← Proyectos IT

Infraestructura · Self-Hosted

Homelab Infrastructure

Stack completo self-hosted en dos servidores Debian, conectados via Tailscale VPN mesh. Sin dependencias cloud. Sin facturas sorpresa. Control total.

docker debian 12 tailscale grafana prometheus n8n nginx proxy manager
2
Servidores físicos
12+
Servicios activos
99.8%
Uptime
4
Niveles DNS
01
El Reto

La nube te da comodidad.
Te quita el control.

Cada servicio cloud es una suscripción más, una política de privacidad más, una dependencia más. Los datos de tu contraseñas en el servidor de otra empresa. Tus métricas de sistema enviadas a un SaaS. Tu automatización doméstica expuesta a internet sin que lo sepas.

El reto no era técnico en su origen. Era filosófico: ¿cuánto confías en infraestructura que no controlas? La respuesta me llevó a montar dos servidores físicos en casa, conectarlos de forma segura y replicar —y mejorar— todo lo que usaba en la nube.

La soberanía digital no es paranoia.
Es higiene básica de infraestructura.

El resultado: datos en casa, HTTPS en todos los servicios, VPN mesh entre nodos, y una cascada DNS de cuatro capas que bloquea publicidad y malware antes de que lleguen a la red.

02
Arquitectura

Dos nodos. Una red privada.
Cero exposición.

homelabES actúa como nodo principal: expuesto parcialmente al exterior con HTTPS via Nginx Proxy Manager, concentra los servicios públicos y la monitorización. hlia es el nodo secundario, solo accesible desde la red Tailscale, dedicado a servicios internos y backups.

Tailscale crea un mesh VPN basado en WireGuard entre los dos nodos, los clientes de escritorio y el móvil. Cada dispositivo tiene una IP fija en el rango 100.x.x.x sin necesidad de abrir puertos en el router.

// arquitectura de red
Nodo principal
homelabES
Debian 12 · Docker
Nodo secundario
hlia
Debian 12 · Interno
VPN Mesh
Tailscale
WireGuard · 100.x.x.x
Proxy HTTPS
Nginx Proxy Manager
SSL automático
DNS cascada
AdGuard → Pi-hole
→ Blocky → Cloudflare

La cascada DNS de cuatro capas es la joya del sistema: AdGuard Home intercepta en el router, Pi-hole añade listas adicionales, Blocky cachea y aplica reglas por cliente, y Cloudflare resuelve lo que pasa con DNS-over-HTTPS. Resultado: más del 35% del tráfico DNS bloqueado.

03
Servicios

Doce contenedores.
Cero suscripciones cloud.

Todos los servicios corren en Docker con docker-compose. Watchtower supervisa actualizaciones automáticas en horario nocturno. Cada servicio tiene su red interna aislada y solo expone lo necesario al proxy.

homelabES

Servicios públicos

Nginx PM, Vaultwarden, Grafana, n8n, Uptime Kuma, servicio web personal

homelabES

Monitorización

Prometheus, Loki, Node Exporter, cAdvisor para métricas de contenedores

hlia

Servicios internos

Jellyfin, Paperless-ngx, AdGuard Home, Pi-hole, Blocky DNS

ambos

Automatización

Watchtower updates, n8n flows, backups automáticos a almacenamiento externo

04
Monitorización

Si no lo mides,
no existe.

Grafana centraliza dashboards de sistema, red y contenedores. Prometheus recoge métricas cada 15 segundos. Loki agrega logs. Uptime Kuma monitoriza disponibilidad de cada servicio con checks cada 60 segundos.

n8n orquesta los flujos de alerta: cuando Prometheus dispara una alerta, un flow de n8n la procesa, la enriquece con contexto y la envía por Telegram con el estado del servicio afectado y posibles causas. Sin PageDuty. Sin PagerDuty. Sin costes.

  • Dashboards de CPU, memoria, disco y red por nodo
  • Métricas de contenedores Docker vía cAdvisor
  • Logs centralizados con Loki + alertas por anomalías
  • Alertas Telegram con contexto enriquecido via n8n
Docker Debian 12 Tailscale Nginx Proxy Manager Grafana Prometheus Loki n8n Uptime Kuma Watchtower AdGuard Home Pi-hole
← Volver Todos los proyectos IT Siguiente Proyecto · IT JARVIS AI Assistant