OpenWRT + Nginx Proxy Manager

Esta guía define el flujo de trabajo para exponer cualquier servicio interno de la red OpenWRT (ej. en 192.168.100.x o 10.10.10.x) mediante Nginx Proxy Manager.

Requisitos previos

IP Estática: La VM o servicio debe tener una IP fija (o reserva DHCP en OpenWRT)
Puerto de Escucha: Identificar si el servicio usa HTTP (puerto 80/8080) o HTTPS (puerto 443/8443)
Nombre de Dominio: Crear un subdominio (ej. vm1.byolivia.work) apuntando a la IP pública del servidor NPM

Procedimiento

A. Preparación del Proxy Host en NPM

En NPM, ir a Proxy Hosts → Add Proxy Host
Pestaña Details:
- Domain Names: Subdominio completo (ej. vm1.byolivia.work)
- Scheme: http (internamente el servicio puede usar HTTP aunque se acceda por HTTPS)
- Forward IP: IP privada de la VM (asiignada por OpenWRT)
- Forward Port: Puerto donde escucha el servicio web
- Block Common Exploits: Activar
- Websockets Support: Activar

B. Blindaje de Cabeceras (Pestaña Advanced)

Pegar en la pestaña Advanced para evitar el error "400 Bad Request":

# Configuracion estandarizada para servicios web
proxy_buffer_size   128k;
proxy_buffers   4 256k;
proxy_busy_buffers_size   256k;
large_client_header_buffers 4 32k;

# Pasar informacion real al servicio interno
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";

C. Implementación de SSL (Pestaña SSL)

SSL Certificate: Seleccionar el certificado creado en SSL Certificates
Force SSL: Activar
HTTP/2 Support: Activar
Click en Save

Exponer una instancia de Home Assistant

Home Assistant requiere configuración adicional para funcionar correctamente detrás de un proxy.

A. Configuración de Trusted Proxies en HA

Acceder a /config/configuration.yaml de la VM de Home Assistant y añadir:

http:
  use_x_forwarded_for: true
  trusted_proxies:
    - 10.10.10.X

Reemplazar 10.10.10.X por la IP del host donde corre Nginx Proxy Manager (la IP de OpenWRT en la red LAN).

Warning

Si no se configura trusted_proxies, Home Assistant mostrará el error 403 Forbidden al acceder desde el navegador.

B. Configuración del Proxy Host en NPM

En NPM, añadir el Proxy Host:

Domain Names: ha.byolivia.work (ejemplo)
Scheme: http
Forward IP: IP estática de la VM de HA (ej. 10.10.10.100)
Forward Port: 8123
Block Common Exploits: Activar
Websockets Support: Activar

En la pestaña Advanced, usar la configuración de cabeceras mencionada anteriormente.

Troubleshooting

Síntoma	Causa probable	Acción correctiva
403 Forbidden	trusted_proxies no coincide con la IP del NPM	Revisar configuration.yaml en Home Assistant
502 Bad Gateway	El servicio interno está apagado o el puerto es incorrecto	Haz un ping a la IP de la VM desde tu red
400 Bad Request	Cabeceras demasiado grandes	Verifica que el bloque de Advanced esté presente y guardado
Internal Error	Error de sintaxis en Advanced o certificado corrupto	Borra el contenido de Advanced, guarda, y reintenta
Página no carga (SSL)	Conflicto en el certificado	Crea el certificado de nuevo en el menú lateral SSL Certificates
IP Conflic	Host y Router/VM comparten la misma IP	Modificar IP de la interfaz de red en el Router o Host
SSH Host Key Changed	Cambio de dispositivo en la misma IP	Ejecutar: `ssh-keygen -R "IP"` en Proxmox

Mantenimiento Preventivo

Logs: Si un servicio falla, ir a Reports → Logs. El error de Nginx indica exactamente qué línea falla.
Renovación: NPM gestiona la renovación automática de Let's Encrypt. Si un certificado se acerca a la fecha de expiración y no renueva, verificar que el puerto 80 no esté cerrado en el firewall.

Ver también: OpenWRT en Proxmox, Nginx Proxy Manager