Der Experten-Guide: So meistern Sie die Weiterleitung über duckdns -> fritzbox -> nginx Proxymanager -> Container

In der heutigen digitalen Welt möchten immer mehr Menschen ihre eigenen Dienste und Anwendungen von zu Hause aus betreiben – sei es ein Medienserver, eine persönliche Cloud, ein Smart-Home-Hub oder eine eigene Webseite. Dieses Self-Hosting bietet Ihnen volle Kontrolle über Ihre Daten und Dienste. Doch der Zugriff von außerhalb des Heimnetzwerks kann eine Herausforderung darstellen, insbesondere wenn Sie eine dynamische IP-Adresse haben und Ihre Dienste sicher mit SSL verschlüsseln möchten. Dieser umfassende Experten-Guide führt Sie Schritt für Schritt durch den Prozess, um Ihre Dienste über die Kette DuckDNS -> FritzBox -> Nginx Proxy Manager -> Container zuverlässig und sicher erreichbar zu machen.

Wir zeigen Ihnen, wie Sie eine Domain mit DuckDNS registrieren, Ihre FritzBox für die Portfreigabe konfigurieren, den mächtigen Nginx Proxy Manager einrichten, um mehrere Dienste sicher zu verwalten, und schließlich, wie Sie Ihre Anwendungen in Docker-Containern bereitstellen. Am Ende dieses Guides werden Sie in der Lage sein, Ihre eigenen Dienste unter einer benutzerdefinierten Domain mit HTTPS-Verschlüsselung aus der Ferne zu erreichen.

Warum dieser Aufbau? Die Vorteile im Überblick

• Dynamisches DNS (DuckDNS): Überwindet das Problem dynamischer IP-Adressen, die sich regelmäßig ändern, indem es Ihre aktuelle IP-Adresse automatisch mit einem festen Domainnamen verknüpft.
• FritzBox: Als zentraler Router in vielen Heimnetzwerken ermöglicht sie die notwendige Portfreigabe, um externen Datenverkehr zu Ihrem internen Server weiterzuleiten.
• Nginx Proxy Manager (NPM): Ein benutzerfreundlicher Reverse Proxy mit einer Web-Oberfläche, der die Verwaltung von SSL-Zertifikaten (insbesondere mit Let’s Encrypt) und das Weiterleiten von Anfragen an verschiedene interne Dienste (Container) erheblich vereinfacht. Er dient als einzige Eintrittsstelle für externen Traffic und verbessert die Sicherheit.
• Docker-Container: Bieten eine isolierte und konsistente Umgebung für Ihre Anwendungen. Dies erleichtert die Bereitstellung, Wartung und Skalierung Ihrer Dienste erheblich.

Voraussetzungen für den Start

Bevor wir loslegen, stellen Sie sicher, dass Sie die folgenden Dinge bereit haben:

• Eine FritzBox mit Internetzugang und Administratorrechten.
• Ein Server oder ein Mini-PC (z.B. Raspberry Pi, Intel NUC) auf dem Linux läuft (Ubuntu/Debian empfohlen).
• Docker und Docker Compose sind auf Ihrem Server installiert.
• Grundkenntnisse in der Kommandozeile (Terminal) und Netzwerkgrundlagen.
• Eine stabile Internetverbindung.

Schritt 1: DuckDNS – Ihre dynamische DNS-Lösung

Ihr Internetanbieter weist Ihnen in der Regel eine dynamische IP-Adresse zu, die sich von Zeit zu Zeit ändert. Dies ist problematisch, wenn Sie Ihre Dienste immer unter demselben Domainnamen erreichen möchten. Hier kommt DuckDNS ins Spiel.

Was ist DuckDNS?

DuckDNS ist ein kostenloser Dienst, der Ihnen einen eigenen Subdomain-Namen (z.B. ihredomain.duckdns.org) zur Verfügung stellt und diesen automatisch mit Ihrer aktuellen öffentlichen IP-Adresse aktualisiert. So bleibt Ihre Domain immer erreichbar, auch wenn sich Ihre IP-Adresse ändert.

Einrichtung eines DuckDNS-Accounts und Subdomains

1. Besuchen Sie die Webseite duckdns.org.
2. Melden Sie sich mit einem Ihrer Social-Media-Konten (z.B. Google, Twitter) an.
3. Auf der Startseite können Sie unter „add domain” eine gewünschte Subdomain eingeben (z.B. meinserver). Klicken Sie auf „add domain”. Sie erhalten dann Ihre vollständige Domain (z.B. meinserver.duckdns.org).
4. Notieren Sie sich Ihren Token (eine lange alphanumerische Zeichenkette), den Sie für die Aktualisierung Ihrer IP-Adresse benötigen.

Konfiguration des DuckDNS-Updates in der FritzBox

Die eleganteste Methode, DuckDNS zu aktualisieren, ist oft direkt über die FritzBox, da diese Ihre öffentliche IP-Adresse kennt. Nicht alle FritzBox-Modelle unterstützen DuckDNS nativ, aber die meisten bieten eine generische Dynamic-DNS-Option:

1. Melden Sie sich in Ihrer FritzBox-Benutzeroberfläche an (meist über fritz.box im Browser).
2. Gehen Sie zu „Internet” -> „Zugangsdaten” -> „DynDNS”.
3. Wählen Sie als „DynDNS-Anbieter” „Benutzerdefiniert” oder „Custom” aus der Liste.
4. Geben Sie die folgenden Daten ein:
   • Update-URL: https://www.duckdns.org/update?domains=%28domain%29&token=%28pass%29&ip=%28ipaddr%29
   • Domainname: Ihre vollständige DuckDNS-Domain (z.B. meinserver.duckdns.org).
   • Benutzername: Ihr Token (dies ist etwas unkonventionell, aber so funktioniert es mit DuckDNS).
   • Passwort: Ihr Token (ebenfalls unkonventionell, aber notwendig).
5. Klicken Sie auf „Übernehmen” und prüfen Sie, ob die FritzBox den DynDNS-Dienst erfolgreich aktualisieren konnte.

Alternativ können Sie das Update auch über ein kleines Skript auf Ihrem Server oder einen dedizierten Docker-Container vornehmen.

Schritt 2: FritzBox – Das Herzstück Ihres Heimnetzwerks

Die FritzBox ist Ihr Gateway zum Internet. Damit externe Anfragen Ihren internen Server erreichen können, müssen Sie eine Portfreigabe einrichten. Wir leiten die Standard-HTTP- und HTTPS-Ports (80 und 443) an den Server weiter, auf dem Ihr Nginx Proxy Manager läuft.

Einrichtung der Portfreigabe für den Nginx Proxy Manager

1. Melden Sie sich erneut in Ihrer FritzBox-Benutzeroberfläche an.
2. Gehen Sie zu „Internet” -> „Freigaben” -> „Portfreigaben”.
3. Klicken Sie auf „Neue Portfreigabe” oder „Gerät für Freigaben hinzufügen”.
4. Wählen Sie das Gerät (Ihren Server), auf dem der Nginx Proxy Manager laufen wird, aus der Liste der Netzwerkgeräte aus. Stellen Sie sicher, dass dieses Gerät immer dieselbe lokale IP-Adresse hat (empfohlen: statische IP-Adresse oder DHCP-Reservierung in der FritzBox).
5. Richten Sie zwei separate Portfreigaben ein:
   • Freigabe 1 (HTTP):
     • Anwendung: HTTP (oder „Anderer Dienst”)
     • Bezeichnung: NginxPM_HTTP
     • Protokoll: TCP
     • Port extern: 80
     • Port intern: 80
   • Freigabe 2 (HTTPS):
     • Anwendung: HTTPS (oder „Anderer Dienst”)
     • Bezeichnung: NginxPM_HTTPS
     • Protokoll: TCP
     • Port extern: 443
     • Port intern: 443
6. Klicken Sie auf „OK” oder „Übernehmen” für jede Freigabe.

Wichtig: Die interne IP-Adresse muss die IP-Adresse des Hosts sein, auf dem Ihr Nginx Proxy Manager Container läuft, nicht die IP-Adresse eines Dienst-Containers!

Schritt 3: Nginx Proxy Manager (NPM) – Der zentrale Reverse Proxy

Der Nginx Proxy Manager (NPM) ist eine fantastische Lösung, um eingehende Webanfragen sicher an Ihre internen Dienste weiterzuleiten und gleichzeitig SSL-Zertifikate (über Let’s Encrypt) zu verwalten. Er vereinfacht die sonst oft komplizierte Konfiguration von Nginx.

Installation von Nginx Proxy Manager mit Docker Compose

Erstellen Sie auf Ihrem Server einen Ordner für NPM (z.B. /opt/npm) und darin eine docker-compose.yml-Datei:

version: '3.8'
services:
  app:
    image: 'jc21/nginx-proxy-manager:latest'
    restart: unless-stopped
    ports:
      - '80:80'
      - '443:443'
      - '81:81' # Für die Web-Oberfläche des Nginx Proxy Managers
    volumes:
      - ./data:/data
      - ./letsencrypt:/etc/letsencrypt
    environment:
      DB_MYSQL_HOST: db
      DB_MYSQL_PORT: 3306
      DB_MYSQL_USER: npm
      DB_MYSQL_PASSWORD: <IHRESICHERESPASSWORT>
      DB_MYSQL_NAME: npm
      # Optional: Wenn Sie keine MySQL-Datenbank verwenden möchten,
      # können Sie diese Zeilen entfernen und SQLite wird genutzt (weniger robust für größere Setups)
  db:
    image: 'mariadb:latest'
    restart: unless-stopped
    environment:
      MYSQL_ROOT_PASSWORD: <IHRSEHRSICHERESROOTPASSWORT>
      MYSQL_DATABASE: npm
      MYSQL_USER: npm
      MYSQL_PASSWORD: <IHRESICHERESPASSWORT>
    volumes:
      - ./mysql:/var/lib/mysql

Ersetzen Sie die Platzhalter <IHRESICHERESPASSWORT> und <IHRSEHRSICHERESROOTPASSWORT> durch starke, einzigartige Passwörter. Speichern Sie die Datei und starten Sie die Dienste im Terminal im selben Verzeichnis:

docker compose up -d

Warten Sie einen Moment, bis die Container gestartet sind. Sie können den NPM nun über Ihren Browser erreichen: http://<IP_IHRES_SERVERS>:81. Der Standard-Login ist: Benutzername [email protected], Passwort changeme. Ändern Sie diese sofort nach dem ersten Login!

Einen neuen Proxy Host anlegen

Im NPM-Dashboard gehen Sie zu „Hosts” -> „Proxy Hosts” und klicken auf „Add Proxy Host”.

1. Details:
   • Domain Names: Geben Sie Ihre DuckDNS-Domain ein (z.B. meinserver.duckdns.org).
   • Scheme: http (NPM kümmert sich um die SSL-Verschlüsselung nach außen).
   • Forward Hostname / IP: Hier geben Sie die interne IP-Adresse oder den Containernamen Ihres Ziel-Dienstes an. Wenn Ihr Dienst im selben Docker-Netzwerk wie NPM läuft, können Sie den Containernamen verwenden (z.B. meindienstcontainer). Andernfalls verwenden Sie die IP-Adresse des Docker-Containers im Bridge-Netzwerk (z.B. 172.17.0.X).
   • Forward Port: Der interne Port, auf dem Ihr Dienst im Container lauscht (z.B. 80 oder 8080).
   • Block Common Exploits: Aktivieren Sie dies für zusätzliche Sicherheit.
   • Websockets Support: Aktivieren Sie dies, falls Ihr Dienst Websockets verwendet (z.B. Nextcloud Talk, Portainer).
2. SSL:
   • Wählen Sie „Request a new SSL Certificate”.
   • Aktivieren Sie „Force SSL” und „HTTP/2 Support”.
   • Geben Sie Ihre E-Mail-Adresse für Let’s Encrypt ein.
   • Akzeptieren Sie die Let’s Encrypt Terms of Service.
3. Klicken Sie auf „Save”.

NPM wird nun versuchen, ein Let’s Encrypt-Zertifikat für Ihre Domain zu beantragen. Dies kann einen Moment dauern. Die „Force SSL”-Option sorgt dafür, dass alle Anfragen auf Port 80 automatisch auf 443 umgeleitet werden.

Schritt 4: Der Container – Ihr Ziel-Service

Der letzte Schritt ist die Bereitstellung Ihres eigentlichen Dienstes in einem Docker-Container. Der Nginx Proxy Manager leitet die Anfragen an diesen Container weiter.

Beispiel: Ein einfacher Nginx-Webserver-Container

Nehmen wir an, Sie möchten einen einfachen Nginx-Webserver betreiben. Erstellen Sie eine weitere docker-compose.yml (oder fügen Sie es zu Ihrer bestehenden hinzu) und starten Sie den Dienst:

version: '3.8'
services:
  mywebapp:
    image: 'nginx:latest'
    restart: unless-stopped
    ports:
      - '8080:80' # Intern lauscht Nginx auf Port 80, extern wird 8080 verwendet
    volumes:
      - ./html:/usr/share/nginx/html # Optional: Eigene Webseite bereitstellen

Speichern Sie dies als docker-compose.yml in einem neuen Ordner (z.B. /opt/mywebapp) und führen Sie docker compose up -d aus. Dieser Container wird nun intern auf Port 8080 Ihres Servers erreichbar sein.

Wichtig: Im Nginx Proxy Manager würden Sie für diesen Dienst als „Forward Hostname / IP” mywebapp (wenn im selben Docker-Netzwerk) oder die interne IP des mywebapp-Containers und als „Forward Port” 80 (den internen Port des Nginx-Containers) verwenden.

Stellen Sie sicher, dass Ihre Container auf einem Port lauschen, der nicht bereits von einem anderen Dienst (wie dem Nginx Proxy Manager selbst) belegt ist.

Testen und Fehlerbehebung

Nachdem alles eingerichtet ist, ist es Zeit für den Test:

1. Öffnen Sie einen Browser (am besten von einem externen Netzwerk, z.B. über mobile Daten) und geben Sie Ihre DuckDNS-Domain (z.B. https://meinserver.duckdns.org) ein.
2. Sie sollten auf Ihren Dienst zugreifen können, und die Verbindung sollte als sicher (HTTPS) angezeigt werden.

Häufige Probleme und Lösungen:

• Domain nicht erreichbar:
  • Hat DuckDNS Ihre IP-Adresse korrekt aktualisiert? Überprüfen Sie dies auf duckdns.org.
  • Gibt es DNS-Propagationsverzögerungen? Manchmal dauert es ein paar Minuten.
  • Ist die FritzBox online und hat eine öffentliche IP-Adresse?
• Website nicht erreichbar oder „Verbindung verweigert”:
  • Sind die Portfreigaben (80 und 443) in der FritzBox korrekt eingerichtet und leiten sie an die richtige interne IP-Adresse Ihres NPM-Servers?
  • Läuft der Nginx Proxy Manager-Container? Überprüfen Sie docker ps.
  • Gibt es eine Firewall auf Ihrem Server, die die Ports 80, 443 oder 81 blockiert?
  • Sind die „Forward Hostname / IP” und „Forward Port” im NPM korrekt konfiguriert und ist Ihr Ziel-Container erreichbar? Überprüfen Sie die Logs des NPM (docker logs <npm_container_id>).
  • Läuft der Ziel-Container auf dem korrekten internen Port?
• SSL-Fehler oder Zertifikatsprobleme:
  • Hat Nginx Proxy Manager das Let’s Encrypt-Zertifikat erfolgreich angefordert? Überprüfen Sie die NPM-Logs. Achten Sie auf Fehlermeldungen wie „Certbot failed”. Dies kann passieren, wenn die Portfreigaben nicht korrekt sind oder die Domain noch nicht auf Ihre IP-Adresse zeigt.
  • Stellen Sie sicher, dass Sie die Let’s Encrypt Terms of Service akzeptiert haben.
  • Versuchen Sie, den Proxy Host zu löschen und neu zu erstellen, wenn Sie sicher sind, dass die Portfreigaben und DNS stimmen.

Sicherheitsbest Practices

• FritzBox-Firmware aktualisieren: Halten Sie Ihre FritzBox immer auf dem neuesten Stand.
• Starke Passwörter: Verwenden Sie für alle Zugänge (FritzBox, NPM, Docker-Login) sichere, lange und einzigartige Passwörter. Ändern Sie sofort die Standardpasswörter.
• Zugriff auf NPM-UI: Ändern Sie den Port für die NPM-Weboberfläche (Standard 81) oder beschränken Sie den Zugriff darauf über eine Firewall, falls Sie ihn nicht extern benötigen.
• Regelmäßige Updates: Aktualisieren Sie regelmäßig Ihre Docker-Container und das Betriebssystem Ihres Servers.
• Minimale Freigaben: Geben Sie in der FritzBox nur die Ports frei, die unbedingt notwendig sind (in diesem Fall 80 und 443).
• HTTPS erzwingen: Stellen Sie sicher, dass alle Dienste über HTTPS erreichbar sind und HTTP-Anfragen umgeleitet werden („Force SSL” im NPM).

Fazit

Sie haben nun einen robusten und sicheren Weg geschaffen, um Ihre Self-Hosting-Dienste über DuckDNS, Ihre FritzBox und den Nginx Proxy Manager von überall auf der Welt zu erreichen. Diese Kette bietet Ihnen die Flexibilität einer dynamischen IP-Adresse, die Einfachheit der Portfreigabe, die Leistungsfähigkeit eines Reverse Proxy mit automatischer SSL-Verwaltung und die Isolation von Docker-Containern. Mit diesem Experten-Guide sind Sie bestens gerüstet, um Ihr Heimnetzwerk zu erweitern und Ihre digitalen Projekte voranzutreiben. Experimentieren Sie weiter und entdecken Sie die unendlichen Möglichkeiten des Self-Hostings!