Skip to content
View in the app

A better way to browse. Learn more.

Unraid

A full-screen app on your home screen with push notifications, badges and more.

To install this app on iOS and iPadOS
  1. Tap the Share icon in Safari
  2. Scroll the menu and tap Add to Home Screen.
  3. Tap Add in the top-right corner.
To install this app on Android
  1. Tap the 3-dot menu (⋮) in the top-right corner of the browser.
  2. Tap Add to Home screen or Install app.
  3. Confirm by tapping Install.

Best solution pour acces externe Unraid

Featured Replies

Bonsoir et merci de me lire et me conseiller ;)

J'aimerai vos avis pour ce qui est de l'accès extérieur à mon serveur Unraid ....

 

Ce que je souhaite faire :

- l'idée de base serait que je puisse accéder via un nom de domaine que j'ai o2switch à mon serveur... Du style l'url pointe sur une home page sécurisée avec accès log/mdp qui donnerai accès à l'ensemble des dock/VM idéalement sans avoir à se "reloguer" dans l'esprit de ce que propose Yunohost....

- mais je veux également avoir un accès depuis n'importe où à partir d'applications spécifiques sous android / PC (EX : bitwarden, Nextcloud, Jellyfin....)

 

Le tout en sachant que :

je n'ai pas de grandes connaissances ...

je souhaite avant tout privilégier la sécurité (le serveur a un usage PRO et Perso... j'ai bon espoir qu'il héberge un jour la partie domotique de la maison....)

j'ai une connexion fibre Sosh donc IP dynamique ... (le NDD chez O2switch redirige vers une URL No-IP.biz....)

 

Voili voulou .... D'avance un grand merci pour vos précieuses lumières !!!!

 

Je pense que pour ton premier point il faut te pencher sur Wireguard qui est intégré à unRAID :

 

Après, pour les deux points je n'ai jamais vraiment fait l'effort de me pencher dessus pour le moment. :/ 

Il y a de tuto en francais, je sais pas si avec le programme SWAG

Ca pourrait peut-être t'aider ?

Bonsoir,

je confirme, wireguard est la meilleure solution, simple, relativement rapide, crypté.

Je l'utilise depuis le début, et j'ai accès à tout, médias, fichiers, VM, etc

Envoyé de mon M2007J3SY en utilisant Tapatalk

Salut @Big65

C'est exactement ce que j'ai fait : un nom de domaine o2switch, des sous domaines pour les containers auxquels j'accède depuis l'extérieur.

Je vais confirmer les réponses ci-dessus :

Wireguard pour accéder à Unraid depuis l'extérieur.

Swag pour accéder aux containers souhaités. La vidéo de superboki est vraiment bien faite. Il y a une petite astuce si jamais tu utilises cloudflare, il faut retirer le proxy sur le sous domaine avant de valider l'ajout du host dans swag.

Si ce n'est pas clair, fait moi signe !

  • 2 weeks later...

Pour accéder aux container, il y a aussi Nginx Proxy Manager qui permet d avoir une UI. Par contre, pas de fail2ban

  • 1 year later...

Pourriez vous être plus explicites sur le sujet ?

Qu'as t'on besoin pour monter la chose ?

Ce n'est pas bien clair pour un novice.

 

Y a t'il besoin d'un nom de domaine (même ca, ce n'est pas clair pour le novice).

Faut il une IP fixe du fournisseur d'accès ?

Idem pour les "sous-domaine" : qu'est-ce qu'on doit comprendre par là ?

Merci.

Edited by PicPoc

On 1/10/2021 at 6:35 PM, Balooforever said:

Pour accéder aux container, il y a aussi Nginx Proxy Manager qui permet d avoir une UI. Par contre, pas de fail2ban

 

Couplé à Authelia par exemple pour faire du MFA (ça marche aussi avec SWAG) ça permet d'exposer l'UI unraid sur internet derrière un sous domaine sans s'inquiéter de se faire hacker.

C'est ce que j'ai fait, et je peux choisir le type d'authentification pour chaque sous domaine : simple par mot de passe pour les containers sans risque et 2FA pour les autres (NPM, unRaid, ...).

On peut aussi différencier les règles entre réseau local et externe.

Le seul point "négatif" c'est qu'il faut se palucher la conf d'Authelia qui n'a pas d'IHM.

Mais l'avantage c'est que la sessions ouverte sur l'authentification Authelia reste valable sur tous mes sous domaine.

 

Wireguard nécessite un client VPN ce qui n'est pas toujours pratique ou possible de faire (pc du boulot 😇 par exemple)

 

Sinon quelques pistes pour faire fonctionner fail2ban avec NPM :

https://github.com/NginxProxyManager/nginx-proxy-manager/issues/39

Edited by hot22shot

  • 9 months later...
On 2/9/2022 at 7:40 PM, hot22shot said:

 

Couplé à Authelia par exemple pour faire du MFA (ça marche aussi avec SWAG) ça permet d'exposer l'UI unraid sur internet derrière un sous domaine sans s'inquiéter de se faire hacker.

C'est ce que j'ai fait, et je peux choisir le type d'authentification pour chaque sous domaine : simple par mot de passe pour les containers sans risque et 2FA pour les autres (NPM, unRaid, ...).

On peut aussi différencier les règles entre réseau local et externe.

Le seul point "négatif" c'est qu'il faut se palucher la conf d'Authelia qui n'a pas d'IHM.

Mais l'avantage c'est que la sessions ouverte sur l'authentification Authelia reste valable sur tous mes sous domaine.

 

Wireguard nécessite un client VPN ce qui n'est pas toujours pratique ou possible de faire (pc du boulot 😇 par exemple)

 

Sinon quelques pistes pour faire fonctionner fail2ban avec NPM :

https://github.com/NginxProxyManager/nginx-proxy-manager/issues/39

Aurais-tu un tuto pour la mise en place de authelia ? :)

On 11/16/2022 at 3:26 AM, Cyrilphoenix said:

Aurais-tu un tuto pour la mise en place de authelia ? :)

 

ça fait un moment que je l'ai fait, je ne m'en rappelle plus trop.

Quoiqu'il en soit le site d'Authelia a un tuto pour NPM (et d'autres) : https://www.authelia.com/integration/proxies/nginx-proxy-manager/

 

Mais de mémoire ma conf ressemble plus à ce qu'on peut trouver dans celui là : https://thehomelab.wiki/books/dns-reverse-proxy/page/setup-authelia-to-work-with-nginx-proxy-manager#:~:text=If you are using Nginx,each proxy host you setup.

  • 1 year later...

'jour

 

Déterrage de topic.

J'essaie de rendre moi aussi quelques applis (Kavita...) accessibles via mon nom de domaine, depuis l'extérieur.

J'ai installé Nginx manager en suivant le tuto de superboki, mais apres avoir interrompu...j'ai perdu mon mdp Nginx. Desinstallé, resinstallé, toujours pas acces avec login/mdp de base.

 

De plus le tuto pour installer le NDD est prévu pour une IP dynamique, alors que j'ai une IP fixe.

 

Bref, de l'aide pas a pas serait bienvenue.

 

Jusqu'à présent personne n'a expliqué en détail donc je pense que l'on aura jamais de réponse...

Il a des subtilités mais ça doit etre inné chez certains. :P

  • 7 months later...

Salut,

 

comme vous ne précisez pas ce que vous entendez par "sécurisé" je vais partir du postulat de départ que votre sécurité résidera sur le fait d'accéder à vos services par un réseau privé au mieux ou alors masquer votre adresse ip publique au minimum.

 

Quand on souhaite accéder de l’extérieur à ses services qui tournent sous unRAID il est bien de savoir répondre à une première question qui va vous diriger vers une solution plutôt qu'une autre:
est-ce que vous serez le seul usager à pouvoir accéder à ces services depuis l’extérieur ?

 

Si la réponse est oui

-> alors pour cet usage vous n'avez pas besoin d'avoir un nom de domaine et la solution la plus sécurisée sera de passer par un tunnel vpn et pour cela le plus simple à mettre en place est celui qui est intégré à unRAID: Wireguard. Cela nécessite de paramétrer cela sur unRAID et sur votre box internet/routeur et également d'utiliser un client pour faire la connexion sur vos appareils mobiles

Sur ce sujet j'y viens en fin de post.

 

Si la réponse est non:
-> alors vous ne serez pas le seul usager et dans ce cas faire passer tout vos usagers par un tunnel les forcerait tous à installer une application en plus ce qui peut devenir problématique. Dans ce cas de figure le nom de domaine devient utile et on va chercher à masquer votre ip publique.

Pour passer par un nom de domaine il faut des destinations et ces destinations doivent mener vers l'ip publique de votre connexion internet pour au final attérir sur vos services.

Il faut donc arriver à joindre ses services et masquer l'ip de destination qui est votre ip publique.

Là vous avez au moins 2 possibilités:

- utiliser un service comme ce que propose Cloudflare qui propose de faire "proxy" c'est à dire de recevoir les visiteurs qui doivent arriver chez vous mais s'occupe en interne de les rediriger vers le bon endroit en n'indiquant pas la destination finale à ces visiteurs.
Cela fonctionne mais ne fonctionne pas dans toutes les situations.

- louer un VPS qui va vous servir à faire la même chose que Cloudflare: proxy pour recevoir les visiteurs.
Là la différence est que vous aurez sur ce VPS un proxy http qui va donc servir à rediriger les visiteurs vers la bonne destination: chez vous.

Et ce VPS redirigerait ces visiteurs à travers un tunnel wireguard établi entre lui et votre unRAID.

 

 

-----------------------------------------------------------------------------------------------

 

Voici donc en quelques mots les grandes lignes.

La "sécurité" est plutôt située sur le fait de ne pas exposer sa vraie ip publique sur le net. Cela implique donc qu'il faut donc limiter les ports ouverts ou redirigés.

Cela implique qu'il faut éviter de mettre une machine en DMZ sauf en connaissance de cause.

 

Si vous êtes seul usager et/ou vous ne l'êtes pas mais optez pour l'option de la location de VPS alors votre unraid devra s'occuper d'un réseau virtuel privé sous wireguard pour faire au plus simple.

Si vous êtes seul alors vos appareils mobiles devront avoir un client pour les connecter au réseau wireguard.
Si vous n'êtes pas seul et avec le VPS ce sera le VPS qui sera connecté à votre unRAID dans ce réseau wireguard.

 

-----------------------------------------------------------------------------------------------

 

Tunnel wireguard dans unRAID

 

Dans SETTINGS > VPN Manager

image.thumb.png.fc4be1d42dc3c069a84bed365fe3ec5a.png


1️⃣ Donner un nom parlant pour vous, pour vous rappeler ce que c'est.

 

2️⃣ Cliquez simplement sur le bouton pour générer la paire de clefs.

 

3️⃣ Normalement dans ce champ est indiqué votre ip publique. Si cette ip est fixe alors elle ne change jamais alors vous pouvez la laisser telle quelle.

Si vous avez une IP dynamique alors il vous faudra vous renseigner sur les dyndns car l'ip indiquée ne restera pas la même tout le temps.

 

4️⃣ Le port indiqué notez le dans un coin c'est ce port que vous allez devoir rediriger dans votre box internet dans ce qui s'appelle le NAT.

Il vous faudra vous renseigner sur comment faire selon votre box/routeur. Ce port doit être redirigé vers l''adresse ip locale cette fois de votre unRAID dans votre box/routeur.

 

5️⃣ Cliquez sur "Apply"

 

Allez donc rediriger le port comme indiqué dans votre Box/routeur.
 

Puis activez votre nouveau tunnel:

 

image.png.795e25ae1ae449940b2edd70c81d45cd.png

 

 

 

Génération d'une configuration de votre premier client (peer)

 

Cliquez sur le bouton "Add peer":
image.png.0a8d8b381d55089c20bc7d708cd235f7.png

 

Puis remplissez les champs indispensables:
image.thumb.png.a5eefdb90ad65c78ae0e83814a08feee.png

 

 
1️⃣ Donner un nom parlant pour vous, pour vous rappeler ce que c'est.

 

2️⃣ Cliquez simplement sur le bouton pour générer la paire de clefs.

 

3️⃣ Apply pour appliquer.

 

Quand vous avez votre premier peer, imaginons que c'est votre smartphone, vous allez cliquer sur l'oeil pour voir disponible sa configuration.

Vous aurez le choix entre un qr code ou la configuration telle quelle, à vous de la donner à vos clients.

image.png.20cef6340bda41d23aea1a395c584af3.png

 

-------------------------------------------------------------------------------------------------------------------------

 

Ceci étant dit c'est à vous de vous renseigner pour la suite, vous avez maintenant le vocabulaire avec les mots clefs.

Il y a beaucoup de tutoriels pour ces questions plus ou moins à jour il est vrai donc si vraiment vous bloquez je ne peux que vous encourager à chercher à discuter en direct sur des réseaux de discussion instantannées de type Discord.

Ce sont vos appareils, votre besoin. C'est à vous de vous armer pour les administrer. Ne rendez pas les autres responsables de votre paresse si vous ne voulez pas ne serait-ce que lire.

 

Au plaisir,

 

 

 

Edited by waazaa
Complements

Merci pour ces explications waazaa !

Je comprends mieux la base du truc.

En matière de cout, ces différentes solutions entrainent quel budget en gros ?

Merci par avance encore une fois ;)

 

Si vous voulez mettre en place un proxy HTTP sur un VPS qui sera chargé lui de recevoir les visiteurs et de rediriger les requêtes vers votre unRAID à travers un tunnel il vous faut donc un VPS.

 

Dans cet usage il y aura aussi le ou les noms de domaines.
Si vous choisissez un domaine en .fr alors chez infomaniak vous en trouverez pour 6 ou 7€ par an.

Donc quelque chose comme 0.55€/mois.

 

Il y a pléthores de fournisseurs là dessus, peut-être préférerez vous avoir un VPS dans un certain pays plutôt qu'un autre ou bien vous souhaitez y faire tourner davantage de services dessus et donc des besoins un peu plus gros.

 

Gardez en tête que un VPS est égal à une ip publique le plus souvent.

Donc si vous avez plusieurs domaines avec en imaginant un domaine par profil d'utilisation: privé / professionnel / votre activités underground il faudrait éviter que ces 3 activités vous fassent diriger ces domaines vers le même VPS.

Il faudrait éviter cela car on peut connaître quels sont les domaines qui mènent à une ip identique donc on pourrait faire la relation entre ces différents profils et ce n'est certainement pas souhaitable.

 

Donc la solution VPS qui sera votre ip publique doit être réservée à une activité.

Mais rien ne vous empêche de prendre plusieurs VPS qui auront donc des ips publiques différentes pour chacunes de vos activités, libre à vous.

 

Je ne sais pas faire un topo général et exhaustif des fournisseurs alors je vais plutôt parler d'un fournisseur dont le VPS premier prix suffit pour un usage proxy HTTP et tunnel.

 

Personnellement j'ai opté pour un VPS par activité (privé/pro/autres) j'en ai donc 3 et chacun de ces VPS est connecté à un tunnel VPN, pas wireguard mais ZeroTier dans mon cas pour cet usage.

Chaque VPS recoit les requêtes de domaines particuliers et redirigent ces requêtes vers l'ip locale d'une VM spécifique qui tourne sur mon unRAID.

J'ai donc 3 VPS et 3 VM car 3 activités.

 

Je tourne actuellement sur des VPS premier prix de chez Ionos.

 

image.thumb.png.3423ae6b5690ebf9aed0df4ecdcf2540.png

 

Alors pour cet usage de proxy si le traffic n'est pas trés élevé ça peut le faire mais vous constaterez que c'est une petite configuration.

Pour démarrer ça peut suffire et donc cette solution chez ce fournisseur vous revient à 1.20€ TTC / mois (et 10€ pour l'installation si vous ne vous engagez pas pour 1 an).

 

Un domaine .fr et un VPS reviendraient donc à aux alentours de 1.75€/mois par activité si vous voulez découper en un domaine == une activité.

 

Avec donc le tunnel en place et le service proxy HTTP sur ce genre de VPS on est sur une utilisation de cette sorte avec peu de visiteurs:
image.thumb.png.6a02689d9f996fa3b12ed67ad5fddab6.png

 

Comptez environ 6Go d'espace disque pour l'OS sur le VPS et les services en question.

 

image.png.85de62dbe030d93c5878a13eefe4eb75.png

 

A voir donc si cela est suffisant pour votre propre usage, pour le mien oui pour le moment.

 

 

 

 

 

Edited by waazaa
Complement

Si vous n'optez pas pour la solution avec VPS alors mettre en place un tunnel wireguard avec votre unraid ne vous coûtera rien de plus.

 

Et un domaine .fr pour l'utilisation de services tiers de type de ceux de Cloudflare ne vous coûtera que le prix du ou des domaines:

entre 6 et 7€ par an chaque.

Edited by waazaa

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

Account

Navigation

Search

Search

Configure browser push notifications

Chrome (Android)
  1. Tap the lock icon next to the address bar.
  2. Tap Permissions → Notifications.
  3. Adjust your preference.
Chrome (Desktop)
  1. Click the padlock icon in the address bar.
  2. Select Site settings.
  3. Find Notifications and adjust your preference.