Cómo ordené mi red con Pi-hole y Nginx Proxy Manager sobre Proxmox

Esta es mi manera de ordenar la red usando Pi-hole como servidor DNS y Nginx Proxy Manager cómo proxy, todo en Proxmox.

Llega un punto, casi sin avisar, en el que tu red doméstica deja de ser un router con cosas colgando y empieza a pedir orden. No más IPs memorizadas a la fuerza, no más puertos abiertos porque sí, no más notas mentales del tipo “esto iba por el 8083… creo”. En este artículo no va de instalar Pi-hole ni Nginx Proxy Manager. Hay docenas de tutoriales excelentes para eso, y repetirlos sería ruido innecesario. Esto va de cómo encajan, de por qué tiene sentido usarlos juntos y de cómo Proxmox, con contenedores LXC separados, convierte el caos en algo razonablemente civilizado, y sobre todo usable para los demás usuarios de casa, si quieres...

---

El escenario

Mi base es Proxmox, pero puedes usar la que más te guste. No lo hago por moda, sino porque cuando empiezas a separar servicios en contenedores, la cabeza descansa. Además, todo mi lab ya vive en Proxmox y si empiezo a levantar más cacharros físicos, Endesa me hace cliente VIP.

NdA: Cuando creas los LXC puedes usar los recursos por defecto, pero verás que te quedas corto bastante rápido. Mi recomendación es darles algo más desde el principio.

• Un LXC para Pi-hole

• Un LXC para Nginx Proxy Manager

• Otros LXCs para los servicios que quieras publicar

Cada cosa en su sitio. Cada problema con su frontera clara.

Mi Proxmox

Pi-hole: más que bloquear anuncios

Pi-hole suele presentarse como un bloqueador de publicidad, y una manera de mantenerte en el anonimato, Lo es, y muy bueno. Pero ese no es su superpoder principal, Pi-hole es, ante todo, un servidor DNS. 

Y cuando decides que sea el DNS de tu red, pasan cosas buenas:

• Tú decides cómo se resuelven los nombres
• Los servicios internos dejan de depender de IPs
• La red se vuelve predecible

En una red pequeña puedes sobrevivir a base de IPs memorizadas. En cuanto crece un poco, eso se vuelve frágil, no estamos hechos para ir recordando secuencias de números. Un dominio interno es la forma de poner nombres estables a servicios que, por debajo, pueden cambiar. No es una cuestión estética: es una capa de orden. Elegirlo bien evita comportamientos raros y ahorra tiempo cuando algo deja de responder. Así que le decimos Adiós al 192.168.1.20 para entrar a Proxmox y le decimos hola al Proxmox.lab, o Proxmox.casa o el que mejor te convenga.

Durante bastante tiempo usé .local. Parecía lógico. Era local. Funcionaba… hasta que empezó a no hacerlo de formas extrañas. Tras investigar y golpearme siempre con la misma pared, vi que el dominio ".local" está reservado para multicast DNS o mDNS. Eso significa que Windows, macOS, impresoras y demás fauna intentan resolverlo por caminos alternativos antes de preguntar al DNS tradicional. 

El resultado es una red que a veces responde y a veces decide filosofar, y por eso ya casi nadie lo recomienda, y con razón.

En mi caso, lo que hice fue cambiar a ".lab" fue una de esas decisiones pequeñas que eliminan problemas grandes, y tras días batallando la verdad es que fue toda una alegría:

• DNS clásico

• Resolución consistente

• Cero comportamientos mágicos

Tras configurar las IPs de los servicios, apuntando todos al NPM, me quedó de la siguiente manera:

Estos son mis servicios publicados en red.

Nginx Proxy Manager: el portero elegante

Si Pi-hole es el cerebro que resuelve quién es quién en la red, Nginx Proxy Manager (NPM) es el portero que decide quién entra y cómo. Su magia no está en la complejidad de comandos, sino en centralizar el control y simplificar la gestión.

Rol de NPM

• Un único punto de entrada para todos los servicios.

• Redirección inteligente según el nombre de dominio.

• Gestión visual de certificados SSL, automática y sin dolor.

Ventajas de separar el proxy del servicio

Tener NPM en su propio LXC te da:

• Flexibilidad: agregas o quitas servicios sin tocar el proxy.

• Seguridad: los contenedores no se exponen directamente a internet.

• Orden mental: un solo panel para todo el tráfico.

Estrategia de nombres y subdominios

• Pi-hole resuelve servicio.lab

• NPM decide a qué contenedor apunta; nuestro caso apunta al NPM.

• Resultado: URLs simples, predecibles y legibles

La estructura nos quedaría así:

Cliente

   │

   ▼

Pi-hole (DNS) 192.168.1.53

   │

   ▼

Nginx Proxy Manager 192.168.1.34

   │

   ├──► LXC Proxmox     192.168.1.90:8006

   ├──► LXC Nextcloud   192.168.1.91:443

   ├──► LXC Plex        192.168.1.92:32400

   └──► LXC MeTube      192.168.1.93:8081

Lo que NPM te ahorra

• No memorizar puertos extraños

• No tocar nginx manualmente por cada servicio

• Posibilidad de crecimiento sin caos

“NPM es el portero que no se cansa, que nunca olvida nombres, que te deja dormir tranquilo mientras tus servicios hablan entre ellos con respeto.”

Cómo encajan las piezas

Aquí está la idea central, y no hace falta una sola línea de comando para entenderla:

1. El navegador pide servicio.lab

2. Pi-hole resuelve ese nombre y apunta al LXC de NPM

3. NPM recibe la petición y la envía al contenedor correcto

DNS decide a quién llamas.

El proxy decide quién responde.

Lo que no haces

A veces el verdadero progreso está en las cosas que dejas de hacer:

• No abres puertos innecesarios

• No recuerdas IPs

• No gestionas certificados en cada servicio

• No mezclas responsabilidades

Cada pieza tiene una función clara. Cuando algo falla, sabes dónde mirar.

---

El resultado

El resultado no es solo técnico, es mental:

• URLs limpias

• Servicios coherentes

• Red entendible incluso meses después

No es la única forma de hacerlo. No es la más rápida. Pero es una de esas configuraciones que, una vez montadas, dejan de molestar. Y eso, en una red doméstica, es oro.

---

Cierre

Autoalojar servicios no va de acumular contenedores. Va de entender qué papel juega cada cosa y de construir algo que no se derrumbe cuando pasa el tiempo.

Pi-hole como DNS y Nginx Proxy Manager como proxy inverso no son trucos avanzados. Son piezas sencillas bien colocadas.

Y cuando las piezas encajan, la red deja de ser un experimento constante y se convierte en una herramienta fiable.

Que, al final, es justo lo que uno busca, y poder disfrutar del trabajo sin estar siempre con un ojo encima para ver si todo funciona correctamente.

🔥 Firebog y las mejores alternativas para listas DNS en Pi-hole

Si utilizas Pi-hole, AdGuard Home u otro sistema de filtrado DNS, sabrás que las listas de bloqueo son la clave para conseguir una red limpia, rápida y segura.

Elegir malas listas puede provocar falsos positivos, mientras que usar buenas fuentes marca una diferencia enorme.

En este artículo veremos Firebog y otras webs similares que te ayudarán a mantener tu sistema de bloqueo DNS en perfecto estado.

---

🧠 ¿Qué es Firebog?

Firebog es una web que recopila y mantiene listas DNS verificadas, pensadas especialmente para Pi-hole.

Su gran ventaja es que clasifica las listas por categorías y nivel de agresividad, evitando el clásico error de añadir listas sin control.

Ventajas principales de Firebog

• ✅ Listas revisadas y actualizadas

• ✅ Clasificación clara por tipo de amenaza

• ✅ Ideal para Pi-hole y AdGuard Home

• ✅ Menos falsos positivos

• ✅ Mejor privacidad y seguridad

Firebog es una de las referencias más usadas para empezar bien con el filtrado DNS.

---

🌐 Webs similares a Firebog (alternativas recomendadas)

Además de Firebog, existen otras fuentes muy fiables para obtener listas DNS de calidad.

---

🔹 The Block List Project

Una recopilación de listas DNS curadas, disponibles en distintos formatos (hosts, AdGuard, dnsmasq).

Ideal si buscas:

• Bloqueos por categoría

• Compatibilidad con varios sistemas

• Listas claras y bien documentadas

---

🔹 HaGeZi DNS Blocklists

Repositorio muy popular en GitHub con listas escalables según nivel de bloqueo:

• Light

• Normal

• Pro (super recomendable).

• Pro++

Perfecto si quieres ajustar el filtrado según si es una red doméstica, profesional o laboratorio.

---

🔹 OISD (All-in-One)

Una de las listas más recomendadas actualmente.
Es una lista “todo en uno” que combina publicidad, trackers y malware manteniendo un equilibrio excelente.

Muy recomendable si:

• No quieres complicarte

• Buscas estabilidad

• Prefieres pocas listas bien mantenidas

---

🔹 StevenBlack Hosts

Un clásico del filtrado DNS.
Combina múltiples fuentes en una sola lista (adware + malware).

Ideal como base, aunque suele complementarse con listas más modernas.

---

🔹 SystemJargon – Filters & Blocklists

Colección de listas organizadas por niveles:

• Core

• Heavy

• Threats

• Telemetry

Incluye también allowlists, muy útiles para evitar falsos positivos.

---

🧪 ¿Qué combinación de listas es recomendable?

Una configuración equilibrada podría ser:

• 🔹 OISD (full o basic) como base

• 🔹 HaGeZi Normal o Pro

• 🔹 Alguna lista específica de malware o phishing

❗ Evita añadir demasiadas listas agresivas si no sabes exactamente qué bloquean.

---

🔄 Cómo actualizar las listas en Pi-hole

Mantener las listas actualizadas es tan importante como elegirlas bien.

🔹 Actualización manual

Desde el sistema donde esté Pi-hole:

pihole -g

Esto descargará de nuevo todas las listas configuradas y regenerará el bloqueo.

Con el GUI mode, tendrás que ir a Tools, y luego a Update Gravity:

---

🔹 Actualización automática (recomendada)

Puedes programar una tarea automática con cron:

crontab -e

Y añadir, por ejemplo:

0 3 * * 0 pihole -g

➡️ Esto actualizará las listas cada domingo a las 3:00 AM.

---

✅ Conclusión

Firebog es un excelente punto de partida, pero no está solo, combinado con proyectos como OISD, HaGeZi o The Block List Project, puedes construir un sistema de filtrado DNS potente, estable y adaptado a tus necesidades.

Invertir unos minutos en elegir bien tus listas se traduce en:

• Menos publicidad

• Más privacidad

• Mayor seguridad

• Mejor rendimiento de red

🥑 Instalar y configurar Apache Guacamole en Proxmox paso a paso

 Que es Apache Guacamole?

Acceder de forma remota a nuestros servidores, escritorios o equipos de trabajo se ha vuelto esencial, ya sea en entornos domésticos, profesionales o educativos. La mayoría de las veces dependemos de clientes pesados como Remote Desktop, VNC Viewer o PuTTY, que requieren instalación, configuración y mantenimiento en cada dispositivo desde el que nos conectamos.

Aquí es donde entra en juego Apache Guacamole, un proyecto open-source desarrollado por la Fundación Apache, que permite acceder a escritorios y servidores directamente desde el navegador, sin necesidad de instalar nada más que un navegador moderno.

Con Guacamole puedes:

• Conectarte por RDP, VNC o SSH desde cualquier dispositivo.

• Centralizar todas tus conexiones en una sola interfaz web.

• Olvidarte de instalaciones pesadas: solo entras con tu usuario y contraseña.

• Usarlo como una pasarela de acceso remoto centralizada y segura.

En este tutorial veremos cómo desplegar Apache Guacamole en un servidor Proxmox VE, aprovechando la flexibilidad de los contenedores (LXC) o máquinas virtuales, y con soporte para Docker y Docker Compose. Al final tendrás un servicio completamente funcional, accesible vía navegador y listo para añadir tus conexiones remotas.

🧱 Instalación paso a paso en Proxmox (LXC)

Vamos a aprovechar un script automático mantenido por la comunidad para instalar Guacamole sin complicaciones.
👉 Enlace oficial del script:
https://community-scripts.github.io/ProxmoxVE/scripts?id=apache-guacamole

1️⃣ Crear el contenedor LXC

Desde la consola de tu Proxmox, ejecuta:

bash -c "$(wget -qLO - https://community-scripts.github.io/ProxmoxVE/scripts/setup.sh)"

Esto abrirá el menú interactivo del Proxmox Helper-Scripts.

El script se encargará de crear un contenedor LXC basado en Debian 12, instalar Docker y desplegar Apache Guacamole con todo configurado.

Durante el proceso te pedirá algunos datos, o si hemos escogido la opción por "default" nos lo rellenará todo automáticamente.

🚀 Configuración inicial y primer acceso

Abre el navegador y entra a la dirección del contenedor o servidor.
Por ejemplo:

http://TU_IP:8080/guacamole


Verás la pantalla de inicio de sesión.

Credenciales por defecto:

Usuario: guacadmin
Contraseña: guacadmin

➡️ Una vez dentro, lo primero que deberías hacer es cambiar la contraseña de guacadmin:

1. Clic en tu nombre (arriba a la derecha).

2. “Preferences” → “Change Password”

🔌 Añadir conexiones (RDP, SSH, VNC)

Desde el panel principal:

1. Ve a Settings → Connections → New Connection.

2. Rellena los campos según el tipo de conexión:

🖥️ RDP (Windows)

• Protocol: RDP

• Hostname: IP o nombre del equipo Windows

• Port: 3389

• Username / Password: credenciales del usuario

• (Opcional) Marca Enable clipboard o Full screen

💻 SSH (Linux)

• Protocol: SSH

• Hostname: IP del equipo

• Port: 22

• Username / Password o clave privada.

🧩 VNC (Escritorio remoto genérico)

• Protocol: VNC

• Hostname: IP del equipo

• Port: 5900

💡 Cada conexión que crees aparecerá como un icono en la pantalla de inicio.

---

🛡️ Buenas prácticas y seguridad

Antes de dejarlo en producción o abrirlo a Internet, revisa esto:

• 🔐 Cambia la contraseña de guacadmin (¡en serio!).

• ⚙️ Usa HTTPS (por ejemplo, con un proxy inverso Nginx o Caddy).

• 🧱 Si lo expones fuera, usa fail2ban o firewall.

• 📦 Haz copia de seguridad del volumen /config o del contenedor entero.

• 🚪 Cambia el puerto 8080 si lo deseas (en Docker o LXC).

---

🧭 Conclusión

Con esto ya tienes tu propio portal de acceso remoto vía web funcionando, sin dependencias de clientes ni software adicional.

Puedes conectar a servidores, PCs, Raspberry Pi o incluso otros contenedores, todo desde una única página web.

💬 Y listo, Guacamole funcionando y accesible desde cualquier navegador.

Nos leemos en el próximo post 👋

🛠 Manual para instalar Vaultwarden en Proxmox usando un script.

Vaultwarden es una alternativa ligera y autoalojada a Bitwarden. Es ideal si quieres tener el control total de tus contraseñas y alojarlo tú mismo en casa o en tu entorno Proxmox. A continuación, te explico paso a paso cómo hacerlo utilizando el script de tteck, que automatiza la instalación en un contenedor LXC.

Copiaremos este enlace en la consola de nuestro ProxMox.

Configura los parámetros del contenedor

El script te pedirá que configures algunas opciones básicas:

• ID del contenedor: Puedes dejar el valor por defecto o elegir otro si prefieres.

• Hostname: Por ejemplo, vaultwarden.

• Dirección IP: Si usas IP estática o DHCP.

• Tamaño del disco, RAM y CPU: Adapta estos valores según tus recursos disponibles.

• Contraseña del root para el contenedor.

• Otras opciones como acceso SSH, backups automáticos, etc.

Puedes usar las opciones por defecto si no estás seguro

Nosotros cogeremos la opción por defecto:

 Accede a Vaultwarden

Desde un navegador en tu red local, entra a:

http://IP_DEL_CONTENEDOR:8000

Ahí podrás crear tu cuenta de usuario.

Y listo, Vaultwarden corriendo dentro de Proxmox, fácil, rápido y sin depender de nadie. Un paso más para tener tu propio ecosistema digital en casa, 100% tuyo.

Nos leemos en el próximo post 👋

¿Usas WeTransfer? Cuidado: tus archivos podrían alimentar su inteligencia artificial

En los últimos días, ha salido a la luz un cambio importante en los términos y condiciones de WeTransfer: la plataforma podría usar los archivos que subes para entrenar su propia inteligencia artificial. Sí, has leído bien. Esos documentos, imágenes o proyectos que compartes podrían estar ayudando —sin que lo sepas— a mejorar sistemas automáticos de una empresa privada.

¿Qué ha pasado exactamente?

WeTransfer ha incluido una cláusula en su política de privacidad que permite el uso de tus archivos con fines de entrenamiento de modelos de inteligencia artificial. Aunque la empresa asegura que este tratamiento de datos se hace de forma anónima y respetando la privacidad, la realidad es que le estás dando permiso para acceder a tu contenido.

¿Y qué alternativas tengo?

Aquí es donde entra el poder del autohosting. Existen herramientas como:

• ownCloud

• Nextcloud

• Internxt (más reciente y con enfoque en la privacidad)

Todas estas opciones te permiten montar tu propia nube privada. Es decir, tú decides qué subes, cómo lo gestionas y quién tiene acceso. Puedes instalarlo en un servidor, una Raspberry Pi o incluso una máquina virtual en tu Proxmox. No necesitas ser un gurú de la informática: con un poco de paciencia y ganas, lo tendrás funcionando en un par de horas.

Ventajas de tener tu propia nube

✅ Control total sobre tus archivos
✅ Sin políticas ambiguas ni terceros accediendo a tus datos
✅ Personalización y ampliación con plugins
✅ Ahorro a largo plazo

¿Por dónde empezar?

Si te interesa, en este blog seguiré publicando guías paso a paso para ayudarte a crear tu propio espacio digital. Y si ya estás metido en el mundo del self-hosting, ¡cuéntame en comentarios cómo lo haces tú!

---

🔐 La privacidad no es un lujo, es un derecho.
💻 ¡Hazte dueño de tus datos!

Fuente: El País