Projekt Zuhause: Datenschutz, Sicherheit & eigene Cloud

Allgemein
1

Hallo zusammen,

bei meiner Recherche nach Möglichkeiten für Sicherheit und Datenschutz bin ich auf diese fantastische Community gestoßen. Ich arbeite mich schon durch einige Beiträge hier im Forum sowie im Blog, möchte aber gerne auch mein „Projekt“ zusammenfassen und um Rat bzw. Vorschläge bitten.

Ich möchte mein Netzwerk daheim wie folgt optimieren:

  • Internetzugang über 5G-Netz, Vertrag liegt bereits vor, Sendemast in unmittelbarer Nähe
  • Datenschutz und Sicherheit für alle Geräte im Heimnetzwerk
  • eigene Cloud für die Familie zur Datenspeicherung und Synchronisation
  • eigener Messenger-Server (Matrix?)

Ich gestehe, dass ich momentan überfordert bin von den verfügbaren Informationen und daher auch nicht perfekt sortieren kann, was hilfreich oder vielleicht sogar der falsche Weg ist. Daher habe ich folgende Fragestellungen an die Community:

  1. 5G-Netz empfehlenswert bei guter Verbindung?
    Meine Übergangslösung bis Glasfaser an meinem Standort verfügbar ist

  2. Mit welchen Geräten/technischen Lösungen kann ich meine Vorgaben erreichen?
    Ich dachte an einen Mini-PC (nenne ich mal „Basis“) mit potenten SSD’s, welcher als Datenbank/CloudServer/MessengerServer dient. Davor einen 5G-Router mit openwrt als Modem und Firewall?

  3. Wie nutze ich VPN und/oder SPN am „besten“?
    z. B. VPN-Clients auf jedem Gerät wo möglich (z. B. Smartphone)? SPN auf der „Basis“ betreiben, so dass ich mit allen anderen Geräten (Desktop-PC, Smartphones über Wifi, ..) keine Gedanken an zusätzliche Apps/Einstellungen für die Nutzung daheim beachten muss?

  4. Thema Geschwindigkeit: was gilt es zu beachten, damit ich über VPN und/oder SPN möglichst geringe Einschränkungen an Down-/Upload und Latenzen habe?
    z. B. für Cloudzugriff, Streaming oder Gaming relevant

  5. Software-Vorschläge?
    VPN/SPN bzw. für die eigene Cloud und den Messenger´

Vielen Dank schon mal an jeden, der bis hier hin gelesen hat und mir einen Tip oder Vorschläge hat!

2

So lange es stabil ist, warum nicht? Gibt genug Leute, die ihr Internet über LTE beziehen. Und wenn es nur eine temporäre Übergangslösung zu Glasfaser (!) ist, umso besser.

Klingt doch gut. Schau primär nach Energieverbrauch. Ggf. sind sogar noch rotierende Platten in Ordnung, im RAID1. Je nach gewünschter Größe. Von USB-Sticks als Boot-Medium kann ich nur abraten, da lieber eine kleine SSD reinhängen.

SPN kenne ich bisher nicht. VPN kannst du so einrichten, dass dein Router/Server alles übernimmt und innerhalb des LANs werden die Clients transparent über VPN geroutet. Auf jedem Gerät einzeln so was zu machen skaliert schlecht, besonders bei gemischten Systemen.

Noch zu beachten ist, dass du ggf. keinen öffentlichen IPv4-Endpunkt mehr hast, über den du durch Portfreigabe auf die internen Systeme kommst. Falls SPN das löst, probier es aus (ich orientiere mich an deren Tor-Vergleich, aber habe nicht weiter reingeschaut). Andernfalls hast du vielleicht Probleme, mit Clients von außen zum VPN zu verbinden.

Kabel verwenden, wo geht. Netzwerk planen und so einfach wie möglich gestalten. Möglicherweise bietet das eingesetzte VPN-/Router-System auch Traffic Shaping, so dass du Bandbreite garantieren kannst. Dedizierte Netzwerkkarte hilft auch, besonders für Videostreaming.

Alles in allem rate ich dir vor allem, das Setup erstmal klein zu beginnen und dann zu erweitern. Fang z. B. mit dem Router an und prüfe, wie der Übergang vom Internet über 5G über openwrt in dein LAN läuft.

Die Hardware-Kiste ist dann das nächste Teilprojekt. Anforderungen prüfen (Beispiel Speicherplatz, oder CPU falls irgendwas mit Bildern/Videos/Streaming gemacht werden soll, Netzwerkkarte) und dann die passenden Komponenten suchen.

Klingt auf jeden Fall nach einem sehr interessanten Projekt, in dem man sich super verzetteln kann :wink: Viel Erfolg!

3

Hallo zusammen,

hier nun ein Update und weitere Fragen.

Ich nutze nun einen GL.iNet GL-X3000 mit aktueller Firmware (release50402) und OpenWrt (21.02-SNAPSHOT r15812+879-46b6ee7ffc).
Auf einem Pi 4 B (8GB Ram) habe ich mir Nextcloud für NAS eingerichtet.

Ich möchte für meine Familie auf dem Pi web/cal/carddav einrichten, um Kontake/Kalender und Aufgaben innerhalb der Familie zu teilen. Jeder nutzt mailbox . org ohne deren cloud. Mein Kopf raucht inzwischen nach etlichen Stunden Recherche, daher frage ich hier nach konkreten Empfehlungen bzw. Tips, wie ich das am geschicktesten umsetzen kann.
Aktuell nutzen neben mir bereits 2 weitere gOS, der Rest der Familie folgt sobald das „Herz“ des Systems eingerichtet ist, Synchronisation mit meinem Pi soll also verschlüsselt und sicher zwischen meinem Heimnetzwerk und den gOS Geräten der Familie erfolgen. Tips dafür?

Bzgl. Mails, habe ich es richtig verstanden dass jeder auf seinem gOS und Heimsystem im Idealfall per POP3 von mailbox abrufen sollte?

Danke vorab und einen schönen Start in die Woche Euch allen! :heart:

4

Nur als kleine Anmerkung, da ich mich gerade zufällig mit der Thematik beschäftige, und ohne die Absicht, noch mehr Verwirrung stiften zu wollen: Dir ist bekannt, dass der GL.iNet Router mit einer herstellereigenen proprietären Version von OpenWrt läuft ? Aktuell gibt es dafür m.K.n. noch keine Version für das Original. Könnte aber noch kommen - wäre dann was für die Optimierliste.

5

Danke für deinen Hinweis, das habe ich auch schon herausgefunden. Ursprünglich wollte ich eine separate FW einrichten mit opnsense, ich frage mich aber ob ich nicht eine geschickte Lösung mit dem GL Router und der proprietären openwrt Version hinbekomme.

Falls mir da jemand einen Tip hat wäre ich sehr dankbar. Ich habe nämlich noch keine Idee, wie ich mit dem Router am geschicktesten umgehe.
Würde gerne auch ein „pi-hole“ realisieren ohne ein weiteres Gerät, oder wäre davon abzuraten sowas mit meinem Router oder Pi zusätzlich umzusetzen?

Davon hängt auch ab, wie meine weiteren Geräte ins Netz gehen. Also direkt an den Router, wenn ich den entsprechend konfigurieren kann mit FW / pi-hole, oder eben einen switch (mit wifi?) dran.

6

Dann ist ja OK - mich persönlich hatte jetzt da die Kombi „proprietär“ und „Hong Kong“ gestört, weshalb mein Testgerät aktuell noch zur Beobachtung hinter einer separaten Firewall hängt.

Grundsätzlich sollte auch das "Open"Wrt ja eine Firewall dabei haben. Zumindest sehe ich eine bei mir - aber alles natürlich anders als bei meiner gewohnten IPfire, sodass ich mich damit noch nicht näher beschäftigt habe.

Es gibt für OpenWrt auch Adblocking-Addons, die dann im Prinzip das gleiche erzielen wie ein „Pi-Hole“. Sofern die Hardware das leistungsmäßig hergibt, würde ich persönlich dazu tendieren, möglichst viele der gewünschten Funktionalitäten an einer Stelle zu bündeln.