Self-Hosting: Dienste mittels Reverse-Proxy oder (VPN-)Tunnel zugänglich machen

Vom Reverse-Proxy Caddy bis zum Tunnelbau mit Pangolin: Lernen Sie Methoden für fortgeschrittene Self-Hoster kennen, um Dienste ins Netz zu bekommen.

Artikel verschenken

17

(Bild: KI, Collage c’t)

12.06.2025, 09:00 Uhr

Lesezeit: 13 Min.

c't Magazin

Von

Niklas Dierking

Self-Hosting: Dienste mittels Reverse-Proxy oder (VPN-)Tunnel zugänglich machen
- Schloss ist Pflicht
Tunnellösung und VPN-Vernetzung
Overlay-VPNs
Fazit

Artikel in c't 13/2025 lesen

Der erste Heimserver läuft, die ersten Dienste laufen auf dem Raspi oder Mini-PC und die ersten Nutzer greifen darauf zu. Nicht selten steigen dann irgendwann die Ansprüche: Spätestens, wenn mehrere Rechner oder VMs ins Spiel kommen oder Dienste für alle Nutzer auch ohne VPN aus dem Internet erreichbar sein sollen, lohnt es sich, eine Infrastruktur zu zimmern, die jederzeit leicht erweitert werden kann. Dabei helfen Reverse-Proxys, automatisches Management von TLS-Zertifikaten und (VPN-)Tunnellösungen.

Um selbst gehostete Dienste zugänglich zu machen, gibt es verschiedene Methoden.
Es lohnt, ein Setup aufzubauen, das später leicht erweitert werden kann.
Mit (VPN-)Tunneln können alle selbst hosten, auch ohne Portweiterleitung am Router.

Letztere ermöglichen auch das Self-Hosting, wenn der Internetanbieter Carrier-Grade-NAT (CG-NAT, CGN) oder Dual Stack Lite verwendet. CG-NAT wird genutzt, um knappe IPv4-Adressen zu sparen, indem Kunden IPv4-Adressen aus dem privaten Adressbereich zugeteilt werden. Ein zusätzliches Gateway zwischen dem Router und dem Netzbetreiber kümmert sich dann um die Adressübersetzung. Bei DS Lite bekommen Kunden eine öffentliche IPv6-Adresse und IPv4-Traffic wird in IPv6-Paketen gekapselt. Dadurch sind keine Portweiterleitungen zu Geräten im Heimnetz mit IPv4-Adresse möglich.

Schloss ist Pflicht

Es ist obligatorisch, Dienste, die im Internet hängen, mit einer Transportverschlüsselung zu versehen. Brauchen Sie nur einen Automatismus, der ein TLS-Zertifikat beschafft und vor dem Ablauf austauscht, genügt das Kommandozeilenwerkzeug Certbot. Aber wenn Sie mehrere Dienste betreiben, sollten Sie einen Reverse-Proxy einspannen, der Anfragen aus dem Internet entgegennimmt und an den richtigen Dienst durchreicht sowie Zertifikate besorgt und erneuert. Bei den Self-Hostern in der Redaktion ist Traefik dafür beliebt. Dieser Reverse-Proxy bietet sich an, wenn man eine Vielzahl von containerisierten Diensten betreibt, setzt aber etwas mehr Konfigurationsaufwand voraus.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Leistungsstarke Vaillant-Wärmepumpe vor leistungsbedürftigem Bestandshaus.

Vergleich: Die 44 interessantesten Monoblock-Wärmepumpen mit R290 zur Sanierung

Wir schauen uns den Markt der Monoblock-Propan-Luft-Wasser-Wärmepumpen für 12 +-1 kW Heizlast an und sortieren nach Funktion und Herstellerländern.

19 M.2-SSDs mit PCIe 4.0 und 5.0 im Test

Dieser Artikel versammelt SSDs von schnell bis superschnell. Darunter sind Neuheiten von Samsung und Raspberry Pi sowie aktuelle sparsame PCIe-5.0-Technik.

Weißer Grabstein, weiße Kreuze, dahinter ein Regenbogen

Analyse: Projektsterben in der Cloud-Native-Welt

Open-Source-Lizenzen werden ersetzt, populäre Projekte beendet und Images entfernt. Die Anzeichen verdichten sich: Die goldenen Cloud-Native-Zeiten sind vorbei.

PC-Bauvorschlag: High-End-Allrounder mit Ryzen 9000 und Radeon RX 9070 XT

Unser leistungsfähiger, aber leiser Bauvorschlag tritt in zwei Varianten an. Sie können ihn für Gaming, KI-Anwendungen sowie Foto- und Videobearbeitung nutzen.