Homelab-Checkliste

Ein Homelab ist mehr als ein einzelner Rechner mit ein paar VMs — es ist eine vollständige IT-Infrastruktur im Kleinen. Wer strukturiert vorgeht, spart sich Stunden an Fehlersuche und baut von Anfang an etwas auf, das wächst, ohne auseinanderzufallen. Diese Checkliste begleitet den Aufbau von der ersten Zieldefinition bis zum laufenden Betrieb.

1. Planung

Zieldefinition

Bevor das erste Gerät bestellt wird, lohnt es sich, ehrlich zu klären, wofür das Lab eigentlich stehen soll. Die Antwort beeinflusst jeden nachfolgenden Schritt — von der Hardware bis zur VLAN-Struktur.

  • Ziele definieren: Lernen, Self-Hosting, Medienserver oder Routing-Lab.
  • Konkrete Use-Cases auflisten: Soll Kubernetes laufen? Ein Mailserver? NAS für Fotos? Netzwerk-Monitoring? Je klarer die Anforderungen, desto gezielter die Hardware-Auswahl.
  • Wachstumspfad einplanen: Ein Lab das mit einem Mini-PC startet, kann später um einen dedizierten Server erweitert werden — wenn die Netzstruktur und das Namensschema von Anfang an skalierbar sind.

Hardware-Auswahl

Hardware ist der größte Kostenfaktor und gleichzeitig der, der am seltensten geändert wird. Wichtige Kriterien neben dem Kaufpreis:

  • Hardwarebudget mit Stromverbrauch kalkulieren. Ein Server mit 100 W Leerlaufverbrauch kostet bei 30 ct/kWh rund 260 € pro Jahr — nur für den Strom.
  • Lärmpegel berücksichtigen, wenn das Lab im Wohnbereich steht. Server-Rack-Hardware ist oft für Rechenzentren ausgelegt und deutlich lauter als Consumer-Hardware.
  • ECC-RAM in Betracht ziehen, sobald Storage oder Datenbank-VMs betrieben werden. Fehlerkorrektur kostet kaum Aufpreis bei gebrauchter Workstation-Hardware, schützt aber vor stiller Datenverfälschung.
  • Erweiterbarkeit prüfen: Wie viele PCIe-Slots, SATA-Ports, RAM-Slots hat die Plattform? Ein Mainboard mit zwei RAM-Slots ist schnell am Limit.
  • Gebrauchte Unternehmenshardware (z. B. Dell OptiPlex, HP EliteDesk, Lenovo ThinkCentre) bietet oft hervorragendes Preis-Leistungs-Verhältnis und ist für dauerhaften Betrieb ausgelegt.
  • Namensschema für Hosts, Netze, VLANs und Services festlegen. Einheitliche Bezeichnungen ersparen Verwechslungen und erleichtern die Automatisierung.
  • Dokumentation von Tag 1 an pflegen — Passwörter, IPs, Ports, Zertifikate. Was nicht dokumentiert ist, existiert beim nächsten Ausfall nicht mehr.

Netzwerk-Topologie planen

Ein Netzwerkplan auf Papier — oder in einem Diagramm-Tool wie draw.io — ist einer der wertvollsten Vorarbeiten. Er zeigt Engpässe, unnötige Komplexität und fehlende Segmentierungen, bevor das erste Kabel gezogen wird.

  • Physische Topologie skizzieren: Welche Geräte hängen wo, wie viele Ports braucht der Switch mindestens?
  • Logische Topologie festlegen: Welche Netzsegmente soll es geben, wie kommunizieren sie miteinander?
  • Bandbreitenbedarf abschätzen: Backup-Traffic zwischen NAS und Server kann 10 GbE rechtfertigen; für Heimnetz-VMs reicht 1 GbE meistens.

2. Hardware-Setup

Server / Hypervisor

Das Herzstück des Labs ist meistens ein Hypervisor, der mehrere virtuelle Maschinen oder Container gleichzeitig betreibt.

  • Proxmox VE ist die häufigste Wahl im Homelab-Umfeld: Open Source, Debian-basiert, unterstützt KVM-VMs und LXC-Container, hat eine ausgereifte Web-UI und bietet Cluster-Funktionalität. Ideal für alle, die eine professionelle Umgebung aufbauen wollen.
  • Unraid ist stärker auf Storage und einfache Bedienung ausgelegt. Besonders beliebt für Medienserver-Setups mit Plex oder Jellyfin. Die aktuelle Lizenz ist servergebunden; Starter und Unleashed enthalten jeweils ein Jahr Updates, Lifetime dauerhaft.
  • Bei der Erstinstallation: BIOS/UEFI aktualisieren, Secure Boot prüfen, IOMMU für PCIe-Passthrough aktivieren (nötig für GPU- oder NIC-Passthrough an VMs).
  • Netzwerkkarten mit mehreren Ports erlauben Bond/LACP für Redundanz oder dedizierte Interfaces für Management und VM-Traffic.

Managed Switch

Ein Managed Switch ist Pflicht, sobald VLANs eingesetzt werden sollen — und VLANs sollten von Anfang an eingeplant werden.

  • Empfehlenswerte Einstiegsgeräte: TP-Link TL-SG108E (einfach, günstig, 8 Port), TP-Link T1700G oder Cisco SG-Serie für mehr Funktionsumfang.
  • VLAN-Tagging (802.1Q) und Trunk-Ports (Tagged Ports für Uplinks zum Hypervisor) konfigurieren.
  • Spanning Tree Protocol (STP/RSTP) aktivieren, um Broadcast-Loops bei versehentlichen Verkabelungsfehlern zu verhindern.
  • Port-Mirroring einrichten, um später Netzwerk-Traffic für Analyse-Tools wie ntopng oder Zeek abgreifen zu können.

Router / Firewall

  • OPNsense (empfohlen) oder pfSense sind die beiden bekanntesten Open-Source-Firewall-Lösungen. Beide laufen hervorragend als VM auf Proxmox, wenn PCIe-Passthrough für die Netzwerkkarte genutzt wird — oder als dedizierte Appliance (z. B. Protectli Vault).
  • OPNsense bietet neben Firewall und Routing auch: IDS/IPS (Suricata), DNS-Resolver, HAProxy für Reverse-Proxying, Let's-Encrypt-Integration und WireGuard-VPN — alles in einer einzigen Web-UI.
  • Dedizierte Hardware für die Firewall erhöht die Zuverlässigkeit: Fällt der Hypervisor aus, bleibt die Netzwerksegmentierung erhalten.

USV (Unterbrechungsfreie Stromversorgung)

  • Eine USV schützt vor kurzen Stromausfällen und Spannungsschwankungen. Im Homelab reicht oft eine kleine Line-Interactive-USV (z. B. APC Back-UPS 700 VA).
  • Wichtiger als die Überbrückungszeit ist die saubere Kommunikation mit dem Server: Via USB oder SNMP kann Proxmox oder TrueNAS automatisch herunterfahren, bevor die Batterie leer ist.
  • Batterien von USVs verschleißen und sollten alle 3–5 Jahre geprüft oder gewechselt werden. Viele USVs melden die Batteriegesundheit selbst.

3. Netzwerkdesign

VLAN-Struktur

VLANs sind das wichtigste Werkzeug zur Netzwerksegmentierung. Jedes Segment ist logisch getrennt; Kommunikation zwischen Segmenten läuft ausschließlich über die Firewall.

  • Management-Netz separat halten (z. B. VLAN 10). Nur Administratoren haben Zugriff; kein normaler Client, kein IoT-Gerät.
  • Server, Clients, IoT und Gäste in getrennte Zonen aufteilen.
  • Inter-VLAN nur mit expliziten Firewall-Regeln erlauben — kein "alles erlaubt" als Standard.
  • Remote-Zugriff ausschließlich per VPN (z. B. WireGuard). Kein Dienst sollte ohne VPN direkt aus dem Internet erreichbar sein.
  • Typische VLAN-Aufteilung: VLAN 10 Management, VLAN 20 Server, VLAN 30 Trusted Clients, VLAN 40 IoT, VLAN 50 Gäste. Die konkreten IDs sind frei wählbar — wichtig ist Konsistenz.

IP-Adressplan

Ein sauberer IP-Plan verhindert Konflikte und erleichtert Firewall-Regeln erheblich, da ganze Subnetze adressiert werden können statt einzelner IPs.

  • RFC-1918-Adressräume nutzen: 10.0.0.0/8, 172.16.0.0/12 oder 192.168.0.0/16.
  • Subnetze pro VLAN definieren, z. B. 10.10.0.0/24 für VLAN 10, 10.20.0.0/24 für VLAN 20 usw. Das erleichtert die Fehlersuche enorm, weil die IP-Adresse sofort das Segment verrät.
  • Für Server statische IPs oder DHCP-Reservierungen vergeben — nie auf dynamische Adressen vertrauen, wenn Firewall-Regeln oder DNS-Einträge von einer bestimmten IP abhängen.
  • Den Plan in einer Tabelle (CSV, Markdown, Netbox) pflegen, damit Überschneidungen sofort sichtbar sind.

DNS

  • Pi-hole ist der Klassiker für lokales DNS und Werbeblocker in einem. Es läuft problemlos als LXC-Container auf Proxmox und benötigt kaum Ressourcen.
  • Für interne Hostnamen besser home.arpa oder eine echte eigene Subdomain mit Split-DNS nutzen, statt erfundene Pseudo-TLDs. Damit lassen sich interne Dienste sauber adressieren.
  • Pi-hole als einzigen DNS-Server im DHCP bekanntmachen; DNS-Anfragen auf Port 53 von Clients an externe Resolver per Firewall-Regel blockieren (DNS-Rebinding-Schutz).
  • Für redundantes DNS eine zweite Pi-hole-Instanz oder Unbound als Resolver hinter Pi-hole betreiben.

4. Virtualisierung & Storage

Proxmox — Standalone oder Cluster

Proxmox kann als einzelner Node betrieben werden oder im Cluster-Modus über mehrere physische Hosts. Für die meisten Homelabs reicht ein einzelner Node vollkommen aus.

  • Im Standalone-Betrieb laufen alle VMs und Container auf einem Host. Einfach zu administrieren, kein Quorum-Problem.
  • Ein Drei-Node-Cluster ermöglicht Live-Migration und Hochverfügbarkeit — erfordert aber geteilten Storage (z. B. Ceph oder NFS/iSCSI vom NAS) und mindestens drei Nodes für korrekte Quorum-Entscheidungen.
  • Proxmox-Subscription ist für den privaten Gebrauch nicht notwendig; das kostenlose Community-Repository enthält alle Updates. Die Enterprise-Subscription bringt priorisierten Support und stable-getestete Pakete.
  • ZFS als lokales Dateisystem auf Proxmox empfehlen: integrierte Snapshots, Copy-on-Write, Self-Healing. Benötigt ECC-RAM für maximale Zuverlässigkeit.

NAS / lokaler Storage

  • TrueNAS SCALE oder Unraid sind populäre Optionen für dedizierten NAS-Betrieb. TrueNAS ist stärker ZFS-zentriert und sehr sauber für Snapshots und Replikation; Unraid nutzt ein eigenes Parity-System, das flexibleres Laufwerk-Mixing erlaubt. TrueNAS CORE ist heute eher ein Altbestands-Thema als die Standardempfehlung für neue Setups.
  • NFS und SMB-Shares vom NAS können in Proxmox als Storage-Backend eingebunden werden, sodass VM-Disks auf dem NAS liegen und vom Hypervisor aus gesichert werden können.
  • RAID ist kein Backup — es schützt vor Festplattenausfall, nicht vor versehentlichem Löschen, Ransomware oder Feuer.
  • Für Datendurchsatz: 10-GbE-Verbindung zwischen NAS und Hypervisor lohnt sich, sobald größere VM-Disks oder regelmäßige Backup-Jobs über das Netz laufen.

Backup-Strategie (3-2-1)

  • 3-2-1-Strategie umsetzen: 3 Kopien der Daten, auf 2 verschiedenen Medien, davon 1 Kopie Offsite (z. B. verschlüsselt bei einem Cloud-Anbieter oder bei einem Freund).
  • Proxmox Backup Server (PBS) als dedizierte Backup-Lösung betreiben. PBS dedupliziert und komprimiert Backups effizient und bietet inkrementelle Snapshots.
  • Konfig-Backups für OPNsense, Proxmox, Switches automatisieren — idealerweise in ein Git-Repository oder auf den NAS.
  • Restore-Tests quartalsweise durchführen. Ein Backup, das nicht getestet wurde, ist kein Backup.
  • Notfallliste mit Wiederanlaufreihenfolge hinterlegen: Was muss in welcher Reihenfolge hochkommen? (Firewall → DNS → NAS → Hypervisor → Dienste)

5. Security-Baseline

Zugriffsschutz

  • Admin-Zugänge nur mit starken Passwörtern und MFA (z. B. TOTP via Bitwarden oder Vaultwarden).
  • Default-Accounts deaktivieren und SSH-Härtung aktivieren: Root-Login deaktivieren, Passwort-Authentifizierung abschalten, nur SSH-Key-Auth erlauben.
  • Separate Service-Accounts für Anwendungen anlegen, niemals mit dem Admin-Account automatisierte Tasks ausführen.
  • Passwort-Manager nutzen — sowohl für persönliche Zugänge als auch für automatisierte Credentials. Vaultwarden (selbstgehosteter Bitwarden-kompatibler Server) ist eine hervorragende Wahl fürs Homelab.

Netzwerk-Absicherung

  • Expose nach außen minimieren, keine unnötigen Portfreigaben. Jeder offene Port ist eine potenzielle Angriffsfläche.
  • Firewall-Regeln nach dem Prinzip "deny all, allow specific" aufbauen: Alles ist verboten, was nicht explizit erlaubt ist.
  • Fail2ban oder Crowdsec auf exponierten SSH- und Web-Diensten aktivieren, um Brute-Force-Angriffe zu blockieren.
  • Für externe Dienste (z. B. selbstgehosteter Vaultwarden) einen Reverse-Proxy (z. B. Nginx Proxy Manager oder Caddy) mit automatischen Let's-Encrypt-Zertifikaten vorschalten, statt Dienste direkt zu exponieren.

VPN-Zugang

  • Remote-Zugriff ausschließlich per VPN. WireGuard ist die empfohlene Wahl: schnell, schlank, modern, einfach zu konfigurieren.
  • WireGuard-Server auf OPNsense oder als dedizierte VM betreiben. Clients erhalten nach Verbindung eine IP im Management-VLAN oder einem dedizierten VPN-Netz.
  • Alternativ: Tailscale oder Netbird für Zero-Config-Mesh-VPN, wenn WireGuard zu aufwendig ist.
  • VPN-Verbindungen in Logs festhalten; unbekannte Verbindungsversuche alarmieren.

Regelmäßige Sicherheitsüberprüfung

  • Regelmäßige Security-Scans und Review der Firewall-Regeln durchführen. Alte, nicht mehr benötigte Regeln entfernen.
  • Mit Tools wie Nmap oder Nessus (Community Edition) gelegentlich einen Scan des eigenen Netzes durchführen, um offene Ports zu inventarisieren.
  • CVE-Feeds für eingesetzte Software verfolgen — besonders für exponierte Dienste.

6. Monitoring & Logging

Metriken mit Prometheus und Grafana

Monitoring ist der Unterschied zwischen reaktivem Feuerlöschen und proaktivem Betrieb. Der Stack aus Prometheus und Grafana ist die weitverbreitetste Open-Source-Lösung und läuft problemlos als Container.

  • Prometheus scrapt Metriken von Exportern: node_exporter für System-Metriken (CPU, RAM, Disk, Netzwerk), proxmox_exporter für Hypervisor-Daten, blackbox_exporter für HTTP- und TCP-Checks.
  • Grafana visualisiert die gesammelten Metriken in Dashboards. Es gibt fertige Dashboards für node_exporter, Proxmox, Pi-hole und viele weitere Dienste in der Grafana-Dashboard-Library.
  • Alternativ zu Prometheus/Grafana: Uptime Kuma für einfaches Service-Monitoring mit schöner UI und Benachrichtigungen — ideal als schneller Einstieg.
  • Monitoring für Festplatten-Gesundheit (SMART-Werte) einrichten. Eine schleichend degradierende Festplatte kündigt sich oft Wochen vorher an.

Alerting

  • Alarmierungsregeln für kritische Schwellwerte festlegen: CPU-Auslastung > 90 % über 5 Minuten, freier Festplattenplatz < 10 %, Link-Down-Events, Backup-Fehlschläge.
  • Benachrichtigungen per E-Mail, Telegram, Matrix oder ntfy.sh einrichten. Grafana Alerting und Uptime Kuma unterstützen zahlreiche Kanäle direkt.
  • Alert-Fatigue vermeiden: Nur wirklich wichtige Schwellwerte alarmieren. Zu viele Benachrichtigungen werden ignoriert.

Zentrales Logging

  • Zentrale Logs für Firewall, Hypervisor und DNS sammeln. Verteilt über verschiedene Systeme ist die Fehlersuche wesentlich schwieriger.
  • Loki (von Grafana Labs) in Kombination mit Promtail ist eine leichtgewichtige Lösung für zentrales Log-Aggregation, die gut in den Prometheus/Grafana-Stack passt.
  • Alternativ: Graylog oder ein einfacher Syslog-Server (z. B. syslog-ng) für kleinere Setups.
  • Log-Retention festlegen: Logs länger als 90 Tage bringen im Homelab selten Mehrwert, kosten aber Speicherplatz.
  • OPNsense-Firewall-Logs in das zentrale System einspeisen — Firewall-Logs sind oft der erste Hinweis auf Probleme oder verdächtige Aktivität.

7. Betrieb & Wartung

Update-Strategie

  • Patch-Fenster definieren und Release Notes vorab lesen. Nicht jedes Update muss sofort eingespielt werden — aber sicherheitskritische Patches sollten zeitnah folgen.
  • Bei VMs und LXC-Containern Snapshots vor Updates erstellen. Ein Rollback dauert dann Sekunden statt Stunden.
  • Proxmox, OPNsense, TrueNAS und andere Kernsysteme gesondert behandeln: Erst im Testsystem (falls vorhanden) oder zu einem ruhigen Zeitpunkt mit ausreichend Rollback-Zeit updaten.
  • Container-Images regelmäßig aktualisieren, besonders bei exponierten Diensten. Tools wie Watchtower (für Docker) oder Renovate (für Config-as-Code) können automatisieren helfen.

Change-Management

  • Änderungen mit kurzen Change-Notizen erfassen. Ein einfaches Markdown-Logbuch oder ein Git-Commit-Log reicht im Homelab völlig aus.
  • Konfigurationen als Code verwalten (Infrastructure as Code), z. B. mit Ansible für wiederkehrende Setups. Das erleichtert Neuinstallationen und macht Änderungen nachvollziehbar.
  • Vor größeren Änderungen eine Rollback-Strategie definieren: Wie wird der Ausgangszustand wiederhergestellt, wenn etwas schiefläuft?

Dokumentation

  • Dokumentation von Tag 1 an pflegen — nicht am Ende, wenn vieles schon vergessen ist. Passwörter, IPs, Ports, Zertifikate, Besonderheiten.
  • Tools wie Obsidian, Outline (selbstgehostet) oder einfache Markdown-Dateien in einem Git-Repository sind ausreichend. Es muss kein komplexes Wiki sein.
  • Netzwerkdiagramm aktuell halten. Beim nächsten Ausfall spart ein aktueller Plan wertvolle Zeit.
  • Credentials in einem Passwort-Manager (Vaultwarden) statt in Klartextdateien speichern.

8. Backup und Recovery

  • 3-2-1-Strategie umsetzen: 3 Kopien, 2 Medien, 1 Offsite.
  • Proxmox Backup Server für VM- und Container-Backups einsetzen. PBS ermöglicht deduplizierte, inkrementelle Backups direkt aus der Proxmox-UI.
  • Konfig-Backups für OPNsense, Proxmox, Switches automatisieren. OPNsense kann Konfigs per SFTP oder E-Mail exportieren; Proxmox-Konfigs liegen unter /etc/pve und können mit einem einfachen Cron-Job gesichert werden.
  • Offsite-Backup mit Verschlüsselung: Rclone in Kombination mit einem S3-kompatiblen Speicher (Backblaze B2, Hetzner Object Storage) ist eine günstige und zuverlässige Lösung.
  • Restore-Tests quartalsweise durchführen. Dabei konkret prüfen: Wie lange dauert die Wiederherstellung? Sind alle Daten vollständig? Startet der Dienst danach korrekt?
  • Notfallliste mit Wiederanlaufreihenfolge hinterlegen: Firewall zuerst, dann DNS, dann Storage, dann Hypervisor, dann Anwendungen.
  • Backup-Jobs im Monitoring überwachen: Fehlgeschlagene Backups müssen alarmieren — sonst merkt man es erst beim nächsten Restore-Versuch.