Solutions
-
EliteGroup's post in CrowdSec LAPI was marked as the answerOk nach 3 Tagen suche habe ich es doch geschafft, in Unraid fehlen Variablen.
Zuerst auf der Firewall / Hauptmaschine eine neuen Maschinen API-Key erstellen und speichern mit zb:
cscli machines add unraid-agent --auto -f -
In Unraid "CrowdSec" diese Variablen erstellen und die gespeicherten API Daten eintragen:
DISABLE_LOCAL_API=true
AGENT_USERNAME=API_USERNAME_EINFÜGEN
AGENT_PASSWORD=API_KEY_EINFÜGEN
LOCAL_API_URL=http://IPADRESSE_EINFÜGEN:8080
Dann läuft er als CrowdSec Agent wie er soll und man kann machen was man will, weitere logs und collections hinzufügen
-
EliteGroup's post in Docker möglichst sicher nach Außen öffnen - Orientierungshilfe was marked as the answerDu musst dich auf jeden Fall für einen "Weg" entscheiden, erst dann kannst du diesen best möglich absicher...
Ich bin auch kein freund von externen Diensten, egal ob Cloudflare oder sonstige Remote Proxy.
Vor allem wenn es um den privaten zweck geht. Wenn es jetzt um das veröffentlichen für Weltweit geht, ist das private Hosten des Servers sowieso die flasche Wahl, also geht es hier um den Privaten zweck und das teilen mit Familie/Freunde/eine kleine Community und diesen Weg kann man natürlich absichern.
Um dir einen kleinen Leitfaden anzubieten:
1. Firewall
Alles beginnt mit einer guten Firewall...
Gute Hardware-Firewall kann schnell in die hohen Kosten gehen deshalb beziehe ich mich lieber auf Software-Firewall.
Ganz oben an der Spitze liegt hier OpnSense / pfSense, möglich wäre natürlich auch ein Flashen mit der richtigen Hardware von OpenWRT.
Wichtig ist nur was die Firewall an möglichkeiten bietet.
Aufgabe: Über vernünfigte Firewall Informieren, besorgen, einrichten. Ich persönlich verwende OpnSense und nutze nichts anderes mehr.
2. Netzwerk
Das segmentieren von Netzwerken ist quasi Pflicht. Egal ob VLAN oder Physische Trennung. Wähle entweder Virtuelle oder Physische Trennung. Jenachdem was deine Hardware hergibt. Ich bevorzuge eine Kombination aus beiden, ein VLAN Switch und an Unraid eine physische Trennung durch 2 Netzwerkanschlüsse (oder mehr) und Performance zu bieten.
Dienste die aus dem Internet aus erreichbar sind, befinden sich in einem eigenen Netzwerk.
Aufgabe: Erstelle 2 Netzwerke mit eigenen IP Bereich.
1. Netzwerk: LAN/Home
2. Netzwerk: DMZ/Server
Jetzt muss das Netzwerk noch konfiguriert werden. Das sollte einfach sein den wichtig ist nur eines:
LAN hat vollen zugriff auf DMZ.
DMZ sind alle Ports gesperrt nach LAN.
3. Unraid
Wie schon erwähnt was gibt die Hardware her? VLAN oder Physich. Im primzip beides gleich. Wichtig ist jetzt zuerst die Netzwerkkonfiguration von Unraid:
Aufgaben:
1. Netzwerkeinstellungen > Schnitstellenregeln richtig wählen. (Wenn VLAN nicht gewählt wird)
eth0 = MAC Adresse von LAN
eth1 = MAC Adresse von DMZ
Neustarten von Unraid nicht vergessen.
2. Ganz WICHTIG ist jetzt das erste Netzwerk ist LAN, das zweite Netzwerk ist DMZ! DMZ MUSS zusätzlich die Netzwerkbrückung aktiviert werden (br1).
3. Unter Schnittstellen Extras wird br1 (DMZ Bridge) ausgeschlossen. Damit kein Unraid zugriff möglich ist für die DMZ Dienste.
4. Proxy mit LetsEncrypt SSL
Jetzt wird ein Proxy installiert und zwar als custom Bridge im br1 Netzwerk. Wähle eine schöne IP
Beliebt ist hier der Nginx Proxy Manager mit WebGUI und SSL.
Erstelle eine Portfreigabe auf deiner Firewall mit 80+443 die auf deine Nginx custom IP zeigt.
Nicht vergessen in Nginx Proxy Manager unter Settings die Default Site auf "No Response" stellen.
PS: Nicht vergessen in deinem DNS Server die IP für deine Domain auf die Proxy IP umschreiben.
5. Zusatz Dienste
Hier wird einen bewust das die meisten Firewalls sehr begrenz sind und kaum Sicherheit bieten für zusätzliche absicherungen...
Die möglichkeiten sind hier endlos aber ein kleiner Leitfaden der auf jeder OpnSense / pfSense funktioniert:
1. IP Table Blocker aktivieren
Im Internet findet man Listen von gefährlichen IP-Adressen die das WWW "snifen" und nach offnen Ports schnüffeln oder sonstige unseriöse Angriffe auf offene Systeme vornehmen. Bekannt hier sind Listen von spamhaus.org oder abuse.ch. Es gibt viele weitere Listen.
Dieser Blocker sollte an deiner Firewall auf Nr. 1 stehen über der Portfreigabe von 80/443. Dann ist für diese Snifer Netzwerke auch die Ports gesperrt.
2. GeoIP Blocker einrichten
Mit einer kostenlosen API von maxmind.com bekommst du die möglichkeit GeoIP Blocking zu betreiben.
Hier kannst du eine Alias erstellen mit Länder die generell von deiner Firewall gesperrt werden soll.
Zb zu empfehlen alle Länder außer Europa / USA. Damit wird jede Anfrage aus Russland, China, und jeden anderen gesperrten Land sowieso zu 100% an deiner Firewall blockiert trotz geöffneter Ports.
HINWEIS: Wenn du in den Urlaub fährst. zb nach Thailand, musst du zuvor das Land an deiner Firewall freigeben sonst hast du keinen Zugriff auf deine Firewall/Dienste.
Diese Regel kommt auf Nr. 2 ebenfall trotzdem ÜBER der Portfreigabe von 80+443.
Wenn du dir nicht sicher bist was du sperren sollst und was nicht, nimm die üblichen verdächtigen und sperr Russland, Afrika, Asien.
Warum ganz Europa und USA freigegeben bleibt hat den einfachen Grund da oft einige Dienste / Internetseiten evtl. auch für dich dann nicht mehr Aufrufbar sind. Wenn du diese 2 offen lässt, habe ich bisher nie einschrönkungen erlebt, außer du treibst dich in sehr "exotischen" Teilen des Internets herum.
3. CrowdSec einrichten
Am besten direkt auf der OpnSense installieren die für verdächtige IPs eine direkte Firewall Sperre zu erwirken.
CrowdSec ist ein trolles Projekt und lässt sich einfach als App auf der Firewall installieren, wieder etwas das unter üblichen Firewall-Routern nicht möglich ist...
Also jetzt sind wir schon an einem Punkt der recht einfach um zu setzten ist und man ultimativen Schutz vor Hacker und WWW Snifer hat.
Für komische fremde Lände erscheinst du sowieso offline als würde es dich nicht existieren.
Das ganze ohne VPN / Cloudflare Tunnel.
Desweiteren gibt es Software für Einbruchserkennung etc die zb OpnSense ebenfalls zu verfügung stellt.
Weiteres gebe es die möglichkeit für innere Sicherheit einen DNS-Blocker zu installieren wie AdGuard (Ebenfalls direkt als OpnSense App) / PiHole und das interne Tracking und versenden von Telemetriedaten zu verhindern.
Bis zu diesen Punkt schafft das jeder der zumindest eine OpnSense / pfSense im einsatz hat ganz easy wenn man nur ein bisschen IT/Netzwerk Expertise hat.
Jetzt könnte man noch an die Hardcore abhärtung weiter gehen. Das werde ich aber jetzt hier nicht weiter erleutern da die möglichkeiten endlos sind.
Erwähnen könnte man hier noch den einsatz von Fail2Ban, erkennung von DDoS und Brutforce, absicherung von WLAN gegen lokale Angriffe etc.
Persönliche empfehlung sind die 3. Punkte mit IP-Tabel + GeoIP + CrowdSec. Die installation der drei Punkte dauert 5 Minuten und laufen ab dann vollständig automatisch für immer auf deiner Firewall.
Als kleiner Tipp wenn du dir keine teuere Hardware für OpnSense zulegen möchtest gibt es noch den TP-Link ER605 v2 (WICHTIG ist hier "v2" zu bekommen)
Darauf lässt sich OpenWRT installieren als Firewall. Als reine "Firewall" bzw Router ist der richtig gut.
Alternativ wenn du Firewall + Wlan in einem benötigst, musst du dir einen geeigneten Router in der OpenWRT liste aussuchen. Wichtig ist hier der RAM und FLASH Speicher, nur wenn der Speicher groß genug ist lässt sich auf einen kleinen Router auch CrowdSec installieren.
Für OpnSense im Einsatz als Router benötigst du natürlich ein WLAN-Router im AccessPoint Modus.
-
EliteGroup's post in Eure Empfehlung zur Serveranbindung mit Wireguard was marked as the answerWelche Router wird in Zukunft eingesetzt?
Also ich wüsste wie du dein Projekt leicht umsetzten könntest mit OpnSense / pfSense.
Da kannst du direkt den Gateway für jede IP zuweisen oder eine eigene Docker Bridge erstellen im WireGuard Netzwerk.
Ich bevorzuge immer eine Firewall konfiguration alles was das Netzwerk betrifft als rumgebastel auf Geräten, deshalb habe ich leider keine Erfahrung was für möglichkeiten bestehen für VPN Server auf Geräten. Ich denke aber das die möglichkeiten begrenzter sind.
Auch wieder am Router selbst wäre eine Site-to-Site Verbindung wie du es schon erwähnst und dann die Routen konfigurieren.
So oder so, wird eine konfiguration komplexer ist die Lösung ein vernünftiger "Router" der damit umgehen kann, FritzBox ist ein nettes Spielzeug für den Hausmann und Familie aber für Server betrieb ungeeignet.
Sind mehrere Server in betrieb und auch Sicherheit wichtig dann verwendet man OpnSense oder RouterOS Geräte.
Ich verstehe deinen gedanken, das du es Serverseitig installiert haben möchtest da sich Modems/Wlan-Router ausgetauscht werden können, aber meiner Erfahung nach ist eine Softwareseitige installation direkt auf Geräten auch keine Stabile verbindung, durch Updates, Wartung oder Internetausfälle ist eine Installation direkt auf Geräten einer richtigen Route auf einer Firewall zu bevorzugen.
-
EliteGroup's post in Nach Neu Installation Probleme mit Jellyfin was marked as the answerDeine Shares und Pfade sehen nach kompletten Chaos aus...
Wieso befinden sich für appdata, domain, system die Datein komplett verstreut auf Cache und Disks?
Für appdata nicht von Vorteil, und für system ganz schlecht.
Deine Docker config ist auch kein Docker File zugewiesen, dazu befindest sich system nur auf dem Array verteilt.
Deine VMs sind auch Chaos, die finden ihre Images nicht.
-Wieso hast du für appdata und system nicht auf Cache only gestellt?
-Wieso betreibst du VMs auf dem Array auf Disks und nicht auf dem Cache?
Das ist ein gemixtes Chaos, deine Datein sind kreuz und quer und Pfade sind überall falsch gesetzt.
Du musst da dringend Ordnung rein bringen und die Parität wird dir da nicht helfen!
Du kannst genauso gut die Parität stoppen und mal neu ordnen und dann eine Parität durchführen...
Du solltest zuerst deine Datein ordnen und auf den Cache verschieben was nicht ins Array gehört und aufs Array was nicht in den Cache gehört.
Hast du mit deinen Stick bei 0 begonnen mit einem frischen Unraid und wolltest alles wieder einfügen?
Hast du ein Backup von deinem "alten" Stick?
Wenn du alles löscht und neu beginnst und altes Zeug einfügst, musst du auch darauf achten das deine Pfade und Shares korrekt gesetzt sind wie es vorher war und das die Datein dort liegen wo sie liegen sollen.
-
EliteGroup's post in Unraid Server mit Adguard kein zugriff mehr auf Netzwerk Freigaben (445 port) [gelöst] was marked as the answerDann makiere deinen Beitrag hier im Forum als gelöst indem du den Beitrag von mir als Lösung makierst 😉
Intern für alle deine Geräte bearbeitet AdGuard deine DNS Anfragen und filtert zb Werbung oder unerwünschte Inhalte...
Es wird aber trotzdem ein "Online-DNS" benötigt im Internet der alle Domainnamen auflöst.
Die Upstream-DNS-Server sind also die Server an die AdGuard sich wendet, er selbst weis intern nur was du "erlaubst" oder "sperrst". Alle anderen Domains holt er sich selbst von einem Upstream.
In deinem Bild holt er sich jetzt deine Geräte-Namen von deiner Fritzbox als Upstream und Internet-Adresse vom Google-DNS Server (8.8.8.8)
PS:
Du kannst auf deinem PC "DNS Bench" ausführen und schauen welche DNS Server sind die schnellsten an deinem Internet-Anschluss.
Du könntest dann sehen dann vielleicht 1.1.1.1 schneller reagiert als 8.8.8.8 im Internet.
Damit könntest du dein Internet sogar ein bisschen schneller machen.
-
EliteGroup's post in Hilfe bei Start von Nextcloud was marked as the answerDu kommst so nicht mehr in die erst Einrichtung wenn in der Config eingetragen ist das die Installation bereits durchgeführt worden ist.
--
Du musst nun auf Fehlersuche gehen:
1. Funktioniert MariaDB richtig?
-> Installier die App "Adminer" und log dich auf deiner Datenbank ein. Was siehst du?
Geht der Login auf MariaDB mit Adminer? Ist da eine nextcloud Datenbank vorhanden?
2. Ist die IP / Port in deiner Nextcloud installation richtig oder hat diese sich geändert?
-> Geh in deinen appdata Ordner auf Unraid, öffne das nextcloud Verzeichnis und suche die config.php Datei von Nextcloud.
Darin (meist ganz am Ende) ist die Datenbank gespeichert. Die IP und Port sollte bei dir:
IP: 192.168.178.200
Port: 3306
-
EliteGroup's post in Datenaustausch über wireguard > 50GB Dateien, benötige Hilfe was marked as the answer@MonkeyAdminOnKeyboard
Es gebe viele Ansätze.
Für den Transfer setzt bei BEIDEN Partein eine "dicke" Internet-Upload Leitung vorraus sonst wird das gewarte mühsam.
Für das schicken, was ist mit den alten Traditionen?
-> SMB
-> FTP
? Reicht doch einfach ein FileZilla Client (Im Prinzip), wenn es "nur" ein 50GB File ist braucht man doch nur einen Ordner sonst nichts.
Wenn es etwas mit Weboberfläche sein soll:
Wie wäre es mit:
-> SFTPgo
-> SeaFile
letzteres ist Nextcloud ähnlich aber ein ganz anderes Level. Nicht viel schnick schnack mit focus auf FileShare.
Wie wäre es mit einem anderen Ansatz:
Wäre es möglich das der Streamer bei sich dir eine VM / Rechner zur verfügung stellt um Remote zu arbeiten?
Das wird GARKEIN Transfer benötigt und du arbeitest lokal per VPN.
Darum möglichkeiten wie "Parsec"
Für die professionelle Videobearbeitung muss man aber dazu sagen das Remote arbeiten schlechtere Bildquallität und FPS hat.
Rein für das Cutten würde es aber reichen.
---
Ich würde einen einfachen FTP Share machen... Oder eine kombination aus beiden mit SFTPgo + FTP als Client.
Theoretisch wird VPN dann sogar nicht mehr benötigt, du könntest den SFTP Port in der Firewall öffnen und er direkt per SFTP verbinden mit einem Tool wie FireZilla Client bzw mit SFTPgo sogar per WebBrowser, dafür installierst du noch einen NPM Proxy mit SSL Verschlüsselung.
Was ggf. die Transfergeschwindigkeit sogar erhören könnte (Kommt drauf an wer/was den WireGuard händelt)
Ist natürlich kein muss und SFTP Port kann gesperrt bleiben und der Zugang "nur" über WireGuard auf FTP.
-
EliteGroup's post in btrfs vs zfs für Raid1 Pool was marked as the answerIch habe mich für ein verschlüsseltes ZFS entschieden. Die Leseperformance ist viel besser als mit btrfs.
Erweitern sollte man auch können.
Scheint eine Top lösung zu sein mit dem neuen Unraid 6.12
-
EliteGroup's post in Kann keine Appdata-Dateien im Cache bearbeiten was marked as the answerInstalliere dir den Docker Container "Krusader" von ich777. Das ist ein einfacher weg um mal schnell was zu bearbeiten oder kopieren.
Im Notfall lässt er sich auch als Root ausführen (Achtung).
-
EliteGroup's post in brauche Unterstützung bei der Einrichtung von Unmanic bitte was marked as the answerIch glaube nicht das es an dem Docker Setting liegt...
Ich hab so ca die gleiche Angaben und es funktioniert.
Hab es aber auch nur noch als Template weil Unmanic so limitiert bei Plugins ist und selbst Programmieren in Python spar ich mir...
Ich verwende Tdarr für die Transcodierung auch wenn die das Interface absolut Mist ist...
Ich denke du musst etwas in Unmanic rumbasteln. Lade dir mal eine H264 Trailer Demo runter und lass die zu HEVC Transcodieren. Das weiß ich sollte direkt funktionieren.
Vilt mag Unmanic deine .ts Files nicht.
Oder anders:
1. Kannst du Unmanic mal auf Deutsch stellen.
2. Hast du unter Einstellungen - Bibliotheken deine Bibliothek auch hinzugefügt?
3. Es bringt nichts nur Plugins zu installieren, du musst diese in deiner Bibliothek auch einfügen.
4. Hast du dann mal auf der Startseite im Dashboard auf den Button "RESCAN LIBRARY NOW" geklickt?
Bibliothek hinzufügen. Auf das "Einstellungs" Icon.
In der Bibliothek deine Plugins einfügen und diese Einstellen.
Warnung: Nach den Einstellungen werden die Worker immer deaktiviert, du musst sie also wieder auf Fortsetzen im Dashboard und dann mal auf Scan Library klicken.