homelab-doku/VPS/networking.md

VPS Netzwerk

Öffentliches Netzwerk

| Interface | Adresse | |—|—| | eth0 | 46.225.176.170 |

—

VPN

WireGuard

Die VPS dient als zentraler WireGuard-Hub zwischen:

• VPS
• Heimnetz
• zusätzlichen Clients

Interface:

• wg0

Listening Port:

• 51820/UDP

—

Heimnetz Routing

Folgende Route wird aktuell über WireGuard bereitgestellt:

192.168.0.0/24

Dadurch kann die VPS interne Dienste im Heimnetz sicher über VPN erreichen.

—

Firewall / Paketfilterung

Aktueller Zustand

UFW ist nicht aktiv.

Stattdessen nutzt die VPS:

• nftables
• Docker-verwaltete Firewallregeln
• CrowdSec Integration

—

Sicherheitslayer

| Layer | Aufgabe | |—|—| | Docker nftables Regeln | Container-Isolation | | CrowdSec | Dynamische Blockierung | | WireGuard | Sicherer privater Zugriff | | NPM | TLS Terminierung |

—

Docker Netzwerkarchitektur

proxy Netzwerk

Subnetz:

172.20.0.0/16

Wichtige Dienste:

• NPM
• authentik
• Nextcloud
• Vaultwarden
• Forgejo
• Monitoring-Dienste

—

Aktuelle Sicherheitsbeobachtungen

Positiv

• interne Docker-Segmentierung vorhanden
• RAW nftables Isolationsregeln aktiv
• Localhost Bindings bereits genutzt
• CrowdSec in INPUT Chain integriert

Mögliche Verbesserungen

• direkten öffentlichen Zugriff auf authentik entfernen
• öffentliche Erreichbarkeit von Forgejo prüfen
• Rolle von AdGuard auf der VPS bewerten