Hallo zusammen,
seit einiger Zeit überlege ich, wie ich mein Heimnetzwerk mit Smart Home (ioBroker), verschiedenen Aktoren und Sensoren (Shelly), das NAS und die Gäste sauber trenne und mit IPv4 und IPv6 über eine zentrale Stelle (Reverse Proxy) miteinander verbinde.
Verschiedene Versuche sind immer im Sande verlaufen oder ich habe es bisher nur mit NGINX Proxy Manager zum Teil hinbekommen. Nach meiner Meinung sollte der Reverse Proxy aber auf OPNsense laufen...
Netzaufbau
Internet (Glasfaser von GigaNetz)
:
:
: IPv4: DS-Lite, IPv6: 2a01:1234:0:1::12:1234/64, Präfix: 2a01:1234:2345:6700::/56
.-----+-----.
| FRITZbox | Freigabe für OPNsense: Firewall für delegierte IPv6-Präfixe dieses Gerätes öffnen, Exposed Host
'-----+-----'
| IPv4: 192.168.128.1/24
|
WAN | IPv4: 192.168.128.21/24, IPv6: 2a01:1234:2345:6700:1111:2222:3333:4444/128
.-----:-------.
| OPNsense | HAProxy, opnsense.mynet.lan
'-----:-------'
LAN | igb0, - IPv4: 10.1.1.1/24, IPv6: Track IPv6 Interface, Parent: WAN, Prefix ID: 0x1, Allow manual adjustment of DHCPv6 and Router Advertisments
LAN2IoT | vlan02 - IPv4: 10.1.2.1/24, IPv6: Track IPv6 Interface, Parent: WAN, Prefix ID: 0x2, Allow manual adjustment of DHCPv6 and Router Advertisments
LAN3Gast | vlan03 - IPv4: 10.1.3.1/24, IPv6: Track IPv6 Interface, Parent: WAN, Prefix ID: 0x3, Allow manual adjustment of DHCPv6 and Router Advertisments
WG | wg0 - Wireguard
|
.-----+------.
| LAN-Switch |
'-----+------'
|
DynDNS (AAAA): juhu.ddns.net -> Zeigt auf OPNsense 2a01:1234:2345:6700:1111:2222:3333:4444
Folgende Anforderungen gibt es:
* Internet: Zugriff über DynDNS auf NAS erlaubt
* LAN: NAS, PC, Handys, Docker...
- Zugriff auf Internet, LAN2IoT, LAN3Gast erlaubt
* LAN2IoT: ioBroker, Shellys, Waschmaschine... (nicht alles beherrst IPv6!)
- Zugriff auf Internet erlaubt
- Zugriff auf LAN nicht erlaubt. Ausnahme: ioBroker auf NAS (Backup) und Docker
- Zugriff auf LAN3Gast nicht erlaubt. Ausnahme: ioBroker auf Sonos
* LAN3Gast: Drucker, Sonos, Gäste...
- Zugriff auf Internet erlaubt
- Zugriff auf LAN nicht erlaubt
- Zugriff auf LAN2IoT nicht erlaubt. Ausnahme: Gäste auf ioBroker, Sonos auf NAS (Musik)
* WG: Zugriff auf LAN, LAN2IoT, LAN3Gast erlaubt
* LAN, LAN2IoT, LAN3Gast, WG: Zugriff mit https auf alle internen Dienste wie NAS, Docker, ioBroker... über HAProxy?! auf OPNsense
Das Ziel ist es, IoT und Gäste soweit möglich aus meinem internen Netzwerk auszuschließen und den Konfigurations und vor allem Wartungsaufwand gering zu halten.
Ist das beschriebene Szenario nachvollziehbar? Ist es sinnvoll? Wie bekomme ich IPv6 und HAProxy unter einen Hut?
Wie kann ich das konfigurieren? Wer kann helfen?
Viele Fragen und viel Hoffnung auf hilfreiche Antworten...
Vielen Dank im Voraus
Mark
Was soll denn der Reverse Proxy da machen?
Das sieht für mich einfach nach gerouteten Netzen aus die durch eine Firewall und verschiedene VLANs getrennt werden.
Die zentrale Stelle ist hier die routing Instanz der OPNsense auf Layer3, sowie ein Switch auf Layer2 der die VLANs an die Geräte verteilt.
Kann trotzdem sinnvoll sein für IPv4 und IPv6 nur eine Adresse samt TLS-Termination für Ingress zu haben. Erst recht, wenn manche Dienste nur IPv4 sprechen, man sie aber mit beiden Protokollen im Internet haben will.
Sieht nach einem Paradebeispiel für os-caddy aus ;)
Den Reverse Proxy verwende ich aktuell, um auf die verschiedenen Container wie z.B. Paperless über http mit gültigem Zertifikat zuzugreifen. Zum anderen erhoffe ich mir, dass der Zugriff über Wireguard damit möglich wird, ohne die anderen IP-Adressen immer fest zu hinterlegen (falls sich der Container auf einem anderen Host verschiebt).
QuoteDie zentrale Stelle ist hier die routing Instanz der OPNsense auf Layer3, sowie ein Switch auf Layer2 der die VLANs an die Geräte verteilt.
Wahrscheinlich brauche ich zwingend einen Switch, der Layer2 an Geräte verteilen kann, oder? Für IPv4 könnte ich mir vielleicht noch mit dem DHCP-Server und festen Zuordnungen helfen, aber mit IPv6?
Aber macht das grundsätzlich Sinn, was ich vorhabe oder ist das für das Heimnetz mit Kanonen auf Spatzen geschossen?