Du betreibst ein Homelab mit einem Raspberry Pi oder Mini-Server? Du möchtest deine Dienste über eigene Subdomains per HTTPS verfügbar machen, ganz ohne manuelles Zertifikatsmanagement? Dann ist Traefik genau das Richtige für dich.
In diesem umfassenden Guide zeige ich dir, wie du mit Docker Compose, Wildcard TLS, Let’s Encrypt und optionalem VPN-Zugriff ein modernes, sicheres Setup mit Traefik im Homelab realisierst.
🔍 Warum Traefik im Homelab?
Traefik ist ein moderner Reverse Proxy mit nativer Docker-Integration, ideal für kleine Server-Setups und Home-Server-Fans. Es bietet:
- 🧠 Automatische Service-Erkennung
- 🔒 Automatische TLS-Zertifikate (Let’s Encrypt)
- 🧩 Middleware für Auth, Rate Limits & mehr
- 🧘♂️ Zentrale Verwaltung deiner Subdomains
SEO-Tipp: Das Keyword Traefik Homelab ist ideal für Nutzer, die Raspberry Pi, Heimserver und Docker kombinieren – und bei Google danach suchen.
🧱 Voraussetzungen
- Raspberry Pi 4 oder vergleichbare Hardware (64 Bit, Ubuntu/Debian)
- Statische öffentliche IP oder DynDNS-Dienst (z. B. DuckDNS)
- Eine eigene Domain (z. B.
meinhomelab.de) - DNS-Provider, der API-Zugriff für Wildcard-Zertifikate erlaubt (Cloudflare, DuckDNS etc.)
- Docker & Docker Compose installiert
⚙️ Schritt 1: Netzwerk & Domain vorbereiten
📡 Eigene Domain
Du brauchst eine Domain mit DNS-API (z. B. bei Cloudflare). Beispiel:
*.home.meinhomelab.dezeigt per A-Record auf deinen öffentlichen Router- Portweiterleitungen:
80und443→ auf deinen Pi oder Home-Server
📂 Schritt 2: Verzeichnisstruktur
mkdir -p ~/homelab/traefik
cd ~/homelab/traefik
📜 Schritt 3: docker-compose.yml für Traefik
version: '3.8'
services:
traefik:
image: traefik:v3.0
container_name: traefik
restart: unless-stopped
command:
- "--api.dashboard=true"
- "--providers.docker=true"
- "--entrypoints.web.address=:80"
- "--entrypoints.websecure.address=:443"
- "--certificatesresolvers.cloudflare.acme.tlschallenge=true"
- "--certificatesresolvers.cloudflare.acme.email=yo*@*****le.com"
- "--certificatesresolvers.cloudflare.acme.storage=/letsencrypt/acme.json"
- "--certificatesresolvers.cloudflare.acme.dnschallenge.provider=cloudflare"
- "--certificatesresolvers.cloudflare.acme.dnschallenge.delaybeforecheck=0"
ports:
- "80:80"
- "443:443"
volumes:
- "/var/run/docker.sock:/var/run/docker.sock"
- "./letsencrypt:/letsencrypt"
environment:
- CF_API_EMAIL=yo*@*****le.com
- CF_API_KEY=your_cloudflare_api_key
labels:
- "traefik.enable=true"
- "traefik.http.routers.traefik.rule=Host(`traefik.home.meinhomelab.de`)"
- "traefik.http.routers.traefik.entrypoints=websecure"
- "traefik.http.routers.traefik.tls.certresolver=cloudflare"
- "traefik.http.routers.traefik.service=api@internal"
networks:
- web
networks:
web:
external: true
🧪 Schritt 4: Eigenen Service hinzufügen
Ein Beispiel mit Portainer:
portainer:
image: portainer/portainer-ce
container_name: portainer
restart: unless-stopped
volumes:
- "/var/run/docker.sock:/var/run/docker.sock"
- "portainer_data:/data"
labels:
- "traefik.enable=true"
- "traefik.http.routers.portainer.rule=Host(`portainer.home.meinhomelab.de`)"
- "traefik.http.routers.portainer.entrypoints=websecure"
- "traefik.http.routers.portainer.tls.certresolver=cloudflare"
networks:
- web
volumes:
portainer_data:
🔐 Schritt 5: Zugriff absichern (Middleware)
In der docker-compose.yml von Traefik oder global:
labels:
- "traefik.http.middlewares.auth.basicauth.users=admin:$$apr1$$Y9l0HxVX$$r9x2bPqP6zJeZVg9ZRWKh0"
- "traefik.http.routers.traefik.middlewares=auth@docker"
Passwort-Hash generieren mit:
htpasswd -nb admin meinpasswort
🔐 Optional: VPN-Zugriff ins Homelab – Sicherer Fernzugriff auf Dienste
Der Zugriff auf deine Homelab-Dienste von unterwegs ist praktisch – aber ohne VPN auch gefährlich. Um Dienste wie portainer.home.deinedomain.de oder nextcloud.home.deinedomain.de sicher und privat erreichbar zu machen, empfiehlt sich ein VPN-Zugang, bei dem dein gesamter Datenverkehr verschlüsselt ist und direkt in dein Heimnetzwerk getunnelt wird.
🛠 Warum VPN statt Portweiterleitung?
✅ Vorteile von VPN im Homelab:
- 🔒 Mehr Sicherheit: Keine Ports müssen öffentlich erreichbar sein
- 🕵️♂️ Weniger Angriffsfläche: Traefik-Dashboard, Admin-Tools & NAS-UI bleiben privat
- 🌍 Zugriff von überall: Alle Dienste sind erreichbar, als wärst du im WLAN zuhause
- 🧩 DNS-intern: Dienste über lokale Domain wie
plex.home.meinedomain.deaufrufbar
🌐 VPN-Typen fürs Homelab
| VPN-Typ | Beschreibung | Ideal für |
|---|---|---|
| WireGuard | Moderne, schnelle VPN-Lösung mit starker Verschlüsselung | Fortgeschrittene |
| Tailscale | Zero-Config VPN auf Basis von WireGuard, läuft auf jedem Gerät | Anfänger |
| PiVPN | Simple OpenVPN/WireGuard-Installation auf dem Pi | Einsteiger mit Pi |
| ZeroTier | Software-defined Netzwerk mit P2P-Architektur | Multi-Device & NAS |
📦 Beispiel: VPN mit Tailscale + Traefik
Tailscale ist ein besonders einfacher VPN-Dienst für Homelabs. In wenigen Minuten verbunden:
🧪 Installation auf dem Raspberry Pi:
curl -fsSL https://tailscale.com/install.sh | sh
sudo tailscale up --advertise-tags=tag:homelab --accept-routes
✅ Vorteile mit Tailscale:
- Kein Portforwarding notwendig
- Zugriff auf alle Dienste via DNS:
nextcloud.home.deinedomain.ts.net - Kostenlos für bis zu 20 Geräte
- Funktioniert auch mit CGNAT oder LTE
🧰 Kompatibel mit Traefik:
Traefik lauscht weiterhin auf Ports 80 und 443 – aber nur im LAN (z. B. über ein internes Interface oder via Firewall). Du greifst über VPN darauf zu, als wärst du zu Hause.
🔐 Beispiel: VPN mit WireGuard (Selbst gehostet)
1. Installiere WireGuard via PiVPN:
curl -L https://install.pivpn.io | bash
→ Wähle WireGuard, gib ein statisches LAN-Interface an (z. B. eth0), konfiguriere DynDNS (optional)
2. Konfiguriere DNS:
Falls du *.home.meinedomain.de lokal auflösen willst, setze im Pi-hole oder Router deine lokale IP für die Subdomain ein. Alternativ kannst du einen lokalen DNS-Server (CoreDNS, dnsmasq) betreiben.
3. Zugriff testen
ping portainer.home.meinedomain.de
curl -k https://portainer.home.meinedomain.de
💡 Fortgeschritten: Split-DNS & Only-VPN Access
Was ist Split-DNS?
Dein Domain-Setup löst intern auf 192.168.178.22, aber extern via DNS-Provider auf DEINE.IP. Du kannst mit Traefik intern alle Dienste sogar ganz ohne öffentlichen DNS nutzen – nur via VPN.
Absicherung über Middleware:
- "traefik.http.routers.internal.middlewares=ipwhitelist@docker"
- "traefik.http.middlewares.ipwhitelist.ipwhitelist.sourcerange=100.64.0.0/10"
(Erlaubt nur Zugriffe über VPN-Ranges wie bei Tailscale oder WireGuard)
📚 Zusammenfassung: Traefik + VPN im Homelab
| Feature | Vorteil |
|---|---|
| 🔒 VPN + Traefik | Komplett abgesichertes Homelab |
| 🏷️ Eigene Domain | Subdomain-Zugriffe pro Dienst |
| 🌐 Kein Portforwarding | Nur 1 Dienst (VPN) offen |
| 🛡️ Firewallfreundlich | Kein Reverse Proxy für das Internet nötig |
| 👥 Multi-User | Gib gezielt Zugriff auf bestimmte Dienste frei |
🧠 Tipps für Fortgeschrittene
- Rate Limiting: Limitiere brute-force-Versuche auf Login-Seiten
- Traefik Plugins: Eigene Middlewares in Go schreiben
- Metrics: Prometheus + Grafana zur Traefik-Überwachung nutzen
- ZeroTier oder Tailscale für einfaches Peer-to-Peer VPN
📩 Du willst dein Homelab auf ein neues Level bringen?
Ich unterstütze dich dabei – ob bei VPN, DNS oder Docker-Security.
👉 Jetzt Kontakt aufnehmen und dein Homelab sicher & smart konfigurieren!
✅ Fazit
Mit Traefik im Homelab auf einem Raspberry Pi baust du dir ein professionelles, sicheres Gateway für all deine Dienste – mit TLS, Subdomains, dynamischem Routing und klarer Übersicht im Dashboard.
Vorteile:
- Kein manuelles Zertifikatschaos mehr
- Zentrale Verwaltung von Diensten
- Sichere Heimzugriffe, auch per VPN
- Viel SEO-Potenzial: „Traefik Homelab“ ist ein gefragter Suchbegriff
🔚 Bonus: Checkliste für deinen Traefik-Homelab-Start
- Eigene Domain mit DNS-API
- Docker & Docker Compose auf deinem Pi
- Traefik eingerichtet mit Wildcard-Zertifikat
- Dienste über Subdomains erreichbar
- Zugriff per VPN oder DynDNS möglich
📩 Du brauchst Hilfe beim Setup?
Ich unterstütze dich gerne bei der Einrichtung von Traefik, VPN oder Kubernetes im Homelab.
👉 Jetzt Kontakt aufnehmen und dein Setup auf das nächste Level bringen.
Schreibe einen Kommentar