Networkgate – mein Heimnetz
Mein eigenes Mini-Rechenzentrum
hinter OPNsense & Co.
Networkgate ist mein privates, mehrstufig abgesichertes Heimnetz – mit OPNsense-Firewall, Proxmox-Server, Self-Hosted-Services, Game-Servern und VPN-Zugängen für ausgewählte Leute. Alles läuft lokal, kontrolliert und so weit wie möglich unabhängig von großen Plattformen.
Networkgate – Übersicht
online & produktiv
NG
Segmente
LAN, Server, IoT, VPN
sauber getrennt
Dienste
Media, Home, Games
alles self-hosted
VPN
Friends & Family
WireGuard + Regeln
Story: Vom ehemaligen Hosting-Setup inspiriert – nur heute im
privaten Maßstab: OPNsense als zentrale Schaltstelle, Proxmox-Hosts,
Self-Hosted-Services und eigene Game-Server, abgesichert durch klare
Segmentierung und DNS-Filterung.
Architektur & Aufbau
Wie Networkgate intern aufgebaut ist.
Networkgate ist kein „Router vom Provider“, sondern ein bewusst aufgebautes, mehrschichtiges Netzwerk, das Komfort mit Sicherheit verbindet. Im Zentrum steht eine OPNsense-Firewall mit eigenem Regelwerk, IDS/IPS-Layer (z. B. Zenarmor) und DNS-Filterung. Dahinter laufen ein oder mehrere Proxmox-Hosts, auf denen VMs und LXC-Container für Medien, Automation, Webdienste und Games laufen.
Core
OPNsense-Firewall & Gateway
OPNsense ist das Herzstück von Networkgate: Hier laufen Routing,
Stateful-Firewall, NAT, VPN-Endpunkte und DNS-Resolver zusammen.
Statt einer „alles darf mit allem reden“-Konfiguration gibt es ein bewusst fein geschnittenes Regelwerk. Telemetrie, unnötige Cloud-Verbindungen und Tracking-Domains werden früh gefiltert – DNS-Filterung, Blocklisten und optional IDS/IPS (z. B. Zenarmor) sorgen dafür, dass der Traffic nicht einfach blind durchgewinkt wird.
Kurz: Die Firewall ist nicht Dekoration, sondern tatsächlich der Punkt, an dem entschieden wird, was ins Netz darf und was nicht.
Statt einer „alles darf mit allem reden“-Konfiguration gibt es ein bewusst fein geschnittenes Regelwerk. Telemetrie, unnötige Cloud-Verbindungen und Tracking-Domains werden früh gefiltert – DNS-Filterung, Blocklisten und optional IDS/IPS (z. B. Zenarmor) sorgen dafür, dass der Traffic nicht einfach blind durchgewinkt wird.
Kurz: Die Firewall ist nicht Dekoration, sondern tatsächlich der Punkt, an dem entschieden wird, was ins Netz darf und was nicht.
Compute
Proxmox & dedizierte VMs
Die eigentliche Arbeit erledigen ein oder mehrere Proxmox-Hosts:
darauf laufen VMs und LXC-Container für Jellyfin, Caddy, Home Assistant,
BookStack, Monitoring und verschiedene Game-Server-Instanzen.
Dienste sind sauber voneinander getrennt – Medien, Automatisierung, Webdienste und Games liegen nicht auf einem „All-in-One“-System, sondern in separaten Instanzen. Das macht Updates, Wartung und Experimente deutlich entspannter: wenn etwas abraucht, fällt nicht gleich das halbe Netz mit.
Ressourcen lassen sich je nach Bedarf verschieben: mehr RAM für Game-Server, mehr CPU für Medien-Transcoding oder für Tests mit neuen Services.
Dienste sind sauber voneinander getrennt – Medien, Automatisierung, Webdienste und Games liegen nicht auf einem „All-in-One“-System, sondern in separaten Instanzen. Das macht Updates, Wartung und Experimente deutlich entspannter: wenn etwas abraucht, fällt nicht gleich das halbe Netz mit.
Ressourcen lassen sich je nach Bedarf verschieben: mehr RAM für Game-Server, mehr CPU für Medien-Transcoding oder für Tests mit neuen Services.
Zonen
LAN, Server, IoT, VPN-Segmente
Networkgate ist in mehrere logische Zonen aufgeteilt:
– ein Desktop-/Gaming-LAN für Workstation und Gaming-PC – ein Server-Segment für Proxmox, Dienste und Storage – ein isoliertes IoT-/Smart-Home-Netz für Zigbee-Gateways, Staubsauger & Co. – separate WireGuard-VPN-Segmente für Freunde und Familie
Jede Zone hat eigene Firewall-Regeln und darf nur das sehen, was wirklich nötig ist. Ein IoT-Gerät muss nicht wissen, dass es Game-Server gibt – und Gäste im VPN müssen nicht das gesamte interne Netz auflisten können, nur um Jellyfin zu nutzen.
– ein Desktop-/Gaming-LAN für Workstation und Gaming-PC – ein Server-Segment für Proxmox, Dienste und Storage – ein isoliertes IoT-/Smart-Home-Netz für Zigbee-Gateways, Staubsauger & Co. – separate WireGuard-VPN-Segmente für Freunde und Familie
Jede Zone hat eigene Firewall-Regeln und darf nur das sehen, was wirklich nötig ist. Ein IoT-Gerät muss nicht wissen, dass es Game-Server gibt – und Gäste im VPN müssen nicht das gesamte interne Netz auflisten können, nur um Jellyfin zu nutzen.
Netzplan
Vereinfachte Topologie von Networkgate.
Internet
│
[ Glasfaser / Wilytel ]
│
[ Networkgate Gateway ]
(OPNsense – Firewall / Routing)
│
[ Core-Switch ]
┌───────────┴────────────┐
│ │ │
[ LAN ] [ Server ] [ IoT ]
Desktop / Proxmox Smart Home
Gaming-PC │ │
│ Zigbee2MQTT
│
VMs / LXC-Container
(Jellyfin, Home Assistant,
BookStack, Game-Server ...)
│
┌──────────┴───────────┐
│ │
[ Friends VPN ] [ Family VPN ]
ausgewählte Freunde Familie mit
Zugriff auf Games & erweiterten
Medien Diensten
Der Plan zeigt den logischen Aufbau des Netzes. Details zur tatsächlichen
Hardware-Umsetzung sind bewusst abstrahiert – wichtig ist nur, dass
alle Netze zentral gefiltert und sauber getrennt werden.
Self-Hosted-Services
Was im Hintergrund für mich (und andere) arbeitet.
Medien
Jellyfin & Co.
Für Filme, Serien und Musik läuft ein eigener Jellyfin-Server – erreichbar
im Heimnetz und über VPN, aber nicht über zufällige offene Ports im Internet.
Gesteuert wird das Ganze typischerweise über Caddy als Reverse Proxy, sauberen TLS-Termination und internen DNS-Eintrag. Die Medien liegen lokal auf eigenem Storage – keine Abos, keine fremden Algorithmen, keine „Empfohlen für dich“-Überwachung von außen.
Ergebnis: Streaming wie bei den Großen, nur eben aus dem eigenen Rack statt aus irgendeinem anonymen Hyperscaler-Rechenzentrum.
Gesteuert wird das Ganze typischerweise über Caddy als Reverse Proxy, sauberen TLS-Termination und internen DNS-Eintrag. Die Medien liegen lokal auf eigenem Storage – keine Abos, keine fremden Algorithmen, keine „Empfohlen für dich“-Überwachung von außen.
Ergebnis: Streaming wie bei den Großen, nur eben aus dem eigenen Rack statt aus irgendeinem anonymen Hyperscaler-Rechenzentrum.
Automation
Home Assistant & Smart Home
Smart Home bedeutet hier: lokale Kontrolle.
Home Assistant, Zigbee2MQTT und MQTT-Broker laufen im eigenen
Server-Segment. Lampen, Sensoren, Steckdosen und andere Geräte
sprechen mit einem lokalen System – nicht mit zehn verschiedenen Clouds.
Automationen (Licht, Szenen, Statusabfragen, Benachrichtigungen) werden innerhalb des Netzes orchestriert. Von außen gibt es nur Zugang über VPN, keine direkt ins Internet durchgereichten Smart-Home-Dienste.
So bleibt der Komfort, aber ohne das übliche „Smart Home als Datensammelstelle“.
Automationen (Licht, Szenen, Statusabfragen, Benachrichtigungen) werden innerhalb des Netzes orchestriert. Von außen gibt es nur Zugang über VPN, keine direkt ins Internet durchgereichten Smart-Home-Dienste.
So bleibt der Komfort, aber ohne das übliche „Smart Home als Datensammelstelle“.
Netzwerk
Backbone & Geschwindigkeit
Networkgate läuft aktuell auf einem internen Backbone mit
1 Gbit/s Ethernet zwischen Firewall, Switches,
Server-Segment und Desktop-LAN. Die interne Latenz zwischen
OPNsense → Proxmox → LAN liegt im Normalfall bei
unter 0,3 ms, selbst unter Last.
Die Internetanbindung erfolgt über Wilytel (Glasfaser) mit stabilen ~500 Mbit/s Down und ~250 Mbit/s Up im Alltag – genug für Streaming, VPN, Game-Server und Remote-Zugriff.
Zukunftspläne: Ausbau auf Gigabit-symmetrisch, sobald verfügbar, sowie langfristig ein Upgrade des internen Backbones auf 2,5 Gbit/s oder 10 Gbit/s im Server- und Storage-Bereich.
Die Internetanbindung erfolgt über Wilytel (Glasfaser) mit stabilen ~500 Mbit/s Down und ~250 Mbit/s Up im Alltag – genug für Streaming, VPN, Game-Server und Remote-Zugriff.
Zukunftspläne: Ausbau auf Gigabit-symmetrisch, sobald verfügbar, sowie langfristig ein Upgrade des internen Backbones auf 2,5 Gbit/s oder 10 Gbit/s im Server- und Storage-Bereich.
Doku & Verwaltung
BookStack & Tools
Netzwerkpläne, Notizen zu Diensten, kleine HowTos und
Konfigurationsschnipsel landen nicht in irgendeiner Cloud-Notizapp,
sondern in einer eigenen Wissensbasis (z. B. BookStack).
Ergänzt wird das Ganze durch Admin-Tools, Backup-Skripte und Monitoring-Lösungen, die helfen, den Überblick zu behalten: Welche Dienste laufen? Wie voll sind die Platten? Welche Server haben gerade zu tun?
Statt „mal schauen, was gerade so geht“ gibt es damit eine nachvollziehbare Dokumentation von Networkgate – für zukünftige Umbauten und schnelle Wiederherstellung nach Änderungen.
Ergänzt wird das Ganze durch Admin-Tools, Backup-Skripte und Monitoring-Lösungen, die helfen, den Überblick zu behalten: Welche Dienste laufen? Wie voll sind die Platten? Welche Server haben gerade zu tun?
Statt „mal schauen, was gerade so geht“ gibt es damit eine nachvollziehbare Dokumentation von Networkgate – für zukünftige Umbauten und schnelle Wiederherstellung nach Änderungen.
Gaming
ARK, The Isle & mehr
Eigene Game-Server (z. B. ARK: Survival Ascended Cluster,
The Isle) laufen direkt im heimischen Rack – nicht bei einem
überteuerten Hoster.
Automatisierte Backups, Update-Routinen, Discord-Hooks für Statusmeldungen und Performance-Tuning sorgen dafür, dass die Infrastruktur nicht zum Flaschenhals wird. Spieler sehen davon im Idealfall nur eins: stabile Server, die einfach laufen.
Für Tests, neue Mod-Kombinationen oder Balancing-Experimente können getrennte Instanzen oder Testwelten gestartet werden, ohne das Live-System anzufassen.
Automatisierte Backups, Update-Routinen, Discord-Hooks für Statusmeldungen und Performance-Tuning sorgen dafür, dass die Infrastruktur nicht zum Flaschenhals wird. Spieler sehen davon im Idealfall nur eins: stabile Server, die einfach laufen.
Für Tests, neue Mod-Kombinationen oder Balancing-Experimente können getrennte Instanzen oder Testwelten gestartet werden, ohne das Live-System anzufassen.
Security & Privacy
Weniger Blindflug, mehr Kontrolle.
Strikte Trennung der Netze
Desktops, Server und IoT-Geräte teilen sich nicht einfach blind ein Netz.
Jeder Bereich hat eigene Regeln und eigene Zonen.
Ein Smart-Home-Device muss keinen direkten Zugriff auf Server oder
Admin-Oberflächen haben – und andersherum genauso wenig.
Diese Trennung sorgt dafür, dass ein einzelnes unsauberes Gerät (z. B. irgendein Cloud-IoT-Teil) nicht automatisch das gesamte Netz mit aufreißt.
Diese Trennung sorgt dafür, dass ein einzelnes unsauberes Gerät (z. B. irgendein Cloud-IoT-Teil) nicht automatisch das gesamte Netz mit aufreißt.
DNS-Filterung & Telemetrie-Blocking
DNS-Anfragen laufen über eigene Resolver, die mit Blocklisten
und Regeln erweitert sind. Viele Tracking-, Werbe- und Telemetrie-
Domains werden schon auf der DNS-Ebene geblockt, bevor überhaupt
eine Verbindung aufgebaut werden kann.
Das reduziert nicht nur unnötigen Traffic, sondern nimmt vielen Diensten den „Nach Hause telefonieren“-Reflex – ohne dass dafür jedes einzelne Gerät bis ins letzte Menü verstellt werden muss.
Das reduziert nicht nur unnötigen Traffic, sondern nimmt vielen Diensten den „Nach Hause telefonieren“-Reflex – ohne dass dafür jedes einzelne Gerät bis ins letzte Menü verstellt werden muss.
VPN statt Exposed Ports
Remote-Zugriff passiert über WireGuard-VPNs für Freunde und Familie –
nicht über offen ins Internet gestellte Web- oder Admin-Interfaces.
Wer Dienste wie Jellyfin, Home Assistant oder Game-Server nutzen will, kommt erst per VPN in ein definiertes Segment und bewegt sich dann mit klar begrenzten Rechten im Netz. So bleiben interne Systeme intern – wie es sein sollte.
Wer Dienste wie Jellyfin, Home Assistant oder Game-Server nutzen will, kommt erst per VPN in ein definiertes Segment und bewegt sich dann mit klar begrenzten Rechten im Netz. So bleiben interne Systeme intern – wie es sein sollte.
Monitoring & Logs
Firewall-Logs, Systemmetriken und Game-Server-Status werden
beobachtet, statt erst dann beachtet zu werden, wenn etwas kaputt ist.
Ziel ist keine Dauer-Paranoia, sondern Transparenz: sehen, welche Verbindungen laufen, wie stark die Systeme belastet sind und ob sich irgendwo ungewöhnliches Verhalten zeigt – bevor es nervt.
Ziel ist keine Dauer-Paranoia, sondern Transparenz: sehen, welche Verbindungen laufen, wie stark die Systeme belastet sind und ob sich irgendwo ungewöhnliches Verhalten zeigt – bevor es nervt.
VPN-Modelle
Wie Freunde & Familie ins Netz kommen.
Friends VPN
WireGuard-Profile für Freunde mit Zugriff auf ausgewählte Dienste
wie Game-Server und Medien – sauber begrenzt auf die Netze,
die sie wirklich brauchen.
Family VPN
Erweiterter Zugriff für Familie, z. B. auf zusätzliche
Services im LAN oder Server-Segment – aber ebenfalls mit
klar definierten Regeln statt „alles offen“.
Routing
Exakte Steuerung per Firewall-Regeln und Routen: welcher Peer
darf welche IP-Bereiche sehen, welche Services sind von außen
erreichbar, was bleibt strikt intern.
Security
Für interne Dienste gilt bewusst eine Full-Tunnel-Pflicht.
Nicht zur Kontrolle – sondern um jede Handlung technisch nachvollziehen zu können,
falls ein Gerät kompromittiert wird oder jemand Unsinn macht.
Split-Tunnel ist nur mit eingeschränkten Rechten möglich.
Es gibt keine offen stehenden Ports und keine „mal eben schnell Freigabe“-Klicks –
alle Zugänge sind klar definiert und sauber eingerichtet.
Networkgate ist kein „offenes VPN für alle“, sondern eine bewusst
kleine, vertrauensbasierte Umgebung. Wer rein darf, ist
auch technisch sauber eingebunden – ohne Chaos-Routing.
Hardware-Stack
Worauf das alles läuft.
Firewall / Gateway
OPNsense bildet das zentrale Gateway von Networkgate – hier laufen Routing,
VPN, DNS-Filterung und Traffic-Überwachung zusammen.
Die Firewall ist als eigene Instanz mit klar definierten Schnittstellen zum restlichen Netz aufgebaut. Ziel ist nicht möglichst viel Schnickschnack, sondern eine übersichtliche, gut kontrollierbare Plattform für Routing, VPN und Filterung, die sich sauber warten und erweitern lässt.
Details zur genauen Hardware sind bewusst nach innen verlagert – wichtig ist: der Weg ins Netz führt immer zuerst durch OPNsense.
Die Firewall ist als eigene Instanz mit klar definierten Schnittstellen zum restlichen Netz aufgebaut. Ziel ist nicht möglichst viel Schnickschnack, sondern eine übersichtliche, gut kontrollierbare Plattform für Routing, VPN und Filterung, die sich sauber warten und erweitern lässt.
Details zur genauen Hardware sind bewusst nach innen verlagert – wichtig ist: der Weg ins Netz führt immer zuerst durch OPNsense.
Virtualisierung
Proxmox bildet die Basis für VMs und Container. Medienserver,
Automatisierung, Webdienste und Game-Server laufen getrennt
voneinander – aber auf gemeinsam verwalteter Infrastruktur.
So lässt sich bequem testen, migrieren und aufrüsten, ohne jedes Mal physisch umbauen zu müssen.
So lässt sich bequem testen, migrieren und aufrüsten, ohne jedes Mal physisch umbauen zu müssen.
Speicher & Backups
Daten liegen auf lokalem Storage – von Medien über Konfigurationen
bis hin zu Backups.
Wichtige Dienste werden regelmäßig gesichert, besonders vor größeren
Updates oder Umbauten.
Ziel: nicht „nie fällt etwas aus“, sondern „wenn etwas ausfällt, kann es schnell und nachvollziehbar wiederhergestellt werden“.
Ziel: nicht „nie fällt etwas aus“, sondern „wenn etwas ausfällt, kann es schnell und nachvollziehbar wiederhergestellt werden“.
Netzwerk-Backbone & Ausbau
Intern setzt Networkgate aktuell auf 1 Gbit/s Ethernet
zwischen Firewall, Switches und Servern. Diese Basis ist bewusst
gewählt: stabil, leise, stromsparend und gut beherrschbar.
Langfristig ist ein schrittweiser Ausbau auf 2,5 Gbit/s bis 10 Gbit/s im Server- und Storage-Bereich geplant – aber erst dann, wenn es technisch und wirtschaftlich wirklich Sinn ergibt und nicht nur auf dem Papier schick aussieht.
Langfristig ist ein schrittweiser Ausbau auf 2,5 Gbit/s bis 10 Gbit/s im Server- und Storage-Bereich geplant – aber erst dann, wenn es technisch und wirtschaftlich wirklich Sinn ergibt und nicht nur auf dem Papier schick aussieht.