Heimnetz · Self-Hosting · Infrastruktur

Kein Router vom Provider.
Ein eigenes Rechenzentrum im Wohnzimmer.

Networkgate ist mein privates, mehrstufig abgesichertes Heimnetz – OPNsense-Firewall, Proxmox-Hosts, Self-Hosted Services, WireGuard-VPN und eigene Game-Server. Alles lokal, alles kontrolliert.

🛰️

Architektur ansehen Self-Hosted Services

Netzsegmente

Self-Hosted Services

1 Gbit

Intern & extern

< 0,3 ms

Interne Latenz

01 / Core

OPNsense –
das Herzstück.

OPNsense ist nicht Dekoration. Es ist der Punkt, an dem entschieden wird, was ins Netz darf und was nicht. Routing, Stateful-Firewall, NAT, VPN-Endpunkte, DNS-Resolver und IDS/IPS laufen hier zusammen.

Statt „alles darf mit allem reden" gibt es ein bewusst fein geschnittenes Regelwerk. Tracking-Domains und Telemetrie werden schon auf DNS-Ebene gefiltert, bevor eine Verbindung zustande kommt.

OPNsense Zenarmor IDS/IPS DNS-Filterung Stateful Firewall

Firewall · Gateway

Platform OPNsense

VPN WireGuard

DNS Eigener Resolver + Blocklisten

IDS/IPS Zenarmor

Offene Ports Keine

02 / Compute

Proxmox –
alles in eigenen Instanzen.

VMs und LXC-Container für jeden Dienst separat. Medien, Automation, Webdienste und Game-Server liegen nicht auf einem All-in-One-System – Trennung ist kein Luxus, sondern Grundlage für saubere Updates und schnelle Wiederherstellung nach Fehlern.

Ressourcen lassen sich je nach Last verschieben: mehr CPU für Game-Server abends, mehr RAM für Transcoding bei Bedarf.

Proxmox VE LXC Container KVM VMs Ressourcentrennung

Virtualisierung

Hypervisor Proxmox VE

Medien Jellyfin LXC

Smart Home Home Assistant VM

Proxy Caddy LXC

Games ARK, The Isle VMs

03 / Zonen

Vier Segmente.
Klare Grenzen.

LAN, Server, IoT und VPN – jede Zone hat eigene Firewall-Regeln und darf nur sehen, was wirklich nötig ist. Ein IoT-Gerät braucht keinen Zugriff auf den Proxmox-Admin. Gäste im VPN brauchen keine Übersicht über das gesamte interne Netz.

Ein einziges kompromittiertes Gerät reißt durch diese Trennung nicht automatisch alles mit.

LAN Server-Netz IoT-Segment Friends/Family VPN

Netz-Topologie

Internet
    │
[ OPNsense · Firewall ]
    │
[ Core-Switch ]
    ├── [ LAN ]      Desktop / Gaming-PC
    ├── [ Server ]   Proxmox · VMs · LXC
    │       ├── [ Friends VPN ]
    │       └── [ Family VPN ]
    └── [ IoT ]      Zigbee · Smart Home

Self-Hosted

Was im Hintergrund läuft.

Medien

Jellyfin & Caddy

Eigener Streaming-Server für Filme, Serien und Musik. Kein Abo, keine fremden Algorithmen, keine Überwachung von außen. Erreichbar über Caddy Reverse Proxy mit TLS – intern und per VPN, keine offenen Ports. Medien liegen lokal auf eigenem Storage.

Jellyfin Caddy TLS intern Kein Cloud-Streaming

Automation

Home Assistant

Smart Home vollständig lokal: Home Assistant, Zigbee2MQTT und MQTT-Broker im eigenen Segment – ohne Cloud-Zwang.

Home Assistant Zigbee2MQTT

Gaming

ARK, The Isle & mehr

Game-Server im eigenen Rack. Backups, Update-Routinen und Discord-Hooks. Stabil, fair, kontrolliert.

ARK: SA The Isle Discord

Doku & Admin

BookStack & Monitoring

Interne Wissensbasis, Backup-Skripte, Systemmonitoring – keine Cloud-Notizapp, keine blinde Infrastruktur.

BookStack Monitoring Backups

Security & Privacy

Weniger Blindflug,
mehr Kontrolle.

Strikte Netztrennung

Desktops, Server und IoT teilen sich kein Netz. Jede Zone hat eigene Regeln. Ein kompromittiertes IoT-Gerät reißt nicht automatisch alles mit.

DNS-Filterung & Telemetrie-Blocking

Tracking-, Werbe- und Telemetrie-Domains werden auf DNS-Ebene geblockt – bevor überhaupt eine Verbindung aufgebaut werden kann.

VPN statt exposed Ports

Remote-Zugriff ausschließlich über WireGuard. Keine offen ins Internet gestellten Admin-Interfaces. Interne Systeme bleiben intern.

Monitoring & Logs

Firewall-Logs, Systemmetriken und Server-Status werden aktiv beobachtet – nicht erst dann, wenn etwas kaputt geht.

VPN-Modelle

Wie Freunde & Familie ins Netz kommen.

👥

Friends VPN

WireGuard-Profile für ausgewählte Freunde. Zugriff auf Game-Server und Jellyfin – begrenzt auf die Segmente, die wirklich gebraucht werden.

Games Medien WireGuard

🏠

Family VPN

Erweiterter Zugriff für Familie auf weitere Services – ebenfalls mit klar definierten Firewall-Regeln statt „alles offen".

Erweiterte Dienste WireGuard

🔒

Security-Prinzip

Interne Dienste: Full-Tunnel-Pflicht. Nicht zur Kontrolle – sondern um Kompromittierungen technisch nachvollziehen zu können. Keine offenen Ports, keine Schnellfreigaben.

Full Tunnel Kein Chaos-Routing

Hardware-Stack

Worauf das alles läuft.

OPNsense

Zentrales Gateway: Routing, VPN, DNS-Filterung, Traffic-Überwachung. Der Weg ins Netz führt immer zuerst durch OPNsense.

Firewall

Proxmox VE

Basis für VMs und Container. Getrennte Instanzen pro Dienst – Updates und Tests ohne Risiko fürs Live-System.

Compute

1 Gbit Backbone (intern)

Internes Ethernet zwischen Firewall, Switches und Servern. Latenz OPNsense → Proxmox → LAN: unter 0,3 ms.

Netzwerk

1 Gbit Glasfaser (extern)

Symmetrische 1 Gbit/s Anbindung über Wilytel. Stabil genug für Streaming, VPN und Game-Server gleichzeitig.

Internet

Lokaler Storage

Daten auf eigener Hardware. Regelmäßige Backups. Ziel: schnelle, nachvollziehbare Wiederherstellung nach Fehlern.

Storage

Ausbau: 2,5–10 Gbit

Schrittweise geplant für Server- und Storage-Bereich – wenn es technisch und wirtschaftlich wirklich Sinn ergibt.

Zukunft

Kein Router vom Provider. Ein eigenes Rechenzentrum im Wohnzimmer.

OPNsense –das Herzstück.

Proxmox –alles in eigenen Instanzen.

Vier Segmente.Klare Grenzen.