Betriebssystem (Proxmox) soll auf die SSD. Die anderen Container und VMs auch. Die Daten sollen auf die HDDs.
Proxmox bietet ja auch ext4 an. Das würde doch auch funtionieren. Dann verzichte ich auf einige Features von ZFS und die SSD lebt etwas länger. Oder würde ext4 ähnliche Probleme bereiten?

Danke für fie bisherige Mühe.
 
ZFS ist in vielen Fällen das bessere Filesystem im Vergleich zu Ext4. Es hat erheblich umfangreichere Prüfsummen, ist insgesamt sehr geschickt darin, Fehler automatisch zu korrigieren, und hat echt nützliche Features. Snapshots sind nicht nur gut geeignet, um mal eben etwas auszuprobieren und dann schnell wieder alles rückgängig zu machen, man braucht Snapshots auch, um zuverlässige Backups machen zu können. Und die RAIDz Funktionen bei ZFS sind auch sehr durchdacht und können Dir im Zweifel helfen, Datenverluste zu vermeiden.

Ich würde also im Zweifel immer ZFS empfehlen. BtrFS wäre auch eine Möglichkeit -- und vielleicht in einigen Jahren auch BcacheFS. Aber diese beiden Filesystem werden von Proxmox bisher nicht unterstützt. Das ist also nur eine hypothetische Überlegung.

Der Nachteil bei ZFS ist, daß Du Dir einige dieser Vorteile durch eine erhöhte Schreibrate erkaufst. Alle SSD sterben irgendwann; und Endverbraucher-Modelle erfahren das schneller als Enterprise-Modelle. Mit etwas Planung, kann man sich da Kopfschmerzen vermeiden.

Als aller Erstes solltest Du sicherstellen, daß Du Deinen Proxmox VE Host leicht wiederherstellen kannst, selbst wenn ein Großteil deiner Hardware unerwartet kaputt geht. Das bedeutet insbesondere:
  • vermeide soweit möglich Änderungen an der Konfiguration des Host Systems. Keine große Zahl weiterer Debian Pakete installieren. Keine großartigen Konfigurationänderungen von der Linux Kommandozeile. Keine lokalen Benutzer außer "root".
  • erstelle einen "cron" Job oder systemd Timer, der regelmäßig die Liste aller installierten Debian Pakete in eine Textdatei schreibt. Das kann später einmal recht hilfreich sein.
  • mache regelmässige Backups vom Proxmox Host. Mit ZFS Snapshots und proxmox-backup-client ist das recht einfach zu automatisieren. Du wirst nicht unbedingt den Host vom Backup wiederherstellen, sondern eher eine komplette Neuinstallation durchführen. Aber das Backup zum Vergleich zur Hand zu haben ist extrem hilfreich.
  • die Backup Daten müssen dann natürlich auf einer anderen Platte liegen, als die Proxmox VE Installation.
Als nächstest solltest Du sicherstellen, daß das Risiko sehr klein ist, daß Du alles neu installieren und von Backups restaurieren mußt. Man kann sich nicht vor Allem schützen, aber katastrophale Hardwareschäden sollten minimierbar sein.

Dazu mußt Du RAID einrichten. ZFS unterstützt das recht gut. Als Minimalkonfiguration, würde ich dann sagen, daß Du zwei gespiegelte Platten für Deinen Host und die VMs/Container brauchst, und eine weitere Platte für Backups. Idealerweise hättest Du mehr als diese drei Platten für bessere Redundanz. Aber drei sind genug, um die schlimmsten Problem zu vermeiden. Und wenn Du Platten von unterschiedlichen Herstellern benutzen kannst, wäre das für RAID auch eine gute Idee. Bei mir gehen zueinander ähnliche Modelle meist recht zeitnah kaputt (das trifft sowohl für "spinning rust" als auch SSD zu).

Wenn Du ZFS richtig konfigurierst, kannst Du einige Fehler vermeiden, die SSD sonst Probleme machen. Insbesondere achte darauf, daß Du die Blockgröße richtig einstellst. Bei SSD kann man manchmal die Sektorgröße zwischen 512 und 4096 wählen. Das hängt ganz vom Laufwerk ab. Enterprise Modelle machen das eigentlich alle. Bei Endverbraucher Modellen muß man ein bißchen recherchieren. Manche können das und manche versuchen es automatisch (nicht immer erfolgreich) zu tun. Soweit machbar, sollten sowohl SSD als auch ZFS die großen 4096 Sektoren benutzen. Das macht nicht nur alles schneller, es vermeidet auch schnellen Verschleiß. Bei kleinen Sektoren kann es vorkommen, das alle Daten mehrfach gelesen und geschrieben werden müssen (d.h. "Write Amplification"). Das ist die Hauptursache von kurzer Lebensdauer.

Für Deine VMs/Container ist das dann alles viel einfacher, die können sehr einfach mit Proxmox Backup Server gesichert werden. Und wenn etwas schiefgeht sind die innerhalb weniger Minute wieder hergestellt. Aber wie gesagt, man braucht getrennte Platten für Backups -- ein getrennter Rechner wäre natürlich noch besser. Aber das treibt die Kosten hoch.

Ich frage mich gerade, ob man Proxmox Backup Server sinnvoll auf einen Raspberry Pi laufen lassen kann? Das wäre mal ein interessantes Experiment.
 
  • Like
Reactions: ecogit
Ich brauche für den Anfang eine möglichst einfache Lösung. Wenn ich Proxmox und die VMs nun nich auf einer m.2 SSD installiere, ist es dann grundsätlich hinsichtlich der Haltbarkeit der Festplatten gleich HDDs zu nehmen, bzw. eine HDD im 2.5er Format?

Mein Plan ist ja weiterhin eine Festplatte fürs System und zwei HDDs als Datengrab bzw. zur Bereitstellung im Netz.

Ich bin immer wieder begeistert von derartigen Foren. Super Unterstützung hier.
 
Proxmox ist im Prinzip nur ein sehr kleines Debian System und eine einzige Anwendung. Es braucht selber nicht so schrecklich viel von Deinem System. Und sollte es kaputt gehen, ist es im Prinzip recht einfach wieder neuzuinstallieren, solange Du ein Backup des /etc Verzeichnises finden kannst. Die VMs und Container sind es, die den ganzen Platz einnehmen. Es gibt also nicht wirklich einen wichtigen Grund, warum PVE auf einer getrennten Platte leben müsste. Theoretisch würde es vermutlich sogar von einer 32GB Flash Disk laufen (nicht, daß ich das jetzt empfehlen würde, aber nur so zur Orientierung).

Was aber auf jeden Fall getrennt sein sollte sind die Backups. Dafür mußt Du zusätzlich Proxmox Backup Server (PBS) installieren. Ideallerweise in einem getrennten Rechner, aber für kleine Home Labor Zwecke kannst Du das auch in einem VM oder Container machen. Das macht die Rekonstruktion im Falle eines Hardwareschadens schwieriger, aber es ist besser als gar nichts.

Dein "Datengrab" kann im einfachsten Fall ein Teil eines Containers sein. Aber man kann einen Container mit einem Fileserver auch auf einen externen Datenträger oder auf ein externes Filesystem zugreifen lassen. Das hat Vor- und Nachteile und wird von Proxmox nicht ganz einfach unterstützt, aber es ist machbar, wenn man ausreichend plant.

Wenn man das alles zusammen betrachtet, kommt man zu dem Ergebnis, daß ich Dir vorher genannt hatte: In der Minimalkonfiguration sollten das System, die Container und VMs und Dein "Datengrab" alle auf einem RAID System (minimal 2 Platten) leben. Getrennt dazu brauchst Du mindestens eine unabhängige Platte für die Backups.

Wenn Du zwei verschiedene Hersteller für Dein RAID System verwendest, dann sterben hoffentlich beide Platten nicht genau zur selben Zeit und Du hast Vorwarnung, um sie auszuwechseln. Dann ist es nicht so schrecklich schlimm, falls es sich hier um M.2 handelt. Die sind schon schneller als SATA. Aber halt auch etwas schneller kaputt. Und es kann etwas schwierig sein, sie auf 4096 Sektorgröße zu konfigurieren. Manche BIOS machen das unnötig umständlich. Im Prinzip hängt die Lebensdauer von "spinning rust" hauptsächlich von Zeit und Temperatur ab, während SSD mehr von Datenmenge und Temperatur abhängen. Das heißt, SSD sterben in intensiv genutzten Geräten schneller. Aber dafür haben wir dann ja RAID und Backups. Und SSD sind so viel schneller, daß ich nicht glaube, Du würdest mit traditionellen Platten viel Freude haben. Du wirst in der Praxis sogar den Unterschied zwischen SATA und M.2 deutlich merken.

Für die Backup Platte ist das etwas anderes. Wenn die kaputt geht, ist das natürlich ärgerlich, weil Deine Minimalkonfiguration keine Redundanz für Backups hat. Aber es ist auch nicht so schrecklich schlimm, weil man natürlich in der Regel einfach eine neue Platte einbauen kann und dann alle Backups wiederholt. Geschwindigkeit ist auch nicht wirklich ein Problem. In anderen Worten, nimm was auch immer Du willst und tausche die Platte aus, wenn sie kaputt gehen sollte. Da sie vermutlich erheblich weniger genutzt wird, lebt sie wahrscheinlich recht lange.
 
  • Like
Reactions: ecogit

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!