Proxmox Homelab Docker Traefik Stack
| |

Proxmox Homelab 2026: Der komplette Stack mit Docker, Traefik, Authelia & CrowdSec

VonContentKalle

Wer 2026 ein modernes Homelab betreiben möchte, kommt an einem bewährten Stack nicht vorbei: Proxmox als Basis, Docker für Services, Traefik als Reverse Proxy, Authelia für SSO und CrowdSec für Intrusion Detection. Dieser Proxmox Docker Traefik Tutorial Deutsch-Guide zeigt euch, wie ihr den kompletten Homelab-Stack 2026 aufsetzt – von der Proxmox-VM bis zum laufenden Self-Hosted-Service mit Single Sign-On und automatischem Brute-Force-Schutz.

Warum dieser Stack der Community-Standard 2026 ist

Repositories wie qtekfun/homelab-2026 auf GitHub zeigen, dass sich eine Architektur als De-facto-Standard durchgesetzt hat: Proxmox als Hypervisor-Basis, Docker-Compose-Stacks für einzelne Services, Traefik als zentraler Reverse Proxy mit automatischem TLS, Authelia für Single Sign-On und CrowdSec als modernes IDS. Dazu kommen praktische Services wie Nextcloud, Immich (selbstgehostetes Google Photos) und Grafana für das Monitoring.

Was diesen Stack so attraktiv macht:

  • Isolation: Jeder Service läuft in einem eigenen Docker-Container oder einer eigenen VM
  • Sicherheit: Authelia erzwingt MFA vor dem Zugriff auf alle internen Services, CrowdSec blockt böswillige IPs automatisch
  • Automatisierung: Traefik erkennt neue Container automatisch und stellt TLS-Zertifikate aus
  • Wartbarkeit: Renovate aktualisiert Container-Images automatisch, Forgejo CI/CD sorgt für reproduzierbare Deployments

Voraussetzungen: Was ihr braucht

Für diesen Stack empfehle ich folgende Mindest-Hardware:

  • CPU: Intel N100 oder vergleichbar (4 Kerne reichen für ein Basis-Setup)
  • RAM: 16 GB (32 GB empfohlen, wenn Immich und KI-Features genutzt werden)
  • Storage: 256 GB SSD für das System + separates NAS oder HDD-Array für Daten
  • Netzwerk: Eigene Domain mit DNS-Zugang (für Let’s Encrypt Wildcard-Zertifikate)

Software-seitig braucht ihr:

  • Proxmox VE 8.x (aktuell: 8.4)
  • Eine Debian 12-VM oder LXC als Docker-Host
  • Docker und Docker Compose v2

Schritt 1: Proxmox-Grundsetup und Docker-VM erstellen

Nach der Proxmox-Installation erstellt ihr eine dedizierte VM für euren Docker-Stack. Empfohlen: Debian 12 mit 4 vCPUs, 8 GB RAM und 64 GB Disk.

# Auf der Proxmox-Shell: VM per CLI erstellen (oder via WebUI)
qm create 100 --name docker-host --memory 8192 --cores 4 --net0 virtio,bridge=vmbr0
qm importdisk 100 debian-12-generic-amd64.img local-lvm
qm set 100 --scsihw virtio-scsi-pci --scsi0 local-lvm:vm-100-disk-0
qm set 100 --boot c --bootdisk scsi0
qm start 100

Nach dem ersten Boot installiert ihr Docker und Docker Compose:

curl -fsSL https://get.docker.com | sh
sudo usermod -aG docker $USER

Schritt 2: Traefik als zentralen Reverse Proxy einrichten

Traefik ist das Herzstück des Stacks. Dank seiner Docker-Provider-Integration erkennt Traefik neue Container automatisch – ihr müsst nur Labels setzen. Zudem übernimmt Traefik die automatische TLS-Zertifikats-Ausstellung via Let’s Encrypt.

Erstellt zunächst ein Docker-Netzwerk und eine Ordnerstruktur:

docker network create traefik-proxy
mkdir -p /opt/traefik/config
touch /opt/traefik/acme.json
chmod 600 /opt/traefik/acme.json

Die docker-compose.yml für Traefik:

version: "3.8"
services:
  traefik:
    image: traefik:v3.2
    container_name: traefik
    restart: unless-stopped
    command:
      - "--api.dashboard=true"
      - "--providers.docker=true"
      - "--providers.docker.exposedbydefault=false"
      - "--entrypoints.web.address=:80"
      - "--entrypoints.websecure.address=:443"
      - "--certificatesresolvers.letsencrypt.acme.dnschallenge=true"
      - "--certificatesresolvers.letsencrypt.acme.dnschallenge.provider=cloudflare"
      - "--certificatesresolvers.letsencrypt.acme.email=admin@euredomain.de"
      - "--certificatesresolvers.letsencrypt.acme.storage=/acme.json"
    ports:
      - "80:80"
      - "443:443"
    volumes:
      - /var/run/docker.sock:/var/run/docker.sock:ro
      - /opt/traefik/acme.json:/acme.json
    networks:
      - traefik-proxy
    environment:
      - CF_DNS_API_TOKEN=${CLOUDFLARE_TOKEN}
networks:
  traefik-proxy:
    external: true

Schritt 3: Authelia SSO einrichten – MFA für alle Services

Das Authelia SSO einrichten ist der wichtigste Sicherheitsschritt. Authelia fungiert als Forward-Auth-Middleware vor Traefik und erzwingt Login plus optionalem TOTP/WebAuthn-MFA für alle eure Services.

Minimale configuration.yml für Authelia:

server:
  host: 0.0.0.0
  port: 9091

log:
  level: info

totp:
  issuer: homelab.euredomain.de

authentication_backend:
  file:
    path: /config/users_database.yml

access_control:
  default_policy: deny
  rules:
    - domain: "*.homelab.euredomain.de"
      policy: two_factor

session:
  domain: homelab.euredomain.de
  secret: ${SESSION_SECRET}

storage:
  local:
    path: /config/db.sqlite3

notifier:
  filesystem:
    filename: /config/notification.txt

In Traefik bindet ihr Authelia als Middleware ein:

# traefik/config/middlewares.yml
http:
  middlewares:
    authelia:
      forwardAuth:
        address: "http://authelia:9091/api/verify?rd=https://auth.homelab.euredomain.de"
        trustForwardHeader: true
        authResponseHeaders:
          - Remote-User
          - Remote-Groups

Jeder weitere Service, der MFA-Schutz benötigen soll, bekommt einfach das Label:

labels:
  - "traefik.http.routers.meinservice.middlewares=authelia@file"

Schritt 4: CrowdSec als IDS integrieren

CrowdSec ist ein modernes, Community-basiertes Intrusion Detection System. Es analysiert Traefik-Logs in Echtzeit, erkennt Brute-Force- und Scan-Angriffe und blockt böswillige IPs automatisch via Bouncer. Die Threat-Intelligence wird community-weit geteilt – wer angegriffen wird, schützt automatisch alle anderen Nutzer.

services:
  crowdsec:
    image: crowdsecurity/crowdsec:latest
    container_name: crowdsec
    restart: unless-stopped
    environment:
      - COLLECTIONS=crowdsecurity/traefik
      - GID=1000
    volumes:
      - /var/log/traefik:/var/log/traefik:ro
      - crowdsec-data:/var/lib/crowdsec/data
      - crowdsec-config:/etc/crowdsec
    networks:
      - traefik-proxy

  crowdsec-bouncer:
    image: fbonalair/traefik-crowdsec-bouncer:latest
    container_name: crowdsec-bouncer
    restart: unless-stopped
    environment:
      - CROWDSEC_BOUNCER_API_KEY=${CROWDSEC_API_KEY}
      - CROWDSEC_AGENT_HOST=crowdsec:8080
    networks:
      - traefik-proxy

Anschließend fügt ihr den CrowdSec-Bouncer als weitere Traefik-Middleware ein – so wird jede eingehende Anfrage erst gegen die CrowdSec-Sperrliste geprüft, bevor sie Authelia oder den eigentlichen Service erreicht.

Schritt 5: Services hinzufügen – Nextcloud, Immich und Grafana

Mit diesem Stack könnt ihr beliebige Services ergänzen. Das Muster ist immer gleich: Docker-Compose-File erstellen, Traefik-Labels setzen, Domain eintragen.

Nextcloud

labels:
  - "traefik.enable=true"
  - "traefik.http.routers.nextcloud.rule=Host(`cloud.homelab.euredomain.de`)"
  - "traefik.http.routers.nextcloud.tls.certresolver=letsencrypt"
  - "traefik.http.routers.nextcloud.middlewares=authelia@file"

Immich (selbstgehostetes Google Photos)

Immich ist einer der spannendsten Self-Hosted-Services 2026: ein vollwertiger Google-Photos-Ersatz mit KI-Gesichtserkennung, automatischer Klassifizierung und mobiler App. Die Installation via Docker Compose ist dank des offiziellen docker-compose.yml straightforward.

Grafana + Prometheus

Für das Monitoring kombiniert ihr Grafana mit Prometheus und dem Node Exporter. Traefik liefert seine eigenen Metriken direkt im Prometheus-Format – ideale Grundlage für ein Homelab-Dashboard.

Automatisierung: Forgejo CI/CD und Renovate

Was den modernen Homelab-Stack 2026 von manuellen Setups unterscheidet: Reproduzierbarkeit und automatische Updates. Speichert eure gesamte Konfiguration in einem Git-Repository (z.B. auf eurem selbst-gehosteten Forgejo-Server) und nutzt Renovate Bot für automatische Dependency-Updates.

Renovate prüft täglich eure Docker-Compose-Dateien und erstellt automatisch Pull Requests für neue Container-Image-Versionen. So bleibt euer Stack aktuell, ohne dass ihr manuell nach Updates suchen müsst.

Fazit: Der ideale Homelab Stack 2026

Der Homelab Stack 2026 aus Proxmox, Docker, Traefik, Authelia und CrowdSec bietet alles, was ihr für ein professionelles Self-Hosted-Setup braucht: automatisches TLS, MFA-Schutz für alle Services, intelligente Angriffserkennung und beliebige Erweiterbarkeit. Mit dem in diesem Proxmox Docker Traefik Tutorial Deutsch beschriebenen Setup seid ihr für die nächsten Jahre gut aufgestellt.

Habt ihr bereits ähnliche Stacks im Einsatz? Welche Services laufen bei euch auf Proxmox? Teilt eure Erfahrungen in den Kommentaren!

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert