Ich habe bei mir gerade die ganze interne Heim-Infrastruktur umgebaut.
Viele kleine Switche + 2. Router für frühere Kaskade weg, dafür einen größeren / intelligenteren Switch. Der MiniPC mit Proxmox und HA hängt am Switch mit flacher Netzwerk IP von der Fritzbox (kein VLAN) damit die WLAN IOT Geräte ihn erreichen können.
Auf Proxmox habe ich momentan auch eine Debian VM, die einfach nur als Backupziel per SMB fungiert. Auf dieser habe ich die Firewall aktiviert und regele den Zugriff für nur bestimmte Geräte um zumindestens 1 Schutzschicht dazwischen zu haben.
Soweit so gut und ganz sicher bei jedem anders. Die Frage, die mir gestern kam:
Macht es in irgendeiner Weise Sinn, intern den Zugriff auf HA mit der Proxmox FW zu reglementieren? Habt Ihr Beispiele / Ideen?
PS: An eventuelle Proxmox Firewall Erstprobierer: Schön aufpassen, daß Ihr Euch nicht selber aussperrt:
Entweder Ihr setzt auf der Datacenter FW die Input Policy auf Accept (*)
Die Firewall aus Proxmox ist bei mir komplett aus.
Mein Netzwerk ist in VLAN’s segmentiert und den Traffic zwischen den VLAN regelt eine richtige Firewall auf eigener Hardware. Dort Arbeite ich viel mit IP- und Port-Aliases, die sehr feine Einstellungen ermöglichen.
Ja, das wäre die bessere Lösung. Dafür brauchst Du aber auch eine konsistent unterstützende VLAN Hardware. Die Fritzbox Familie ist bei mir die Schwachstelle. Vielleicht wechsele ich die + Repeater irgendwann mal durch.
Ich schiel auch auf Unify Geräte aber erst muß ich andere wartende Baustellen abarbeiten.
Es muß auch kein Fort Knox sein aber die IOT Datenströme würde ich schon gerne besser segmentieren.
Gänzlich flach/riskant ist man mit meinem Konstrukt selbst mit Fritzbox aber auch nicht weil ich tlw. auch durch VLAN/FW auf Switch und FW auf NAS und Proxmox absichere.
Die Frage die mir dabei eben kam: Macht es Sinn Datenverkehr zu HA auf Proxmox mit einer Proxmox FW zu regulieren, z.B. alle Geräte, die nichts mit HA zu tun haben aber einen Netzwerkzugang WLAN/LAN haben, den Zugriff verwehren.
