Защита веб-сервисов с Authelia и Nginx Proxy Manager на личном VPS SANSARA (2026)
Практическая настройка Authelia с Nginx Proxy Manager на личном VPS SANSARA в 2026 году: единый вход и двухфакторная защита для веб-сервисов через выделенный узел и Telegram-бота.
Чтобы защитить веб-приложения единым входом и двухфакторной аутентификацией, установите Authelia как сервер авторизации и подключите его к Nginx Proxy Manager на личном VPS SANSARA. Сначала закажите личный VPS в кабинете SANSARA, выберите одну из 9+ локаций и импортируйте профиль в клиент на iPhone, Android, Windows или macOS. Затем настройте Docker-контейнеры Authelia и Nginx Proxy Manager на выделенном узле и свяжите их через поддомен и заголовки авторизации.
Коротко:
- Authelia — открытый сервер аутентификации и авторизации, который работает как единый вход (SSO) и поддерживает двухфакторную аутентификацию (2FA) для веб-приложений.
- Nginx Proxy Manager — веб-интерфейс для управления обратным прокси‑сервером Nginx, упрощает выпуск SSL и настройку хостов.
- На личном VPS SANSARA вы получаете выделенный узел, который не делится с другими пользователями и позволяет стабильно работать с Docker‑контейнерами.
- Telegram-бот SANSARA помогает управлять сервером и получать уведомления о состоянии служб без прямого доступа к терминалу.
- Совместимость с iPhone, Android, Windows и macOS позволяет подключаться к защищённым сервисам с любого устройства через импорт профиля из кабинета.
Что это и кому подходит
Authelia — это сервер аутентификации и авторизации, который перехватывает запросы к веб-приложениям и проверяет, прошёл ли пользователь вход. Он поддерживает однофакторную и двухфакторную аутентификацию, единый вход и гибкие политики доступа. Authelia работает как «компаньон» для обратных прокси‑серверов: Nginx, Traefik, HAProxy и, в частности, Nginx Proxy Manager.
Nginx Proxy Manager — это обёртка над Nginx с веб-интерфейсом. Она позволяет создавать прокси-хосты, выпускать Let’s Encrypt SSL-сертификаты и настраивать перенаправления без редактирования конфигурационных файлов вручную.
Связка Authelia + Nginx Proxy Manager подходит:
- администраторам домашних лабораторий, которые хотят защитить доступ к self-hosted сервисам (Nextcloud, Jellyfin, Bitwarden и др.);
- владельцам личных VPS, которые хотят добавить единый вход и двухфакторную аутентификацию для веб-приложений;
- тем, кто уже использует SANSARA и хочет централизованно управлять доступом к своим сервисам через выделенный узел.
На личном VPS SANSARA вы получаете готовый доступ к серверу через кабинет и импорт профиля, а Docker позволяет развернуть Authelia и Nginx Proxy Manager без установки панелей и глубоких знаний терминала.
Как настроить по шагам (с личным VPS SANSARA)
Ниже — обобщённая схема настройки для 2026 года. Точные версии конфигурационных файлов могут меняться, поэтому сверяйтесь с официальной документацией Authelia и Nginx Proxy Manager.
1. Подготовка личного VPS SANSARA
- Закажите личный VPS в кабинете SANSARA, выберите подходящую локацию из 9+ доступных стран.
- После активации получите данные сервера: IP-адрес, логин, пароль (или ключ SSH).
- Импортируйте профиль в клиент на своём устройстве (iPhone, Android, Windows, macOS) — это создаст защищённый канал к выделенному узлу.
- При необходимости установите на сервер Docker и Docker Compose (если они не предустановлены).
2. Установка Nginx Proxy Manager
Создайте docker-compose.yml для Nginx Proxy Manager:
`yaml version: "3.8" services: nginx-proxy-manager: image: jc21/nginx-proxy-manager:latest container_name: npm restart: unless-stopped ports:
- "80:80"
- "443:443"
- "81:81"
volumes:
- ./npm/data:/data
- ./npm/letsencrypt:/etc/letsencrypt
environment: DB_SQLITE_FILE: "/data/database.sqlite" `
Запустите контейнер:
`bash docker-compose up -d `
Откройте веб-интерфейс по адресу http://ваш-ip:81. Логин по умолчанию: admin@example.com, пароль: changeme — сразу смените их.
3. Установка Authelia
Создайте отдельную директорию для Authelia (например, /opt/authelia) и поместите туда docker-compose.yml:
`yaml version: "3.8" services: authelia: image: authelia/authelia:latest container_name: authelia restart: unless-stopped volumes:
- ./config:/config
ports:
- "9091:9091"
environment:
- TZ=Europe/Moscow # укажите свою таймзону
`
В поддиректории config создайте основные файлы конфигурации:
- configuration.yml — основная конфигурация Authelia;
- users_database.yml — база пользователей и хэши паролей;
- при необходимости — storage.yml для хранения сессий в Redis.
Минимальный пример configuration.yml (замените домены и секреты):
`yaml server: host: 0.0.0.0 port: 9091
log: level: debug
default_redirection_url: https://auth.yourdomain.com
totp: issuer: yourdomain.com
authentication_backend: file: path: /config/users_database.yml
access_control: default_policy: deny rules:
- domain: "auth.yourdomain.com"
policy: bypass
- domain: "*.yourdomain.com"
policy: two_factor
session: secret: ваш-секрет-сессии domain: yourdomain.com `
В users_database.yml укажите пользователей и хэши паролей (используйте утилиту Authelia для генерации хэшей).
Запустите Authelia:
`bash docker-compose up -d `
4. Настройка DNS и SSL
- Заведите поддомен для Authelia, например auth.yourdomain.com, и направьте его на IP вашего VPS SANSARA.
- В Nginx Proxy Manager создайте новый прокси-хост:
- Domain Names: auth.yourdomain.com
- Forward Hostname/IP: authelia (или IP контейнера Authelia)
- Forward Port: 9091
- Включите SSL и получите сертификат Let’s Encrypt.
5. Интеграция Authelia с Nginx Proxy Manager
Для каждого защищаемого сервиса (например, app.yourdomain.com) в Nginx Proxy Manager:
- 01Создайте прокси-хост как обычно.
- 02На вкладке Advanced добавьте конфигурацию для Authelia. Пример (адаптируйте под ваш домен и порт Authelia):
`nginx set $upstream_authelia http://authelia:9091/api/verify;
location / { auth_request /authelia; auth_request_set $user $upstream_http_remote_user; auth_request_set $email $upstream_http_remote_email; auth_request_set $groups $upstream_http_remote_groups;
proxy_set_header X-Forwarded-User $user; proxy_set_header X-Forwarded-Email $email; proxy_set_header X-Forwarded-Groups $groups;
}
location /authelia { internal; proxy_pass $upstream_authelia; proxy_set_header X-Original-URL $scheme://$http_host$request_uri; proxy_set_header X-Forwarded-Proto $scheme; proxy_set_header X-Forwarded-Host $http_host; proxy_set_header X-Forwarded-Uri $request_uri; proxy_set_header X-Forwarded-For $remote_addr; } `
- 01Сохраните настройки.
Теперь при обращении к app.yourdomain.com Nginx Proxy Manager будет отправлять запрос в Authelia для проверки аутентификации. Неаутентифицированные пользователи будут перенаправлены на портал входа Authelia.
6. Настройка Telegram-бота SANSARA
Подключите Telegram-бота SANSARA к вашему серверу через кабинет. Это позволит:
- получать уведомления о состоянии контейнеров (Authelia, Nginx Proxy Manager);
- перезапускать сервисы через бота без прямого входа на сервер;
- отслеживать использование ресурсов выделенного узла.
Устройства: iPhone, Android, Windows, macOS
После настройки Authelia и Nginx Proxy Manager доступ к защищённым сервисам организуется через веб-браузер или нативные клиенты, которые поддерживают работу через прокси.
- iPhone / Android: импортируйте профиль SANSARA из кабинета в поддерживаемый клиент. Откройте браузер, перейдите на свой домен (например, app.yourdomain.com) — вас перенаправит на портал Authelia для входа. После аутентификации вы получите доступ к приложению.
- Windows / macOS: аналогично импортируйте профиль из кабинета SANSARA в клиент для вашей ОС. Откройте браузер и работайте с сервисами через защищённый канал на выделенном узле.
Все устройства используют один и тот же выделенный узел SANSARA, поэтому политики доступа, настроенные в Authelia, применяются единообразно.
Частые ошибки и как их избежать
- 01Ошибка 500 в Nginx при включении Authelia
- Причина: неверные заголовки или неправильный proxy_pass на Authelia.
- Решение: проверьте, что контейнер Authelia доступен по имени authelia (в Docker сети) или по правильному IP и порту. Убедитесь, что в Advanced-конфиге Nginx Proxy Manager правильно указан $upstream_authelia.
- 01Бесконечные редиректы или циклы аутентификации
- Причина: неправильная default_redirection_url в Authelia или конфликт доменов.
- Решение: убедитесь, что default_redirection_url ведёт на корректный домен Authelia (например, https://auth.yourdomain.com). Проверьте правила access_control: домен авторизации должен иметь политику bypass.
- 01Проблемы с WebSocket-ами (приложения не работают после включения Authelia)
- Причина: конфигурация Authelia перезаписывает настройки WebSocket в Nginx.
- Решение: добавьте в Advanced-конфиг Nginx Proxy Manager строки для включения WebSocket:
`nginx proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection "upgrade"; `
- 01Ошибки размера заголовков (large_client_header_buffers)
- Причина: буферы Nginx слишком малы для заголовков, которые добавляет Authelia.
- Решение: увеличьте размер буферов в Advanced-конфиге:
`nginx large_client_header_buffers 4 16k; `
- 01Проблемы с SSL/HTTPS
- Причина: не все домены защищены SSL или сертификат не доверен.
- Решение: убедитесь, что все домены (включая auth.yourdomain.com) имеют валидные SSL-сертификаты в Nginx Proxy Manager. Проверьте, что в Authelia default_redirection_url использует https://.
FAQ
Можно ли использовать Authelia без Nginx Proxy Manager, только с обычным Nginx?+
Да, Authelia официально поддерживает интеграцию с Nginx. Но Nginx Proxy Manager упрощает управление хостами и SSL через веб-интерфейс, что удобно на личном VPS.
Нужно ли открывать дополнительные порты на VPS для Authelia?+
Authelia должен быть доступен только для Nginx Proxy Manager (внутри Docker-сети). Наружу обычно открывают только порты 80 и 443 для Nginx Proxy Manager, а порт Authelia (9091) остаётся внутренним.
Будет ли Authelia работать с любым веб-приложением?+
Authelia работает на уровне обратного прокси, поэтому теоретически совместим с любым HTTP(S)-приложением. Но некоторые приложения могут требовать дополнительной настройки заголовков или иметь особенности авторизации.
Как добавить второго пользователя в Authelia?+
Отредактируйте файл users_database.yml, добавьте нового пользователя с хэшированным паролем (сгенерированным утилитой Authelia) и перезапустите контейнер Authelia.
Можно ли использовать Authelia с SANSARA, если я не хочу работать с Docker?+
На личном VPS SANSARA рекомендуется использовать Docker для изоляции сервисов. Ручная установка Authelia и Nginx возможна, но требует больше времени и повышает риск ошибок конфигурации.
Итог
- Закажите личный VPS SANSARA, выберите локацию и импортируйте профиль в клиент на своём устройстве.
- Разверните Nginx Proxy Manager и Authelia в Docker на выделенном узле, настройте поддомен для Authelia и SSL-сертификаты.
- В Advanced-настройках каждого прокси-хоста в Nginx Proxy Manager добавьте конфигурацию для проверки аутентификации через Authelia.
- Подключите Telegram-бота SANSARA для мониторинга и управления сервером без прямого доступа к терминалу.
- Проверяйте работу на всех устройствах (iPhone, Android, Windows, macOS) через импортированный профиль и веб-браузер.
Ещё по теме
Читайте также
CTA · SANSARA
Личный VPS — без терминала и очередей
Регистрация, импорт профиля и стабильный канал на телефон и компьютер. Тот же принцип, о котором мы пишем в блоге — на практике.