Reverse Proxy einrichten: Nginx Proxy Manager für Homelabs

Ein Reverse Proxy sitzt zwischen dem Internet und deinen Homelab-Diensten. Er empfängt alle eingehenden Anfragen und leitet sie anhand des Domainnamens an den richtigen internen Dienst weiter.

Statt dir viele Ports merken zu müssen (192.168.1.10:8096 für Jellyfin, :8123 für Home Assistant, :9000 für Portainer), greifst du einfach über sprechende URLs zu:

• jellyfin.meinedomain.de
• homeassistant.meinedomain.de
• portainer.meinedomain.de

Vorteile eines Reverse Proxy:

• Automatisches HTTPS mit Let's Encrypt (kostenlose SSL-Zertifikate)
• Zentrale Zugangskontrolle
• Keine offenen Ports außer 80/443
• Einfachere Wartung und Übersicht

Nginx Proxy Manager ist der beliebteste Einstieg: grafische Oberfläche, automatische SSL-Zertifikate und einfache Host-Verwaltung per Klick. Traefik ist die bessere Wahl, wenn du viele Docker-Container hast – es erkennt Container automatisch über Docker-Labels.

Die Installation erfolgt per Docker Compose. Du brauchst folgende Ports:

• Port 80 – HTTP (Weiterleitung zu HTTPS)
• Port 443 – HTTPS
• Port 81 – Admin-Panel (nur intern zugänglich machen!)

Nach dem Start erreichst du das Admin-Panel unter http://DEINE-IP:81 mit den Standardzugangsdaten. Ändere das Passwort sofort nach dem ersten Login.

Für jeden Dienst erstellst du einen Proxy Host:

1. Domain/Subdomain eingeben
2. Interne IP und Port deines Dienstes angeben
3. SSL-Zertifikat aktivieren (Let's Encrypt, automatisch)
4. Optional: Zugangsbeschränkung per Passwort oder IP-Range

Damit dein Reverse Proxy Anfragen richtig zuordnen kann, brauchst du DNS-Einträge:

• Eigene Domain (z. B. bei Cloudflare, Netcup) – A-Record auf deine öffentliche IP oder DDNS-Adresse
• Wildcard-DNS (*.meinedomain.de → gleiche IP) – dann funktioniert jede Subdomain automatisch

Für den Zugriff nur innerhalb des lokalen Netzwerks kannst du auch .local-Domains oder einen lokalen DNS-Server (Pi-hole, AdGuard Home) verwenden.

Tipp: Cloudflare bietet kostenloses DNS mit Proxy-Funktion (DDoS-Schutz). Mit Cloudflare Tunnels brauchst du nicht einmal eine Portweiterleitung im Router.

Ein Reverse Proxy exponiert deine Dienste potenziell ans Internet. Befolge diese Best Practices:

• HTTPS erzwingen – Leite HTTP immer auf HTTPS um
• Admin-Panels nicht exponieren – Portainer, Proxmox-UI und ähnliche nur intern oder per VPN zugänglich machen
• Fail2ban installieren – Blockiert IP-Adressen nach mehrfachen fehlgeschlagenen Login-Versuchen
• Firewall whitelisten – Nur die Ports 80/443 nach außen öffnen
• Authentifizierung hinzufügen – Nginx Proxy Manager unterstützt Basic Auth und Access Lists
• Updates einspielen – Docker-Images regelmäßig aktualisieren (docker compose pull)

Für den externen Zugriff ist ein VPN (WireGuard) oft sicherer als ein öffentlich erreichbarer Reverse Proxy. Exponiere nur Dienste, die dafür ausgelegt sind (Nextcloud, Vaultwarden).