Reverse Proxy im Homelab: Ingress, TLS-Grenzen und Veröffentlichungsweg sauber planen
Reverse Proxy, Tunnel und ACME sauber einordnen: Dieser Leitfaden trennt öffentliche und private Pfade, Zertifikatslogik und Toolwahl anhand offizieller Dokumentation von NPM, Traefik, Caddy, Let's Encrypt und Cloudflare.
Diese Seite macht Rechenannahmen, Quellenlage und Aktualität transparent. Für Methodik, Korrekturen und unseren Umgang mit Automatisierung siehe Redaktionsgrundsätze.
Die erste Entscheidung lautet nicht Nginx oder Traefik, sondern: welcher Dienst darf wohin?
Ein Reverse Proxy ist kein Selbstzweck. Er ist Teil deines Ingress-Modells. Für ein Homelab ist deshalb die erste Frage nicht das Tool, sondern die Dienstklasse:
| Dienstklasse | Typischer Zugriffspfad | Was du sauber entscheiden musst |
|---|---|---|
| öffentliche Web-App | DNS + Reverse Proxy oder Tunnel | wie TLS endet, wie Zertifikate erneuert werden und wer öffentlich erreichbar ist |
| private Admin-Oberfläche | nicht zwingend öffentlich, oft besser intern oder separat abgesichert | ob sie überhaupt denselben Ingress wie Web-Apps teilen soll |
| LAN-only-Dienst | lokales HTTPS oder direkt nur intern | ob öffentlicher DNS/TLS-Overhead hier überhaupt nötig ist |
| dynamischer Containerdienst | docker-native Route oder klar definierte statische Konfiguration | ob Routing am Workload oder in einer zentralen GUI gepflegt werden soll |
Wenn diese Einordnung fehlt, landen Homelabs oft in einer Mischarchitektur: alles öffentlich, alles über denselben Proxy, Zertifikate halb automatisiert und Verwaltungsoberflächen unnötig exponiert. Das ist kein Tool-Problem, sondern ein Modell-Problem.
Vier offizielle Ingress-Modelle und wofür sie jeweils taugen
| Modell | Offiziell belegbarer Anker | Typische Stärke | Typische Grenze |
|---|---|---|---|
| Nginx Proxy Manager | Guide und Setup mit Ports 80, 81 und 443, GUI, SSL, Access Lists |
geradliniger GUI-Betrieb für feste Hosts und klassische Web-Veröffentlichung | zusätzliche Admin-Oberfläche will bewusst abgesichert sein |
| Traefik + Docker | Docker-Provider erzeugt Router, Services und Middlewares aus Labels | stark für dynamische Container-Stacks und deklarative Ingress-Regeln am Workload | mehr Komplexität, wenn du eigentlich nur wenige statische Hosts hast |
| Caddy | Automatic HTTPS beschafft und erneuert Zertifikate automatisch und leitet HTTP zu HTTPS um | schlanker, dateibasierter Betrieb mit wenig TLS-Handarbeit | nicht automatisch der beste Pfad für sehr dynamische Containerlandschaften |
| Cloudflare Tunnel | ausgehender Tunnel vom Origin zu Cloudflare, ohne öffentliche IP und ohne offene Inbound-Ports | öffentlicher Zugriff ohne klassisches Port-Forwarding | anderes Vertrauens- und Betriebsmodell als selbst terminierter Origin |
Diese Modelle sind keine Geschmacksrichtungen, sondern unterschiedliche Betriebsstile. Genau deshalb wirkt ein GUI-zentrierter NPM-Stack anders als ein labelgesteuerter Traefik-Stack oder ein tunnelbasierter Cloudflare-Zugang.
Upstreams und Geheimnisse: Reverse Proxy heißt nicht, dass der Rest offen liegen darf
Die NPM-Advanced-Config nennt als Best Practice ein eigenes Docker-Netzwerk, damit Upstream-Dienste auf demselben Host nicht zusätzlich auf alle Host-Interfaces veröffentlicht werden müssen. Genau das ist der häufigste Homelab-Fehler: Der Reverse Proxy läuft zwar vorne, aber die eigentlichen Services hängen trotzdem mit offenen Host-Ports daneben.
Traefik dokumentiert dazu die komplementäre Grenze: Labels sind nicht für sensitive Daten gedacht. Zertifikate, Credentials oder Secrets gehören laut offizieller Doku in sichere Speicherpfade wie Secrets oder Dateien, nicht in Container-Metadaten.
| Fehlerbild | Warum es problematisch ist | Sauberer Gegenentwurf |
|---|---|---|
| Upstream zusätzlich per Host-Port veröffentlicht | der Proxy wird als Kontrollschicht umgangen | interne Netzwerke nutzen, nur Ingress-Endpunkt exponieren |
| Passwörter oder Zertifikate in Labels | falscher Speicherort für sensible Daten | Secrets, Dateien oder providergeeignete Secret Stores verwenden |
| Admin-UI und Web-App gleich behandeln | unnötige Exposition betrieblicher Oberflächen | eigene Zugriffswege und eigene Absicherung definieren |
Ein Reverse Proxy ist also nicht nur Routing, sondern auch Trust Boundary Management.
Vorgelagerte Logins und Access Lists sind nicht neutral, sondern Teil des App-Verhaltens
Gerade in kleinen Homelabs entsteht schnell die Versuchung, jede App einfach noch mit einer zusätzlichen Access List oder Basic Auth vor dem Reverse Proxy zu versehen. Die offizielle Nginx-Proxy-Manager-FAQ beschreibt dafür aber eine wichtige Grenze: Wenn der Proxy per Access Control bereits einen Authorization-Header erzwingt und die Zielanwendung denselben Header ebenfalls für die eigene Anmeldung nutzt, kann eines der beiden Logins brechen.
| Situation | Warum sie problematisch wird | Sauberer Weg |
|---|---|---|
| Proxy-Login vor App-Login | beide Schichten konkurrieren um denselben Auth-Header | nicht jede App blind doppelt absichern, sondern Auth-Pfad bewusst festlegen |
| Admin-UI und Nutzer-App teilen denselben Proxy-Stil | betriebliche Oberflächen bekommen unnötig dieselbe Login- und Header-Logik | eigene Access-Regeln und eigene Risikoklasse definieren |
| Login-Probleme werden als App-Bug gelesen | tatsächlich ist oft die vorgeschaltete Proxy-Schicht die Ursache | Headers, ACLs und Upstream-Auth gemeinsam prüfen |
Einordnung: Mehr Schutzschichten sind nicht automatisch besser. Gute Proxy-Architektur heißt, dass Header-, Session- und Auth-Verhalten bewusst übereinandergelegt werden und nicht zufällig kollidieren.
ACME sauber entscheiden: HTTP-01, DNS-01 und TLS-ALPN-01 lösen unterschiedliche Probleme
Die Let's-Encrypt-Dokumentation ist für Homelabs ungewöhnlich klar. Daraus ergeben sich drei belastbare Regeln:
| Challenge | Offiziell belegter Kernpunkt | Wann sie passt |
|---|---|---|
| HTTP-01 | funktioniert nur über Port 80 | wenn der Host öffentlich erreichbar ist und du wenige feste Namen hast |
| DNS-01 | nötig für Wildcard-Zertifikate und geeignet, wenn der Webserver nicht öffentlich sein muss | wenn du Wildcards, interne Origins oder DNS-API-Automation bewusst planst |
| TLS-ALPN-01 | läuft über Port 443 und ist laut Let's Encrypt eher für Autoren TLS-terminierender Reverse Proxys gedacht | nur für spezielle Fälle, nicht als Homelab-Standardweg |
Ein weiterer wichtiger offizieller Hinweis: Das Ablegen vollwertiger DNS-API-Credentials auf dem Webserver erhöht das Risiko bei Kompromittierung. Genau deshalb ist DNS-01 zwar mächtig, aber nicht automatisch der sicherste oder einfachste Standardpfad.
Zertifikatsautomation braucht persistenten Zustand, nicht nur offene Ports
Viele Homelab-Setups behandeln TLS-Automation als Häkchen im UI. Die offiziellen Dokumente zeigen aber etwas Nüchterneres: Zertifikate brauchen dauerhaften Zustand. Caddy nennt dafür ausdrücklich eine beschreibbare und persistente Storage-Lage; Nginx Proxy Manager mountet dafür im offiziellen Setup explizit /data und /etc/letsencrypt.
| Baustein | Offizieller Anker | Warum das betriebsrelevant ist |
|---|---|---|
| Caddy | Automatic HTTPS speichert Zertifikate, Schlüssel und Zustandsdaten persistent | ephemere Container ohne sauberen Storage gefährden Erneuerung und Reproduzierbarkeit |
| Nginx Proxy Manager | offizielles Setup mit persistenten Volumes für Daten und Let’s-Encrypt-Material | wer den Zustand nicht sauber persistiert, baut keine zuverlässige Zertifikatskette |
| Let's Encrypt | Challenge-Typen hängen an Port-, DNS- oder TLS-Erreichbarkeit | Zertifikatserneuerung ist ein wiederkehrender Betriebsprozess, kein einmaliger Installationsschritt |
Praktisch heißt das: Ein Reverse Proxy gilt erst dann als produktionsnah, wenn Zertifikatszustand, Storage und Erneuerungspfad einen klaren Wiederanlaufpfad haben.
Öffentliche Apps und interne Oberflächen brauchen selten denselben TLS- und Vertrauenspfad
Caddy dokumentiert ausdrücklich, dass es auch lokale und interne Hostnamen per HTTPS bedienen kann und dafür eine lokale Zertifizierungsstelle nutzt. Cloudflare Tunnel dokumentiert dagegen den öffentlichen Zugriffspfad über eine ausgehende Tunnelverbindung. Schon diese beiden offiziellen Modelle zeigen: intern und öffentlich sind keine bloßen DNS-Varianten, sondern unterschiedliche Sicherheits- und Betriebsentscheidungen.
Einordnung: Für viele Homelabs ist die robustere Architektur daher eine Trennung:
- öffentliche Apps über bewusst geplanten Public Ingress
- betriebliche Oberflächen intern, separat oder zumindest anders abgesichert
- LAN-only-Dienste nicht künstlich öffentlich machen, nur weil ein Reverse Proxy bereits existiert
Das senkt nicht nur Expositionsfläche, sondern vereinfacht auch Logging, Header-Regeln, Zertifikatswechsel und spätere Fehlersuche.
Jeder Ingress-Pfad verändert, was dein Origin als Client überhaupt noch sieht
Cloudflare dokumentiert für Tunnel einen Punkt, der in Homelab-Tutorials oft fehlt: Der Origin sieht bei HTTP-Anfragen nicht direkt die ursprüngliche Client-IP, sondern den cloudflared-Pfad; für HTTP ist deshalb der Header CF-Connecting-IP relevant. Für nicht-HTTP-Protokolle wie SSH, RDP oder generische TCP-Verbindungen sagt Cloudflare ausdrücklich, dass die ursprüngliche Source-IP dem Origin nicht verfügbar ist.
| Ingress-Pfad | Was du für Logs und ACLs beachten musst | Warum das wichtig ist |
|---|---|---|
| klassischer öffentlicher Reverse Proxy | du kontrollierst die gesamte Header- und Logging-Kette selbst | gut, wenn du volle Transparenz am Origin brauchst |
| Cloudflare Tunnel für HTTP | Client-IP am Origin nur über CF-Connecting-IP korrekt weiterverwenden |
entscheidet über Rate Limits, Geo-Logs, Allow-Lists und Incident-Analyse |
| Cloudflare Tunnel für Nicht-HTTP | ursprüngliche Source-IP ist dem Origin laut Doku nicht verfügbar | macht manche Netzwerk-ACL- oder Auditing-Erwartung unbrauchbar |
Genau deshalb ist ein Tunnel nie nur eine Port-Forwarding-Alternative. Er verändert auch die Beobachtungs- und Vertrauenssicht deines Origins.
Wann NPM, Traefik, Caddy oder Tunnel jeweils der sauberere Weg sind
| Situation | Naheliegender Weg | Warum |
|---|---|---|
| wenige feste Webseiten, GUI gewünscht | Nginx Proxy Manager | GUI, SSL, Access Lists und klassischer Web-Ingress sind sein offizielles Kernmodell |
| Compose-Stack mit vielen Containern und häufiger Änderung | Traefik | Routen, Services und Middlewares leben direkt an der Anwendung über Labels |
| wenige Hosts, klare Textkonfiguration, geringe TLS-Handarbeit | Caddy | Automatic HTTPS nimmt Zertifikatserstellung und Erneuerung als Default ernst |
| kein Port-Forwarding gewünscht | Cloudflare Tunnel | öffentliche Hostnames können über einen ausgehenden Tunnel auf lokale Services zeigen |
Die schlechte Entscheidung ist meist nicht das einzelne Tool, sondern das falsche Tool für den falschen Betriebsstil.
Die sinnvolle Rollout-Reihenfolge: erst ein sauberer Host, dann die Fläche erweitern
- Dienstinventar auflisten: öffentlich, privat oder nur lokal.
- Ingress-Modell pro Dienst festlegen: GUI-zentriert, labelgesteuert, dateibasiert oder tunnelbasiert.
- Zertifikatsweg bewusst wählen: HTTP-01, DNS-01 oder gar kein öffentlicher ACME-Pfad.
- Upstream-Netz trennen: Proxy vorne, Dienste intern.
- mit einem Host produktiv testen: Routing, Logging, Zertifikatserneuerung, Fehlerverhalten.
- erst danach skalieren: weitere Hostnamen, Middleware-Ketten, Redirects, Header-Regeln.
Gerade im Homelab spart diese Reihenfolge später Stunden an Fehlersuche. Sie verhindert vor allem, dass du zehn Services veröffentlichst, bevor du einen einzigen stabilen Zertifikats- und Trust-Pfad sauber validiert hast.
Abnahme nach der Veröffentlichung: ein grünes Zertifikat allein ist noch kein sauberer Public Ingress
Die häufigste Selbsttäuschung im Homelab lautet: "HTTPS geht, also passt alles." Für einen freigegebenen Reverse-Proxy-Pfad reicht das nicht. Du brauchst eine kleine Abnahme nach Veröffentlichung, die nicht nur TLS, sondern den gesamten Ingress-Pfad prüft.
- DNS zeigt auf den richtigen Pfad: klassischer Public Host oder bewusst gewählter Tunnel, aber kein historischer Mischzustand.
- Der gewählte Challenge- oder Zertifikatsweg erneuert reproduzierbar: HTTP-01, DNS-01 oder Caddys Automatic HTTPS müssen zum tatsächlichen Veröffentlichungsmodell passen.
- Das Origin ist nicht versehentlich doppelt offen: Upstream-Dienste dürfen nicht parallel über Host-Ports oder eine zweite Route publik bleiben.
- Logging und Header stimmen: das Origin muss wissen, welche Client-IP und welche Auth-Schicht tatsächlich anliegt.
- Admin-Oberflächen sind separat bewertet: Dashboards, Proxy-GUIs und API-Endpunkte sind Betriebsflächen und keine normale Nutzer-App.
Gerade der letzte Punkt wird ausgelassen. Traefik dokumentiert für API und Dashboard ausdrücklich, dass deren Aktivierung in Produktion nicht empfohlen ist und mindestens abgesichert werden muss. Das ist genau dieselbe Denkschule wie bei NPM-Admin-UI oder internen Managementdiensten: Verwaltungsoberflächen gehören nicht automatisch in denselben Public-Pfad wie die eigentliche Anwendung.
Wenn etwas nicht funktioniert: DNS, Challenge, Proxy, Upstream und Auth getrennt prüfen
| Fehlerbild | Wahrscheinliche Schicht | Erste saubere Prüfung |
|---|---|---|
| Zertifikat kommt nicht oder erneuert nicht | Challenge-Weg, Port- oder DNS-Logik | passt der gewählte ACME-Typ wirklich zu Port 80, DNS-API oder dem realen Veröffentlichungsmodell? |
| HTTPS geht, aber die App meldet Auth-Fehler | Header- oder vorgeschaltete Access-Control-Schicht | Authorization-Header, App-Login und Proxy-ACL gemeinsam prüfen |
| Die App ist trotz Proxy direkt erreichbar | Upstream zusätzlich exponiert | Host-Ports, Docker-Netze und alternative Routen kontrollieren |
| Allow-Lists oder Rate Limits greifen falsch | Client-IP-Sicht am Origin | bei Tunnelpfaden prüfen, welche IP und welche Header das Origin real sieht |
| Nur das Dashboard geht, die eigentliche App nicht | falsche Priorität im Rollout oder falsche Risikoklasse | erst die Produktivroute freigeben, Betriebsoberflächen getrennt behandeln |
Genau diese Trennung macht den Unterschied zwischen "Reverse Proxy funktioniert irgendwie" und einem echten Betriebsmodell. Wenn du Störungen sauber pro Schicht isolierst, werden auch Monitoring, Logging und spätere Migrationswege deutlich klarer.
Vor dem Public Go-Live vier Freigaben einholen: Edge-Last, Vertrauenspfad, Shutdown und Recovery
Ein Reverse Proxy wird im Homelab schnell als "nur ein weiterer Container" behandelt. Praktisch ist er aber oft ein kritischer 24/7-Edge-Dienst. Genau deshalb lohnt vor der Veröffentlichung eine kleine Go-Live-Matrix, die nicht nur Routing, sondern auch Betrieb und Wiederanlauf abdeckt.
| Prüffeld | Womit du es vorbereitest | Warum es vor dem Go-Live relevant ist |
|---|---|---|
| Edge-Last und 24/7-Rolle | Homelab-Rechner plus Stromkosten-Rechner | ein ständig laufender Proxy, Tunnel-Agent oder Zertifikatsdienst ist Teil deiner realen Dauerlast und sollte nicht nur "mitlaufen" |
| Vertrauens- und Headerpfad | diese Ingress-Entscheidung plus Homelab-Monitoring | ohne klare Client-IP-, Auth- und Logging-Sicht kannst du Rate Limits, ACLs und Fehlersuche später nur unvollständig betreiben |
| Shutdown- und Stromreserve | USV-Rechner plus USV fürs Homelab | wenn der Public Ingress an derselben Stromkette hängt, entscheidet die Überbrückungszeit direkt über deinen Ausfallradius |
| Konfigurations- und Zertifikats-Recovery | Transfer-Rechner plus Backup-Strategie 3-2-1 | ein grünes Zertifikat heute hilft wenig, wenn Proxy-Konfiguration, ACME-Zustand oder Tunnel-Setup morgen nicht sauber zurückkommen |
Einordnung: Diese Matrix ist eine Betriebsinferenz aus den oben dokumentierten Ingress- und TLS-Modellen. Sie macht vor allem sichtbar, dass ein Proxy kein Deko-Service ist, sondern oft die sichtbare Eintrittsfläche deines gesamten Homelabs.
Ein Reverse Proxy braucht ein eigenes Recovery-Runbook fuer Konfiguration, Zertifikate und DNS
Viele Homelabs sichern Applikationsdaten, aber nicht den eigentlichen Ingress-Zustand. Gerade beim Reverse Proxy steckt dieser Zustand an mehreren Stellen gleichzeitig: Hostnamen, Redirects, Access-Regeln, Zertifikatsmaterial, Tunnel-Konfiguration und manchmal auch DNS-Annahmen. Ohne Recovery-Runbook bleibt der sichtbare Rand deines Systems der blinde Fleck.
| Baustein | Was dokumentiert oder gesichert werden sollte | Warum das im Fehlerfall kritisch wird |
|---|---|---|
| Proxy-Konfiguration | Hostnamen, Router/Middlewares, Upstream-Ziele, ACLs und Redirects | ein Dienst kann technisch laufen und trotzdem unerreichbar bleiben, wenn die Ingress-Regel fehlt |
| Zertifikats- und ACME-Zustand | persistente Datenpfade wie NPM- oder Caddy-Storage und ihre Backup-Logik | sonst musst du im Incident nicht nur Dienste, sondern gleichzeitig die gesamte TLS-Kette neu aufbauen |
| Tunnel- oder Cloud-Pfad | welcher Agent, welche Route und welcher Headerpfad den Origin wirklich erreicht | ohne diese Sicht sind Logs, ACLs und Public-Reachability nach einem Neuaufbau oft inkonsistent |
| DNS- und Rollback-Pfad | welcher Name auf welchen Ingress zeigt und wie du im Fehlerfall zurueckschwenkst | Public Go-Live und Public Rollback sind zwei verschiedene Betriebsfaelle |
Der praktische Nutzen ist einfach: Wenn der Edge-Dienst neu gebaut werden muss, startest du nicht bei null. Genau deshalb gehoert der Proxy in Backup-Strategie, Monitoring und deine allgemeine Change-Logik hinein wie jeder andere kritische Host auch.
Fazit: Ein Reverse Proxy ist nur dann gut, wenn sein Vertrauensmodell klar ist
Reverse Proxying im Homelab ist keine Frage von Lieblingssoftware. Es ist eine Frage von Dienstklasse, TLS-Grenze, Secret-Handhabung und öffentlicher Exposition. Wenn diese Ebenen sauber getrennt sind, wird die Toolwahl fast trivial.
Wenn sie nicht getrennt sind, rettet dich auch das beste Tool nicht. Dann bekommst du nur eine schönere Oberfläche auf einer unsauberen Architektur.
Häufig gestellte Fragen
Brauche ich für Let's Encrypt zwingend Port 80?
Für HTTP-01 ja. Let's Encrypt dokumentiert ausdrücklich, dass diese Validierung nur über Port 80 funktioniert. Wenn du das nicht willst oder kannst, brauchst du DNS-01 oder ein anderes Veröffentlichungsmodell.
Wann ist ein Wildcard-Zertifikat sinnvoll?
Wenn du viele Subdomains unter einer Zone planst und die DNS-Automation bewusst beherrschst. Offiziell ist dafür DNS-01 nötig; HTTP-01 kann keine Wildcard-Zertifikate ausstellen.
Nginx Proxy Manager oder Traefik?
Für wenige stabile Hosts und GUI-Verwaltung ist NPM oft der geradlinigere Pfad. Für Docker-zentrierte Umgebungen mit häufigen Änderungen passt Traefik meist besser. Diese Einordnung ist eine Inferenz aus den offiziell dokumentierten Betriebsmodellen beider Projekte.
Kann ich externe Zugriffe ohne offene Router-Ports realisieren?
Ja. Cloudflare Tunnel dokumentiert einen ausgehenden Tunnel vom Origin zu Cloudflare. Damit lassen sich öffentliche Hostnamen auf lokale Services legen, ohne klassische offene Inbound-Ports am Heimrouter für den Dienst bereitzustellen.
Soll ich jeder App noch eine zusätzliche Basic Auth vor den Proxy setzen?
Nicht blind. Die Nginx-Proxy-Manager-FAQ beschreibt explizit Konflikte, wenn Proxy-ACL und Zielanwendung denselben Authorization-Header nutzen. Zusätzliche Login-Schichten müssen deshalb zum App-Verhalten passen und nicht nur 'mehr Sicherheit' simulieren.
Soll ich Upstream-Container zusätzlich per Host-Port veröffentlichen?
In der Regel nein. Genau das unterläuft den Reverse Proxy als Kontrollschicht. NPM empfiehlt für Co-Lokation mit Docker explizit eigene Netzwerke, damit Upstreams nicht zusätzlich auf allen Interfaces veröffentlicht werden müssen.
Sollte das Traefik-Dashboard oder die API öffentlich erreichbar sein?
Als Default nein. Die offizielle Traefik-Dokumentation empfiehlt die API- und Dashboard-Freigabe in Produktion nicht und rät mindestens zu Authentifizierung, Autorisierung und interner Begrenzung. Für ein Homelab heißt das praktisch: Dashboard und API sind Betriebsflächen und sollten nicht wie normale Apps veröffentlicht werden.
Welche Punkte sollten vor dem ersten Public Go-Live dokumentiert sein?
Mindestens die 24/7-Edge-Last, der gewählte Vertrauens- und Headerpfad, die USV- oder Shutdown-Reserve und der Recovery-Pfad für Proxy-Konfiguration und Zertifikatszustand. Ohne diese vier Punkte ist ein Reverse Proxy meist nur veröffentlicht, aber noch nicht sauber betrieben.
Was muss ich an einem Reverse Proxy wirklich sichern?
Nicht nur den Container oder Dienst selbst, sondern die eigentliche Ingress-Konfiguration, den Zertifikats- und ACME-Zustand, Tunnel- oder Cloud-Pfade und den DNS- bzw. Rollback-Plan. Wenn nur die App-Daten gesichert sind, fehlt oft ausgerechnet der sichtbare Eintrittspfad.
Themenhubs für den nächsten Schritt
Diese Spezialseiten verbinden Einzelartikel, Tabellen und Rechner zu einer konsistenten Entscheidungslogik. Wenn du vom isolierten Problem zur belastbaren Systementscheidung weitergehen willst, starte hier.
Quellen & Primärdaten
- Nginx Proxy Manager Guide - Im Audit am 4. April 2026 erneut verifiziert: Ports 80/81/443, GUI-Modell, SSL, Access Lists und klassischer Home-Network-Proxy-Pfad.
- Nginx Proxy Manager - Advanced Configuration - Offizielle Best Practice für eigene Docker-Netzwerke, damit Upstream-Dienste nicht unnötig direkt exponiert werden.
- Nginx Proxy Manager FAQ - Im Audit am 4. April 2026 erneut verifiziert: Access-Control-Login vor Apps kann über den Authorization-Header mit der Zielanwendung kollidieren.
- Nginx Proxy Manager Setup Instructions - Im Audit am 4. April 2026 erneut verifiziert: offizielles Setup mit Ports 80/81/443 sowie persistenten Volumes für /data und /etc/letsencrypt.
- Traefik Docker Routing Documentation - Im Audit am 4. April 2026 erneut verifiziert: Router, Services und Middlewares werden aus Labels erzeugt; sensitive Daten sollen nicht in Labels gespeichert werden.
- Traefik API & Dashboard Documentation - Im Audit am 4. April 2026 via Google-Suche erneut verifiziert: API/Dashboard in Produktion nicht empfohlen, nicht öffentlich exponieren und mindestens mit Authentifizierung/Autorisierung absichern.
- Caddy Automatic HTTPS - Im Audit am 4. April 2026 erneut verifiziert: automatische Zertifikatserstellung, Erneuerung, HTTP→HTTPS-Redirect und lokales HTTPS für interne Hostnamen.
- Let's Encrypt - Challenge Types - Im Audit am 4. April 2026 erneut verifiziert: HTTP-01 nur über Port 80; DNS-01 für Wildcards und nicht öffentlich erreichbare Webserver; TLS-ALPN-01 eher für TLS-terminierende Reverse-Proxys.
- Cloudflare Tunnel - Im Audit am 4. April 2026 erneut verifiziert: outbound-only Tunnel, keine öffentlichen IPs und keine offenen Inbound-Ports am Origin erforderlich.
- Cloudflare Connectivity Options - Im Audit am 4. April 2026 erneut verifiziert: Tunnel über ausgehende Verbindungen; bei HTTP ist CF-Connecting-IP für die Client-IP relevant, bei Nicht-HTTP-Protokollen ist die ursprüngliche Source-IP dem Origin nicht verfügbar.