ich bin noch relativ frisch im HA-Kosmos, durfte aber bereits vieles lernen.
Nach einigen Versuchen und Test habe ich nun folgende Konfig am laufen:
Proxmox-OS auf HP EliteBook
HASS-OS in Proxmox als VM
Unifi-Controller in Proxmox als Container
MotionEye in Proxmox als Container
Soweit so gut, funktioniert alles bisher.
Nun geht es aber um die Sicherheit…Wie kann ich mein System am besten gegen Angreifer absichern?
Gibt es da ein best-practice für Proxmox, bzw. die einzelnen Instanzen?
Ich greife generell nur über VPN auf meine Systeme zu, reicht das schon aus oder sollte ich noch irgendwelche Ports blocken?
Wenn du nur über VPN auf deine HA zugreifst, bist du ziemlich gut geschützt. Du kannst aber noch diesen Code in die Config.yaml einfügen. Damit wird eine IP nach 10 fehlgeschlagenen Anmeldeversuchen gesperrt. Zusätzlich kannst du noch 2FA aktivieren.
Ich nutze auch VPN zum Zugrifff auf HA. Entweder über die MyFritz! App (falls Du eine Fritzbox hast) oder über WireGuard (geht sehr einfach auch in der Fritzbox einzurichten) oder einfach einen “normalen” VPN Eintrag im Handy machen. Vorteil beim VPN ist hierbei aus meiner Sicht, dass man keinen Drittanbieter dazwischen hat, sondern der Tunnel direkt vom Endgerät zur HA hergestellt wird. Durch den VPN ist man dann vom Endgerät her wie als wenn Du zuhause im lokalen Netz bist - mit allen Funktionen und Möglichkeiten “wie daheim”.
VPN geht klar, war mir nur nicht sicher ob ich bei den einzelnen VM’s.noch einzelne Ports blocken sollte weil die sonst von sich aus nach Hause telefonieren.
Thema Witeguard muss ich demnächst auch angehen, da Unifi kein IKEv2 kann und die neuen Androiden kein LT2P mehr anbieten.
Das würde dann auch auf Proxmox laufen
wenn du eine Fritzbox hast, brauchst du Proxmox oder HA nicht VPN/Wireguard-Tauglich zu machen, es reicht wenn du Wireguard für ein oder mehrere Endgeräte freischaltest, sprich eine Wireguard-Verbindung pro freigeschaltetem Mobilgerät oder Laptop oder was auch immer. Mein Tipp dazu, richte dir einen MyFritz-Account ein, dann bekommst du eine dynamische Internetadresse, die du in Wireguard einträgst. Am Handy die Wireguard-App installieren und die neue Verbindung einrichten (QR-Core scannen).
Vorteil: Dann kannst du unterwegs auf HA und andere Ressourcen wie gewohnt im Heimnetz zugreifen, z.B. http://homeassistant:8123
Ich nutze Wireguard jetzt seit ein paar Wochen und bin ziemlich zufrieden, nur das die App für Apple und Android nicht von Fritz ist und auch nicht das Fritz- oder AVM-Logo hat, sollte man vorher wissen (rotes Logo mit Drachen).
Ich habe leider (oder eher Gott sei Dank😁) keine Fritzbox.
Deshalb muss ich WG als VM o.ä. laufen lassen.
Momentan läuft alles noch über L2TP ohne Wireguard.
Das finde ich mal sehr interessant
Ich habe google jetzt nicht angeschmissen, kannst du mir aber dennoch kurz einen Hinweis geben, wo ich dann die Liste der blockierten IP‘s habe, um ggf. Sie wieder frei zu schalten?
