Seguretat al teu homelab amb eines open source

Informatec Digital » Recursos » Seguretat al teu homelab amb eines open source

Muntar un homelab avui dia és com tenir un petit centre de dades a casa amb serveis 100% sota el teu control: núvol privat, domòtica, còpies de seguretat, multimèdia, fins i tot IA generativa. Però quan comences a obrir ports, exposar serveis o connectar atuells IoT, la pregunta apareix sola: com mantinc tot això segur sense deixar-me un dineral i usant eines open source?

Si ja tens un NAS tipus Synology o QNAP, un servidor amb Proxmox o un simple mini PC corrent Docker, aquest contingut et vindrà als cabells. Repassarem com assegurar un homelab amb programari lliure, quines alternatives tens a exposar serveis directament a internet, com segmentar la teva xarxa, com accedir amb VPN mesh (Tailscale, NetBird, ZeroTier), què fer servir per protegir contrasenyes, backups, càmeres de seguretat i el teu núvol personal, i com encaixar totes aquestes peces sense tornar-te boig.

Què és realment un homelab i per què la seguretat importa tant

Un homelab actual ja no és només “el PC vell que fa de servidor”, sinó un ecosistema de serveis autogestionats: núvol, multimèdia, domòtica i IA funcionant les 24 hores. Gràcies a projectes open source cada cop més polits, és fàcil aixecar a casa una cosa que s'assembla sospitosament a la infraestructura d'una petita empresa.

En molts casos, el cor de l'homelab és un NAS (Synology, QNAP, TrueNAS, openmediavault…) o un hipervisor com Proxmox VE, acompanyat de Docker o Kubernetes gestionats amb Portainer, Rancher o altres capes d'orquestració. Damunt aquesta base desplegaments Plex o Jellyfin, Nextcloud, Home Assistant, apps d'IA, panells de monitorització i mil coses més.

El problema arriba quan comences a exposar serveis a l'exterior amb el proxy invers del NAS, obres ports al router sense pensar-ho massa o connectes desenes de dispositius IoT sense segmentar la xarxa. De cop, el que era un projecte divertit es converteix en una superfície d'atac molt sucosa. I si a més guardes fotos familiars, documents sensibles o accessos al teu banc, ja et pots imaginar el risc.

La bona notícia és que l'ecosistema open source ofereix tot allò necessari per muntar un homelab segur, accessible des de fora i amb bones pràctiques molt properes a les d'entorns professionals, però sense costos recurrents o amb plans gratuïts suficients per a una infraestructura casolana.

Base de l'homelab: virtualització, contenidors i emmagatzematge segur

La seguretat comença molt abans de pensar en VPNs o túnels. Una base sòlida implica triar bé l'hipervisor, com gestions contenidors i com guardes les dades per minimitzar riscos i facilitar backups i restauració.

A la part de contenidors, opcions com Portainer o Rancher faciliten la gestió de Docker i Kubernetes des d'una interfície web, sense lluitar massa amb la línia d'ordres. Portainer encaixa genial si només vols controlar Docker o algun clúster petit, mentre que Rancher se sent més natural si t'has ficat al món Kubernetes amb K3s o diversos nodes.

Si busques alguna cosa que et permeti instal·lar serveis a cop de clic, projectes tipus CasaOS, Runtipi o Cosmos funcionen com una mena de “app store” self-hosted. Són molt útils per a qui comença, encara que convé no abusar per continuar entenent què s'està desplegant i quins ports s'obren.

En el terreny de les màquines virtuals i l'emmagatzematge seriós, un combo típic és fer servir Proxmox VE com a hipervisor principal i un NAS basat en TrueNAS o openmediavault com a backend d'emmagatzematge. Amb ZFS, snapshots i replicacions pots aïllar millor els serveis, fer proves a VMs de laboratori i tenir còpies coherents de les teves dades crítiques.

Un exemple realista: un QNAP TS-253E amb discos en RAID 1 i un disc extern de 16 TB per a backup general proporciona un punt centralitzat per a volums de Docker, ISOs, còpies de seguretat i llibreries multimèdia. Sobre aquesta base, Proxmox o el propi sistema del NAS allotja contenidors i VMs amb serveis separats, de manera que una fallada en una part no arrossegui la resta del sistema.

Segmentació de xarxa i aïllament: primera línia de defensa

Abans de pensar a exposar Overseerr, Plex o els arrs, convé organitzar la xarxa interna. Una de les millors pràctiques, tant a empreses com a casa, és segmentar la xarxa en diferents zones amb subxarxes específiques segons el tipus de dispositiu i el nivell de confiança.

Un disseny molt pràctic a homelab és separar almenys quatre segments: una LAN per a equips fiables (PCs personals, alguns dispositius crítics), una xarxa de convidats per a visites, una xarxa IoT per a atuells “sospitosos” i, si tens molts dispositius tipus SBC, un segment específic només per a ells, aïllat però accessible mitjançant rutes estàtiques.

Per exemple, pots definir una cosa així:

• LAN – 192.168.1.0/24: equips de confiança, sense restriccions internes.
• GUEST – 192.168.2.0/24: wifi de convidats, dispositius aïllats entre si i amb accés restringit a internet.
• IOT – 192.168.3.0/24: endolls intel·ligents, tires LED, purificadors d'aire, altaveus llestos, controladors LoRa….
• SBC – 192.168.4.0/24: Raspberry Pi, BeagleBone i altres plaques, connectades només per cable, amb accés controlat.

El router principal (o un router neutre avançat) aplica les polítiques de tallafocs entre xarxes, de manera que els dispositius IoT no poden arribar lliurement al teu NAS o als teus ordinadors, i la xarxa de convidats no té manera d'escanejar el teu homelab. Des de la LAN pots accedir a tota la resta, i des del segment SBC pots actuar com a router cap a zones concretes mitjançant rutes estàtiques ben definides.

Aquest tipus de disseny té un altre avantatge: quan alguns equips participen també a xarxes privades virtuals com Tailscale, és molt més senzill decidir què s'exposa a través de la VPN i què queda completament tancat en un segment local sense sortida directa.

Accés remot segur: VPN mesh, túnels i proxies inversos

Un dels errors més comuns a homelabs és exposar directament serveis com Plex, Overseerr, Sonarr, Radarr o el mateix panell d'administració del NAS mitjançant el proxy invers integrat i un parell de regles al router. És còmode, sí, però també obre la porta a atacs de força bruta, exploits de dia zero i escanejats massius.

Si només tu utilitzaràs aquests serveis, l'opció més assenyada és no exposar-los a internet i accedir-hi únicament a través d'una VPN. En lloc de muntar una VPN clàssica tipus OpenVPN o WireGuard amb configuracions manuals, cada vegada és més habitual estirar solucions mesh que simplifiquen moltíssim el procés.

A molts homelabs, l'escenari ideal és deixar exposat únicament un servei pensat per a l'ús de tercers (per exemple, Overseerr perquè els teus amics demanin contingut multimèdia) i mantenir els arrs, el panell d'administració de Docker i la resta de serveis accessibles només per VPN. D'aquesta manera, reduïu la superfície d'atac i obligueu a passar per un túnel xifrat per tocar qualsevol cosa sensible.

Quan sí que necessites exposar alguna cosa públicament (una web, un bloc o un servei que hagi de ser accessible sense VPN), entren en joc solucions com els túnels de Cloudflare o alternatives open source com NetBird amb la seva funcionalitat de reverse proxy. Aquesta última apunta a ser un substitut interessant de Cloudflare Tunnels per a qui ja fa servir NetBird com a xarxa privada.

NetBird i altres proxies inversos open source orientats a seguretat

NetBird va néixer com una solució de xarxa privada virtual basada en WireGuard, i amb el temps ha anat ampliant funcions fins a incloure un reverse proxy open source capaç d'exposar serveis interns sense necessitat de muntar túnels propietaris externs. Per a qui té un homelab amb serveis que de vegades necessiten ser públics, això redueix força la dependència de tercers.

Entre les característiques més interessants del reverse proxy de NetBird hi ha el suport de TLS automàtic amb certificats de Let's Encrypt, de manera que no t'has de barallar amb renovacions manuals, ni amb configuracions complexes de Nginx o Traefik per a cada servei que afegeixes.

A nivell d'autenticació, el servidor intermediari permet triar entre diverses opcions: SSO integrat amb el vostre proveïdor d'identitat, autenticació per contrasenya, PIN o fins i tot mode públic sense protecció (que només hauries d'usar per a serveis realment pensats per a tots els públics). Aquesta flexibilitat ajuda a adaptar cada endpoint al risc associat.

A més, la part d'encaminament de NetBird és força potent: es pot fer routing basat en ruta, per exemple enviar /api a un servei concret i /docs a un altre de diferent, sempre que siguin accessibles dins de la xarxa NetBird. I no es queda només en un únic proxy, ja que està preparat per escalar amb diversos nodes si el teu homelab s'acaba convertint en una cosa més gran.

Com a alternativa o complement, moltes instal·lacions d'homelab continuen confiant en proxies inversos com Traefik, Nginx Proxy Manager o Caddy, que també ofereixen integració amb Let's Encrypt, routing avançat i autenticació addicional. La clau és no deixar serveis “a pèl” exposats, sinó sempre darrere d'un proxy ben configurat, amb HTTPS i regles d'accés clares.

Cambres de seguretat i videovigilància open source en un homelab

Un altre cas d'ús típic és muntar un sistema de càmeres de seguretat casolà utilitzant programari lliure, per exemple, per vigilar l'habitatge d'uns pares jubilats o una segona residència. Aquí la seguretat és doble: d'una banda protegir l'accés a les càmeres, i de l'altra evitar dependre de serveis al núvol de tercers.

Si ja teniu càmeres Blink o altres càmeres IP, el primer és comprovar fins a quin punt són accessibles des de solucions open source. Algunes marques permeten accedir a l'streaming RTSP o HTTP, d'altres estan molt tancades i només funcionen amb la seva app al núvol. En funció d'això, podràs integrar més o menys elements al teu homelab.

Entre els projectes open source més usats per a videovigilància destaquen opcions com zoneminder, MotionEye o Frigate (aquest darrer especialment popular quan integres càmeres amb Home Assistant i vols detecció de persones o objectes recolzada a IA). Tots ells permeten enregistrament continu o per esdeveniments, alertes i gestió centralitzada de diverses càmeres.

Perquè aquest sistema sigui realment segur, l'ideal és que les càmeres resideixin a la xarxa IoT, sense accés directe a la LAN, i que el servidor que corre el programari de videovigilància s'encarregui de recollir les imatges, emmagatzemar-les de forma segura a la teva NAS i exposar la interfície només a través de la LAN o via VPN.

Si vols que els teus familiars puguin veure les càmeres des de fora de casa, pots combinar Home Assistant o el propi sistema de videovigilància amb una VPN mesh com Tailscale o amb un reverse intermediari tipus NetBird o Traefik protegit amb autenticació forta. Així evites obrir ports bàsics com el 80 o el 554 (RTSP) al món.

Serveis per al dia a dia: núvol personal, fotos, multimèdia i IA

Més enllà de la seguretat pura i dura, un dels motius per enganxar-se la feina de muntar un homelab és deixar de dependre de Google Drive, Google Photos, Netflix o similars i portar tots aquests serveis a la teva infraestructura. El que és interessant és que gran part d'aquestes eines es poden integrar de manera relativament senzilla i segura.

Per a la part d'emmagatzematge i sincronització de fitxers, l'estàndard de facto és Nextcloud, amb suport per a arxius, calendaris, contactes, notes i edició col·laborativa usant Col·labora o ONLYOFFICE. Si busques alguna cosa més lleugera o amb un altre enfocament, projectes com Seafile, Filestash, ownCloud o Pydio Cells ofereixen alternatives viables.

Al terreny de les fotos i vídeos personals, eines com Immich, PhotoPrism o LibrePhotos permeten desplegar un clon força digne de Google Photos, amb reconeixement de cares, etiquetatge automàtic i cerca per contingut. Aquestes aplicacions solen menjar força recursos, així que convé ubicar-les en un servidor amb GPU o almenys bona CPU i emmagatzematge ràpid.

Per multimèdia en general, la combinació de Jellyfin com a mitja center, Navidrome per a música en streaming i Audiobookshelf per a audiollibres i podcasts pràcticament cobreix tot l'espectre d'entreteniment casolà. Jellyfin s'ha consolidat com a alternativa lliure a Plex/Emby, sense llicències ni restriccions de funcionalitats bàsiques.

Si us ve de gust anar més enllà, l'homelab és un lloc ideal per jugar amb IA generativa i LLMs en local. Projectes com Ollama simplifiquen la descàrrega i execució de models com Flama, Gemma o DeepSeek, ia sobre exposen una API compatible amb la d'OpenAI, cosa que facilita integrar chatbots en altres aplicacions.

Per parlar amb aquests models des del navegador tens interfícies com Open WebUI, Lobe Chat o Anse, que suporten tant models locals com serveis externs i afegeixen funcions d'historial, espais de treball o RAG. I si vols anar un pas més enllà i construir agents o fluxos complexos, eines com Flowise, Dify o Cheshire-Cat permeten dissenyar pipelins d'IA amb nodes, memòries i eines externes.

Domòtica, IoT i automatització: potència i riscos a la mateixa jugada

La domòtica és una altra pota fonamental de l'homelab modern. Gràcies a projectes open source, pots integrar bombetes, endolls, sensors, televisors, purificadors d'aire o controladors LoRa en un únic panell, crear automatitzacions complexes i fins i tot enllaçar-lo amb el teu sistema d'IA local.

El rei absolut en aquest terreny és Home Assistant, que actua com a plataforma d'automatització centralitzada des de la qual es controla gairebé qualsevol dispositiu IoT del mercat. Es pot desplegar a una Raspberry Pi, a una VM de Proxmox o fins i tot a contenidors, i s'integra molt bé amb les xarxes segmentades abans esmentades.

Per a automatitzacions més “de fluxos” o integracions entre serveis i APIs, destaquen Node-XARXA i n8n, que permeten crear pipelins visuals unint disparadors, transformacions i accions. Altres eines com Activepieces o Huginn se centren més en automatitzacions tipus “agent”, reaccionant a esdeveniments externs com RSS, correus o canvis a webs.

Una bona pràctica de seguretat aquí és que tots els atuells IoT s'ubiquin a la xarxa IOT, amb accés controlat i sortides a internet mínimes. Home Assistant, que pot ser a la LAN o al segment SBC, té permís per parlar amb ells, però no al revés. Així, si un dispositiu resulta vulnerable, no pot pivotar cap a la teva NAS o els teus ordinadors personals.

Per accedir a Home Assistant des de fora, en lloc d'obrir el port a l'exterior, l'ideal és utilitzar una VPN mesh tipus Tailscale o una solució com NetBird, o bé exposar-ho amb un reverse proxy protegit amb autenticació forta i certificats TLS correctes. L'objectiu és que mai quedi “en cru” a internet amb una simple contrasenya com a única barrera.

Monitorització, analítica i resposta a incidents

Quan el teu homelab creix una mica, resulta molt útil muntar un sistema de monitorització i observabilitat que t'avisi quan alguna cosa va malament, a més de panells bonics per veure l'estat general de la teva infraestructura. No és només qüestió de frikisme: ajuda molt a detectar errors primerencs i possibles incidents de seguretat.

El combo clàssic és Prometheus com a recol·lector de mètriques i Grafana com a motor de dashboards. Amb això podeu vigilar des de la càrrega de CPU i memòria dels vostres VMs fins a l'espai en disc del NAS o l'estat dels serveis de domòtica. Molts projectes d'homelab ja porten exporters llestos per integrar-se amb Prometheus.

Si vols alguna cosa més plug & play, Netdata ofereix monitorització full-stack gairebé sense configuració, mentre que Glances dóna una visió ràpida a terminal o web. Per saber si els teus serveis estan accessibles i rebre alertes quan cauen, eines com Uptime Kuma resulten senzilles i molt efectives en entorns casolans.

També té sentit muntar analítica web self-hosted per a les teves pàgines o projectes personals sense recórrer a Google Analytics. Solucions com Plausible, Umami, Matomo o Openpanel permeten recollir estadístiques de trànsit respectant la privadesa. I si t'interessa l'analítica de negoci sobre les teves pròpies bases de dades, Metabase, Redash o PostHog obren un ventall força potent.

Per a qui vulgui arrissar encara més el ris en seguretat, hi ha projectes de nivell SOC com Wazuh, OpenCTI, TheHive o Cortex, pensats per a detecció d'intrusos, anàlisi d'indicadors de compromís i gestió d'incidents. Són més avançats i potser una mica sobredimensionats per a un homelab petit, però funcionen molt bé en entorns de laboratori i formació.

Contrasenyes, secrets i còpies de seguretat: el que no pot faltar

Res de l'anterior no té sentit si no cuides dos pilars bàsics: la gestió segura de contrasenyes i secrets, i una estratègia de backup decent. Molts homelabs fallen just aquí, i és on fa més mal quan passa alguna cosa.

Al costat de contrasenyes, tens la possibilitat de muntar el teu propi gestor amb eines com Bitwarden, Vaultwarden, KeeWeb o Passbolt. Vaultwarden, en particular, és una implementació lleugera del servidor de Bitwarden, perfecta per a homelabs, que permet fer servir els clients oficials i mantenir tota la teva volta a casa.

Quant a còpies de seguretat, l'ideal és fer servir eines que ofereixin xifrat, deduplicació i eficiència en lús despai. Restic, BorgBackup, Kòpia, Duplicati o Rclone encaixen justament en aquest perfil, i es poden apuntar tant a discos locals com al teu NAS oa proveïdors d'emmagatzematge tipus S3, Backblaze i similars.

Una màxima molt repetida a la comunitat és que si no tens backup, no tens homelab. El que és sensat és automatitzar còpies regulars de les teves dades crítiques (configuracions de Proxmox, volums de Docker, bases de dades de serveis, fotos, documents personals) cap a un altre disc o fins i tot cap a una altra ubicació física, combinant snapshots del NAS amb backups a nivell de fitxer o bloc.

A més, val la pena tenir un wiki intern amb la documentació de la teva infraestructura. Projectes com BookStack, Wiki.js o Docmost permeten anar anotant com tens segmentada la xarxa, quins serveis estan desplegats, credencials dús intern, scripts de restauració, etc. Aquesta “font de veritat” t'estalvia molts disgustos quan toques mesos després.

Com triar per on començar i evitar la síndrome de la joguina nova

Amb tantes opcions open source disponibles, és molt fàcil caure en l'impuls de voler instal·lar-ho absolutament tot i acabar amb un homelab caòtic, insegur i difícil de mantenir. La clau és prioritzar i avançar per fases, tenint cura de la seguretat des del primer dia.

El primer és decidir què necessites resoldre ara mateix. Si el teu problema principal són les còpies de seguretat i les fotos, té molt de sentit començar per un NAS ben configurat (TrueNAS, openmediavault o el teu QNAP/Synology), Nextcloud per al núvol personal i Immich per a les fotos, tot això darrere de VPN o d'un servidor intermediari segur.

Si el teu interès és a la IA i l'experimentació, pots centrar-te en muntar Ollama amb una interfície com Open WebUI, aprofitant si tens una GPU decent. A partir d'aquí, hi afegeixes Flowise o Dify per construir agents o fluxos més complexos dins de l'homelab.

Per a un enfocament orientat a domòtica, té molt sentit estirar Home Assistant com a peça central i una xarxa mesh tipus Tailscale per a accés remot segur. Més endavant podràs integrar Node-RED o n8n, i encerclar-ho tot amb una bona segmentació de xarxa que deixi els dispositius IoT ben tancats.

Sigui quin sigui el camí triat, convé assentar una base mínima de seguretat i observabilitat: un esquema de backups clars i provats, i un parell d'eines senzilles de monitorització (per exemple, BorgBackup o Restic per a còpies, i Uptime Kuma o Grafana+Prometheus per saber què cau i quan).

Amb tot això al cap, un homelab basat en programari open source pot convertir-se en una plataforma molt potent i alhora segura per als teus serveis personals: des del núvol privat i les càmeres de seguretat fins a la IA local i la domòtica, sempre que combinis segmentació de xarxa, accés remot mitjançant VPN o proxies ben configurats, gestió acurada de contrasenyes i còpies de seguretat automatitzades, en lloc de deixar serveis oberts al món sense protecció.