La semana pasada publiqué la guía básica de Vaultwarden. Ahí contaba por qué me compensa más que seguir pagando un gestor alojado por otro y cómo dejarlo funcionando en poco tiempo. Esa parte está bien para arrancar, pero si te quedas ahí te falta lo importante.
Vaultwarden no es un servicio cualquiera. No es un dashboard más, ni un lector RSS, ni una app para ver métricas del NAS. Aquí vives con tus credenciales, tus notas seguras, tus TOTP y en muchos casos la puerta de entrada al resto del homelab. Si esto lo montas regular, el problema no es que falle una tarde. El problema es que estás haciendo malabares con la pieza más sensible de toda tu casa digital.
Durante años usé 1Password. Buena app, buen diseño, funciona en todas partes. Pero tiene un precio que sube cada año, y con el tiempo me fui incomodando con la idea de que mis contraseñas viven en los servidores de otra empresa. No porque desconfíe de 1Password en particular, sino porque prefiero no depender de servicios externos para algo tan crítico.
Vaultwarden lleva dos años en mi homelab y no ha fallado una sola vez.
Durante mucho tiempo tuve el mismo problema que creo que tiene casi todo el que monta un homelab con más de cuatro o cinco servicios: una contraseña diferente para cada cosa. Proxmox con su usuario, Grafana con el suyo, Portainer con otro, y así hasta llegar a tener un documento con 20 credenciales que actualizaba de forma irregular. Cuando instalaba un servicio nuevo, pensaba un momento y escribía alguna variación de siempre la misma contraseña. Mal hábito.
Pasé dos años muy tranquilo con Pi-hole. Funcionaba, bloqueaba anuncios, tenía buenas listas comunitarias y no me daba problemas. Pero hace unos seis meses, mientras reorganizaba mi stack de red, decidí probar AdGuard Home “por curiosidad”. Ese “por curiosidad” lleva seis meses funcionando en producción y Pi-hole lleva seis meses sin arrancar.
Esta no es una entrada sobre que Pi-hole sea malo. Es sobre que AdGuard Home encaja mejor en mi caso concreto, por razones específicas que intento explicar aquí.
Montar tu propio servidor de correo en casa es una de esas ideas que suenan increíbles a las dos de la mañana y bastante peores a las nueve de la mañana del día siguiente. Yo he estado en los dos estados mentales. Primero la ilusión de tener control total. Luego el baño de realidad cuando empiezas a pelearte con SPF, DKIM, DMARC, reputación IP, puertos bloqueados y filtros antispam que te miran con sospecha aunque no hayas hecho nada raro.
Llevo años usando Pi-hole en mi red doméstica y es una de esas cosas que instalas una vez y te preguntas cómo vivías sin ella. Ver cómo desaparecen los anuncios de todos los dispositivos conectados (móviles, tablets, smart TVs) sin tocar nada en ellos es satisfactorio. Y cuando le añades Unbound como DNS recursivo, conviertes tu homelab en una fortaleza de privacidad.
Esta guía nace de mi experiencia real. He pasado por varios despliegues de Pi-hole (en Raspberry Pi, en containers Docker, en VMs) y he cometido todos los errores posibles. Aquí te cuento lo que funciona.
Durante años usé el router que me dio mi ISP. Un Huawei cualquiera que hacía lo básico: NAT, DHCP, WiFi malo. Funcionaba.
Cuando empecé a montar el homelab en serio, ese router se quedó corto. Quería VLANs, VPN, IDS/IPS, control granular de tráfico. El Huawei no podía con eso.
Tenía dos opciones: pfSense o OPNsense. Leí 40 comparativas. Todas decían cosas diferentes. Al final probé los dos.
Durante 6 meses tuve pfSense en producción. Luego otros 6 meses OPNsense. Ahora uso OPNsense y no pienso volver.
Voy a empezar por el final: perdí datos. No una vez, dos veces.
Primera vez, 2022: un disco del NAS palmó. Pensaba que RAID 1 era backup. No lo es. Perdí 6 meses de fotos familiares porque el segundo disco falló 48 horas después del primero (RAID failure correlacionado, mismo lote de discos).
Segunda vez, 2024: actualización de Proxmox que se fue al carajo. Recreé las VMs desde cero, pero perdí configuraciones de servicios que no había documentado. 3 días de trabajo para volver a tener todo funcionando.
Tengo 47 dispositivos conectados a mi red. Entre servidores, móviles, tablets, bombillas Hue, enchufes inteligentes, impresoras, la TV… es un caos. Y hasta hace un mes, todos estaban en la misma red. Todos podían verse entre sí.
Eso incluye la bombilla del salón pudiendo hablar con mi Synology donde guardo contratos y documentos fiscales. No es que la bombilla vaya a hackearme, pero el firmware lo fabrica una empresa china que nunca ha oído hablar de actualizaciones de seguridad.
Tengo 6 servicios expuestos a Internet desde mi homelab. Cero puertos abiertos. HTTPS automático. Protección DDoS gratis. Todo con Cloudflare Tunnels. Te cuento cómo.
Tengo 40+ dispositivos en una red mesh con Tailscale. Cero puertos abiertos, cero mantenimiento, y accedo a todo mi homelab desde cualquier parte del mundo. Te cuento cómo.
