Home Server sicher aus dem Internet erreichbar – ganz ohne Port Forwarding mit Hilfe von Twingate

Wer einen eigenen Home Server betreibt, kennt das Dilemma: Man möchte Dienste wie Home Assistant, Nextcloud oder ein internes Dashboard von unterwegs aus nutzen – aber ohne dabei seine gesamte Infrastruktur durch offene Ports angreifbar zu machen. Port Forwarding auf der Fritzbox oder einer Firewall ist oft nicht nur unsicher, sondern auch nervig zu verwalten.

Ich habe eine Lösung gefunden, mit der ich meine Home Server sicher und ohne jegliches Port Forwarding aus dem Internet erreichen kann. Das Ganze basiert auf einer Kombination aus einem kleinen Cloud-VPS, Docker, Traefik, Twingate und einer DMZ, die ich mit OPNsense betreibe. In diesem Artikel zeige ich dir, wie das Ganze funktioniert, welche Vorteile es bietet und wie du so ein Setup selbst realisieren kannst.

Warum Port Forwarding ein Sicherheitsrisiko ist

Bevor wir in die Details gehen: Warum sollte man überhaupt versuchen, Port Forwarding zu vermeiden?

• Offene Ports = Angriffsfläche: Jeder weitergeleitete Port kann theoretisch angegriffen oder gescannt werden – besonders Dienste wie SSH, HTTP oder RDP sind beliebte Ziele.
• Kein Zugriffskontrollmechanismus: Fritzbox & Co. leiten stumpf alles weiter – egal wer anfragt.
• Kein Zero Trust: Jeder mit Zugang zur IP + Port hat potenziell Zugriff.
• Mehr Aufwand bei dynamischer IP: Bei jedem IP-Wechsel müssen ggf. DDNS-Einträge aktualisiert werden.

Deshalb habe ich einen anderen Weg gewählt: Ich mache keine Ports nach außen auf, sondern ziehe den Zugriff über eine verschlüsselten VPN Tunnel durch die Cloud nach Hause – ganz ohne Kompromisse bei der Sicherheit.

Der technische Aufbau – so funktioniert mein System

Hier ein Überblick über meine Architektur:

1. VPS in der Cloud mit Docker & Traefik

• Kleiner VPS (z. B. 3–5 €/Monat)
• Läuft mit Docker, auf dem ein Traefik Reverse Proxy konfiguriert ist
• Nur Ports 80 und 443 sind geöffnet (für HTTP/S)
• Jede Subdomain wird über Traefik geroutet
• Die einzelnen Anfragen werden nicht lokal bedient, sondern über einen Tunnel weitergeleitet

2. Twingate als Zero Trust Tunnel

• Twingate erlaubt die Verbindung einzelner Dienste auf Applikationsebene
• Kein klassisches VPN – kein Scannen, keine Netzrouten
• Jede Ressource (z. B. ein interner Webserver) wird gezielt freigegeben
• Nur autorisierte Clients mit MFA und Rollenberechtigungen dürfen überhaupt etwas sehen
• Der VPS in der Cloud agiert als Twingate Remote Connector, mein Heimnetzwerk als Twingate Resource Endpoint

3. DMZ mit OPNsense zuhause

• Der ankommende Traffic landet in einer virtuellen DMZ in meinem Heimnetz. Sollte doch mal ein Angreifer Zugriff auf einen Endpoint bei mir zu Hause bekommen, kommt er immerhin nicht in mein privates Netz.
• Realisiert durch OPNsense mit eigener Netzsegmentierung
• Innerhalb der DMZ läuft eine VM, die die jeweiligen Anfragen verarbeitet
• Kein Zugriff auf mein internes LAN möglich
• Selbst wenn etwas kompromittiert wird, bleibt der Schaden isoliert

4. Überwachung mit Wazuh

• Auf dem Cloud-VPS läuft zusätzlich Wazuh Agent zur Überwachung
• Erkennt Anomalien, prüft Dateiintegrität, meldet verdächtige Aktivitäten und kann mit Active Responses eingreifen. Siehe mehr in meinem Blogbeitrag über Wazuh.
• So kann ich auch erkennen, wenn jemand versucht, über Traefik oder Twingate Zugriff zu bekommen

Die Vorteile dieser Lösung

1. Kein Port Forwarding notwendig

Ich muss an meiner Fritzbox keinen einzigen Port weiterleiten. Das macht meine IP von außen unsichtbar und schützt mich vor den typischen Angriffen auf Heimrouter und Serverdienste.

2. Zero Trust Netzwerkprinzip

Twingate arbeitet nicht mit vollständigem VPN-Zugriff, sondern erlaubt pro Ressource genau definierte Zugriffsrechte. So ist es unmöglich, von einem kompromittierten Dienst aus „seitlich“ zu anderen Diensten zu springen – ein enormer Sicherheitsvorteil.

3. Zentraler Einstiegspunkt mit TLS

Durch Traefik in der Cloud habe ich volle TLS-Verschlüsselung, automatische Zertifikatsverwaltung über Let's Encrypt und kann Subdomains einfach per Konfiguration hinzufügen.

4. Skalierbar & kostengünstig

Das ganze System läuft mit:

• einem günstigen Cloud-VPS (z. B. bei Hetzner, Netcup oder Contabo) - In meinem Fall Hetzner Cloud Server.
• einem kostenlosen Twingate-Account (bis zu 5 Benutzer),
• freien Tools wie Docker, Traefik und OPNsense.
  Ich bezahle monatlich 4 € und habe dafür eine Infrastruktur, die mit kommerziellen Lösungen locker mithalten kann.

Beispiel-Use-Cases aus meinem Alltag

• Zugriff auf mein Support Portal (Zammad) von überall aus
• Eigene Nextcloud-Instanz im Heimnetz, öffentlich verfügbar
• Selbstgehostetes SonarQube öffentlich erreichbar.
• Zugriff auf Git-Server, Web-Terminals oder APIs ohne VPN-Umwege

Sicherheits-Checkliste für mein Setup

Hier eine kurze Hardening-Checkliste, die ich bei meinem Aufbau beachtet habe:

Weitere Vorteile

Durch den Einsatz von Twingate bin ich extrem flexibel. Ich kann jederzeit in einem anderen Netzwerk oder in der Cloud einfach einen Twingate Connector installieren und auch von diesem Standort Ressourcen anbinden.

Ich kann heute von überall auf meine Dienste im Heimnetz zugreifen – ohne ein klassisches VPN wie Wireguard, IPSec oder zu starten, ohne Ports in einer Firewall zu öffnen, ohne Kompromisse bei der Sicherheit. Und das ganze extrem günstig. Die Hardware zu Hause hat sich nach einem Jahr amortisiert (Gerechnet zu eine dedizierten Proxmox Server in der Cloud) und ich zahle nur 3,92 Euro bei Hetzner. Backup benötige ich für diesen Server nicht. Ich speichere mir einfach die Docker-Compose Datei in meinem Gitea Repository

Diese Lösung ist nicht nur sicherer, sondern auch eleganter als klassische VPN-Setups oder Portfreigaben. Sie nutzt die Vorteile moderner Zero Trust Architekturen – und macht mein Heimnetz zu einem echten Mini-Rechenzentrum, das ich komplett selbst kontrolliere.