Můj domácí server: Jak jsem se zbavil předplatného a cloudu

Už se mi nechtělo platit za externí služby, cloudové úloiště nebo správu hesel. Chtěl jsem mít svoje data pod kontrolou, bez reklam a měēíčních poplatků. Zároveň mě ale vždycky lákalo se v tomhle světě víc ponořit, naučit se nové věci a upozornit na chyby, které jsem cestou udělal.

Co vše mi na serveru běží

• Proxmox Virtuální stroje a kontejnery

• Media server – Servarr stack Streamování filmů, seriálů a hudby

• Vaultwarden Správce hesel uložený u mě

• DNS server – Pi-hole + Unbound Blokace reklam a plná kontrola DNS

• Mail server – Mox Lehké moderní řešení pro vlastní poštu

• Home Assistant Kompletní chytrá domácnost

• Nginx Proxy Manager Reverzní proxy a HTTPS

• Glance Rozcestník pro všechny služby

• Affine Poznámky, dokumentace a nápady

Jaký hardware jsem použil?

Recyklovat starý PC nešlo – ten už obsluhuje jinou službu. Rozhodl jsem se tedy postavit zcela novou sestavu:

Moje sestava:

• CPU: Intel Core i5-14600K – dostatečný výkon pro virtualizaci i transcoding
• MB: ASROCK Z690 PG Riptide – dost portů a RAM slotů (zpětně zbytečně moc SATA)
• RAM: 32 GB DDR4 – zatím dostačující, rozšířitelné
• Disky: 2× 512 GB NVMe – pro OS a VM
• Skříň: Gamemax Silent Max / M903 – zbytečně velká
• Zdroj: GIGABYTE UD750GM – přepal, ale plně modulární

Celkové náklady: 15 823 Kč Běží nonstop, tichý provoz

Co bych udělal jinak:

• CPU je zbytečně výkonné, ale plánuji rozšíření
• 8x SATA portů je zbytečných
• Skříň zbytečně velká
• RAM bude těsná s media serverem a Home Assistantem, ale jde snadno doplnit

Proxmox jako základ

Pro rychlý běh systému a kontejnerů jsem zvolil 2x 500GB NVMe SSD. Tam běží samotný Proxmox s zfs RAID 1, všechna VM/CT. Díky tomu je celý systém svižný, rychle bootuje a práce s kontejnery je plynulejší. Pro data na media serveru mám přidané několika TB HDD disky.

Segmentace služb pomocí VLAN

Používám VLAN-aware bridge (vmbr0) s nastavenými VLAN tagy pro každou službu. VLAN provoz řídí pfSense firewall/router.

Každá VM či CT má přiřazen VLAN tag dle typu služby:

• Infrastruktura
• Media
• Smart home
• Management
• Externí služby

Media server – Servarr stack

Virtuální stroj (Debian) na oddělené VLAN.

Používané aplikace:

• Jellyfin – přehrávač a knihovna
• Jellyseerr – správa požadavků
• Radarr, Sonarr, Lidarr, Readarr – sbírky filmů, seriálů, hudby a knih
• Prowlarr – správce indexerů
• Bazarr – titulky
• qBittorrent – stahování

Instalace pomocí YAMS Media

Vaultwarden

Jedna z dalších věcí, kterou jsem na serveru chtěl rozjet, byla vlastní správa hesel. Rozhodl jsem se pro Vaultwarden – odlehčenou a self-hostovanou verzi Bitwardenu, se kterou mám už dlouholeté zkušenosti a jsem spokojený. Vaultwarden je nenáročna služba, takže mi běží v LXC kontejneru (CT) jako Docker image

• Webové rozhraní a mobilní aplikace Bitwarden fungují 100 %
• Synchronizace napříč zařízeními
• Dvoufázové ověření (TOTP), sdílení, generátor hesel
• Bez měsíčního poplatku

Pi-hole + Unbound

Další klíčovou částí mého domácího serveru je vlastní DNS server, postavený na Pi-hole a Unboundu Pi-hole a Unbound jsou spolu v jednom LXC kontejneru (CT) Celý DNS provoz ve VLAN pro infrastrukturu. Pak všechny ostatní VLANy používají IP adresu tohoto kontejneru jako svůj DNS server.

• Pi-hole funguje jako DNS resolver, který blokuje reklamy, trackery a škodlivé domény na úrovni sítě.
• Místo aby dotazy posílal dál na cizí DNS (Google, Cloudflare…), používá Unbound jako lokální rekurzivní resolver.
• Dotazy tedy putují přímo ke kořenovým DNS serverům, bez prostředníků.
• Navíc si odpovědi cachuje, takže opakované dotazy jsou okamžité a nezatěžují síť.

Nginx Proxy Manager

Abych měl přístup ke všem svým službám pohodlně, bezpečně a pod jednou střechou, nasadil jsem Nginx Proxy Manager (NPM). Umožňuje mi snadno vystavit jednotlivé aplikace na vlastní doménu a chránit je pomocí HTTPS.

• Reverzní proxy pro služby běžící v různých kontejnerech a VM
• HTTPS certifikáty od Let's Encrypt – zdarma a automaticky
• Přístup k aplikacím přes jednoduché adresy jako třeba vault.mojedomena.cz.

Home Assistant

Chtěl jsem mít chytrou domácnost, ale bez cloudu. Má obrovské množství integrací, takže nepotřebuju od každého výrobce vlastní bridge nebo hub. Většina zařízení komunikuje přímo s Home Assistantem přes lokální sítě, MQTT, Zigbee nebo ESPHome. Výsledkem je jednoduché, propojené a plně pod kontrolou.

• Home Assistant běží jako VM – samostatný virtuální stroj pro lepší izolaci a stabilitu. Plná verze Home Assistant OS, která umožňuje používat supervizor a komunitní doplňky
• Připojený do samostatné VLAN pro smart home zařízení
• Všechna zařízení, která to umožňují, mám připojená přes Zigbee – je to rychlé, spolehlivé a nezatěžuje Wi-Fi.

Než jsem měl vlastní server, provozoval jsem Home Assistant na Raspberry Pi 5 s 8 GB RAM. Na základní automatizace, senzory a světla to stačilo – ale jakmile se člověk rozhodne jít hlouběji, narazí na limity. V mém případě to začalo s lokálním voice asistentem (např. Rhasspy nebo Piper), který už vyžaduje vyšší výkon procesoru. A časem nestačila ani RAM, když začaly přibývat další integrace a add-ony.

Glance

Když mám na serveru víc služeb a aplikací, chtěl jsem jedno centrální místo, odkud se ke všemu snadno dostanu – bez toho, abych si musel pamatovat porty nebo IP adresy. A přesně k tomu používám Glance.

Glance je jednoduchý webový dashboard, který slouží hlavně jako přehledný rozcestník – ukazuje mi odkazy na všechny důležité aplikace, které na serveru běží. Každý odkaz je doplněn ikonou a základní informací, takže je to nejen užitečné, ale i pěkné na pohled.

Běží v LXC kontejneru Konfigurace se řeší přes YAML soubory. Díky dokumentaci na jejich GitHubu https://github.com/glanceapp/glance je to velmi jednoduché

Mox mail server

Věšina lidí řekne: vlastní mail server? Nedoporučuje se! A mají pravdu. Postfix, Dovecot, spam filtry, relay, DNSSEC...

Proto jsem zvolil Mox:

• jednoduché a moderní řešení
• SMTP/IMAP i webmail
• DKIM/SPF/DMARC v základu

DNS resolver

Mox běží ve vlastní VM spolu s odděleným Unbound resolverem. Původně jsem chtěl použít stávající DNS, ale kvůli kolizím portů a problémům s DNSSEC to nefungovalo spolehlivě.

Zprvu maily příjemcům (např. Gmail) padaly do spamu, ale po několika dnech si na moji doménu "zvykli" a doručitelnost je nyní bez problémů.

Affine

Používám Affine pro poznámky, dokumentaci a zápisy. Open-source alternativa Notionu.

• Běží v Dockeru v LXC
• Příjemný UX/UI
• Lokální, žádný cloud

Závěr

Když se ohlédnu zpět, vlastní domácí server mi přinesl přesně to, co jsem chtěl

• soukromí
• žádná měsíční předplatná
• spoustu nových znalostí

Už nejsem závislý na cloudu ani službách, které se mohou kdykoli změnit nebo zdražit. Mám vlastní media server, DNS, správu hesel, chytrou domácnost i e-mail – všechno běží u mě, pod mou kontrolou. Cestou jsem narazil na spoustu věcí, které jsem se musel naučit – síťování, VLANy, DNS, zálohování, bezpečnost, reverzní proxy… ale právě to je na tom to nejlepší. Je to projekt, který nikdy nekončí, ale přesně díky tomu mě to baví.