19inch.org

Hi,

ich habe immer ein einfaches System Management Tool für mein Homelab vermisst. Die Anforderung ist von oben betrachtet, relativ simpel. Ich will Clients anlegen können und auf diesen dann via SSH Befehle ausführen. Alles als lokale Applikation und ausdrücklich keine Webapplikation.

Für den reinen Windows Einsatz gäbe es mit PDQ Deploy etwas, nur ist Windows hier etwas dünn gesäht.

Letzte Woche habe ich mich näher mit MCP Servern beschäftigt und mir gedacht, dass ich mal versuche, eine KI ein System Management Tool entwickeln zu lassen. Ich habe also einen MCP Server für den lokalen Dateisystemzugriff installiert und Claude mit folgenden Anforderungen gefüttert:

Bitte entwickle eine Client Management Applikation für mein Homelab. Der Code soll in C:\Users\Bastian\Nextcloud\Development\AI\Projects\Homelab__MGMT\sources gespeichert werden.

Dies sind die Anforderungen des Product Owners:

Ich möchte, dass die Applikation in Python entwickelt wird.

Ich möchte, dass die Applikation eine Benutzeroberfläche hat.

Ich möchte, dass die Applikation ohne Agent auf den Clients verwendet werden kann.

Ich möchte, dass die Applikation SSH für die Client Verbindung nutzt. 

Ich möchte, dass die SSH Verbindung für die Befehlsausführung auf den Clients verwendet wird.

Ich möchte, dass beliebige Client Betriebssysteme verwaltet werden können.

Ich möchte, dass Clients in einer einzigen INI Datei verwaltet werden.

Ich möchte, dass jeder Client in der INI Datei eine eigene Section hat und alle weiteren Parameter als Key-Value Paare definiert sind.

Ich möchte, dass für jeden Client bestimmte CLI Befehle definiert werden können. Diese sollen dann in der INI Datei als Key-Value Paar dem Client zugeordnet werden. Die Erstellung der Befehle soll über die Benutzeroberfläche der Applikation erfolgen. Die Ausführung der Befehle soll dann über die GUI möglich sein.

Ich möchte, dass man auch Befehle ausführen kann, die keinem Client zugeordnet sind.

Ich möchte, dass die Clients auf der linken Seite der GUI als Liste dargestellt werden. 

Ich möchte, dass Clients frei gruppierbar sind.

Ich möchte, dass man mehrere Clients auswählen kann und auf diesen einen CLI Befehl ausführen kann. 

Ich möchte, dass man einen CLI Befehl auf einer Gruppe von Clients ausführen kann.

Ich möchte, dass die Möglichkeit besteht, sudo inklusive automatischer Passworteingabe für die CLI Befehlsausführung bei Linux Clients zu nutzen.

Ich möchte, dass sich das Ausgabefeld dynamisch aktualisiert, so bei einem echten CLI.

Ich möchte, dass sich verschiedene Befehle zu einem gemeinsamen Alias zusammenfassen lassen. Wenn ich beispielsweise den Alias ‚update‘ auswähle, kann das auf einem Client den Befehl ‚apt dist-upgrade‘ ausführen, auf einem anderen stattdessen ‚opkg upgrade‘. 
Zu einem Alias sollen sich beliebig viele Befehle hinzufügen lassen, wobei ein Befehl immer eindeutig einem Client zugeordnet werden muss.
Ein Alias Befehl kann auf einer Gruppe ausgeführt werden oder auf frei ausgewählten Clients.

Herausgekommen ist tatsächlich eine brauchbare Applikation, die ich hier gern bereitstelle. Ich würde das allerdings erst im Laufe der Woche machen, da sudo an einer Stelle nicht funktioniert. Sobald Claude das gefixt hat, veröffentliche ich das Tool hier.

Wenn ihr dann selbst Anforderungen habt, schreibt sie gern hier im Thread. Ich gebe das dann weiter

Gruß,
Bastian

PHPIPAM hinzugefügt

Das hier ist meine/unsere VPN Struktur. Unsere Netze und die Netze meines Vaters sind via Wireguard verbunden. Da der ISP an beiden Standorten die Deutsche Glasfaser ist, welcher leider CGNAT einsetzt, verbinden sich meine Ubiquiti UDM Pro und das Ubiquiti Cloud Gateway Ultra zu einer bei Hetzner laufenden PFsense. Die SD-WAN Funktionalität von Ubiquiti können wir leider nicht mehr nutzen, da hier mindestens ein Teilnehmer eine öffentliche IP Adresse benötigt.

Nicht alle Netze sind aus jedem Netz erreichbar, da es keine Notwendigkeit gibt. Aktuell routet die PFsense zwar alle Netze, die Firewalls auf Clientseite lassen jedoch nicht jede Verbindung zu. So kann im Zweifel jeder selbst entscheiden, welche Zugriffe er gestattet.

Nicht eingezeichnet sind hier mobile VPN Verbindungen. Dabei handelt es sich im Wesentlichen um mein Smartphone und meine Notebook. Beide nutzen ein anderes Transfernetz, um die Firewallkonfiguration auf Clienseite einfacher zu gestalten.

Die GL iNet Router werden auf Reisen eingesetzt, wobei der Mango mehr oder weniger fest in einem Wohnmobil verbaut ist.

Ich habe auch ein paar Einträge hinzugefügt.
@christian Danke für die Liste

Hi,

aus aktuellem Anlass, da ich gerade in einem anderen Forum darüber gestolpert bin, möchte ich hier kurz auf die Verwendung von IP Adressbereichen und DNS Domains im Homelab eingehen.

Private IP Adressbereiche
Private IP Adressen gehören zu den Bereichen, die explizit für die Verwendung im LAN vorgesehen sind und nicht im Internet geroutet werden.

• 10.0.0.0/8 (10.0.0.0 - 10.255.255.255)
• 172.16.0.0/12 (172.16.0.0 - 172.31.255.255)
• 192.168.0.0/16 (192.168.0.0 - 192.168.255.255)

Eine Besonderheit ist das Netz 100.64.0.0/10 (100.64.0.0 - 100.127.255.255), welches für die Verwendung von CGNAT vorgesehen ist. Einige ISP setzen dieses Verfahren ein, um nicht jedem Anschluss eine öffentliche IPv4 Adresse geben zu müssen. Bei diesem Bereich handelt es sich ebenfalls um einen privaten Adressbereich, der nicht im Internet geroutet wird. Er sollte aber trotzdem unter keinen Umständen im eigenen LAN eingesetzt werden.

DNS Domains
Im LAN sollten DNS Domains genutzt werden, die nicht von den Namensservern im Internet aufgelöst werden.
Hierbei handelt es sich um diese Domains:

• .intranet.
• .internal.
• .private.
• .corp.
• .home.
• .lan.
• .loc.

Die Domain .local. sollte explizit nicht im LAN genutzt werden, da diese von multicast DNS verwendet wird.
Es ist theoretisch möglich, die eigene TLD im LAN zu verwenden, wenn man Split DNS einsetzt.

Gruß,
Bastian

Ich bin mittlerweile großer Fan der 10 Zoll Racks. Ersetzen würde ich mein 19 Zoll Rack aber nicht. Vielleicht als sinnvolle Ergänzung oder einfach nur als Spielerei. Ein paar passende Komponenten hätte ich noch da. Ein Netgear GS108E, ein Intel Nuc und unser Nachbar könnte mir einige Blenden und Halterungen drucken. Vielleicht nehme ich das im Herbst/Winter in Angriff.

Hi,

da ich auch hier noch keine Lösung habe: wie aktualisiert ihr die Software und Betriebssysteme in euren Homelabs?
Ich mache das aktuell manuell, meistens samstag- oder sonntagmorgens. Eine kleine Krücke habe ich mir mit Tasks im Remote Desktop Manager gebaut und nutze für einige Container Updates Watchtower, aber die meisten Standardaufgaben erledige ich manuell.
Vor Ansible habe ich aufgrund der steilen Lernkurve recht viel Respekt.

Gruß,
Bastian

Hi,

kennt ihr den Dell Wyse 3040? Ist eigentlich ein Thin Client, der schon etwas in die Jahre gekommen ist und leistungsmäßig ungefähr mit einem Raspberry 4 vergleichbar sein dürfte.

Specs:

• CPU: Intel Cherry Trail x5 Z-8350 (1.44 GHz Quad Core) (Atom, 64 Bit CPU)
• RAM: 2 GB DDR3L 1600 MHz, solder down
• 8 GB eMMC oder 16 GB eMMC
• LAN, 10/100/1000 Base-T Ethernet
• WLAN+BT Combo Module: Azurewave AW-CM389MA w/Marvell 8897chip
• 3x USB 2.0, 1x USB 3.0
• 2x Display Port

Bei Kleinanzeigen kriegt man die Geräte für ca. 20€. Deutlich weniger als ein Raspberry Pi 4. Zur Not ließe sich wohl sogar Windows installieren (auf der 16GB Version), wenn man es denn möchte.
Ich hab das Gerät erstmals vor einem Jahr bei einem ehemaligen Arbeitskollegen auf dem Schreibtisch gesehen und war ein bißchen fasziniert.

Gruß,
Bastian

Für das nächste Wochenende ist folgendes geplant:

• Proxmox VE Update auf Version 9 auf zwei Hosts
• Proxmox Backup Server Update auf Version 4
• Migration des alten Proxmox Backup Servers (weg von Synology, auf dedizierte Hardware) keine Migration
• Update der Forum Software (NodeBB) auf Version 4.4.6

Das hier muss mittelfristig noch erledigt werden:

• Dashboards in Zabbix erstellen
• Notifications in Zabbix erstellen

Hi,

ich hatte die Idee, dass wir hier einen Thread haben, in dem wir unsere To Do Listen für unsere Homelabs führen können. Nur lose und nichts langfristiges. Ich dachte dabei an die Dinge, die man in den nächsten Tagen vorhat, aber letztlich kann das natürlich jeder machen, wie er/sie will.

Ich mache im nächsten Beitrag mal den Anfang.

Gruß,
Bastian

Proxmox VE 9 wurde veröffentlicht.
Update HowTo: https://pve.proxmox.com/wiki/Upgrade_from_8_to_9

Proxmox Backup Server 4 wurde ebenfalls veröffentlicht.
Update HowTo: https://pbs.proxmox.com/wiki/Upgrade_from_3_to_4

Schön, dass es funktioniert
Wie die DS das intern macht, weiß ich nicht. Aber gut, dass es jetzt funktioniert.

Jetzt zweifel ich gerade an meinem Verständnis von Pangolin .
So wie ich das (=Reverse Proxy) verstehe, kann man nur ein Target pro Subdomain nutzen, da da der Proxy anhand der aufgerufenen Subdomain entscheidet, an welches Target weitergeleitet wird. Gibt man mehrere Target pro Resource (=Subdomain) an, muss nach meinem Verständnis der gleiche Service dahinterstecken. Man kann das also beispielsweise für ein Loadbalancing machen.

Ich würde pro Service auf der Synology, den du via Pangolin verfügbar machen willst, eine Subdomain anlegen.

Erreichbar sind die Dienste dann über Port 443 (oder 80). Die anderen Ports müssen nicht in der Strato Firewall freigeschaltet werden.

Ich hoffe, ich hab das richtig verstanden

Hi,

ich habe das Forum gerade auf NodeBB 4.4.5 aktualisiert. Wenn irgendwas nicht funktionieren sollte, gebt mir bitte Bescheid.

Gruß

Hi,

versucht hab ich es noch nicht. Theoretisch sollte es aber funktionieren. Ich hab es jetzt getestet (siehe unten)
Pangolin selbst besteht aus drei Komponenten:

• Pangolin (Management, Administration)
• Traefik (Reverse Proxy)
• Gerbil (Wireguard Management)

Wenn man einen Dienst über Pangolin verfügbar macht, muss dieser also via Wireguard an die Gerbil Instanz von Pangolin angebunden werden. Traefik schickt die Anfragen von außen dann in die korrekten Tunnel.
Für die Wireguardanbindung nimmt man üblicherweise Newt, weil man da die Konfiguration 1:1 aus Pangolin übernehmen kann.

Hast du Newt als Docker Image auf der Synology installiert? Eigentlich sollte das dann funktionieren.

EDIT:
Ich habe Newt im Docker Container, mit dem fosrl Image auf der Synology gestartet.

Das sind die Einstellungen, die ich angepasst habe.
Host-Netzwerk verwenden:

Parameter aus der Pangonlin Konfiguration:

Damit kann ich das Webinterface meiner (alten Test-)Synology über Pangolin erreichen.
Hast du Pangolin soweit eingerichtet oder brauchst da noch Screenshots von der Config?

Gruß,
Bastian

Sieht super aus! Auf ein 10 Zoll Rack hätte ich auch Lust, aber ich wüsste ehrlich gesagt nicht, wofür ich es nutzen sollte. Ich könnte es mit in den Urlaub nehmen, aber mein Frau erklärt mich schon wg. des Travel Routers für verrückt

Ich bin mit meinen VPS bei Hetzner. Aber bei Strato hab ich meine Domains. Hab da auch noch nie schlechte Erfahrungen gemacht.

Hast du die Blenden für das Rack selbst gedruckt?

Hi,

ich bin gerade dabei, mich von PRTG zu verabschieden und richte Zabbix ein. Es ist einigermaßen aufwändig, die zu überwachenden Hosts hinzuzufügen, aber ich komme einigermaßen voran.

Wozu mir aktuell noch die Ideen fehlen, sind aussagekräftige Dashboards, da die Datenfülle sehr hoch ist und die möglichen Darstellungsvarianten mich aktuell erschlagen.

Habt ihr Zabbix im Einsatz und könnt evtl. mal eure Dashboards zeigen, damit ich eine Idee kriege, was möglich wäre?

Thx,
Bastian

Moin und herzlich willkommen

nettes Setup Man muss ja nicht alles in einem 19 Zoll Rack unterbringen. Ist immer ein Frage der eigenen Anforderungen.

Pangolin habe ich auch im Einsatz. Allerdings erst, seitdem ich das Forum aufgesetzt habe, um öffentliche und private Dienste zu trennen. Wenn du Fragen hast, dann immer her damit. Mittlerweile sind ja ein paar Leute an Bord.

Bei welchem Hoster hast du den VPS gemietet?

Gruß,
Bastian

Hi und willkommen an Bord

Ja, ein Reverse Proxy wäre grundsätzlich eine Lösung.

Das Problem bei dem Szenario, was ich damals erlebt hab, war dass eine Applikation aus einem anderen Netz auf definierte IPs und Ports der bei uns betriebenen Applikation zugreifen musste. DNS war keine Option, also fiel ein Reverse Proxy aus. Die Alternative wären evtl. mehrere Netzwerkkarten in der Docker-VM gewesen.

Hi,

das Forum verfügt über eine Fediverse Integration. Das bedeutet, dass ihr hier in der Benutzersuche (https://19inch.org/users) auch User aus dem Fediverse finden und ihnen hier folgen könnt. Auch anschreiben in Posts (z.B. @bastian_s@mastodon.social) funktioniert. Die User erhalten dann auf ihrer Plattform eine Nachricht.
Andersherum funktioniert es natürlich auch. Wird euer Account hier z.B. auf Mastodon angeschrieben, spühlt es den Beitrag hier in die Kategorie 'World'.

EDIT:
Hier steht einiges zur Integration, auch wie man Beiträge aus anderen Teilen des Fediverse ins Forum holt und dann hier damit interagiert.
https://docs.nodebb.org/activitypub/

Probiert es gern mal aus

Gruß,
Bastian