Arkitektuella frågor om halvseriös hemmaserver

Hej!

TL:DR
Ska virtualisera hemma. Vilken platform ska jag välja, och hur bör jag lägga upp det.

Har en hemmaserver som i dagsläget är baserad på Virtualbox (phpVirtualbox).

Hade nu tänkt att ge mig på XenServer eller något liknande istället för en lite seriösare plattform.
Alternativt Xen om jag kan hitta något bra management tool.
Har kikat lite på Xen Orchestra, men förstår inte riktigt vad gratisvarianten innehåller. Får utvärdera det helt enkelt.
Alternativa förslag tas gärna emot här också.

Ingen serverhårdvara, utan en vanlig PC med 32GB minne, 6*3TB WD-diskar, 2*512GB ssd med skylake i7.
Har kört mjukvaruraid nu. Är det vettigt/ens möjligt att köpa in någon controller och låta hårdvaran sköta det iställlet?

Ändamålet för servern är ganska stort. Den ska agera:

Databasserver(mysql/mariadb -teamspeak, wordpress, egna applikationer, owncloud, diverse)
Filserver (owncloud, diverse)
Backupserver (lite oklart. Funderar på FreeNAS eller en egen distro kanske. Ska sköta fil-backup och snapshots)
Spelserver (oklart vad resurserna räcker till, tänk i banorna Minecraft/CSGO)
Byggserver (Jenkins, ska bygga och deploya till webbservern)
Webbserver (apache med mod_mono, kommer hosta en asp/mvc .net-sida)
Webb-/blog-server (funderar på att erbjuda någon gratis-tjänst, as is, till vilka som nu är intresserade)
Mediaserver (plex)
brandvägg (pfsense)
Övervakningsserver(för att hålla koll på alla VMs)
.
.

Ja, lite allt möjligt helt enkelt.

Vissa saker här däremot ska inte vara tillgängliga för alla.

Exempelvis ska endast jag/ett fåtal människor ha tillgång till Jenkins, .net-applikationen, Plex och Owncloud.
Webb- och spelserver ska såklart vara publika.

En fundering är hur jag bör lägga upp det rent topologiskt.
Jag antar att Xen har nån form av funktionalitet för internt nätverk med switch och dylikt, då den stackars hemroutern allt ska ligga bakom inte är av högsta kvalitet. Jag vill undvika att trafik går tillbaka ut i den fysiska switchen.
Ett LAN för den privata sfären, och ett annat LAN för de publika delarna. Så får pfsense se till att de inte når varandra. Tankar?

internet(pubIP) - Router(X.X.1.0/24) - XenServer(X.X.1.100/24) - (X.X.1.101)pfsense - LAN1(X.X.2.1/24 +VPN) - privat
- LAN2(X.X.3.1/24) - publik

Microsoft Windows är helt uteslutet.
Jag har aldrig jobbat med domänbitarna i Linux tidigare. Men det ska väl finnas något motsvarande AD i dessa miljöer. Jag läste för flera år sedan att Samba4 skulle bli en någorlunda vettig ersättare.

Behöver jag ens bry mig om domäner?
Det är egentligen endast jag +ev någon till på de interna/privata bitarna.
De publika däremot, får jag se vad jag hittar för intresse. Där blir det nog allt från 0 till okänt antal användare. Exakt vilken access dessa behöver vet jag inte heller i dagsläget.

Jag har kikat lite på FreeNAS. Det skrivs att detta under inga omständigheter ska köras virtuellt, utan krävs att det ska ligga på bare metal. Å andra sidan, finns det andra som säger att man ska enabla något som heter PCI passthrough så är det bara att köra på sedan. Någon som har någon erfarenhet/tankar kring detta?
Har sett att FreeNAS har både plex och owncloud som tillval. Vore smidigt om den kunde lösa Backup, Plex, Owncloud. Dock så blandas jag privata och publika saker på samma server - vilket skulle kunna vara en dålig idé. Samtidigt är FreeNAS ganska resurskrävande, så att ha två olika instanser är oönskvärt.

Sedan har jag ett stort problem som jag hoppas inte allting faller på.
Vad jag sett på min pfsense bakom Virtualbox är att allt kommer in från den publika IPn som avsändare.
Det vill säga, jag kan inte tillämpa whitelists. Jag vet inte om det är routern, eller någon lastbalanserare innan dess från ISP som hittar på något här.
Hittar inga inställningar i routern om det i alla fall. Går det att lösa så jag faktiskt ser vem som gör vilket anrop? Vill såklart endast whitelista min egna IP kring diverse olika tjänster. Jag kommer alltså inte ha fysisk tillgång till LAN X.X.1.0/24, utan har det hos en polare med lite vassare internet än mitt sletna ADSL.

Det är en jäkla massa text och tankar ovan. Jag hoppas någon kommer med lite input i alla fall. Det skulle uppskattas!

Tack så hemskt mycket för ditt svar! Det var väldigt tänkvärda frågeställningar faktiskt.
Jag kom själv på att kanske ha en pfsense direkt efter routern, och vba alla portar dit som inte det första LAN:et faktiskt behöver.
Men om det du nämner fungerar, så borde det lösa mycket konfigurations- och prestandamässigt.

Det är en 1000/1000 uppkoppling, och ja, det är med tv/tele på den. Det är ett hus med två lägenheter som använder samma router.
Däremot, känner jag den ena personligen sedan 20 år. Den andra hyresgästen i huset känner även min kompis väldigt väl. Så om tekniskt möjligt, definitivt den bästa lösningen.

Ska genast kolla upp detta.

Tack för tipset!!

Det var inte möjligt.
Fibern går direkt in i routern/switchen...

Tack för ditt förslag. Jag kommer dock ändå inte förbi problemet med att bli av med första routern.

Kommer nog få bli såhär:

                                                  ---LAN1-x.x.2.1/24(kompisens saker)       
WAN(pubIP) - skitrouter(1.1) - fysisk pfsense(1.2) 
                                                  ---LAN2-x.x.3.1/24(XenServer, VPN1 för att kunna använda XenServer management tool)
                                                  ---virtuell pfsense -x.x.3.3/24(dess wan ip)
                                                        ---PubLan-x.x.1.1/24(som ska ut mot internet) -virtuellt
                                                        ---IntLan-x.x.2.1/24(alla mina egna grejer, VPN2) -virtuellt

Jag ber om ursäkt kring mina värdelösa ritfärdigheter

Ska bara gräva fram några NICs (har ingen manageable switch)
Sedan se hur länge mitt huvud kan hålla koll på allt NAT-kaos

Angående virtuell pfsense/brandvägg överlag. Jag har bara goda erfarenheter av detta. Har aldrig strulat faktiskt. Jag hoppas inte det börjar nu för det.

Om jag ändå hade sett detta svaret lite tidigare...

Jag kan informera att buggen fortfarande finns kvar i XenServer 6.5 och pfSense 2.3 ...

Följer guiderna enligt konstens alla regler kring att stänga av checksums, men av någon anledning vill det virtuella nätverket inte vakna ändå.

Får testa vidare i helgen.
Worst case får jag väl ge mig på någon annan brandvägg (är dock väldigt förtjust i pfsense)

Jag har 1 fysisk pfsense innan den virtuella och Xen.
Just för att skilja det virtuella mot det fysiska nätverket där allt annat (TV, Gaming PC, etc) är inkopplat. Så omstart/strömavbrott påverkar inte internetuppkopplingen (eller ja, strömavbrottet gör ju det... )

EDIT: pfsense 2.3 är det. Inte 3.0

Det låter intressant. Jag håller mig från alforna dock. Det känns som man bör vara mer insatt/intresserad för att hoppa på alfor.

Jag lyckades lösa problemen till slut. Kanske.
gjorde några wget-test, och fick ut 13MB/s. Vet inte var flaskhalsen var dock. Källan, pfSense eller XenServer (1/1Gbit-uppkoppling)

Tyvärr, visade det sig att jag är dum i huvudet, vilket upptäcktes genom en Wireshark:

"Vafan, jag ser ju att jag skickar mina SYN, och de VBas korrekt från pfsense till IP ... AHhhrrghhhh!"#¤%¤#"%#/&."

kom jag på att det var fel IP-adress jag felsökt hela tiden mot... i ~5 timmar.

Nästa steg får bli att ge FreeNAS hdd-access.
Läste nånstans om att kan kunde "göra om" dem till USB-minnen och ge över de till en VM. Om jag nu tolkade det hela rätt.

http://techblog.conglomer.net/sata-direct-local-disk-access-o...

In med deluged och testa prestandan på riktigt.

Jag vet inte än.
Jag körde en Plex server tidigare som hade sin media på en Freenad (bägge VMs) vilket jag streamade över OpenVPN.
Funkade okej ändå. Lite trist med overhead på min VPN. Kan inte streama 1080p (mitt stackars adsl klarar 17mbps en bra dag). Bättre det dock än att försöka seeda med 0.8mbps

Jag funderade på att försöka ge över controllern på moderkortet. Men SSDn för XenServer sitter där med. Jag antog att det inte skulle gå och började leta om man kunde göra det på Sata-port-nivå istället.
Det närmsta jag hittade var just den där USB-lösningen. Jag hoppade över steget med att skapa en virtuell disk. Vet ärligt talat inte huruvida det blir samma som direct access eller inte.
Kan jag se detta i FreeNAS?

Har precis mountat upp dem och raidat upp i RaidZ2.
Inga felmeddelande åtminstone...ännu.