DNS local
AdGuard Home reçoit les requêtes LAN et délègue la résolution récursive à Unbound.
Network
Réseau local, proxy et accès contrôlés.
Le modèle réseau privilégie un accès interne par défaut, une exposition publique limitée et un VPN pour l'administration.
Reverse proxy
Nginx Proxy Manager route les domaines vers les ports applicatifs internes, dont miglab.mkayz.org vers 3007.
VPN
WireGuard fournit un chemin d'accès administratif pour les services non publics.
Séparation LAN / services
Les services sensibles restent LAN ou VPN, les expositions publiques passent par le proxy.
Accès externe
Le domaine public pointe vers le proxy, avec TLS Let's Encrypt quand le DNS public est prêt.