Mein Homelab-Projekt | max.six Reiseblog

Hi! Lange war ich abwesend, doch nun möchte ich mich mal wieder mit etwas ganz Anderem melden. Nämlich meinem neuen Heimserverprojekt (Homelab).

Ich werde dieses Jahr zwar auch wieder nach Portugal verreisen und von dort berichten und es stehen auch noch einige Beiträge zu Teneriffa und Dänemark aus, doch darum soll es hier jetzt nicht gehen.

Inhaltsverzeichnis Verbergen

1. Über Datensouveränität und Bastelei daheim…

2. Wie alles begann

3. Wie sieht nun mein Setup aus?

4. Von unterwegs ins Heimnetz per VPN

5. Zu TrueNAS

Über Datensouveränität und Bastelei daheim…

Gleich vorweg: Ich will gar nicht so auf den Panikzug aufsteigen. Ich liebe die Tools, zum Beispiel von Google (Drive, Photos, Sheets). Dennoch hat das Gewüte von Donald Trump und die damit verbundenen Unsicherheiten in allen Bereichen natürlich nachdenklich gemacht. Es geht mir darum, eine Alternative zu finden, falls Dienste wie Google Drive, die ich z.B. nutze, keine nutzbare Optionen mehr sind.

Außerdem geht es mir mittlerweile mehr denn je um Datensouveränität. Also ich möchte entscheiden, wo meine Daten liegen, wer sich darum kümmert und was damit gemacht wird. Und das geht nicht ohne etwas Aufwand. Zwar sind gerade interessante Optionen aus Europa im Entstehen (z.B. Proton Drive), aber auch da bin ich zwangsläufig nicht unbedingt Herr meiner Daten.

Wie alles begann

Angefangen hat alles im Frühjahr 2025 mit meinem Ärger über Amazon bzw. den Dienst Amazon Prime, der anders als andere Videostreamingplattformen nicht gesagt hat: „Hey, du kannst jetzt auch günstiger schauen, dann aber halt mit Werbung“, sondern „Hey, du bekommst jetzt fürs selbe Geld Werbung, kannst aber natürlich auch mehr bezahlen, um sie wieder loszuwerden“. Das ging mir sehr gegen den Strich, und überhaupt habe ich dort nur alte Kamellen wie Pastewka, Two and a half Men und King of Queens in Dauerschleife rauf und runter gesehen. Schade ums Geld.

Also habe ich damals recherchiert und mir einen etwas älteren HP Elitdesk 800 G2 mit 8GB Arbeitsspeicher und einer Intel i5-6500 3,20 GHz CPU für 53 € gekauft. Darauf habe ich dann TrueNAS Scale installiert, das mir bei der Datensicherung (RAID, Backups, etc.) helfen sollte, um darauf wiederum die App „Jellyfin“ zu hosten. Fertig war mein eigenes „Amazon Prime“ daheim. Es läuft bis heute und das unverschämt gut. Natürlich musste ich mir dafür meine Inhalte, die noch nicht im DVD-/BluRay-Regal standen, einmalig kaufen und digitalisieren. Aber: Dafür besitze ich die Inhalte und kann sie so oft (werbefrei!) sehen, wie ich möchte.

Eine Ansicht von Jellyfin meines Homelabs — Ein Ausschnitt meiner Jellyfin-Bibliothek

Meine Homelab-Server — Kleiner geht immer, aber die Tower sind gut für viele 3,5 Zoll-Festplatten – leider nicht gut entstaubt 😬

Das war aber erst der Anfang…

Das Ganze hatte mir so viel Spaß gemacht, dass ich mir prompt noch einen zweiten HP Elitedesk 800 G2 kaufte. Diesmal aber immerhin schon mit 16 GB Arbeitsspeicher für ca. 60 €. Dieser sollte mein NAS sein und damit meine Google Drive ersetzen. Mittlerweile kann der aber noch eine ganze Menge mehr. Er hostet auch über das Tool „Immich“ meine gesamte Fotogalerie und ersetzt dadurch Google Photos, und ich liebe es. Ich hoste dort aber auch meine Einkaufsliste mit KitchenOwl (ähnlich zu Bring), meine Drive mit Nextcloud und einige andere Dienste, auf die ich gern später nochmal eingehe.

Wie sieht nun mein Setup aus?

Tatsächlich hat es sich immer wieder verändert. Zuerst habe ich rein lokal gehostet und über die IP aufgerufen, dann einige Dienste „öffentlich“ über Cloudflare erreichbar gemacht, später Cloudflare durch meinen eigenen Reverse-Proxy mit Sicherheitsschranke durch TinyAuth in Kombination mit Pocket ID als SSO-Provider ersetzt. Mein aktuellstes Setup geht aber noch einen ganzen Schritt weiter. Stichwort: Split-DNS

Hier mal veranschaulicht am Beispiel meiner Nextcloud-Instanz:

Mein Wunsch war es, Bequemlichkeit und Sicherheit zu vereinen. Ich wollte weiterhin über meine Domain (z.B.: cloud.domain.de) auf meine Daten zugreifen.

OnlyOffice integriert in Nextcloud — Mit OnlyOffice in Nextcloud kann man wie bei GDocs Dokumente mit mehreren Personen gleichzeitig bearbeiten

KitchenOwl Einkaufsliste — Unsere Einkaufsliste mit KitchenOwl – gibts natürlich auch als App

Gebe ich nun cloud.domain.de in meinen Browser ein, geht die Anfrage zunächst an meinen Router. Der sagt meinem Browser, hinter welcher IP mein DNS-Server (für die Domainnamensauflösung) steckt und leitet mich dahin weiter. Meinen DNS-Server hoste ich mit Pihole selbst. Pihole erkennt die Domain, da ich sie dort hinterlegt habe und leitet mich automatisch an meinen Reverse Proxy weiter. Der Knackpunkt ist jedoch, dass ich diesen DNS-Eintrag nur in meinem Heimnetzwerk bekomme. Da ich weder einen „echten“ Domaineintrag bei einem Domain-Anbieter hinterlegt habe, noch einen Port an meinem Router freigegeben habe, funktioniert diese Anfrage eben nur hier zuhause. Mein Reverse-Proxy weiß dann, unter welcher IP und vor allem unter welchem Port mein Nextcloud-Server zu finden ist, und leitet mich dahin weiter. Zusätzlich stellt mir mein Reverse-Proxy (Nginx Proxy Manager) über Let’s Encrypt noch SSL-Zertifikate aus, damit meine Verbindung verschlüsselt bleibt.

Von unterwegs ins Heimnetz per VPN

Von unterwegs aus geht das Ganze aber auch. Dazu nutze ich den Dienst „Tailscale“, der mehrere sehr vorteilhafte Eigenschaften bietet, auf die hier näher eingegangen wird. Tailscale verbindet sich auf meinem iPhone als VPN automatisch, sobald ich mein Heimnetzwerk verlasse, und schreibt meinem Handy gleichzeitig vor, dass ich meinen daheim gehosteten DNS-Server nutzen muss, um Domains aufzulösen. Das gibt mir den Vorteil, dass ich auch von unterwegs aus auf meine Nextcloud unter cloud.domain.de zugreifen kann, ohne mir eine IP oder Ports merken zu müssen. Als Außenstehender, also jemand ohne Zugang zu meinem VPN oder meinem Heimnetzwerk, bleibt die Anfrage unbeantwortet und die Nextcloud bleibt unsichtbar.

Ganz ähnlich mache ich es mit dem unfassbar genialen Tool „Immich“, nur dass ich hier entsprechende Einstellungen getätigt habe, damit man Fotoalben oder einzelne Fotos nach „außen“ hin teilen kann. Dieser Bereich ist dann zwar im Internet abrufbar, wird aber durch TinyAuth als Vorauthentifikation geschützt. Nur zugelassene Familienmitglieder können sich dann da einloggen. Da in meiner Familie viele ein Google-Konto haben, habe ich Google als eine oAuth-Methode hinterlegt. Man kann sich also mit einem Google-Konto dort anmelden. Ich selbst wollte mich aber von Google unabhängig machen und habe deshalb eine Pocket ID-Instanz aufgesetzt.

Immich-Fotobibliothek — Immich ist Google Photos sehr ähnlich, nur mit mehr Funktionen und wesentlich schneller

Pocket ID OIDC — Mit Pocket ID kann ich User verwalten, die sich dann in bestimmte Dienste mit einem einfachen Passkey anmelden können – Passwörter ade!

Pocket ID ist eine OIDC-Lösung, die vollständig auf Passkeys setzt. Zuvor hatte ich mit Passkeys kaum Berührungspunkte und ehrlich gesagt Sorge davor, sie einzusetzen. Mittlerweile liebe ich das Tool und auch die Passkeys selbst, denn einfacher kann man einen Login echt nicht gestalten.

Zu TrueNAS

Da als Grundgerüst TrueNAS auf dem Server läuft, habe ich eine gute Basis zum Schutz meiner Daten. Mein NAS läuft im RAID 1 (Festplatten-Spiegelung). Ich habe also zwei identische Festplatten. Selbst wenn eine ausfällt, läuft das System mit der anderen weiter und ich habe Zeit, mir eine Ersatzfestplatte zu besorgen. Das ist ein Teil dessen.

Ein anderer ist, dass ich regelmäßig Snapshots meiner Apps und Daten erstellen lasse, um ungewollte Änderungen auch wieder rückgängig machen zu können. Mein NAS schickt mir selbstständig eine E-Mail, wenn es beispielsweise mit Apps oder Festplatten ein Problem gibt.

TrueNAS Scale Dashboard — Das TrueNAS Dashboard – tolles Tool

Der letzte Schritt, der aktuell noch fehlt, ist ein Backup auf einem externen System. Ein System, das am besten gar nicht hier, sondern in einem anderen Gebäude läuft. Momentan fertige ich ein „Backup“ noch in meiner Google Drive an, von der ich mich ja aber loslösen möchte.

Eine Idee wäre z.B., einen Backupserver bei einem Familienmitglied laufen zu lassen. Man könnte auch bei einem deutschen Serverhoster ein entsprechendes System mieten, wobei das in puncto Datensouveränität wieder mit Einbußen daherkommt. Das alles ist aber noch in der Planung und Umsetzung.

Das ist soweit mein aktuelles Setup. Sich damit zu beschäftigen und daran rumzubasteln, macht schon wirklich eine Menge Spaß. Gleichzeitig soll es für mich dabei ein Produktivsystem sein, dem ich meine Daten sicher anvertrauen kann. Dies bedeutet jedoch konstante Administration und alles, was das selbst hosten noch mit sich bringt (Festplattentausch, Kosten für Ersatzteile, Recherchen, und und und…).

Aber: Ich kann es nur jedem empfehlen. Die Daten sind dabei das eine, aber was man dabei lernt, das andere. Ich selbst bin nur Laie und es ist gut möglich, dass ich bei meinem Setup eine Menge Fehler gemacht habe. Wenn du mehr Ahnung davon hast, als ich, dann lass es mich gern wissen und korrigiere meine Fehler.

Na denn, bis zum nächsten Reisebericht! 👋🏼

Schreibe einen Kommentar Abbrechen

Neue Kommentare

Maximilian Sixdorf on Projekt Balkonkraftwerk – Lohnt es sich?: “Hallo Stefan, vielen lieben Dank für deinen Kommentar. Das werde ich mir mal ansehen und vielleicht müssen wir so keinen…”
Stefan on Projekt Balkonkraftwerk – Lohnt es sich?: “Hallo Maximilian, Du brauchst Deinen Strom übrigens nicht verschenken. Seit dem 01.01.2023 „lohnt“ es sich auch für BKW-Besitzer, die Einspeisevergütung…”