Homelab 2026: Die Evolution des Self-Hosting-Hobbys

• Zusammenstellung eines Homelab-Setups, das mit kleiner Hardware und kostenlosem Cloud-Tunneling verschiedene Dienste wie Medien, KI, Fotos und Monitoring selbst betreibt
• Hybridstruktur, die mit einem OrangePI 5 begann, auf einen GMKTec NUC (32 GB RAM, 1 TB NVMe) aufgerüstet wurde und parallel eine Hetzner-VM nutzt
• Alle Dienste laufen in Docker-Containern; mit Ansible-Rollen-basierter IaC und SOPS-Verschlüsselung werden Reproduzierbarkeit und Sicherheit sichergestellt
• Über Cloudflare Tunnel wird externer Zugriff ohne geöffnete Inbound-Ports bereitgestellt, während Traefik + Authentik Reverse Proxy und SSO-Authentifizierung übernehmen
• Bei etwa 7 Euro Betriebskosten pro Monat bleiben Dateneigentum und Unabhängigkeit von Vendor Lock-in erhalten; wichtiger als Perfektion sind Lernen und Spaß

Hardware-Konfiguration

• Anfangs wurde ein OrangePI 5 verwendet, wegen Problemen mit Power-Management und per USB angebundenem Storage erfolgte jedoch der Wechsel zu einem GMKTec NUC
  • Mit AMD Ryzen 7 5700U CPU, 32 GB RAM und 1 TB NVMe-M.2-Storage
  • Dank zwei M.2-Slots sind sowohl RAM als auch Speicher erweiterbar
  • Deutlich stabilerer Betrieb im Dauerbetrieb über das Jahr hinweg
• Dienste, die 24/7 laufen müssen, werden separat auf einer Hetzner-VM betrieben
• Ein NAS ist noch nicht aufgebaut; wichtige Daten werden mit Syncthing synchronisiert
  • Interesse an Ugreen NAS, Ubiquiti usw. ist vorhanden, aktuell macht aber der direkte Umgang mit dem Setup selbst noch mehr Spaß

Betriebsprinzipien

• Infrastructure-as-Code: Möglichst alle Einstellungen werden mit Skripten oder Verwaltungsplattformen wie Ansible automatisiert und als Code gespeichert
• Reproduzierbarkeit: Bei Ausfällen oder Maschinenwechseln muss die Infrastruktur schnell neu bereitgestellt und rekonstruiert werden können; auch nach dem Entfernen experimenteller Dienste sollen keine Reste bleiben
• Benutzerfreundlichkeit: Da es ein Hobbyprojekt ist, werden standardisierte und vertraute Ansätze bevorzugt

Betriebssystem

• Die Debian-Distribution wird direkt auf Bare Metal installiert
• NixOS (reproduzierbare Builds) und Talos (k8s-Cluster) wurden zwar erwogen, wegen des Aufwands für k8s-Workloads auf einer einzelnen Maschine und Zeitmangels aber zurückgestellt
• Auch ein Hypervisor wie ProxMox wurde als unnötig eingestuft und daher nicht eingesetzt

Netzwerkarchitektur

• Als Methode für externe Erreichbarkeit wurde Cloudflare Tunnel gewählt
  • Der Server erzeugt eine rein ausgehende Verbindung zum Cloudflare-Netzwerk, sodass in der Firewall keine Inbound-Ports geöffnet werden müssen
  • Nach Einrichtung des Tunnels läuft der bidirektionale Traffic durch diesen Tunnel
  • Wenn die Domain mit Cloudflare DNS verbunden ist, können Subdomains auf bestimmte Ports und Protokolle der Maschine (HTTP/HTTPS/TCP usw.) gemappt werden
  • Wird vollständig kostenlos angeboten und als bessere Alternative zu ngrok bewertet
• Varianten mit statischer IP (White IP) verursachen Kosten und Sicherheitsrisiken; Alternativen wie Tailscale Funnel gibt es zwar, Cloudflare Tunnel wurde aber als einfachste Lösung gewählt

• Traefik

  • Ein Open-Source-Reverse-Proxy, der Docker nativ erkennt und sich daher gut für Serverautomatisierung eignet
  • Wenn Container korrekt gelabelt sind, wird das Routing automatisch erkannt, ohne dass separate Konfigurationsdateien angepasst werden müssen

• Authentik

  • Plattform für IdP (Identity Provider) und SSO
  • Konfigurationen lassen sich als Blueprints (YAML-Dateien) speichern, sodass die IaC-Prinzipien eingehalten werden können
  • Über die ForwardAuth-Middleware werden Zugriffe auf sensible Dienste auf eine Login-Seite umgeleitet

Betriebstools

• Ansible

  • Agentloses Infrastruktur-Automatisierungstool (nur SSH erforderlich); Vorteile sind YAML-basierte Konfiguration und viele Beispiele
  • Jeder Dienst wird als eigene Rolle (role) definiert: bestehend aus tasks, defaults, handlers, templates und files
    • tasks: Definition der auszuführenden Aufgaben
    • defaults: Standardwerte wie Image-Tags, Ports und Containernamen
    • handlers: Neustart von Containern bei Konfigurationsänderungen
    • templates: Rendering von .env-Dateien und config.yaml auf Basis von Jinja2
    • files: Statische Konfigurationen und Skripte
  • Typischer Ablauf beim Deployment eines Dienstes:
    • Gemeinsame Ressourcen (Netzwerke, Volumes) anlegen → Schema und Benutzer in PostgreSQL erzeugen → Konfigurationstemplates rendern → Docker-Images pullen → Container starten (inklusive Umgebungsvariablen und Logging-Konfiguration) → Authentik-Blueprints mit Auth-Konfiguration provisionieren → bei Bedarf Cloudflare-Tunnel-Konfiguration einrichten
  • Nachteile sind die umfangreiche Dokumentation, eine repetitive DSL-Struktur und Boilerplate, dennoch wird es aus Gewohnheit weiter genutzt
  • Playbooks werden manuell ohne GitOps-Integration ausgeführt; aktuell reicht das aus

• SOPS (Secrets OPerationS)

  • Verschlüsselt nur YAML/JSON-Werte, während die Schlüsselstruktur erhalten bleibt, sodass Git-Diffs nützlich bleiben
  • Verwendet age als Verschlüsselungs-Backend — ein Tool, das „Verschlüsselung ohne PGP vereinfacht“
  • Pro Host werden eine allgemeine Konfigurationsdatei (homelab.yaml) und eine verschlüsselte Datei (homelab.sops.yaml) getrennt verwaltet
  • Workflow:
    • Schlüssel mit age-keygen erzeugen → verschlüsselte Datei mit dem Befehl sops bearbeiten (im Editor entschlüsselt, beim Speichern automatisch wieder verschlüsselt) → bei der Ausführung von Ansible automatische Entschlüsselung
    • Da Ansible SOPS nativ unterstützt, sind keine separaten Module oder Flags nötig
  • Vorteil gegenüber Ansible Vault: wertbasierte Verschlüsselung statt Datei-Vollverschlüsselung, wodurch Diffs nutzbar bleiben
  • Einschränkung: Der private age-Schlüssel muss sicher mit Teammitgliedern geteilt werden; geht der Schlüssel verloren, lassen sich die Secrets nicht wiederherstellen
    • Für ein von einer Person betriebenes Homelab ist das eine angemessene Komplexität

Laufende Dienste

• Medienverwaltung: *arr-Stack

  • Prowlarr: Indexer-Manager, der Suchergebnisse an andere *arr-Dienste weiterleitet
  • Radarr: Manager für Filmsammlungen — gewünschte Filme werden automatisch gesucht, heruntergeladen und einsortiert
  • Lidarr: Gleiche Funktion für Musik, mit Anbindung an Navidrome
  • Bazarr: Automatischer Download von Untertiteln
  • Tidarr: Dienst, mit dem sich Musik von Tidal lokal speichern lässt
  • Transmission: BitTorrent-Client (Port 9091), der alle Download-Anfragen der *arr-Dienste verarbeitet
  • Alle Dienste liegen hinter Authentik-Authentifizierung
  • Mit gemeinsamem Download-Verzeichnis (/mnt/data/docker/transmission/downloads) und PUID/PGID 1000 werden Hardlinks genutzt, um Speicherplatz zu sparen
  • Beispiel-Workflow: Film in Radarr hinzufügen → Suche über Prowlarr → Download durch Transmission → Radarr verschiebt in die Medienbibliothek → Wiedergabe in Jellyfin

• Medienkonsum

  • Jellyfin: Open-Source-Medienserver, der im Gegensatz zu Plex keinen Cloud-Login erfordert. Nutzt eigene Authentifizierung und unterstützt verschiedene Geräte inklusive Android-TV-App
  • Navidrome: Musik-Streaming-Server mit Unterstützung für die Subsonic-API, integrierbar mit mobilen Apps (z. B. DSub2000). Lidarr liefert Musik in den Bibliotheksordner
  • Calibre Web: Verwaltung und Reader für E-Book-Bibliotheken
    • Die Metadaten-Datenbank, die in der Calibre-Desktop-App auf dem Laptop gepflegt wird, wird per Syncthing auf den Server synchronisiert
    • Über die OPDS-API kann von verschiedenen Readern auf Bücher zugegriffen werden

• KI und Chat

  • LibreChat: Self-Hosted-KI-Chat-Interface, das sich mit mehreren LLM-Providern (OpenAI, Anthropic, lokalem Ollama) verbinden kann
    • Unterstützt RAG (Retrieval Augmented Generation)
    • Benötigt MongoDB (Chatverlauf), PostgreSQL + pgvector (Embeddings) und MeiliSearch (Volltextsuche) und ist daher relativ schwergewichtig
    • Wegen der besseren Zugänglichkeit von Claude Code wird es selten genutzt und steht möglicherweise vor der Entfernung

• Fotos und Dateien

  • Immich: Self-Hosted-Alternative zu Google Photos
    • Automatische Fotosicherung vom Smartphone, Gesichtserkennung, Albumorganisation und Extraktion von EXIF-Metadaten
    • Nutzt eigenes PostgreSQL (mit pgvector) und einen Machine-Learning-Container (Bildklassifikation); derzeit sind mehrere tausend Fotos gespeichert
  • Syncthing: Ordnersynchronisation zwischen Laptop, Smartphone und Server. Direkte P2P-Synchronisation ohne Cloud-Vermittler
    • Synchronisiert Obsidian Vault, Dokumente usw. mit mehreren Geräten und Android
  • MinIO: S3-kompatibler Objektspeicher, genutzt für Tests oder Anwendungen, die eine S3-API benötigen

• Lesen und Information

  • Miniflux: Minimalistischer RSS-Feed-Reader mit etwa 50 abonnierten Blogs und Nachrichtenquellen
    • Unterstützt Tastenkürzel und liefert einen chronologischen Feed ohne algorithmische Sortierung

• Infrastruktur und Authentifizierung

  • Traefik: Reverse Proxy, der Traffic anhand des Hostnamens an Docker-Container weiterleitet. Bei korrekt gesetzten Labels werden Container beim Start automatisch erkannt
  • Authentik: SSO- und Identity-Provider. Schützt Dienste mit der ForwardAuth-Middleware; Blueprints werden in Git gespeichert, um die gesamte Auth-Konfiguration zu verwalten
  • PostgreSQL: Gemeinsamer Datenbankserver; Authentik, Miniflux, Immich und LibreChat teilen sich eine Instanz statt jeweils eigener Datenbanken, was Ressourcen spart und Backups vereinfacht
  • Redis: Gemeinsamer Cache- und Session-Store, vor allem für Session-Verwaltung und Job-Queues etwa bei Authentik

• Eigene Software

  • Highlight Exporter: Go-Dienst, der Buch-Highlights aus KOReader, Readwise und Apple Books extrahiert und in Obsidian-kompatibles Markdown umwandelt
  • Telegram Assistant: Telegram-Bot für verschiedene Automatisierungsaufgaben und KI-Zugriff in Gruppenchats; das Projekt, das am häufigsten neu geschrieben wird, um neue Technologien zu testen
  • Chess-blunder trainer: Web-App, die Spiele von chess.com oder lichess.com importiert, mit Stockfish analysiert und Fehlerzüge für Trainingszwecke herausfiltert; Open-Source-Veröffentlichung folgt bald

Monitoring

• Beszel

  • Leichtgewichtige Monitoring-Lösung mit einfacher Einrichtung, einfachem Betrieb und guten Standardwerten
  • Der Grafana-Stack wurde für das Anzeigen grundlegender OS-Statistiken auf zwei Maschinen als überdimensioniert und zu komplex bewertet
  • Auch ähnliche Projekte wie Glances wirkten zu stark tuningbedürftig
  • Beszel deckt 120 % des Bedarfs ab und ist dabei leicht zu installieren

• Statsping

  • Minimalistisches Service-Ping-Tool für feingranulares Monitoring bestimmter Ressourcen
  • Sendet Pings an definierte Endpunkte, berichtet Latenz und Verfügbarkeit und benachrichtigt bei Dienstausfällen auf verschiedene Weise
  • Wird auf einer Cloud-Maschine gehostet, damit es auch bei einem Ausfall des Homelabs weiterläuft, ohne separaten Wartungsaufwand

Aktuelle Schwachstellen

• Backups

  • Obwohl die Bedeutung von Backups bekannt ist, ist derzeit überhaupt noch nichts umgesetzt
  • Wichtiger als Medien-, Musik- oder Fotodatenverluste wären Datenbank-Backups der einzelnen Dienste, aber eine passende Lösung (z. B. restic) und die Hardware-Konfiguration sind noch nicht entschieden

• RAID-Konfiguration

  • Mediendaten und System liegen gemeinsam auf einem einzelnen M.2-NVMe-Laufwerk
  • Es fehlt an physischem Platz für einen NAS-Server oder eine separate Backup-Maschine

• Cloud-Unabhängigkeit

  • Die Verfügbarkeit der Ressourcen hängt stark von der Cloudflare-Tunnel-Infrastruktur ab
  • Bei einem Cloudflare-Ausfall wäre auch der Zugang zur Infrastruktur unterbrochen; in Zukunft soll in Alternativen investiert werden

• Vollständige IaC und Automatisierung

  • Ansible-Playbooks werden manuell ausgeführt, ohne CI-Pipeline oder automatische Provisionierung
  • Der Umstieg auf GitOps scheint derzeit keinen großen zusätzlichen Nutzen zu bringen

Kosteneffizienz und Fazit

• Für die Hetzner-VM fallen monatlich etwa 7 Euro an; der Stromverbrauch des Homeservers dürfte sehr gering sein
• Das Hinzufügen neuer Dienste oder das Anpassen von Konfigurationen dauert etwa 20 bis 30 Minuten; ein großer Teil wird an Claude Code delegiert, vor dem Deployment erfolgt nur noch ein kurzer Review
• Der gesamte Zeitaufwand für das Projekt wird über mehrere Jahre auf etwa 100 bis 150 Stunden geschätzt
• Die Daten bleiben im Besitz des Betreibers, mit minimalem Vendor Lock-in und ohne Risiko plötzlicher Änderungen von Nutzungsbedingungen, algorithmischer Feeds oder Datenverlust durch Übernahmen und Fusionen
• Ziel ist kein perfektes System, sondern Verständnis für Infrastruktur und Freude daran; jeder ausgerollte Dienst, jede geschriebene Ansible-Rolle und jedes verschlüsselte Secret hat Lernwert
• Wer mit einem Homelab anfangen will, sollte klein starten und nicht zu viel zerdenken