Sicherheits-Setup: VPN (Tailscale/WireGuard) vs. Reverse Proxy (Nginx/Caddy)
Wie du sicher von unterwegs auf dein Smart Home zugreifst – ohne dein Netzwerk dem Internet auszusetzen.
5 Min. LesezeitAktualisiert 3. Juni 2026
In 30 Sekunden
Für die meisten Nutzer ist ein VPN wie Tailscale die sicherste und einfachste Lösung. Reverse Proxies sind für öffentliche Services gedacht, nicht für private Smart Home Dashboards. Wenn du nur von unterwegs auf Home Assistant zugreifen willst, nimm ein VPN.
Partnerlinks: Die mit 🛒 markierten Links sind Affiliate-Links. Bei einem Kauf erhalten wir eine kleine Provision – ohne Mehrkosten für dich.
Das Problem mit Remote-Zugriff
Du willst von unterwegs auf dein Smart Home zugreifen. Die Heizung hochdrehen, bevor du nach Hause kommst. Checken, ob du das Licht ausgemacht hast. Die Kamera ansehen. Dafür muss dein Home Assistant von außen erreichbar sein.
Aber einfach einen Port im Router öffnen ist gefährlich. Dein Smart Home wird dann vom gesamten Internet aus angreifbar. Bots scannen permanent nach offenen Ports. Wenn sie Home Assistant finden, versuchen sie, sich einzuloggen. Schwache Passwörter sind in Minuten geknackt.
Die zwei sicheren Lösungen
VPN – der sichere Tunnel nach Hause
Ein VPN baut einen verschlüsselten Tunnel zwischen deinem Handy und deinem Heimnetzwerk. Von außen sieht niemand, dass du auf Home Assistant zugreifst. Du bist virtuell zu Hause, auch wenn du physisch woanders bist.
Tailscale ist die einfachste Lösung. Du installierst die App auf deinem Handy und auf dem Home Assistant Server. Tailscale baut automatisch eine Verbindung auf. Kein Port-Forwarding, keine Firewall-Regeln, keine Zertifikate. Es funktioniert einfach.
WireGuard ist die manuelle Alternative. Du konfigurierst den VPN-Server selbst, generierst Schlüssel, richtest Clients ein. Das ist komplexer, aber du hast volle Kontrolle. Und es läuft komplett auf deiner Hardware, ohne Cloud-Dienst.
Vorteile VPN
Kein Port-Forwarding nötig
Verschlüsselte Verbindung
Zugriff auf alle Geräte im Heimnetz
Keine Angriffsfläche für Bots
Reverse Proxy – für öffentliche Services
Ein Reverse Proxy wie Nginx oder Caddy sitzt vor Home Assistant und leitet Anfragen weiter. Du öffnest Port 443 (HTTPS) im Router und der Proxy entscheidet, wer durchkommt. Mit Let's Encrypt bekommst du automatisch ein gültiges SSL-Zertifikat.
Das klingt professionell, aber es bedeutet auch: Dein Home Assistant ist vom Internet aus erreichbar. Jeder kann die Login-Seite sehen. Jeder kann versuchen, sich einzuloggen. Du brauchst starke Passwörter, Zwei-Faktor-Authentifizierung (am besten per Hardware-Token) und regelmäßige Updates.
Reverse Proxies sind für Webseiten gedacht, die öffentlich sein sollen. Blogs, Shops, APIs. Nicht für private Dashboards. Wenn du nur selbst zugreifen willst, ist ein VPN die bessere Wahl.
Vorteile Reverse Proxy
Funktioniert ohne VPN-Client
Automatische SSL-Zertifikate
Kann mehrere Services hosten
Gut für öffentliche Dashboards
Pro-Tipp
Tailscale hat einen kostenlosen Plan für bis zu 100 Geräte. Für private Nutzung reicht das locker. Du brauchst keine Self-Hosted-Lösung, wenn du nicht willst.
0 PortsMüssen für Tailscale geöffnet werden
< 5 MinSetup-Zeit für Tailscale
100%Verschlüsselung bei VPN-Verbindungen
VPN: Verschlüsselter Tunnel ins Heimnetz. Reverse Proxy: Öffentlicher Zugang mit Authentifizierung. · Klicken zum Vergrößern
Wann welche Lösung?
Wenn du nur selbst von unterwegs zugreifen willst: VPN. Wenn du Familie oder Freunden Zugriff geben willst: VPN. Wenn du ein öffentliches Dashboard für Gäste brauchst: Reverse Proxy mit starker Authentifizierung.
Nimm VPN wenn: Du privaten Zugriff für dich und Familie willst.
Nimm Reverse Proxy wenn: Du einen Service öffentlich machen willst (z. B. Gäste-Dashboard).
Nimm beides wenn: Du öffentliche und private Services parallel betreibst.
Tailscale einrichten – so geht's
Tailscale ist in fünf Minuten einsatzbereit. Du brauchst keine Netzwerk-Kenntnisse. Installiere das Tailscale Add-on in Home Assistant. Installiere die Tailscale App auf deinem Handy. Melde dich mit dem gleichen Account an. Fertig.
Tailscale gibt jedem Gerät eine IP-Adresse im 100.x.x.x Bereich. Du greifst auf Home Assistant über diese IP zu. Die Verbindung ist verschlüsselt. Niemand außer dir kann sie sehen. Und wenn du zu Hause bist, nutzt Tailscale automatisch das lokale Netzwerk statt über das Internet zu gehen.
Wusstest du schon?
Tailscale nutzt WireGuard unter der Haube, macht aber die Konfiguration automatisch. Du bekommst die Sicherheit von WireGuard ohne den Setup-Aufwand.
WireGuard selbst hosten
Wenn du Tailscale nicht vertrauen willst oder keine Cloud-Abhängigkeit möchtest, kannst du WireGuard selbst betreiben. Du installierst den WireGuard-Server auf deinem Home Assistant Host oder einem GL.iNet VPN-Router🛒. Generierst Schlüssel für jeden Client. Öffnest einen Port im Router. Konfigurierst die Clients manuell.
Das ist aufwendiger, aber du hast volle Kontrolle. Keine Daten gehen durch fremde Server. Alles läuft auf deiner Hardware. Für Datenschutz-Puristen ist das die beste Lösung.
Reverse Proxy richtig absichern
Wenn du dich für einen Reverse Proxy entscheidest, musst du ihn richtig absichern. Starke Passwörter sind Pflicht. Zwei-Faktor- Authentifizierung ist Pflicht. Fail2Ban sollte Brute-Force-Angriffe blockieren. Und du musst Updates zeitnah einspielen.
Caddy ist einfacher als Nginx, weil es automatisch HTTPS einrichtet. Nginx ist mächtiger, aber komplexer. Für Home Assistant reicht Caddy locker. Wenn du bereits Nginx kennst, bleib dabei. Aber lerne es nicht extra für Home Assistant.
Für öffentlich erreichbare Dashboards empfiehlt sich ein Hardware-Token wie der YubiKey 5 NFC🛒 — er schützt deinen Account auch dann, wenn das Passwort kompromittiert wird.
Aktiviere Zwei-Faktor-Authentifizierung in Home Assistant
Nutze Fail2Ban oder ähnliche Tools gegen Brute-Force
Halte Home Assistant und den Proxy aktuell
Überwache Logs auf verdächtige Login-Versuche
Nutze eine Subdomain statt die Haupt-IP offenzulegen
VPN ist fast immer die richtige Wahl
Für private Smart Home Nutzung ist ein VPN sicherer, einfacher und wartungsärmer als ein Reverse Proxy. Tailscale macht es so einfach, dass es keinen Grund gibt, einen Port zu öffnen. Selbst wenn du WireGuard selbst hostest, ist es sicherer als ein öffentlich erreichbares Dashboard.
Reverse Proxies haben ihre Berechtigung. Aber nicht für private Smart Homes. Wenn du nicht gerade ein öffentliches Dashboard für Gäste brauchst, nimm ein VPN. Dein zukünftiges Ich wird es dir danken.
Pro-Tipp
Du kannst beides kombinieren: VPN für deinen privaten Zugriff, Reverse Proxy für ein eingeschränktes Gäste-Dashboard. So hast du maximale Sicherheit für dich und Komfort für Gäste.
Alle Produkte aus diesem Guide
GL.iNet GL-MT3000 (Beryl AX) VPN-Router
Kompakter VPN-Router mit nativer WireGuard- und Tailscale-Unterstützung ab Werk.
