![]()
Статья XDA о покупке VPS для обхода CGNAT выходит в момент, когда самостоятельно размещаемые обратные прокси стали стандартной инфраструктурой даже для домашних сетей. Принцип остаётся одинаковым, находится ли прокси на NAS, старом мини-ПК или $5 VPS: трафик приходит на порт 443, сортируется по имени хоста и направляется нужному внутреннему сервису. Два главных изменения с 2020 года — насколько упростилось автоматическое HTTPS: Let’s Encrypt плюс экосистема Caddy/NGINX/Traefik превратили сертификаты в неприметную задачу, и насколько выросла аудитория. Домашние сети, запускающие Jellyfin, Vaultwarden, Home Assistant и Immich, нуждаются в этом уровне.
Мы протестировали 7 лучших приложений для самостоятельно размещаемого обратного прокси на рабочем столе в 2026 году, охватив Linux, Windows и macOS. Тестирование было конкретным: установка на чистый Debian, маршрутизация трёх сервисов через HTTPS с автоматическим обновлением сертификатов и сохранение функциональности после перезагрузки. Все 7 приложений ниже прошли проверку.
На что обратить внимание при выборе самостоятельно размещаемого обратного прокси
Критерии, отделяющие работающий стек от года борьбы с YAML:
- Автоматическое HTTPS. В 2026 году прокси получает сертификаты от Let’s Encrypt (или ZeroSSL, или Buypass) без ручного cron. HTTPS по умолчанию, а не как опция.
- HTTP/2 и HTTP/3. Оба уже являются стандартом. HTTP/3 особенно помогает домашним сетям, чей интернет-провайдер предоставляет асимметричное TCP.
- Модель конфигурации, которую вы сможете прочитать через полгода. YAML, JSON, Caddyfile, стиль NGINX — выберите язык, который будете помнить, когда правило, которое что-то сломало, написано не в последний раз.
- Осведомлённость о Docker или обнаружение сервисов. Прокси, который отслеживает демон Docker, Kubernetes или Consul и автоматически добавляет новые сервисы, — это вид автоматизации, который нужна занятой домашней сети.
- Способ открыть прокси из-за CGNAT. Либо мост публичного VPS, Tailscale Funnel, Cloudflare Tunnel, либо собственный hop Pangolin/WireGuard. Статья XDA ясно объяснила эту часть.
Быстрое сравнение
| Приложение | Лучше всего для | Стиль конфигурации | Автоматическое HTTPS | Начальная цена |
|---|---|---|---|---|
| NGINX Proxy Manager | Удобный для начинающих GUI | Веб-интерфейс поверх NGINX | Да, встроено | Бесплатно |
| Caddy | Автоматическое HTTPS по умолчанию | Caddyfile (простой) | Да, по умолчанию | Бесплатно |
| Traefik | Динамическая маршрутизация нативного Docker | YAML / labels | Да, ACME | Бесплатно, есть тариф Enterprise |
| NGINX | Классическая производительность | nginx.conf | Вручную (Certbot, acme.sh) | Бесплатно, Plus от $2500/год |
| HAProxy | Балансировка нагрузки + прокси | haproxy.cfg | Вручную или Lua плагины | Бесплатно, есть тариф Enterprise |
| SWAG | NGINX + предустановка Let’s Encrypt | Конфиги NGINX в Docker | Да, certbot | Бесплатно |
| Pangolin | Самостоятельно размещаемый туннель + прокси | Веб-интерфейс | Да | Бесплатно |
7 лучших приложений для самостоятельно размещаемого обратного прокси
1. NGINX Proxy Manager — лучший удобный для начинающих GUI
NGINX Proxy Manager оборачивает NGINX в веб-интерфейс, который превращает операцию «добавьте домен, укажите на этот внутренний сервис, получите сертификат Let’s Encrypt» в заполнение трёх полей формы. Он работает как один Docker-контейнер с SQLite или MySQL бэкенде. Каждый хост прокси — это строка в базе данных; интерфейс генерирует конфиг NGINX за сценой. NPM для самостоятельно размещаемого обратного прокси в 2026 году — правильный выбор для домашнего администратора, который хочет HTTPS для Jellyfin и Vaultwarden без изучения синтаксиса NGINX.
Где это не срабатывает: Веб-интерфейс скрывает основной конфиг NGINX, что нормально, пока вам не нужна функция, которую интерфейс не предоставляет. Продвинутые пользователи обычно переходят на чистый NGINX или Caddy. По умолчанию HTTP/3 не включен.
Цены:
- Бесплатно: Все функции, лицензия MIT
- Платно: Нет
- Платформы: Linux (Docker), Windows (Docker Desktop), macOS (Docker Desktop)
Вывод: Стартовый выбор. Если это ваш первый обратный прокси, установите NPM и не переживайте, пока что-то конкретное не подтолкнёт вас дальше.
2. Caddy — лучший для автоматического HTTPS по умолчанию
Caddy — это современный веб-сервер и обратный прокси с автоматическим HTTPS как поведением по умолчанию, а не как опция. Трёхстрочный Caddyfile устанавливает обратный прокси с сертификатом Let’s Encrypt, HTTP/2, HTTP/3 и HSTS. Релиз 2.8 в 2024 году усовершенствовал handshake TLS по требованию; серия 2.9 принесла улучшенный транспорт HTTP/3. Caddy для самостоятельно размещаемого обратного прокси в 2026 году — правильный выбор, когда язык конфигурации столь же важен, как и runtime.
Где это не срабатывает: Экосистема плагинов Caddy не столь глубока, как NGINX. Некоторая продвинутая маршрутизация (geo-IP, сложные переписи) требует xcaddy для компиляции плагинов, что небольшой шаг, но шаг.
Цены:
- Бесплатно: Все функции, Apache-2
- Платно: Нет
- Платформы: Linux, Windows, macOS, FreeBSD
Вывод: Выбор, когда вам нужен конфиг-файл, который всё ещё будет ясен через два года.
3. Traefik — лучший для динамической маршрутизации нативного Docker
Traefik — это обратный прокси, созданный для эры контейнеров. Укажите Traefik на демон Docker, добавьте labels к контейнерам ваших сервисов, и Traefik обнаружит их, сгенерирует маршруты и автоматически предоставит сертификаты Let’s Encrypt. Та же модель работает для Kubernetes (Ingress), Consul и ECS. Traefik vs NGINX для самостоятельно размещаемого обратного прокси в 2026 году: Traefik выигрывает в автоматическом обнаружении сервисов в Docker-домашних сетях; NGINX выигрывает в чистой производительности и гибкости.
Где это не срабатывает: Модель конфигурации требует внимательного изучения документации. YAML, файловые провайдеры, динамические провайдеры на основе labels и разделение статической и динамической конфигурации — всё это нужно понять перед тем, как вещи встанут на место. Веб-дашборд только для чтения.
Цены:
- Бесплатно: Все функции (Traefik Proxy v3)
- Платно: Traefik Enterprise добавляет RBAC и HA, цены по запросу
- Платформы: Linux, Windows, macOS
Вывод: Выберите это, когда ваш стек в основном Docker и вы хотите, чтобы прокси отслеживал сервисы автоматически.
4. NGINX — лучший для классической чистой производительности
NGINX — это обратный прокси, работающий на публичном веб в течение двух десятилетий. Конфигурация — это nginx.conf и дерево директорий блоков server. Автоматическое HTTPS приходит через Certbot или acme.sh, одноразовая установка, затем оно обновляется бесшумно. NGINX масштабируется до объёмов трафика, которые домашняя сеть никогда не увидит, и документация — самая полная в категории. NGINX vs Caddy в 2026 году: NGINX выигрывает в глубине экосистемы, Caddy выигрывает во времени до первого HTTPS.
Где это не срабатывает: Ручная установка сертификатов. Язык nginx.conf — это собственный диалект. Ошибки в блоке server останавливают NGINX от запуска, что стоит несколько минут в первый раз, когда вы это сделаете.
Цены:
- Бесплатно: NGINX Open Source
- Платно: NGINX Plus от $2500/год (редко требуется для самостоятельного размещения)
- Платформы: Linux, Windows, macOS, FreeBSD
Вывод: Выберите это, когда прокси должен работать десятилетие с одной конфигурацией и вы не возражаете против изучения синтаксиса.
5. HAProxy — лучший для балансировки нагрузки + прокси
HAProxy был де-факто балансировщиком нагрузки для высоконагруженных развёртываний с 2002 года и прекрасно служит в качестве обратного прокси. Релиз 3.0 LTS в 2024 году добавил обновленный SSL стек и улучшенную обработку HTTP/3. Скрипты Lua и Stick Tables позволяют вам создать функции, которые другим прокси требуют внешних сервисов. HAProxy для самостоятельно размещаемого обратного прокси в 2026 году — правильный выбор, когда домашняя сеть запускает несколько экземпляров одного сервиса и прокси должен балансировать между ними.
Где это не срабатывает: Автоматическое HTTPS вручную или через Lua плагины, не встроено. Синтаксис конфигурации — собственный язык. Большинству домашних администраторов не нужна глубина балансировки нагрузки HAProxy.
Цены:
- Бесплатно: HAProxy Community Edition
- Платно: HAProxy Enterprise, цены по запросу
- Платформы: Linux, FreeBSD, macOS, Windows (community builds)
Вывод: Выберите это, когда у вас есть несколько экземпляров сервиса, которые нужно балансировать. В остальном NGINX или Caddy — более простой ответ.
6. SWAG — лучший NGINX + предустановка Let’s Encrypt
SWAG (Secure Web Application Gateway) — это готовый Docker-образ от LinuxServer.io, который объединяет NGINX с Certbot, системой шаблонов и директорией блоков server, поддерживаемых сообществом, для популярных самостоятельно размещаемых сервисов. Запустите контейнер, укажите на ваш домен, скопируйте нужный шаблон в активную конфигурацию, и у вас есть HTTPS для Jellyfin, Nextcloud, Vaultwarden или чего-нибудь ещё за час. SWAG vs NPM в 2026 году: SWAG открывает чистые конфиги NGINX, NPM скрывает их за интерфейсом.
Где это не срабатывает: Редактирование конфигов NGINX вручную. Сообщество LinuxServer славится помощью, но документация предполагает некоторое знакомство с Docker. Образ объединяет многое — DuckDNS, fail2ban, интеграцию Authelia, — что вам может или не может понадобиться.
Цены:
- Бесплатно: Все функции
- Платно: Нет
- Платформы: Linux (Docker)
Вывод: Выберите это, когда вам нужна гибкость NGINX и директория предписанных конфигов для популярных самостоятельно размещаемых сервисов.
7. Pangolin — лучший для самостоятельно размещаемого туннеля + обратного прокси
Pangolin — это самостоятельно размещаемый ответ на Cloudflare Tunnel: обратный прокси, работающий на $5 VPS, WireGuard туннель, который соединяет вашу домашнюю сеть обратно с ним, и веб-интерфейс для управления маршрутами. Релиз 1.0 в 2025 году добавил SSO с Authelia/Authentik, API для пользователей IaC и улучшенный мониторинг. Pangolin для самостоятельно размещаемого обратного прокси в 2026 году — правильный выбор, когда домашнее соединение находится за CGNAT и вы хотите, чтобы всё было самостоятельно размещено, включая туннель.
Где это не срабатывает: Меньшее сообщество, чем у остальных шести. Архитектура (VPS + туннель + домашний прокси) — это больше движущихся частей, чем один контейнер NGINX. Некоторые продвинутые функции NGINX требуют больше времени для реализации.
Цены:
- Бесплатно: Open-source под AGPL-3
- Платно: Нет
- Платформы: Linux (Docker)
Вывод: Выберите это, когда CGNAT — фактическая проблема и вы не хотите полагаться на Cloudflare для туннельного hop.
Как выбрать правильный
- Если это ваш первый обратный прокси и вам нужен GUI: NGINX Proxy Manager.
- Если вам нужно автоматическое HTTPS по умолчанию и конфиг, который будет ясен: Caddy.
- Если ваш стек в основном Docker и вам нужно обнаружение сервисов: Traefik.
- Если вам нужен чистый NGINX без абстракций: NGINX.
- Если у вас есть несколько экземпляров одного сервиса для балансировки: HAProxy.
- Если вам нужен NGINX плюс директория предписанных конфигов для самостоятельно размещаемых сервисов: SWAG.
- Если CGNAT — фактическая проблема и вам нужен самостоятельно размещаемый туннель: Pangolin (и маленький VPS).
Работающий стек 2026 года для домашней сети, связанной CGNAT, — это Pangolin на $5 VPS с Caddy или NPM за ним, сервисы открыты только через Tailscale, и WireGuard туннель, держащий домашнюю сеть подключённой. Ничто из этого не взаимоисключаемо; имена просто должны играть свою роль.
Часто задаваемые вопросы
Какой обратный прокси проще всего установить?
NGINX Proxy Manager. Три поля формы на хост, автоматический Let’s Encrypt и веб-интерфейс. Caddy — близкий второй, если вы предпочтёте редактировать Caddyfile, чем кликать по дашборду.
Нужен ли мне публичный IP на домашнее соединение?
Для напрямую доступного обратного прокси — да. Если ваш интернет-провайдер дает вам адрес CGNAT (нет публичного IP), вам нужен туннель: Cloudflare Tunnel, Tailscale Funnel или самостоятельно размещённая установка Pangolin с маленьким VPS для открытия сервисов. Статья XDA этого месяца проходит ровно по этому случаю.
Как Caddy автоматически обновляет SSL сертификаты?
Caddy поставляется с ACME клиентом. В первый раз, когда запрашивается имя хоста, Caddy достаёт Let’s Encrypt (или ZeroSSL или Buypass), доказывает право собственности вызовом HTTP-01 или TLS-ALPN-01 и сохраняет сертификат локально. Обновление происходит за 30 дней до истечения без какого-либо вмешательства.
Могу ли я запустить обратный прокси на Raspberry Pi?
Да. Все семь из них комфортно работают на Pi 4 или Pi 5. Pangolin, NPM и SWAG обычно развёртываются как Docker контейнеры и потребляют менее 200 MB RAM. NGINX и Caddy также могут работать нативно на Pi OS.
Должен ли я использовать Cloudflare Tunnel вместо этого?
Cloudflare Tunnel отлично и бесплатно для пользователей, но маршрутизирует ваш трафик через Cloudflare. Для домашних сетей, которые это не хотят, Pangolin или собственный WireGuard-к-VPS hop — эквивалент без Cloudflare в цепи.
В чём разница между обратным прокси и балансировщиком нагрузки?
Обратный прокси стоит перед одним или несколькими бэкенд-сервисами и пересылает запросы на основе имени хоста или пути. Балансировщик нагрузки конкретно распределяет запросы между несколькими экземплярами одного сервиса. HAProxy и NGINX могут быть обоими; NPM и Caddy в основном обратные прокси с базовыми функциями балансировки нагрузки.