Gehaertetes Hybrid-Cloud-Privatnetzwerk
Phase 1 abgeschlossen: Aufbau eines Zero-Trust-Privatnetzwerks ueber On-Premises-, Cloud- und mobile Endpunkte mit SSH-Haertung, DNS-Privatsphaere und sicherem Remote-Transit.
Ueberblick
Dieses Projekt zeigt den Uebergang von einem einfachen privaten Lab zu einer gehaerteten Hybrid-Cloud-Architektur. Im Fokus stehen Zero-Trust-Zugriff, private DNS-Aufloesung, interface-basierte Firewall-Regeln und ein betriebsfaehiger Unterbau fuer verteilte Services und spaetere Edge-Workloads.
Problem
Verteilte Infrastruktur ueber private Lab-Systeme, Cloud-Server und Reisegeraete hinweg wird schnell schwer abzusichern. Ohne schluesselbasierte Administration, private DNS-Aufloesung und konsistente Fernzugriffsmuster waechst die Angriffsoberflaeche und der Betrieb wird fragil.
Loesung
Ich habe ein Tailscale-basiertes privates Overlay umgesetzt, das mobile Workstations, einen VPS und eine Debian-VM auf Proxmox verbindet. SSH wurde auf ED25519-Schluessel und passwortlose Anmeldung gehaertet, Pi-hole und Unbound liefern private rekursive DNS-Aufloesung, und interface-basierte UFW-Regeln plus Exit-Node-Routing machen die Umgebung sicherer und ueber Standorte hinweg besser nutzbar.
Architektur
Node
Mobile Laptops und andere Client-Geraete treten dem privaten Overlay als authentifizierte Nodes bei und nutzen stabile private Adressen plus gemeinsame SSH-Aliasse fuer konsistente Administration.
Edge
Eine Debian-VM auf einem Proxmox-Host bildet den privaten Betriebsanker: gehaertetes SSH, Pi-hole, Unbound, Exit-Node-Funktion und Firewall-Regeln, die vertrauenswuerdigen Overlay-Traffic von anderen Interfaces trennen.
Cloud
Ein VPS nimmt am selben privaten Overlay teil und erweitert das Netz in die Cloud, ohne die Management-Ebene zu einer breit exponierten oeffentlichen Flaeche zu machen.
Sicherheit
Das Design nutzt rein schluesselbasierten SSH-Zugriff mit ED25519, deaktiviert passwortbasierte Administrationspfade, vermeidet Abhaengigkeit von oeffentlichen DNS-Resolvern und minimiert direkte Exponierung. Private rekursive DNS-Aufloesung ueber Unbound und interface-basierte Firewall-Regeln reduzieren Datenabfluss und Angriffsoberflaeche.
Zuverlaessigkeit
Stabile private IPs, gemeinsame SSH-Konfiguration, optimiertes IP-Forwarding fuer Overlay-Traffic und leichtgewichtiges Host-Monitoring mit btop machen die Umgebung ueber Standorte hinweg leichter betreibbar. Die Service-Trennung auf Proxmox haelt die Control Plane leichter aenderbar und wartbar.
Wesentliche Merkmale
- ED25519-basiertes SSH-Hardening mit passwortloser Administration
- Zero-Trust-Tailscale-Overlay ueber mobile Workstations, Cloud-VPS und private On-Premises-Infrastruktur
- Pi-hole mit Unbound fuer vollstaendige rekursive DNS-Aufloesung statt Third-Party-Resolvern
- Exit-Node-Routing und IP-Forwarding fuer verschluesselten Transit in unsicheren Netzen
- Interface-basierte UFW-Policy, die vertrauenswuerdigen Overlay-Traffic erlaubt und anderen Ingress einschraenkt
Ergebnisse und Wirkung
- Passwortbasierte SSH-Administration aus der Umgebung entfernt
- Privaten, ortsunabhaengigen Zugriff ueber On-Premises-, Cloud- und mobile Endpunkte hinweg geschaffen
- Die DNS-Aufloesung in einen privacy-orientierten lokalen rekursiven Pfad unter eigener Kontrolle verlagert
- Einen staerkeren Security- und Betriebsunterbau fuer kuenftige Self-Hosted- und Edge-Services geschaffen
Tech-Stack
Verwandtes Projekt
Die angrenzende Fallstudie zeigt, wie dieses Projekt in die groessere Portfolio-Story passt.
The Vienna Fortress
Eine gehaertete Proxmox- und Docker-Betriebsplattform aufgebaut, die mehrschichtige Sicherheit, Echtzeit-Observability, Reverse Proxying und automatisiertes Container-Lifecycle-Management verbindet.