Skip to content
Projekte
2025 • Security / Infrastructure

Home Security Lab

Proxmox, Pi-hole und WireGuard (geplant) Setup für ein sicheres Heimnetzwerk.

Ein Self-Hosted-Infrastrukturprojekt mit Fokus auf Netzwerksicherheits-Grundlagen: DNS-Filterung, Firewall-Härtung und Segmentierungsplanung. Aufgebaut auf umfunktionierter Enterprise-Hardware mit Proxmox-Virtualisierung.

Kontext & Problem

  • Standard-ISP-Router mit eingeschränkten Sicherheitsfunktionen
  • IoT-Geräte im selben Netzwerk wie persönliche Geräte
  • Keine DNS-basierte Werbe-/Malware-Filterung
  • Bedarf an sicherem Fernzugriff ohne offene Ports

Einschränkungen

  • ISP-Router-Limitierungen (eingeschränkte Bridge-Modus-Unterstützung)
  • Budget: nur wiederverwendete Hardware
  • Darf die Internetnutzung im Haushalt nicht stören
  • Fernzugriffsbedarf für Reiseszenarien

Architektur

Logische Netzwerktopologie:

Internet → ISP-Router → LAN-Switch → Proxmox-Host
Proxmox-VMs: Pi-hole (DNS), Nginx Proxy Manager, Uptime Kuma
Gast-/IoT-SSID-Trennung (aktuell: separate SSID; VLAN: geplant)
WireGuard-VPN für Fernzugriff (geplant)

Sicherheitskontrollen

✓ Implemented

  • DNS-Filterung via Pi-hole (Werbe-/Malware-Blocking)
  • UFW-Firewall (eingehend standardmäßig verweigern, SSH nur LAN)
  • Kein öffentliches Port-Forwarding (Cloudflare Tunnel für externen Zugriff)
  • Automatische Sicherheitsupdates aktiviert

◐ Planned

  • WireGuard-VPN für sicheren Fernzugriff
  • VLAN-basierte IoT-Isolation
  • Zentralisiertes Logging (Wazuh-Evaluierung)

Was ich gebaut habe

  1. ThinkCentre M710q mit Proxmox VE bereitgestellt
  2. Debian-VMs für Pi-hole und Reverse Proxy konfiguriert
  3. UFW mit restriktiven Eingangsregeln eingerichtet
  4. DNS-over-HTTPS-Upstream in Pi-hole implementiert
  5. Monitoring-Dashboards mit Uptime Kuma erstellt

Ergebnisse & Outcome

  • Werbefreies Surfen auf allen Geräten (50%+ DNS-Anfragen blockiert)
  • Reduzierte Angriffsfläche durch Deny-by-Default-Firewall
  • Sicherer externer Zugriff ohne offene Ports
  • Grundlage für VPN- und Segmentierungs-Rollout geschaffen

Lessons Learned & Nächste Schritte

Lessons

  • ISP-Hardware-Limitierungen erfordern kreative Workarounds
  • Einfach starten: Pi-hole + UFW bieten erhebliche Sicherheitsverbesserung
  • Dokumentation zahlt sich bei der Fehlersuche aus

Next Steps

  • WireGuard-VPN-Rollout für sicheren Fernzugriff
  • VLAN-Segmentierung wenn Router-Hardware dies unterstützt
  • Wazuh/Zeek-Evaluierung für erweitertes Monitoring

Lab-Ausschnitte

Für die öffentliche Darstellung bereinigt (keine Geheimnisse).

# Firewall posture (UFW)
$ sudo ufw status verbose
Status: active
Default: deny (incoming), allow (outgoing)

To                         Action      From
--                         ------      ----
<SSH_PORT>/tcp             LIMIT IN    <LAN_SUBNET>
<DNS_PORT>/udp             ALLOW IN    <LAN_SUBNET>
# DNS filtering (Pi-hole)
$ pihole status
  [✓] FTL is listening on port 53
  [✓] Pi-hole blocking is enabled
  [✓] DNS service is running

Tech Stack

Proxmox VE · Debian · Pi-hole · UFW · Nginx Proxy Manager · Uptime Kuma · WireGuard (planned) · Wazuh (exploring)