Zum Inhalt springen →
Homeserver mit Proxmox und Tailscale Exit Node bei CGNAT-Anschluss

Homeserver als Plattform: Virtualisierung, CGNAT und digitale Souveränität

Veröffentlicht am 5. Januar 2026 von Sascha

Ein Homeserver ist heute weniger Bastelprojekt als eine bewusste Entscheidung für Kontrolle, Lernfähigkeit und digitale Eigenständigkeit. Er ermöglicht es, eigene Dienste zu betreiben, Zusammenhänge zu verstehen und technische Entscheidungen selbst zu treffen.

Mit effizienter x86-Hardware, Virtualisierung und Overlay-Netzwerken lässt sich dabei eine stabile Infrastruktur aufbauen – auch unabhängig von klassischen Einschränkungen wie fehlenden öffentlichen IPv4- oder IPv6-Adressen.

Dieser Beitrag beschreibt keine einzelne Konfiguration, sondern eine Herangehensweise.

Warum CGNAT ein Problem sein kann

Bei vielen Anschlüssen wie der, der Deutschen Glasfaser kommt häufig CGNAT (Carrier Grade Network Address Translation) zum Einsatz.

Technisch bedeutet das: Der Router erhält keine eigene öffentliche IPv4- oder IPv6-Adresse, sondern eine private Adresse, die über den Provider-NAT nach außen geführt wird. Eingehende Verbindungen aus dem Internet sind damit grundsätzlich nicht möglich.

Relevant ist das vor allem für:

  • klassische Portfreigaben
  • selbst gehostete Dienste mit direktem WAN-Zugriff
  • VPN-Server mit klassischem Client-Server-Modell

CGNAT schränkt also nicht den Server selbst ein, sondern die Erreichbarkeit von außen. Dieses Problem lässt sich jedoch umgehen – ohne Zusatzkosten oder Business-Tarife.

Netzwerk-Basis: UniFi als stabile Grundlage

Das Netzwerk basiert auf UniFi-Komponenten (Gateway, Switches, Access Points).

Der entscheidende Vorteil liegt weniger im UI, sondern in der sauberen Trennung von Netzsegmenten und der langfristigen Stabilität.

Für den Homeserver relevant:

  • VLANs für Server, Clients und IoT
  • konsistente Firewall-Regeln
  • saubere Integration von VPN- und Overlay-Netzwerken
  • zentrale Konfiguration ohne Bastellösungen

Das Netzwerk „steht“ – und genau das ist Voraussetzung für einen Server, der 24/7 laufen soll.

Warum gebrauchte Business-Mini-PCs die praktischere Lösung sind als SBCs

Statt Einplatinencomputern (Single Board Computer – SBC) setze ich auf gebrauchte Business-Mini-PCs, etwa:

Diese Systeme stammen aus dem Enterprise-Umfeld und sind für Dauerbetrieb konzipiert. Das macht sie besonders geeignet für Homeserver, da sie eine langlebige, stabile und effiziente Basis bieten – gerade im Vergleich zu Einplatinen-Lösungen.

Technische Vorteile gegenüber Raspberry & Co.:

  • vollwertige x86-64-CPUs (Intel i5/i7, AMD Ryzen Pro)
  • Hardware-Virtualisierung (VT-x / AMD-V) ohne Einschränkungen
  • NVMe-SSDs mit hoher I/O-Leistung
  • 16–64 GB RAM realistisch nutzbar

Energie & Kosten:

  • Idle-Verbrauch meist 7–15 W
  • Lastspitzen selten relevant im Homeserver-Alltag
  • gebraucht oft deutlich günstiger als neue SBC-Setups, wenn man Netzteil, Case, Storage und Kühlung ehrlich mitrechnet

Das Ergebnis ist ein System, das leise, effizient und leistungsfähig genug für echte Virtualisierung ist – nicht nur für einzelne Dienste.

Hardware Vorbereitung

Die Hardware sollte von Anfang an mit Blick auf ausreichend Arbeitsspeicher und sinnvoll dimensionierten Storage geplant werden, da beides entscheidend für einen stabilen und skalierbaren Virtualisierungs-Betrieb ist.

1. Firmware aktualisieren 
2. BIOS Einstellungen prüfen:
  Virtualisierung aktivieren
  Intel: VT-x und ggf. VT-d
  AMD: SVM / IOMMU
  CPU-C State aktivieren
  Energiesparoptionen aktivieren
  Secure Boot deaktivieren (für Proxmox empfohlen)
  Boot-Modus auf UEFI stellen
  Lüfterprofil auf „Balanced“ oder „Quiet“

Auf dieser Hardwarebasis stellt sich die nächste Frage: Wie lassen sich Dienste sauber trennen und langfristig betreiben?

Virtualisierung mit Proxmox VE

Als Hypervisor kommt Proxmox VE (Virtual Environment) zum Einsatz.

Ein Hypervisor ist die Software-Schicht, die es ermöglicht, mehrere virtuelle Maschinen und Container parallel auf derselben Hardware zu betreiben. Er verwaltet dabei Ressourcen wie CPU, Arbeitsspeicher und Storage und sorgt für eine klare Trennung der einzelnen Systeme.

Der Mehrwert liegt nicht nur in der Virtualisierung selbst, sondern in der sauberen Trennung von Verantwortung:

  • jede Anwendung in eigener VM (Virtuelle Maschine) oder LXC (Linux-Container)
  • Snapshots (Abbild des Systems) vor Updates
  • Backups auf Service-Ebene
  • reproduzierbare Setups

Besonders hilfreich sind die Community-Skripte, die:

  • bewährte Konfigurationen nutzen
  • typische Stolperfallen vermeiden
  • Installationszeit massiv reduzieren

So wird aus „mal ausprobieren“ kein dauerhaftes Bastelprojekt, sondern ein kontrollierbarer Betrieb.

Proxmox VE Installationsschritte im Überblick

1. Download Proxmox VE
2. Mittels belenaEtcher Boot-Stick erstellen
3. vom Stick booten und setup durchlaufen
4. Erstanmeldung mit Nutzer "root"
5. Ausführung Community-Scripte "PVE Post Install" in der Shell (Update der Repos, Deaktivierung Enterprise-Features & Subscription) 
6. Neustart

Fazit: Proxmox bietet eine stabile Grundlage für Virtualisierung, die sauber getrennte Dienste ermöglicht – ideal für ein skalierbares Homeserver-Setup.

Services – konkret und sinnvoll eingesetzt

Virtualisierung ist kein Selbstzweck – sie schafft die Grundlage dafür, Dienste stabil, wartbar und kontrolliert zu betreiben. Konkret kommen dabei folgende Services zum Einsatz:

AdGuard Home

AdGuard Home fungiert als zentraler DNS-Filter für das gesamte Netzwerk und blockiert Werbung, Tracking und bekannte Schadquellen bereits auf Netzwerkebene.

Dadurch profitieren alle Geräte – auch solche ohne eigene Filtermöglichkeiten wie Smart-TVs oder IoT-Geräte – von einem einheitlichen Schutz.

Im Vergleich zu Client-basierten Lösungen:

  • kein zusätzlicher Overhead auf Endgeräten
  • konsistente Filterregeln
  • einfache Auswertung von Anfragen
  • funktioniert auch für Smart-TVs und IoT-Geräte

Kurzum: AdGuard filtert Werbung für alle Geräte im Netzwerk, auch Smart-TVs und IoT, ohne Ein­zel­konfiguration.

AdGuard Home Installationsschritte im Überblick

1. Ausführung Community-Script "AdGuard Home" in der Shell
2. Starten des neu erzeugten LX-Containers
3. Konfiguration der DNS Einstellung am Router zur Verteilung an die Clients (Notebook, Tablet, Phone usw.)

Home Assistant

Home Assistant ist das Herz der lokalen Automatisierung, es ermöglicht die zentrale Steuerung, Automatisierung und Auswertung unterschiedlichster Smart-Home-Geräte, unabhängig von Herstellern oder Cloud-Diensten.

Dadurch bleiben Kontrolle, Datenhoheit und Erweiterbarkeit vollständig im eigenen Netzwerk.

Wichtig ist hier vor allem:

  • vollständige lokale Steuerung ohne Cloud-Zwang
  • Integration verschiedenster Hersteller
  • langfristige Wartbarkeit durch Community-Support

Automatisierungsregeln wie „Licht bei Sonnenuntergang einschalten“ lassen sich somit lokal ausführen.

Durch die VM-Trennung lassen sich Updates und Experimente durchführen, ohne andere Dienste zu gefährden.

Home Asisstant Installationsschritte im Überblick

1. Ausführung Community-Script "Home Assistant VM" in der Shell (Warum VM? Die Verwendung von Plugins bereitet in einem Container Probleme, daher verwende ich bevorzugt die Konfiguration in einer Virtuellen Maschine.)
2. Starten der neu erzeugten VM
3. Konfiguration über die verwendete IP

HomeBridge

HomeBridge dient als Übersetzungsschicht zwischen nicht-HomeKit-fähigen Geräten und Apples Ökosystem.

Sie macht genau dort weiter, wo Apple HomeKit ohne native Unterstützung Probleme hat und ermöglicht es, Geräte verschiedenster Hersteller in HomeKit einzubinden, ohne deren native Firmware oder Cloud-Anbindung verändern zu müssen.

Dadurch lassen sich bestehende Installationen weiter nutzen und zentral über Apple Home steuern.

Technisch unspektakulär, praktisch aber enorm wertvoll, wenn man:

  • bestehende Hardware weiter nutzen will
  • trotzdem zentral über HomeKit steuern möchte

HomeBridge Installationsschritte im Überblick

1. Ausführung Community-Script "HomeBridge" in der Shell 
2. Starten des neu erzeugten LX-Containers
3. Konfiguration über die verwendete IP

Tailscale – sicherer Zugriff unabhängig vom Anschluss

Tailscale ist ein Overlay-Netzwerk auf Basis von WireGuard, das Geräte zu einem privaten, verschlüsselten Netz verbindet – unabhängig davon, wo sie sich befinden oder wie sie ans Internet angebunden sind.

Im Gegensatz zu klassischen VPN-Lösungen erfordert Tailscale keine Portfreigaben, keine öffentliche IP-Adresse und keine manuelle Schlüsselverwaltung.

Die Verbindung wird dabei von den Endgeräten selbst aufgebaut. Wo möglich, erfolgt sie direkt peer-to-peer; nur wenn das nicht möglich ist, wird ein Relay genutzt. Für den Betrieb bedeutet das: stabile Verbindungen auch hinter Firewalls, NAT oder CGNAT – ohne zusätzliche Infrastruktur.

In diesem Setup fungiert der Homeserver als Tailscale Exit Node. Dadurch können entfernte Geräte den Internetverkehr oder den Zugriff auf interne Dienste über das Heimnetz leiten. Der Effekt ist, als befände man sich lokal im eigenen Netzwerk – selbst bei Anschlüssen mit CGNAT.

Gerade in Kombination mit einem Glasfaseranschluss ohne öffentliche IPv4-Adresse ist Tailscale damit der entscheidende Baustein, um externe Erreichbarkeit sicher, kontrolliert und wartbar umzusetzen.

tailscale Installationsschritte im Überblick

1. Ausführung Community-Script "tailscale" in der Shell 
2. Starten des neu erzeugten LX-Containers
3. Anmeldung tailscale und Bestätigung des neuen Gerätes (LX-Caonmtainer)

Konfiguration des LX-Containers

Damit tailscale als „exit node“ agieren kann muss IP-forwarding aktiviert werden. Dies wird über die Shell direkt im Container erledigt:

echo 'net.ipv4.ip_forward = 1' | sudo tee -a /etc/sysctl.d/99-tailscale.conf
echo 'net.ipv6.conf.all.forwarding = 1' | sudo tee -a /etc/sysctl.d/99-tailscale.conf
sudo sysctl -p /etc/sysctl.d/99-tailscale.conf

Konfiguration tailscale

Dem tailscale-service wird nun mitgeteilt dass er als exit-node agieren soll:

sudo tailscale set --advertise-exit-node
sudo tailscale up

Im letzten Schritt muss die exit node im tailscale-Portal bestätigt werden. Dies geschieht über „edit route settings“ > enable „use as exit node“.

Steht die Option nicht zu Verfügung so ist etwas bei der Konfiguration von tailscale in dem LX-Container nicht korrekt durchgeführt.

Ausblick: Virtualisierung, Lernen und digitale Souveränität

Der eigentliche Mehrwert eines Homeservers liegt nicht in einzelnen Diensten, sondern in der Kontrolle über die eigene digitale Infrastruktur. Durch Virtualisierung wird aus einem einzelnen Rechner eine Plattform, auf der sich Systeme isoliert betreiben, verändern und bei Bedarf wieder verwerfen lassen – ohne langfristige Abhängigkeiten.

Damit entsteht ein hohes Maß an digitaler Souveränität: Daten bleiben im eigenen Netzwerk, Dienste funktionieren unabhängig von Cloud-Anbietern, und technische Entscheidungen können bewusst getroffen werden, statt vorgegeben zu sein.

Gleichzeitig erlaubt die Vernetzung über Technologien wie Tailscale, diese Infrastruktur sicher und kontrolliert von außen zu nutzen, ohne sie unnötig zu exponieren.

Als Homelab bietet ein solches Setup zudem Raum zum Lernen und Experimentieren. Neue Services lassen sich testen, Netzwerkkonzepte ausprobieren oder Sicherheitsmechanismen nachvollziehen – praxisnah und ohne Produktivsysteme zu gefährden.

Was als privates Projekt beginnt, wird so schnell zu einer Lernumgebung, die technisches Verständnis vertieft und Zusammenhänge greifbar macht. Nicht alles davon muss sofort produktiv laufen – genau darin liegt der Wert. Gerade das kontrollierte Scheitern im Homelab ist Teil des Lernprozesses.

Ein virtualisierter Homeserver ist damit weniger ein fertiges System als ein wachsendes Ökosystem: anpassbar, erweiterbar und offen für neue Anforderungen – heute wie in Zukunft.

Veröffentlicht in Tutorials

verschlagwortet mit

Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert