Project 02 · Nexus

Raspberry
Pi server
thuis

Mijn eigen Raspberry Pi 5 die 24/7 thuis draait. AI modellen, media server, DNS filtering, smart home en beveiliging. Volledig self-hosted, volledig onder controle.

Raspberry Pi 5 Docker Ollama Pi-hole Tailscale Grafana Linux
nexus · pi5
live
CPU 12%
RAM 8.4 / 16 GB
Temp 52°C ✓
Storage T7: 61% vrij
Services 17 / 17 ✓
AI modellen 3 lokaal
Uptime 34d 6h ✓
17
Services
0€
AI kosten
~5€
Stroom/mnd
17Actieve services
24/7Uptime
3+Lokale AI modellen
~5€Stroom per maand
01
Project overzicht

Nexus: alles op één Pi.

Nexus is de naam van mijn Raspberry Pi 5 die thuis staat te draaien. Geen cloud, geen abonnement. Gewoon mijn eigen hardware. 17 actieve services: van AI modellen en media server tot DNS filtering, honeypot en smart home automation.

De Pi draait op een Samsung T7 SSD (1TB, ~340 MB/s) via USB 3.2. Alle services draaien als systemd services of Docker containers. Externe toegang gaat uitsluitend via Tailscale VPN of Cloudflare Tunnel, nooit direct open naar internet.

Raspberry Pi 5 · 16GB Debian 13 Trixie Docker Ollama Pi-hole v6 Grafana Prometheus Jellyfin Nextcloud Homebridge Tailscale VPN UFW Firewall Fail2ban Cloudflare Tunnel
02
Wat Nexus draait
🤖
Lokale AI · AKAI & Ollama
Eigen AI modellen, geen cloud

Ollama draait meerdere AI modellen volledig lokaal: Naja-Fast (1B), Naja-Smart (3.8B) en AKAI-Code. Geen API kosten, maximale privacy. AKAI, mijn persoonlijke AI assistent, draait ook op Nexus via de OpenClaw gateway op poort 18789.

Ollama OpenClaw Flask API 0€ per query

Services op Nexus

AKAI Gateway✓ running
Ollama✓ running
Grafana✓ running
Prometheus✓ running
Pi-hole✓ running
Nextcloud✓ running
Jellyfin✓ running
Homebridge✓ running
Cowrie honeypot✓ running
Endlessh tarpit✓ running
📊
Monitoring · Grafana & Prometheus
Real-time server inzicht

Grafana dashboard op poort 3000 met real-time grafieken. Prometheus scrapt CPU, RAM, temperatuur en disk I/O. Glances geeft een snel overzicht via REST API op poort 61208.

Grafana Prometheus Glances
📺
Media · Jellyfin & Nextcloud
Eigen cloud en media server

Jellyfin draait als media server op poort 8096. Films en muziek streamen naar elk apparaat. Nextcloud op cloud.nexusakai.com voor persoonlijke cloud opslag. Alles op NAS SSD (238GB).

Jellyfin Nextcloud 238 GB NAS
🔒
Security · honeypot & firewall
Zero-trust beveiliging

Cowrie SSH/Telnet honeypot logt aanvalspogingen. Endlessh tarpit vangt portscanners op. UFW blokkeert alles behalve Tailscale en lokaal netwerk. Canary tokens sturen alerts bij inbraak.

Cowrie honeypot Endlessh tarpit UFW + Fail2ban Canary tokens
🏠
Smart Home · Homebridge
HomeKit via AKAI

Homebridge verbindt alle slimme apparaten met Apple HomeKit. Bereikbaar op poort 8581. AKAI kan via tools de verlichting en apparaten aansturen via een Telegram bericht.

Homebridge Apple HomeKit AKAI tools
🌐
DNS · Pi-hole & Tailscale
Privé DNS en VPN toegang

Pi-hole v6 filtert advertenties en tracking voor het hele netwerk via DNS. Tailscale VPN geeft veilige toegang tot alle services van overal ter wereld, zonder poorten open te zetten.

Pi-hole Tailscale VPN
03
Systeem architectuur

6 lagen, één Pi.

LAAG 06
Externe Toegang
Cloudflare Tunnel → nexusakai.com · Tailscale VPN · SSH (public key only)
LAAG 05
Security
UFW (default deny) · Fail2ban · Cowrie honeypot · Endlessh tarpit · Canary tokens
LAAG 04
AI & Assistent
Ollama · AKAI (OpenClaw gateway) · Flask chatbot API · Trading Journal
LAAG 03
Applicatie Services
Pi-hole · Nextcloud · Grafana · Prometheus · Jellyfin · Homebridge · Glances
LAAG 02
OS & Runtime
Debian 13 Trixie · Python 3.13 · Node.js 22 · Docker · systemd · NetworkManager
LAAG 01
Hardware
Raspberry Pi 5 (Cortex-A76, 2.4GHz) · 16GB LPDDR4X · Samsung T7 SSD 1TB (boot) · NEXUS-NAS SSD 238GB · Gigabit LAN
04
Wat ik heb geleerd

Vijf keuzes die het verschil maakten.

Docker bypass UFW: Docker voegt iptables regels toe die UFW omzeilen. De oplossing: een DOCKER-USER chain in /etc/ufw/after.rules die expliciet alleen het lokale subnet en Tailscale doorlaat.

UAS quirk voor NAS SSD: De Samsung T7 NAS SSD had ~44 resets per sessie door een bug in de JMicron USB bridge (152d:0583). Fix: usb-storage.quirks=152d:0583:u in cmdline.txt forceert UAS-modus uit.

Pi-hole via DNS forwarding: Met double NAT (KPN modem + TP-Link Deco mesh) moest de Deco geconfigureerd worden als DNS forwarder naar de Pi, anders kwamen queries nooit bij Pi-hole aan.

Statisch IP via NetworkManager: De Pi gebruikt NetworkManager (niet dhcpcd). Statisch IP instellen via nmcli, niet via dhcpcd.conf. Dat bestand wordt volledig genegeerd.

Honeypot data is waardevol: Cowrie logt elk SSH aanvalspatroon. Frequente aanvallers proberen standaard credentials (root/123456, admin/admin) binnen 3 seconden. Endlessh houdt ze uren vast op poort 22.

05
Code voorbeeld
firewall_fix.sh: Docker UFW bypass
#!/bin/bash # Fix: Docker omzeilt UFW standaard. Dit script blokkeert dat. # Stap 1: Voeg DOCKER-USER chain toe aan /etc/ufw/after.rules cat >> /etc/ufw/after.rules << 'EOF' *filter :DOCKER-USER - [0:0] -A DOCKER-USER -i eth0 -s /24 -j RETURN -A DOCKER-USER -i eth0 -s /10 -j RETURN -A DOCKER-USER -i eth0 -j DROP COMMIT EOF # Stap 2: Herlaad UFW ufw reload # Resultaat: Docker containers zijn niet meer direct bereikbaar # van buiten het lokale netwerk of Tailscale VPN.
06
Resultaten
AKAI
Persoonlijke AI draait 24/7

AKAI reageert dag en nacht via Telegram en voice calls. Volledig lokaal, volledig privé.

95%
Security score

Van 70% naar 95% na implementatie van honeypot, UFW fix en canary tokens.

17
Services altijd online

Grafana, Jellyfin, Nextcloud, Pi-hole en meer. Allemaal op één Pi van 5 euro stroom per maand.

~5€
Per maand aan stroom

Geen cloud abonnement, geen licentiekosten. Alleen stroom. Alles draait lokaal op eigen hardware.