**Status:** überprüft und angepasst
**Gültig ab:** 2026-01-16
**Versionsdatum:** 2026-01-16

---

## 1. Überblick – Dienste & gültige Adressen

| Dienst                | URL                                                                            | Bemerkung                       |
| --------------------- | ------------------------------------------------------------------------------ | ------------------------------- |
| Proxmox VE            | [https://proxmox.home.arpa:8006](https://proxmox.home.arpa:8006)               | Sonderrolle, kein Reverse Proxy |
| NGINX Proxy Manager   | [https://npm.home.arpa](https://npm.home.arpa)                                 | Zentrales HTTPS-Gateway         |
| AdGuard Home          | [https://adguard.home.arpa](https://adguard.home.arpa)                         | Internes DNS                    |
| Portainer (Docker-VM) | [https://portainer-docker-vm.home.arpa](https://portainer-docker-vm.home.arpa) | Docker auf produktiver VM       |
| Portainer (QNAP)      | [https://portainer-qnap.home.arpa](https://portainer-qnap.home.arpa)           | Docker auf NAS                  |
| NetBox                | [https://netbox.home.arpa](https://netbox.home.arpa)                           | Source of Truth                 |
| Uptime Kuma           | [https://uptime.home.arpa](https://uptime.home.arpa)                           | Monitoring                      |
| Home Assistant        | [https://homeassistant.home.arpa](https://homeassistant.home.arpa)             | Smart Home                      |
| QNAP NAS              | [https://qnap.home.arpa](https://qnap.home.arpa)                               | Storage & Backup                |
| Öffentliche Website   | [https://elselevy7.org](https://elselevy7.org)                                 | Öffentlich, via NPM             |

---

## 2. Zweck und Grundprinzipien

Dieses Dokument ist die **verbindliche technische Referenz** der Home‑Infrastruktur.

### 2.1 Grundprinzipien

* `home.arpa` wird ausschließlich **intern** verwendet
* Öffentliche Domains werden **nur** über den Reverse Proxy bereitgestellt
* **NGINX Proxy Manager** ist der einzige HTTPS‑Entry‑Point
* Backend‑Dienste laufen **immer über HTTP**
* DNS zeigt **nie direkt auf Backend‑IPs**
* Proxmox‑Management ist **nicht** Teil des Reverse‑Proxy‑Konzepts

---

## 3. Warum `home.arpa`

`home.arpa` ist eine von der IETF reservierte Zone für private Heim‑ und Lab‑Netze.

**Vorteile:**

* garantiert nicht öffentlich auflösbar
* keine Kollision mit realen TLDs
* klare Trennung zwischen intern und extern
* RFC‑konform und zukunftssicher

---

## 4. Netzwerk‑ und DNS‑Grundlagen

### 4.1 Netzwerk

* LAN: `192.168.1.0/24`
* Gateway: `192.168.1.1`
* Internes DNS: AdGuard Home

### 4.2 DNS‑Konzept (AdGuard Home)

* Alle Service‑Namen zeigen auf **NGINX Proxy Manager**
* Keine DNS‑Einträge auf Backend‑Systeme
* Keine DNS‑Loops oder Ketten (A → CNAME → A vermeiden)

Beispiel:

```
netbox.home.arpa  → npm.home.arpa
npm.home.arpa     → 192.168.1.63
```

---

## 5. Proxmox VE – Sonderrolle

### 5.1 Zugriff

* URL: [https://proxmox.home.arpa:8006](https://proxmox.home.arpa:8006)
* Direkter Zugriff auf den Node
* **Kein** Reverse Proxy
* Eigenes Zertifikat (self‑signed)

### 5.2 Restore‑Erkenntnis

Ein Proxmox‑Restore ist **nur in produktive VMs** möglich.

**Beispiel:**

* VM 200 `docker-vm` ist produktives Restore‑Ziel
* Test‑Restores erfolgen ausschließlich über Kopien produktiver VMs

---

## 6. Reverse Proxy – NGINX Proxy Manager

### 6.1 Rolle

* Zentrale TLS‑Terminierung
* Verwaltung aller Zertifikate
* Einheitlicher Entry‑Point für interne und externe Services

### 6.2 Zertifikate

* Intern (`home.arpa`): Wildcard‑Zertifikat
* Extern (`elselevy7.org`): Let’s Encrypt

---

## 7. Öffentliche Domain `elselevy7.org`

### 7.1 Zweck

`elselevy7.org` dient der externen Bereitstellung ausgewählter Services.

### 7.2 Technische Umsetzung

* Öffentlicher DNS zeigt auf die WAN‑IP
* Port‑Forwarding 80/443 → NGINX Proxy Manager
* TLS‑Zertifikate via Let’s Encrypt
* Interne Weiterleitung der Backends über HTTP

### 7.3 Sicherheitsprinzip

* Keine direkte Exposition interner Dienste
* Saubere Trennung von interner und externer Namenswelt

---

## 8. Interne Services

| Service        | URL                                                                | Backend      |
| -------------- | ------------------------------------------------------------------ | ------------ |
| AdGuard Home   | [https://adguard.home.arpa](https://adguard.home.arpa)             | LXC :80      |
| NetBox         | [https://netbox.home.arpa](https://netbox.home.arpa)               | Docker :8000 |
| Uptime Kuma    | [https://uptime.home.arpa](https://uptime.home.arpa)               | Docker :3001 |
| Home Assistant | [https://homeassistant.home.arpa](https://homeassistant.home.arpa) | VM :8123     |
| QNAP           | [https://qnap.home.arpa](https://qnap.home.arpa)                   | NAS :8080    |

---

## 9. Backup & Restore

### 9.1 Backup

* Orchestrator: Proxmox VE
* Ziel: QNAP TS‑464
* Zeitplan: täglich
* Dokumentation: NetBox

### 9.2 Restore‑Regeln

* Restore ausschließlich in produktive VMs
* Netzwerk‑ und DNS‑Status nach Restore prüfen
* DNS‑Einträge bleiben unverändert

---

## 10. Monitoring – Uptime Kuma

* Standort: Docker‑VM
* Monitoring intern: HTTP
* Monitoring extern: HTTPS
* TLS immer über NGINX Proxy Manager

---

## 11. Verbindliche Architekturregeln

* ❌ Kein direkter Zugriff auf Backend‑IPs
* ❌ Kein TLS auf Backend‑Services
* ❌ Kein Reverse Proxy für Proxmox
* ✅ DNS → NPM → Backend
* ✅ NetBox ist führende Quelle

---

**Dieses Dokument ersetzt alle vorherigen Versionen vollständig.**