Was ist ein Homelab?
Ein Homelab ist eine selbst betriebene IT-Infrastruktur, die du vollständig kontrollierst. Kein gemieteter VPS, kein Managed Service — du betreibst die Hardware, das Netzwerk und die Dienste selbst. Das reicht von einem einzelnen Mini-PC bis hin zu einem vollständig segmentierten Netzwerk mit Firewall, Managed Switch, mehreren Servern und dutzenden Diensten.
Der Begriff “Lab” täuscht: viele Homelabs laufen produktiv und ersetzen bezahlte Cloud-Dienste. Was als Experimentierumgebung beginnt, wird schnell zur echten Infrastruktur — für Dateiablage, Passwortmanager, Git-Server, Monitoring, Smart-Home-Automation oder DNS.
Der Unterschied zu einem “normalen Heimnetz” mit Consumer-Router liegt in der Tiefe: du entscheidest, welcher Traffic wohin darf, du segmentierst Geräte nach Vertrauensstufen, du automatisierst Deployments und du hast Transparenz über alles, was in deiner Infrastruktur passiert.
Wozu ein Homelab?
Es gibt kein einziges richtiges Motiv. Typische Gründe:
Lernen. Praktisches Hands-on mit Technologien, die im Berufsalltag vorkommen: Firewall-Regelwerke, VLAN-Design, Virtualisierung, Container, DNS, PKI. Kein Tutorial ersetzt das, was du lernst, wenn du dich selbst aussperrst und weißt, dass du das Problem lösen musst.
Datensouveränität. Nextcloud statt Google Drive. Vaultwarden statt 1Password. Forgejo statt GitHub für interne Projekte. Deine Daten, dein Server, deine Regeln.
Kostenersparnis. Drei virtuelle Maschinen auf einem gebrauchten Mini-PC kosten einmalig 80–150 Euro — und keinen monatlichen Abo-Beitrag.
Reproduzierbarkeit. Wenn du lernst, Infrastructure as Code einzusetzen (OpenTofu, Ansible), kannst du deine gesamte Infrastruktur aus einem Git-Repository wiederherstellen.
Kontrolle. Keine Abhängigkeit von Anbietern, keine unerwarteten API-Änderungen, keine Telemetrie, die du nicht abschalten kannst.
Abgrenzung: Was ein Homelab nicht ist
Ein Homelab ist kein Rechenzentrum. Du brauchst keine Enterprise-Hardware, keine redundante Stromversorgung und keine 24/7-Bereitschaft. Es ist kein Wettbewerb um die teuerste Hardware-Sammlung — ein Raspberry Pi und ein gebrauchter Mini-PC sind ein vollständiges Homelab, wenn du weißt, was du damit machst.
Ein Homelab ist auch kein Ersatz für ein echtes Backup. Egal wie robust deine Infrastruktur ist: Daten, die nur auf einer physischen Location liegen, sind kein Backup.
Die Bausteine
Ein vollständiges Homelab besteht typischerweise aus diesen Schichten:
Netzwerk und Firewall
Der wichtigste Baustein, weil alles andere darauf aufbaut. Statt eines Consumer-Routers setzt du eine dedizierte Firewall ein — in dieser Serie OPNsense, eine BSD-basierte Open-Source-Firewall mit Web-Interface, Paketfilter, IDS/IPS, VPN und mehr.
VLANs (Virtual Local Area Networks) sind virtuelle Netzwerksegmente auf derselben physischen Infrastruktur. Du trennst Geräte nach Vertrauensstufen: Management-Geräte in einem VLAN, normale Clients in einem anderen, IoT-Geräte in einem dritten. Damit verhindert ein kompromittiertes Gerät im Gäste-WLAN, dass es auf deine Server zugreift.
Ein Managed Switch verteilt diese VLANs physisch und erlaubt dir, pro Port zu definieren, welches VLAN ungetaggt weitergegeben wird.
Virtualisierung
Statt für jeden Dienst einen eigenen physischen Server zu betreiben, läuft alles als virtuelle Maschine (VM) auf einem KVM-Host. KVM ist seit 2007 Teil des Linux-Kernels und der Standard bei allen großen Cloud-Anbietern.
libvirt ist die Verwaltungs-API darüber: VMs erstellen, starten, stoppen, snapshotten. virt-install und virsh erlauben vollständig reproduzierbare VM-Deployments über die Kommandozeile.
Storage
VMs brauchen Speicher. Optionen: eine zweite Disk dediziert für VM-Images, LVM, NFS oder Ceph für verteilten Storage. In dieser Serie starten wir mit einfachem Directory-Storage und erklären später Ceph für mehrere Nodes.
Dienste
Was auf den VMs läuft, ist dir überlassen. Typische Homelab-Dienste:
| Dienst | Funktion |
|---|---|
| Unbound / PowerDNS | Interner DNS-Resolver, Split-DNS |
| step-ca | Eigene PKI, interne TLS-Zertifikate |
| Vaultwarden | Passwortmanager (Bitwarden-kompatibel) |
| Nextcloud | Dateiablage, Kalender, Kontakte |
| Forgejo | Git-Server, CI/CD |
| Home Assistant | Smart-Home-Automation |
| Grafana + Prometheus | Monitoring, Metriken |
| Restic + ReaR | Backup und Bare-Metal-Recovery |
Backup
Ein Homelab ohne Backup ist kein Homelab, sondern eine Zeitbombe. Backup ist kein “späteres Thema” — es gehört von Anfang an zur Architektur.
Das Netzwerk-Schema dieser Serie
Alle Teile der Serie nutzen dieselben Hostnamen, IPs und VLANs. Das ist die verbindliche Referenz:
| VLAN | Netz | Gateway | Zweck |
|---|---|---|---|
| 10 | 192.168.10.0/24 | 192.168.10.1 | MGMT (Firewall-/Switch-/Controller-UIs) |
| 20 | 192.168.20.0/24 | 192.168.20.1 | CLIENTS |
| 30 | 192.168.30.0/24 | 192.168.30.1 | GUESTS |
| 40 | 192.168.40.0/24 | 192.168.40.1 | INFRA (Server; Native VLAN am KVM-Host) |
| 50 | 192.168.50.0/24 | 192.168.50.1 | IOT |
| 60 | 192.168.60.0/24 | 192.168.60.1 | DEV (Testsysteme) |
| Host | IP | Rolle |
|---|---|---|
fw.home.arpa | 192.168.10.1 | OPNsense-Firewall |
sw01.home.arpa | 192.168.10.2 | Managed Switch |
kvm01.home.arpa | 192.168.40.100 | KVM-Host #1 |
forgejo.home.arpa | 192.168.40.110 | Git/CI |
pki.home.arpa | 192.168.40.112 | step-ca PKI |
dns01.home.arpa | 192.168.40.113 | DNS (PowerDNS/Bind9) |
Die Domain home.arpa ist nach RFC 8375 für lokale Homelab-Nutzung vorgesehen — kein eigentlicher TLD-Verkehr, kein DNSSEC-Konflikt.
Die Serienteile im Überblick
Diese Serie baut das Homelab von Grund auf, Schritt für Schritt:
OPNsense: Eigene Firewall fürs Homelab mit VLANs — Firewall installieren, PPPoE über FritzBox (Bridge), fünf VLANs, Managed Switch, Omada-APs, Hairpin-NAT.
KVM-Virtualisierung auf Debian 13 einrichten — KVM + libvirt installieren, Bridge-Netzwerk für VLAN 40, Storage Pool, Remote-Verwaltung mit virt-manager.
VMs & Storage Pools mit libvirt und virt-install — VMs reproduzierbar per CLI erstellen, ISO verifizieren, Snapshots, VM-Templates.
Weitere Teile in Vorbereitung: weiterer KVM-Node + Cluster, eigener DNS-Server (PowerDNS), Ceph-Storage, Backup mit Restic + ReaR, Home Assistant im IOT-VLAN.
Was du mitbringen solltest
Diese Serie richtet sich an IT-Interessierte mit Grundkenntnissen in Linux und Netzwerken. Du musst kein Netzwerkingenieur sein — aber du solltest wissen, was eine IP-Adresse, ein Subnetz und ein SSH-Login sind. Die Tutorials erklären das Konzept hinter jedem Schritt, damit du nicht nur nachklickst, sondern verstehst, was passiert.
Hardware-Einstieg: ein gebrauchter Mini-PC mit zwei Netzwerkkarten (oder einer Karte + Managed Switch für VLANs), 8 GB RAM und einer SSD reicht für die ersten Teile.
Troubleshooting
Konzeptbeitrag — kein ausführbarer Code, keine typischen Fehlerbilder.
Falls du beim Durcharbeiten der Serienteile auf Probleme stößt: Jeder Teil hat einen eigenen Troubleshooting-Abschnitt. Grundsätzlich gilt: lies Fehlermeldungen vollständig, prüfe Logs (dmesg, journalctl, OPNsense-Firewall-Log) und teste Schicht für Schicht (Layer 1 physisch → Layer 2 VLAN-Tagging → Layer 3 Routing → Layer 7 Dienst).
Weiterführend
- OPNsense: Eigene Firewall fürs Homelab mit VLANs
- KVM-Virtualisierung auf Debian 13 einrichten
- VMs & Storage Pools mit libvirt und virt-install
Changelog
- 2026-06-24 — Erstveröffentlichung (Entwurf).