DarkMan83 Posted July 20, 2021 Share Posted July 20, 2021 On 7/19/2021 at 9:21 AM, ich777 said: @sonic6 & @DarkMan83 ihr habt das ausprobiert oder? Ich hebe bei mir gar keine Portfreigaben mehr eingerichtet, läuft alles über CF Argo Tunnel und da muss der gesamte traffic ja darüber gehen... Sonst könnte man ja von extern nix auf plex schauen. Und das dashboard zeigte auch so 20GB nach einem Film an. Gruß Dark Quote Link to comment
anima Posted July 20, 2021 Author Share Posted July 20, 2021 (edited) @mgutt muss mich da mal einlesen @DarkMan83 klingt interessant, wie kann ich mir das vorstellen ? Edit: Habe das Video von Ibracorp gefunden Edited July 21, 2021 by anima Youtube Video Quote Link to comment
DarkMan83 Posted July 23, 2021 Share Posted July 23, 2021 (edited) Hab mich da auch an das Video von Ibracorp gehalten und lasse mein Plex über swag laufen... Cloudflare -> Cloudflared -> Swag -> Plex In Plex Fernzugriff deaktivieren und unter Netzwerk dann die url z.B. https://plex.deinedomain.de:443 eintragen. Im Router alle Portfreigaben deaktivieren, werden nicht mehr benötigt -> Ich lass alle Webanwendungen über den Argo-Tunnel laufen, dementsprechen hab ich kein Port 80 + 443 mehr offen, da alles dann über Cloudflared kommt und dann durch SWAG an den richtigen Docker geht. Zusätzlich ist der Vorteil, dass nun alles erst bei CF durch die Firewall muss. Die Rule bei Cloudflared sieht bei mir z.B. so aus: # forward all traffic to Reverse Proxy w/ SSL ingress: - service: https://192.168.1.25:443 originRequest: originServerName: "*.deinedomain.de" SWAG-Config: Die SSL-Einstellung bei CF sieht bei mir so aus: Ich habe heute einen Stream getestet und das sieht man auch an den verarbeiteten Daten -> 5 GB Wenn du die Weboberfläche deines Plex auch über die Subdomain erreichen möchtest, dann musst du bei Cloudflare noch im Dashboard unter Regeln eine Ausnahme für deine Plex-Subdomain einrichten und den Rocket-Loader deaktivieren. Gruß Dark Edited July 23, 2021 by DarkMan83 1 Quote Link to comment
anima Posted July 26, 2021 Author Share Posted July 26, 2021 (edited) @DarkMan83 Vielen Dank, das werde ich mal versuchen. @Topic : Mein momentaner Stand ist : 1. eine Domain erstanden 2. diese bei Cloudflare registriert 3. NGINX installiert und das über Cloudflare erstellte SSL Zertifikat in NGINX eingetragen. Der nächste Schritt wäre dann den Argo Tunnel zu erstellen. Dazu hätte fallen mir noch ein Paar Fragen ein. Selbst wenn ich jetzt schon den Tunnel erstelle, solange ich in NGINX keine domain verknüpfe läuft da eigentlich nichts oder ? Auch wenn ich nur eine Domain verknüpfe kann nicht auf die anderen Apps zugegriffen werden (das ist ja der Vorteil des Tunnel) ? Edited July 26, 2021 by anima Quote Link to comment
DarkMan83 Posted July 26, 2021 Share Posted July 26, 2021 du brauchst eigentlich kein Zertifikat in CloudFlare erstellen und in nginx registrieren, wenn du swag benutzt, dort werden automatisch Zertifikate erstellt... Aber mach dir du meinst 😁 1 Quote Link to comment
anima Posted July 27, 2021 Author Share Posted July 27, 2021 Danke wieder was gelernt hatte mich an die ibracorp videos gehalten, bei dem Argo Tunnel meinte er man solle die Zertifikate so beibehalten wie in den Videos davor und dann hab ich mich vor gearbeitet NGINX video -> Cloudflare + NGINX Video -> Argo Tunnel Video Quote Link to comment
mgutt Posted July 27, 2021 Share Posted July 27, 2021 9 hours ago, DarkMan83 said: wenn du swag benutzt, dort werden automatisch Zertifikate erstellt... Wie soll das gehen, wenn man nur über einen Tunnel drauf kommt? SWAG kann das Zertifikat dann doch gar nicht verifizieren?! Quote Link to comment
DarkMan83 Posted July 27, 2021 Share Posted July 27, 2021 (edited) 10 hours ago, mgutt said: Wie soll das gehen, wenn man nur über einen Tunnel drauf kommt? SWAG kann das Zertifikat dann doch gar nicht verifizieren?! klar, wird alles geforwarded und als Verifizierung nehme ich ja Verifizierung über DNS und damit geht er über die CloudFlare API und das läuft nicht über den Tunnel kennt swag ja nicht... wenn man auf die Domain kommt, steht da eh das CF Zertifikat, also wayne... aber cloudflared leitet die Domain an swag weiter und damit kann swag sein eigenes Zertifikat für die Domain checken. Bei mir funktioniert es zumindest alles, siehe auch Screenshot für swag config. Nochmal angemerkt: Wenn man in swag Verifizierung über DNS (CF) am hat, dann braucht man keinen offenen Port 80 o.a., da alles per CF API gemacht wird. Edited July 27, 2021 by DarkMan83 Quote Link to comment
DarkMan83 Posted July 27, 2021 Share Posted July 27, 2021 (edited) 11 hours ago, anima said: Danke wieder was gelernt hatte mich an die ibracorp videos gehalten, bei dem Argo Tunnel meinte er man solle die Zertifikate so beibehalten wie in den Videos davor und dann hab ich mich vor gearbeitet NGINX video -> Cloudflare + NGINX Video -> Argo Tunnel Video ich habe in CloudFlare keine extra Zertifikate hinterlegt, nur das generelle aktiviert. Ich sage ja nicht, dass mein Weg der richtige ist, aber es funktioniert alles. Wenn es anders und beste Wege gibt, klärt mich gerne auf, bin für beste Lösungen offen. Edited July 27, 2021 by DarkMan83 Quote Link to comment
mgutt Posted July 27, 2021 Share Posted July 27, 2021 34 minutes ago, DarkMan83 said: als Verifizierung nehme ich ja Verifizierung über DNS Ok, verstehe. Quote Link to comment
sylus Posted July 31, 2021 Share Posted July 31, 2021 (edited) On 7/27/2021 at 9:22 AM, anima said: Danke wieder was gelernt hatte mich an die ibracorp videos gehalten, bei dem Argo Tunnel meinte er man solle die Zertifikate so beibehalten wie in den Videos davor und dann hab ich mich vor gearbeitet NGINX video -> Cloudflare + NGINX Video -> Argo Tunnel Video Läuft es denn bei dir? ich habe lediglich das CF Zertifikat verwendet. Bekommen dann jedoch einen 502 Fehler, so dass offensichtlich etwas mit dem Zertifikat nicht stimmt. Ich habe auch die Config # forward all traffic to Reverse Proxy w/ SSL ingress: - service: https://192.168.1.25:443 originRequest: originServerName: "*.deinedomain.de" soweit angepasst, dass Sie direkt auf die Subdomain verlinkt ist. Leider kein Erfolg. Update: Okay, der Fehler lag daran, dass Cloudflared in einem anderen Docker Netzwerk war. Hat es eigentlich irgendwelche Nachteile, wenn NGINX und Cloudflared im bridge Network sind? Die abschließende Frage ist nun nur noch, wie man mehrere Subdomains verwenden kann? Ich muss ja schließlich in der Config Datei genau auf eine Subdomain verlinken. Der Nutzen des Tunnels wäre ja sehr stark eingeschränkt, wenn man nur eine Subdomain verwenden könnte. Edited July 31, 2021 by sylus Quote Link to comment
DarkMan83 Posted July 31, 2021 Share Posted July 31, 2021 (edited) 4 hours ago, sylus said: Läuft es denn bei dir? ich habe lediglich das CF Zertifikat verwendet. Bekommen dann jedoch einen 502 Fehler, so dass offensichtlich etwas mit dem Zertifikat nicht stimmt. Ich habe auch die Config # forward all traffic to Reverse Proxy w/ SSL ingress: - service: https://192.168.1.25:443 originRequest: originServerName: "*.deinedomain.de" soweit angepasst, dass Sie direkt auf die Subdomain verlinkt ist. Leider kein Erfolg. Update: Okay, der Fehler lag daran, dass Cloudflared in einem anderen Docker Netzwerk war. Hat es eigentlich irgendwelche Nachteile, wenn NGINX und Cloudflared im bridge Network sind? Die abschließende Frage ist nun nur noch, wie man mehrere Subdomains verwenden kann? Ich muss ja schließlich in der Config Datei genau auf eine Subdomain verlinken. Der Nutzen des Tunnels wäre ja sehr stark eingeschränkt, wenn man nur eine Subdomain verwenden könnte. du machst eine Subdomain mit einem CNAME und kannst dann beliebig viele Subdomains per CNAME als Alias erstellen und als Ziel die erste Subdomain benutzen. deshalb ja in Cloudflared *.deinedomain.de und in SWAG wildcard. Also in CF z.B. erste Subdomain: CNAME cloud und Ziel der ARGO Tunnel. Subdomain 2: CNAME plex und Ziel cloud.deinedomain.de P.S. Bitte bedenkt, dass wir SWAG sozusagen als firewall benutzen, da wir hier einen VPN Tunnel aufbauen, geht der traffic vorbei an der Firewall in eurem router und direkt zum server. Glücklicherweise hat CF ja eine Firewall, dort hab ich z.B. diverse Länder geblockt und auch immer den Botfight modus an! Wollte ich nur mal gesagt haben. Gruß Dark Edited July 31, 2021 by DarkMan83 Quote Link to comment
anima Posted July 31, 2021 Author Share Posted July 31, 2021 @sylus Ich bin leider noch nicht dazu gekommen. werde mich nächste Woche da nochmal dran setzen @DarkMan83 Danke für den Hinweis mit der Firewall, daran hatte ich noch nicht gedacht Quote Link to comment
sylus Posted August 1, 2021 Share Posted August 1, 2021 @DarkMan83 Leider hat es mit deiner Config nicht funktioniert. Wenn man in der Config aber einfach auf plex.deinedomain.de verweist, dann gehen auch andere Subdomains wie z.B. emby.deinedomain.de. Der Tunnel muss in CF lediglich auf CName deinedomain.de verweisen. Die anderen Subdomains haben als Ziel dann einfach deinedomain.de In CF habe ich alle Kontinente außer EU geblockt und alle Länder außer Deutschland mit einem Captcha belegt. Den Botfight kannte ich noch nicht, habe ich jetzt aber auch aktiviert. Letzter Schritt ist jetzt eigentlich noch Authelia. Grüße Sylus Quote Link to comment
DarkMan83 Posted August 1, 2021 Share Posted August 1, 2021 1 hour ago, sylus said: @DarkMan83 Leider hat es mit deiner Config nicht funktioniert. Wenn man in der Config aber einfach auf plex.deinedomain.de verweist, dann gehen auch andere Subdomains wie z.B. emby.deinedomain.de. Der Tunnel muss in CF lediglich auf CName deinedomain.de verweisen. Die anderen Subdomains haben als Ziel dann einfach deinedomain.de In CF habe ich alle Kontinente außer EU geblockt und alle Länder außer Deutschland mit einem Captcha belegt. Den Botfight kannte ich noch nicht, habe ich jetzt aber auch aktiviert. Letzter Schritt ist jetzt eigentlich noch Authelia. Grüße Sylus Könnte sein, dass das bei dir nicht funzt, weil du den swag CF Mod nicht installiert hast? und bei mir benutze ich die Hauptdomain nicht, weil ich noch einen normalen Server im rechenzentrum habe. Die Konfiguration hab ich bei mir auf jeden Fall laufen, wichtig ist bei SWAG das Zertifikat als wildcard erstellen zu lassen, dann funktioniert es auch. damit das Zertifikat in SWAG dann für *.deinedomain.de gilt, sonst akzeptiert der die anderen Subdomains nicht. aber wenn deine config für dich so okay ist, ist ja alles gut. Gruß Dark Quote Link to comment
V1P_J0K3R Posted February 2, 2022 Share Posted February 2, 2022 On 7/24/2021 at 12:27 AM, DarkMan83 said: Hab mich da auch an das Video von Ibracorp gehalten und lasse mein Plex über swag laufen... Cloudflare -> Cloudflared -> Swag -> Plex In Plex Fernzugriff deaktivieren und unter Netzwerk dann die url z.B. https://plex.deinedomain.de:443 eintragen. Im Router alle Portfreigaben deaktivieren, werden nicht mehr benötigt -> Ich lass alle Webanwendungen über den Argo-Tunnel laufen, dementsprechen hab ich kein Port 80 + 443 mehr offen, da alles dann über Cloudflared kommt und dann durch SWAG an den richtigen Docker geht. Zusätzlich ist der Vorteil, dass nun alles erst bei CF durch die Firewall muss. Die Rule bei Cloudflared sieht bei mir z.B. so aus: # forward all traffic to Reverse Proxy w/ SSL ingress: - service: https://192.168.1.25:443 originRequest: originServerName: "*.deinedomain.de" SWAG-Config: Die SSL-Einstellung bei CF sieht bei mir so aus: Ich habe heute einen Stream getestet und das sieht man auch an den verarbeiteten Daten -> 5 GB Wenn du die Weboberfläche deines Plex auch über die Subdomain erreichen möchtest, dann musst du bei Cloudflare noch im Dashboard unter Regeln eine Ausnahme für deine Plex-Subdomain einrichten und den Rocket-Loader deaktivieren. Gruß Dark Hallo zusammen, bei mir funktioniert alles durch den ARGO Tunnel nur leider Plex nicht. Also die Subdomain "plex.deinedomain.de" kann ich nicht aufrufen. Alle anderen Docker Container funktionieren ohne Problem. Ich habe wie hier @DarkMan83 geschrieben hat den Rocker-Loader deaktiviert. Kann mir jemand helfen? Vielen Dank Quote Link to comment
mgutt Posted February 2, 2022 Share Posted February 2, 2022 5 hours ago, V1P_J0K3R said: Kann mir jemand helfen? Wie wäre es mit mehr Informationen? Quote Link to comment
DarkMan83 Posted February 4, 2022 Share Posted February 4, 2022 On 2/2/2022 at 4:14 PM, V1P_J0K3R said: Hallo zusammen, bei mir funktioniert alles durch den ARGO Tunnel nur leider Plex nicht. Also die Subdomain "plex.deinedomain.de" kann ich nicht aufrufen. Alle anderen Docker Container funktionieren ohne Problem. Ich habe wie hier @DarkMan83 geschrieben hat den Rocker-Loader deaktiviert. Kann mir jemand helfen? Vielen Dank Ich kann dir da leider nicht helfen, mein Argo-Tunnel wurde gesperrt, da Cloudflare nur HTTP/HTTPS traffic untersützt und man für Videostreaming separat bezahlen soll... Gruß Dark Quote Link to comment
sylus Posted February 4, 2022 Share Posted February 4, 2022 1 hour ago, DarkMan83 said: Ich kann dir da leider nicht helfen, mein Argo-Tunnel wurde gesperrt, da Cloudflare nur HTTP/HTTPS traffic untersützt und man für Videostreaming separat bezahlen soll... Gruß Dark Hattest du denn das Caching an? Wenn das aus ist, sollte es ja eigentlich keine Probleme geben. Gruß Christan Quote Link to comment
DarkMan83 Posted February 5, 2022 Share Posted February 5, 2022 (edited) 13 hours ago, sylus said: Hattest du denn das Caching an? Wenn das aus ist, sollte es ja eigentlich keine Probleme geben. Gruß Christan Ich meine irgendwo gelesen zu haben, dass bei einem ARGO-Tunnel immer gecached wird, unabhängig von der Einstellung in Cloudflare. Frag mich aber nicht wo... Auf jeden Fall bin ich halt gesperrt. Und deshalb nutz ich den ARGO-Tunnel nicht mehr, nur für ne Portfreigabe, da wird nix durch schneller, im Gegenteil... Über den ARGO-Tunnel lief bei mir alles langsamer. Und da ich z.B. Plex sowieso über ne Subdomain und mit "cache off" laufen habe, keine Probleme 🙂 Gruß Dark Edited February 5, 2022 by DarkMan83 Quote Link to comment
V1P_J0K3R Posted February 6, 2022 Share Posted February 6, 2022 On 2/2/2022 at 9:49 PM, mgutt said: Wie wäre es mit mehr Informationen? Ich habe Plex als Docker Container laufen in einem eigenen VLAN für VMs. Aktuell läuft es so ab das beim Cloudflare DNS meine fixe IP hinterlegt ist auf den DNS Eintrag "plex.domain.at" Fas Problem ist aber das ich haufenweise Attacken auf den Port 443 bekomme und meine Unifi Dream Machine zum Glück alles blockt. Durch den Argo Tunnel aktuell laufen alle Einträge bis eben auf die Plex Seite. Meine Config der DNS Einträge anbei: Wenn ich nun aus dem Type A Eintrag ein CName mache und dies ebenfalls auf meine Hauptdomain umstelle mit "@" dann funktioniert das ganze nicht mehr und wenn man auf die Seite will kommt "Die Website kann nicht angezeigt werden" obwohl die Einträge alles Ident sind sowohl bei Cloudflare als auch beim Nginx Proxy Manager. Eventuell reichen diese Infos? Quote Link to comment
sonic6 Posted February 7, 2022 Share Posted February 7, 2022 (edited) On 2/4/2022 at 5:04 PM, sylus said: Hattest du denn das Caching an? Wenn das aus ist, sollte es ja eigentlich keine Probleme geben. Ich verstehe die Diskussion um CF-Tunne (Argo) nicht. Es ist doch ganz klar im Zusammenhang mit Plex nicht erlaubt. Wie es auch in einigen Guides ergänz und von @mgutt schon erklärt wurde: @DarkMan83 warum behältst du denn bis zum letzten Post für dich, dass dein Account wegen der Plex Geschichte gesperrt wurde? Willst du das die auch gesperrt werden? 😜 *edit* sorry war noch zu früh für mich. habe jetzt erst gesehen, dass der Thread schon alt ist Man liest zu Hauf bei reddit darüber. Also: Finger weg von der Lösung mit Plex über den CF-Tunnel. Auch für andere Dienste, über die "größere Daten" gehen, kann ich über CF-Tunnel nicht empfehlen. Nextcloud geht, solange man es im Browser oder die Apps nutzt, sobald aber WebDAV dazu kommt, sind die Pakete größer als 100MB. Das Problem: https://www.cloudflare.com/de-de/plans/# @ Edited February 7, 2022 by sonic6 Quote Link to comment
V1P_J0K3R Posted February 27, 2022 Share Posted February 27, 2022 On 2/7/2022 at 6:33 AM, sonic6 said: Ich verstehe die Diskussion um CF-Tunne (Argo) nicht. Es ist doch ganz klar im Zusammenhang mit Plex nicht erlaubt. Wie es auch in einigen Guides ergänz und von @mgutt schon erklärt wurde: @DarkMan83 warum behältst du denn bis zum letzten Post für dich, dass dein Account wegen der Plex Geschichte gesperrt wurde? Willst du das die auch gesperrt werden? 😜 *edit* sorry war noch zu früh für mich. habe jetzt erst gesehen, dass der Thread schon alt ist Man liest zu Hauf bei reddit darüber. Also: Finger weg von der Lösung mit Plex über den CF-Tunnel. Auch für andere Dienste, über die "größere Daten" gehen, kann ich über CF-Tunnel nicht empfehlen. Nextcloud geht, solange man es im Browser oder die Apps nutzt, sobald aber WebDAV dazu kommt, sind die Pakete größer als 100MB. Das Problem: https://www.cloudflare.com/de-de/plans/# @ Gibt es dafür sonst keine andere Lösungen außer die Portweiterleitung? Habe aktuell NPM inkl. Port Forwarding 80 und 443 drin. Leider sehe ich aber an der Unifi Dream Machine das hier maßig Threats erscheinen die alles Mögliche versuchen. Es wird zwar alles geblockt aber soll ich die Meldungen einfach ignorieren? Quote Link to comment
mgutt Posted February 28, 2022 Share Posted February 28, 2022 9 hours ago, V1P_J0K3R said: maßig Threats Sobald du irgendwas über das Internet erreichbar machst, wird es attackiert. Nur weil du einen Proxy von einem Drittanbieter davor schaltest und der diese Angriffe bei sich abwehrt, bleiben es trotzdem Angriffe. Das ist eher eine Frage wem du mehr vertraust. Der Vorteil bei einem Drittanbieter wie Cloudflare ist, dass die Angriffsarten weltweit auswerten können. Sagen wir mal es gäbe eine Zeroday-Lücke wie Heartbleed damals. Dann könnte Cloudflare die Angriffsart nach kurzer Zeit weltweit abfangen, in dem bestimmte Paketfolgen herausgefiltert werden. Deine lokale Firewall ist in der Regel nicht so flexibel. Allerdings frage ich mich schon länger wie Cloudflare DSGVO-konform sein kann. IP-Adressen von einem US Unternehmen verarbeiten zu lassen, kann meiner Ansicht nach gar nicht konform sein. Siehe auch ein recht frisches Urteil dazu: https://www.taylorwessing.com/de/insights-and-events/insights/2021/12/vg-wiesbaden-prohibits-use-of-content-delivery-networks Ich denke bald kommt da die Abmahnkeule. Für unsere Heimserver ist es jedenfalls wie gehabt. VPN ist das sicherste, wenn man es denn sicher konfiguriert hat (also nicht stumpf alle externen Netze und deren Clients ins eigene Netz lässt). Mir ist das allerdings eine zu große Hürde, also lasse ich alles bis zu meinem Plex Container durch. Wird der gehackt, muss ich damit leben, dass der Angreifer versuchen könnte in dem Container Dinge zu installieren und meine lokalen Clients versucht anzugreifen. Wobei ich genau da noch überlege, wie ich Plex den lokalen Zugriff einfach verbiete (ins Internet muss Plex ja wegen der Indexierung der Filme). Quote Link to comment
V1P_J0K3R Posted March 7, 2022 Share Posted March 7, 2022 On 2/28/2022 at 8:46 AM, mgutt said: Sobald du irgendwas über das Internet erreichbar machst, wird es attackiert. Nur weil du einen Proxy von einem Drittanbieter davor schaltest und der diese Angriffe bei sich abwehrt, bleiben es trotzdem Angriffe. Das ist eher eine Frage wem du mehr vertraust. Der Vorteil bei einem Drittanbieter wie Cloudflare ist, dass die Angriffsarten weltweit auswerten können. Sagen wir mal es gäbe eine Zeroday-Lücke wie Heartbleed damals. Dann könnte Cloudflare die Angriffsart nach kurzer Zeit weltweit abfangen, in dem bestimmte Paketfolgen herausgefiltert werden. Deine lokale Firewall ist in der Regel nicht so flexibel. Allerdings frage ich mich schon länger wie Cloudflare DSGVO-konform sein kann. IP-Adressen von einem US Unternehmen verarbeiten zu lassen, kann meiner Ansicht nach gar nicht konform sein. Siehe auch ein recht frisches Urteil dazu: https://www.taylorwessing.com/de/insights-and-events/insights/2021/12/vg-wiesbaden-prohibits-use-of-content-delivery-networks Ich denke bald kommt da die Abmahnkeule. Für unsere Heimserver ist es jedenfalls wie gehabt. VPN ist das sicherste, wenn man es denn sicher konfiguriert hat (also nicht stumpf alle externen Netze und deren Clients ins eigene Netz lässt). Mir ist das allerdings eine zu große Hürde, also lasse ich alles bis zu meinem Plex Container durch. Wird der gehackt, muss ich damit leben, dass der Angreifer versuchen könnte in dem Container Dinge zu installieren und meine lokalen Clients versucht anzugreifen. Wobei ich genau da noch überlege, wie ich Plex den lokalen Zugriff einfach verbiete (ins Internet muss Plex ja wegen der Indexierung der Filme). Danke für die Ausführung. Muss mich auch mal informieren wie ich das VM Netz so gut wie möglich von meinem internen LAN abkapsle. Hatte dies einmal vor ca. 2 Jahren angefangen und glaub ich nicht ganz hinbekommen. Muss mal schauen ob es bei der Dream Machine mittlerweile einfacher geht. Quote Link to comment
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.