Zum Inhalt

Netzwerk & VPN

Netzwerktopologie

Alle Geraete im Heimnetzwerk sind ueber ein UniFi-Netzwerk (UDM Pro) verbunden. Der Hetzner vServer ist ueber einen Tailscale VPN-Tunnel angebunden.

VPN (Headscale + Tailscale)

  • Headscale laeuft auf dem Hetzner vServer als selbst-gehosteter Tailscale Coordination Server
  • Tailscale Clients auf NUC, Raspberry Pi und mobilen Geraeten
  • ACL-Regeln beschraenken den Zugriff: tag:server (Hetzner) darf nur Monitoring-Ports im Heimnetz erreichen

Siehe: Headscale | Tailscale

DNS

  • Pi-hole + Unbound auf dem NUC (10.10.10.3) als lokaler DNS-Resolver mit Adblocker
  • Cloudflare fuer externe DNS-Verwaltung (API-gesteuert)
  • Magic DNS im VPN-Netzwerk via Headscale

Siehe: Pi-hole

Homeserver — Docker-Netzwerke

Dieser Abschnitt beschreibt die internen Docker-Netzwerke des Homeservers.

Proxy Network

Alle web-zugaenglichen Services teilen sich das externe proxy_network (10.100.0.0/16). Traefik routet den Traffic anhand von Host-Regeln und terminiert TLS mit Let's Encrypt (DNS-Challenge via Cloudflare).

Interne Netzwerke

Services die Datenbanken oder interne Kommunikation brauchen, nutzen eigene isolierte Netzwerke:

Netzwerk Services Zweck
proxy_network Traefik + alle web-zugaenglichen Services Reverse-Proxy-Routing
monitoring Alle Monitoring-Stack-Komponenten Metrics/Logs-Kommunikation
paperlessngx_internal Paperless, Postgres, Redis, Gotenberg, Tika DB/Cache-Isolation
dns_network Pi-hole, Unbound DNS-Aufloesung
influxdbnet InfluxDB, Grafana, Speedtest-Tracker Zeitreihen-Daten
teamspeaknet TeamSpeak, MariaDB TS3-Isolation
speedtesttrackernet Speedtest-Tracker, Postgres Speedtest-DB
pkvapp_internal PKV-App Frontend/Backend, Postgres App-Isolation

Host-Netzwerk

Einige Services nutzen network_mode: host — entweder weil sie direkten Netzwerk-Zugriff brauchen oder weil ihre Protokolle nicht ueber einen Reverse-Proxy funktionieren:

  • Home Assistant — mDNS-Discovery, Bluetooth, Zigbee
  • ESPHome — mDNS fuer OTA-Updates
  • Tailscale — VPN-Tunnel (Headscale als Login-Server)
  • Cloudflared — Cloudflare Tunnel
  • Syncthing — Device-Discovery
  • Snowflake — Tor-Bridge-Relay