Praktische Anleitung: Pi-hole Web-UI und Nginx Proxy Manager zusammen betreiben

✔️ Overview:Überblick: RolesRollen ofder Eacheinzelnen ComponentKomponenten

Pi-hole

~~Runs~~Betreibt ~~local~~lokalen DNS (~~port~~Port 53)
~~Serves~~Dient asals ~~the~~DNS-Resolver ~~DNS~~für ~~resolver~~dein ~~for your network~~Netzwerk
~~Provides~~Stellt ~~local~~lokale ~~DNS~~DNS-Einträge ~~records~~bereit, sodamit ~~devices~~Geräte ~~resolve~~Servicenamen ~~service~~auflösen ~~names~~können (~~e.g.,~~z. B. home.lab, jellyfin.lab)
~~Does~~Muss ~~not~~kein ~~need~~HTTP to(Port ~~serve HTTP(~~80) oroder ~~HTTPS(~~HTTPS (Port 443) ausliefern

Nginx Proxy Manager (NPM)

~~Handles~~Bearbeitet ~~all~~den gesamten HTTP/~~HTTPS~~HTTPS-Verkehr ~~traffic~~für ~~for~~die ~~services~~Dienste
~~Manages~~Verwaltet ~~SSL certificates~~SSL-Zertifikate (Let’s ~~Encrypt~~Encrypt, iffalls ~~you choose)~~gewünscht)
~~Routes~~Leitet ~~incoming~~eingehende ~~application~~Anfragen ~~requests~~an todie ~~internal~~internen ~~services~~Dienste onauf ~~different~~unterschiedlichen ~~ports/~~Ports/IPs weiter

~~Key Principle~~Kernprinzip

Pi-hole ~~handles~~ist ~~DNS~~ausschließlich ~~resolution~~für ~~only.~~die DNS-Auflösung zuständig.
NPM ~~handles~~kümmert ~~web~~sich ~~traffic~~um ~~routing~~Web-Traffic-Routing ~~and~~und ~~HTTPS termination~~HTTPS-Terminierung.

~~This~~Diese ~~clear~~klare ~~separation~~Trennung ~~avoids~~verhindert ~~conflicts~~Konflikte ~~and~~und ~~makes~~macht ~~management~~die ~~scalable.~~Verwaltung skalierbar.

✔️ BestBeste ArchitectureArchitektur (Mostam Reliable)zuverlässigsten)

1) MovePi-hole Pi-hole’s Web Web-UI offvon Port 80/443 wegbewegen

ByStandardmäßig ~~default~~bindet Pi-hole ~~binds~~seine ~~its~~Web-Oberfläche ~~web~~an ~~UI to port~~Port 80/443. ~~This~~Das ~~collides~~kollidiert ~~with~~mit NPM.

~~Change~~ Pi-hole ~~Admin~~ Admin-UI toauf aeinen ~~different~~anderen ~~port~~Port umstellen (~~e.g.,~~z. 8081,B. 8888)8081, 8888):

OnAuf dem Pi-~~hole~~hole-Host: ~~host:~~Lighttpd-Konfiguration ~~change~~anpassen, ~~Lighttpd config so~~sodass /admin ~~listens~~auf onz. B. Port 8081 lauscht
DNS onauf ~~Pi-hole still runs on port~~Port 53 ~~and~~bleibt isdavon ~~unaffected by this change~~unberührt

~~This~~Dadurch ~~allows~~kann NPM todie ~~own~~Ports 80/443 ~~exclusively.~~exklusiv (~~bolet.io~~)nutzen.

2) LocalLokale DNS RecordsDNS-Einträge in Pi-hole forfür Allalle Reverse-Proxiedreverse-proxied Hosts

~~Create~~Erstelle A-Records, ~~records~~die ~~that~~freundliche ~~point~~Domains ~~friendly~~auf ~~domains~~die toIP ~~NPM’s~~von ~~IP.~~NPM zeigen.

~~Example:~~Beispiel:

pihole.lab.zn80.net     → 192.168.10.105
jellyfin.lab.zn80.net   → 192.168.10.105
bookstack.lab.zn80.net  → 192.168.10.105

~~Reasoning:~~Warum?

~~Devices~~Geräte ~~query~~fragen Pi-~~hole~~ hole-DNS ~~and~~ab ~~get~~und ~~your~~erhalten ~~internal~~deine ~~names~~internen Namen
NPM ~~then~~leitet ~~routes~~dann ~~based~~anhand ondes ~~Host~~Host-Headers ~~header~~weiter

Pi-hole isist ~~the~~die ~~DNS~~maßgebliche ~~source~~DNS-Quelle offür ~~truth for your~~dein LAN. (~~ReproDev~~)

3) Configure NPM Proxy Hosts forin EachNPM Servicefür jeden Dienst konfigurieren

~~Inside~~In NPM unter Proxy Hosts:

~~Domain/~~Domain / Hostname	Forward To	Port	~~Notes~~Hinweise
`pihole.lab.zn80.net`	192.168.10.105	8081	Pi-hole ~~admin~~ Admin-UI
`jellyfin.lab.zn80.net`	192.168.10.xxx	8096	~~Jellyfin service~~Jellyfin-Dienst
`bookstack.lab.zn80.net`	…	…	~~Other~~Weitere ~~services~~Dienste

~~Important~~Wichtige ~~details~~Details

~~For~~Bei Pi-hole ~~you~~ggf. ~~may~~den ~~need to forward~~Pfad /admin ~~correct~~korrekt ~~paths~~weiterleiten
~~Enable~~Idealerweise für alle Hosts SSL ~~for all hosts~~aktivieren (~~ideally)~~ via Let’s Encrypt ~~(even~~– ~~internal~~auch ~~DNS)~~bei Ifinternen Domains)
→ Falls Let’s Encrypt ~~can’t~~die ~~validate~~internen ~~via~~Domains ~~DNS~~nicht ~~challenge~~validieren ~~for~~kann, ~~internal~~lokales ~~domains,~~CA-Zertifikat ~~you~~oder ~~can~~vertrauenswürdiges ~~use~~selbstsigniertes aZertifikat ~~local~~verwenden CAund orauf ~~self-signed~~den ~~cert~~Clients ~~and manage trust in your clients.~~ (~~Reddit~~)einpflegen.

~~This~~Dadurch ~~makes~~wird ~~everything~~alles ~~clean~~sauber tonur ~~access~~über ~~via~~Hostnamen ~~Hostnames exclusively~~erreichbar:

https://jellyfin.lab.zn80.net
https://pihole.lab.zn80.net/admin

4) MaintainInterne Internalexplizite DNSDNS-Einträge Instead ofstatt Wildcard DNS(optional, (Optionalaber but safer)sicherer)

~~You~~Man ~~could~~könnte beversucht ~~tempted~~sein, toeinen ~~use~~Wildcard azu ~~wildcard~~nutzen (*.lab.zn80.net → 192.168.10.105), ~~but~~das ~~that~~ist isjedoch ~~less~~weniger ~~safe and confusing~~sicher ~~for~~und ~~certificate~~macht ~~validation~~Zertifikatsvalidierung ~~and~~& ~~service~~Fehlersuche ~~discovery.~~schwieriger.

~~Better~~Besseres ~~pattern:~~Muster:

Pi-hole ~~local~~lokaler DNS → ~~explicit~~explizite AA-Records ~~records~~pro ~~per hostname~~Hostname
Pi-hole → ~~NPM~~ NPM-IP
NPM → ~~internal~~interner ~~service~~Dienst

~~Explicit~~Explizite ~~records~~Einträge ~~help:~~helfen bei:

~~TTL management~~TTL-Verwaltung
~~SSL certificate issuance~~SSL-Zertifikatsausstellung
~~Troubleshooting~~Fehlersuche

🧠 WhyWarum Thisdas Isder thebeste BestWeg Wayist

✅ DNS + Reverse Proxy aresind cleanlysauber separatedgetrennt

Pi-hole ~~isn’t~~liefert ~~serving~~kein ~~HTTP,~~HTTP so→ ~~there’s~~keine ~~no port conflict.~~Port-Konflikte
NPM ~~can handle~~kann 80/443 ~~without~~störungsfrei ~~interference.~~nutzen

✅ YouEchte achieveHTTPS-Verschlüsselung realauch HTTPS for internal domainsintern

~~Every~~Jeder ~~service~~Dienst ~~can~~kann ~~have~~über aNPM ~~valid~~ein ~~certificate~~gültiges ~~via~~Zertifikat ~~NPM.~~erhalten

✅ Easy,Einfach, scalable,skalierbar and& future-proofzukunftssicher

~~Adding~~Neuen aDienst ~~new service is trivial:~~hinzufügen:

~~Add A record~~A-Record in Pi-hole anlegen
~~Add~~ Proxy Host in NPM erstellen
~~Done~~Fertig

✅ WorksFunktioniert withmit VPN / locallokalen DNS clientsDNS-Clients

IfSolange ~~your devices use~~Geräte Pi-~~hole’s~~hole ~~DNS~~als DNS-Server nutzen (~~wired/wireless/~~LAN, WLAN, VPN), ~~they~~lösen ~~resolve~~sie ~~domain~~die ~~names~~Namen ~~that~~auf, die NPM ~~can~~proxyen ~~proxy. (Pi-hole Userspace~~)kann.

🛠 DetailedDetaillierte ImplementationUmsetzung

A) Change Pi-hole webWeboberfläche interfaceauf portanderen Port legen

~~Edit~~Datei bearbeiten: /etc/lighttpd/lighttpd.conf:

server.port = 8081

~~Restart:~~Danach neu starten:

sudo systemctl restart lighttpd

B) Add DNS entriesDNS-Einträge in Pi-hole anlegen

In Pi-~~hole:~~

hole

unter:

Local DNS → DNS Records

~~Examples:~~Beispiele:

pihole.lab.zn80.net     → 192.168.10.105
jellyfin.lab.zn80.net   → 192.168.10.105

C) In NPM, add Proxy Hosts in NPM anlegen

~~For~~Für ~~each~~jeden ~~service:~~Dienst:

Domain-Namen:
deine lokale Domain ~~names: your local domain~~
Forward-Hostname/-IP
~~Forward~~+ ~~hostname:~~Port: ~~actual~~echter ~~service IP/port~~Dienst (Pi-hole ~~admin~~Admin ~~UI at~~= 8081)
SSL:
- ~~Request~~Neues ~~new~~Zertifikat ~~cert~~anfordern (ifwenn ~~public~~öffentliche ~~domain~~Domain oroder ~~DNS~~DNS-Challenge ~~challenge available)~~möglich)
- OrOder ~~use local~~lokales CA / ~~self-signed~~vertrauenswürdiges ~~trusted~~selbstsigniertes ~~cert~~Zertifikat verwenden

~~Set~~Empfohlene ~~common options:~~Standard-Optionen:

Block ~~exploits:~~exploits ~~enabled~~→ aktiviert
Expires ~~headers:~~headers → optional
~~Websockets:~~Websockets if→ ~~needed~~falls benötigt

🚫 WhatWas Notman tonicht Dotun sollte

❌ Don’tDNS-Port proxy53 Pi-holenicht DNS-portüber NPM proxyn

~~Do not try to proxy port 53 through NPM.~~ DNS ~~must~~muss bedirekt ~~direct.~~erreicht werden – niemals proxyen!

❌ Don’t expose Pi-hole admin Admin-UI publiclynicht öffentlich exponieren

~~Pi-hole~~Nur ~~should only be accessible from your~~aus LAN oroder ~~VPN.~~per VPN erreichbar machen.

❌ Don’tKeine useWildcards wildcardsverwenden, unlesswenn youman knowdie certificateZertifikatskette chainnicht beherrscht

~~Wildcard~~ Wildcard-DNS ~~can break~~kann HTTPS ifkaputt ~~certificates~~machen, ~~aren’t~~wenn ~~matching.~~die Zertifikate nicht passen.

📌 FinalSo Resultsollte Youes Shouldam SeeEnde aussehen

~~After~~Nach ~~setup:~~der Einrichtung:

nslookup pihole.lab.zn80.net    # → 192.168.10.105
nslookup jellyfin.lab.zn80.net  # → 192.168.10.105

Im Browser:

https://pihole.lab.zn80.net/admin          # mit SSL
https://jellyfin.lab.zn80.net              # mit SSL

Pi-hole ~~DNS~~macht ~~works,~~DNS, NPM ~~handles~~übernimmt ~~web~~den ~~access,~~Web-Zugriff ~~and~~– ~~everything~~alles issicher, ~~secure,~~konsistent ~~consistent,~~und ~~and~~gut ~~manageable.~~wartbar.

Viel Erfolg bei der Umsetzung!