Unraid-Server für Portfreigabe absichern, als Newbie möglich oder lieber gleich lassen ?


anima

Recommended Posts

On 7/19/2021 at 9:21 AM, ich777 said:

@sonic6 & @DarkMan83 ihr habt das ausprobiert oder?

Ich hebe bei mir gar keine Portfreigaben mehr eingerichtet,  läuft alles über CF Argo Tunnel und da muss der gesamte traffic ja darüber gehen... Sonst könnte man ja von extern nix auf plex schauen. Und das dashboard zeigte auch so 20GB nach einem Film an.

 

Gruß

Dark

Link to comment

Hab mich da auch an das Video von Ibracorp gehalten und lasse mein Plex über swag laufen...

Cloudflare -> Cloudflared -> Swag -> Plex

In Plex Fernzugriff deaktivieren und unter Netzwerk dann die url z.B. https://plex.deinedomain.de:443 eintragen.

Im Router alle Portfreigaben deaktivieren, werden nicht mehr benötigt -> Ich lass alle Webanwendungen über den Argo-Tunnel laufen, dementsprechen hab ich kein Port 80 + 443 mehr offen, da alles dann über Cloudflared kommt und dann durch SWAG an den richtigen Docker geht.

Zusätzlich ist der Vorteil, dass nun alles erst bei CF durch die Firewall muss.

 

Die Rule bei Cloudflared sieht bei mir z.B. so aus:

# forward all traffic to Reverse Proxy w/ SSL
ingress:
  - service: https://192.168.1.25:443
    originRequest:
      originServerName: "*.deinedomain.de"

 

SWAG-Config:

swag-config.thumb.PNG.8ac907611280dbe226fc4cf01870f0e9.PNG

 

Die SSL-Einstellung bei CF sieht bei mir so aus:

CF-SSL-Einstellung.thumb.PNG.a0b06955c87ef8b0806c4ab58ecd9da1.PNG

Ich habe heute einen Stream getestet und das sieht man auch an den verarbeiteten Daten -> 5 GB

CF-Uebersicht.thumb.PNG.6ecf38c1f78fd35a459f8af43b424d6f.PNG

 

Wenn du die Weboberfläche deines Plex auch über die Subdomain erreichen möchtest, dann musst du bei Cloudflare noch im Dashboard unter Regeln eine Ausnahme für deine Plex-Subdomain einrichten und den Rocket-Loader deaktivieren.

 

Gruß

Dark

Edited by DarkMan83
  • Thanks 1
Link to comment

@DarkMan83

Vielen Dank, das werde ich mal versuchen.

 

@Topic :

 

Mein momentaner Stand ist : 1. eine Domain erstanden 2. diese bei Cloudflare registriert 3. NGINX installiert und das über Cloudflare erstellte SSL Zertifikat in NGINX eingetragen.

Der nächste Schritt wäre dann den Argo Tunnel zu erstellen.

 

Dazu hätte fallen mir noch ein Paar Fragen ein. Selbst wenn ich jetzt schon den Tunnel erstelle, solange ich in NGINX keine domain verknüpfe läuft da eigentlich nichts oder ? Auch wenn ich nur eine Domain verknüpfe kann nicht auf die anderen Apps zugegriffen werden (das ist ja der Vorteil des Tunnel) ?

Edited by anima
Link to comment

Danke wieder was gelernt :D hatte mich an die ibracorp videos gehalten, bei dem Argo Tunnel meinte er man solle die Zertifikate so beibehalten wie in den Videos davor und dann hab ich mich vor gearbeitet NGINX video -> Cloudflare + NGINX Video -> Argo Tunnel Video :D

Link to comment
10 hours ago, mgutt said:

Wie soll das gehen, wenn man nur über einen Tunnel drauf kommt? SWAG kann das Zertifikat dann doch gar nicht verifizieren?!

klar, wird alles geforwarded und als Verifizierung nehme ich ja Verifizierung über DNS und damit geht er über die CloudFlare API und das läuft nicht über den Tunnel kennt swag ja nicht...

 

wenn man auf die Domain kommt, steht da eh das CF Zertifikat, also wayne...

aber cloudflared leitet die Domain an swag weiter und damit kann swag sein eigenes Zertifikat für die Domain checken.

 

Bei mir funktioniert es zumindest alles, siehe auch Screenshot für swag config.

Nochmal angemerkt: Wenn man in swag Verifizierung über DNS (CF) am hat, dann braucht man keinen offenen Port 80 o.a., da alles per CF API gemacht wird.

Edited by DarkMan83
Link to comment
11 hours ago, anima said:

Danke wieder was gelernt :D hatte mich an die ibracorp videos gehalten, bei dem Argo Tunnel meinte er man solle die Zertifikate so beibehalten wie in den Videos davor und dann hab ich mich vor gearbeitet NGINX video -> Cloudflare + NGINX Video -> Argo Tunnel Video :D

ich habe in CloudFlare keine extra Zertifikate hinterlegt, nur das generelle aktiviert.

Ich sage ja nicht, dass mein Weg der richtige ist, aber es funktioniert alles.

Wenn es anders und beste Wege gibt, klärt mich gerne auf, bin für beste Lösungen offen.

Edited by DarkMan83
Link to comment
On 7/27/2021 at 9:22 AM, anima said:

Danke wieder was gelernt :D hatte mich an die ibracorp videos gehalten, bei dem Argo Tunnel meinte er man solle die Zertifikate so beibehalten wie in den Videos davor und dann hab ich mich vor gearbeitet NGINX video -> Cloudflare + NGINX Video -> Argo Tunnel Video :D

 

Läuft es denn bei dir?

 

ich habe lediglich das CF Zertifikat verwendet. Bekommen dann jedoch einen 502 Fehler, so dass offensichtlich etwas mit dem Zertifikat nicht stimmt.

 

Ich habe auch die Config 

 

# forward all traffic to Reverse Proxy w/ SSL ingress: - service: https://192.168.1.25:443 originRequest: originServerName: "*.deinedomain.de"

 

soweit angepasst, dass Sie direkt auf die Subdomain verlinkt ist. Leider kein Erfolg.

 

Update: Okay, der Fehler lag daran, dass Cloudflared in einem anderen Docker Netzwerk war.

 

Hat es eigentlich irgendwelche Nachteile, wenn NGINX und Cloudflared im bridge Network sind?

 

Die abschließende Frage ist nun nur noch, wie man mehrere Subdomains verwenden kann? Ich muss ja schließlich in der Config Datei genau auf eine Subdomain verlinken. Der Nutzen des Tunnels wäre ja sehr stark eingeschränkt, wenn man nur eine Subdomain verwenden könnte.

 

 

Edited by sylus
Link to comment
4 hours ago, sylus said:

 

Läuft es denn bei dir?

 

ich habe lediglich das CF Zertifikat verwendet. Bekommen dann jedoch einen 502 Fehler, so dass offensichtlich etwas mit dem Zertifikat nicht stimmt.

 

Ich habe auch die Config 

 

# forward all traffic to Reverse Proxy w/ SSL ingress: - service: https://192.168.1.25:443 originRequest: originServerName: "*.deinedomain.de"

 

soweit angepasst, dass Sie direkt auf die Subdomain verlinkt ist. Leider kein Erfolg.

 

Update: Okay, der Fehler lag daran, dass Cloudflared in einem anderen Docker Netzwerk war.

 

Hat es eigentlich irgendwelche Nachteile, wenn NGINX und Cloudflared im bridge Network sind?

 

Die abschließende Frage ist nun nur noch, wie man mehrere Subdomains verwenden kann? Ich muss ja schließlich in der Config Datei genau auf eine Subdomain verlinken. Der Nutzen des Tunnels wäre ja sehr stark eingeschränkt, wenn man nur eine Subdomain verwenden könnte.

 

 

du machst eine Subdomain mit einem CNAME und kannst dann beliebig viele Subdomains per CNAME als Alias erstellen und als Ziel die erste Subdomain benutzen.

deshalb ja in Cloudflared *.deinedomain.de und in SWAG wildcard.

 

Also in CF z.B. erste Subdomain: CNAME cloud und Ziel der ARGO Tunnel.

Subdomain 2: CNAME plex und Ziel cloud.deinedomain.de

 

P.S. Bitte bedenkt, dass wir SWAG sozusagen als firewall benutzen, da wir hier einen VPN Tunnel aufbauen, geht der traffic vorbei an der Firewall in eurem router und direkt zum server.

 

Glücklicherweise hat CF ja eine Firewall, dort hab ich z.B. diverse Länder geblockt und auch immer den Botfight modus an! Wollte ich nur mal gesagt haben.

Screenshot_20210731-201548_Chrome.thumb.jpg.83512626bc33d3aa94f8e461e1075405.jpg

 

Gruß

 

Dark

 

Edited by DarkMan83
Link to comment

@DarkMan83 

Leider hat es mit deiner Config nicht funktioniert.

 

Wenn man in der Config aber einfach auf plex.deinedomain.de verweist, dann gehen auch andere Subdomains wie z.B. emby.deinedomain.de.

 

Der Tunnel muss in CF lediglich auf CName deinedomain.de verweisen. Die anderen Subdomains haben als Ziel dann einfach deinedomain.de

 

In CF habe ich alle Kontinente außer EU geblockt und alle Länder außer Deutschland mit einem Captcha belegt. Den Botfight kannte ich noch nicht, habe ich jetzt aber auch aktiviert.

 

Letzter Schritt ist jetzt eigentlich noch Authelia. 

 

Grüße

Sylus

 

Link to comment
1 hour ago, sylus said:

@DarkMan83 

Leider hat es mit deiner Config nicht funktioniert.

 

Wenn man in der Config aber einfach auf plex.deinedomain.de verweist, dann gehen auch andere Subdomains wie z.B. emby.deinedomain.de.

 

Der Tunnel muss in CF lediglich auf CName deinedomain.de verweisen. Die anderen Subdomains haben als Ziel dann einfach deinedomain.de

 

In CF habe ich alle Kontinente außer EU geblockt und alle Länder außer Deutschland mit einem Captcha belegt. Den Botfight kannte ich noch nicht, habe ich jetzt aber auch aktiviert.

 

Letzter Schritt ist jetzt eigentlich noch Authelia. 

 

Grüße

Sylus

 

Könnte sein, dass das bei dir nicht funzt, weil du den swag CF Mod nicht installiert hast?

und bei mir benutze ich die Hauptdomain nicht, weil ich noch einen normalen Server im rechenzentrum habe.

 

Die Konfiguration hab ich bei mir auf jeden Fall laufen, wichtig ist bei SWAG das Zertifikat als wildcard erstellen zu lassen, dann funktioniert es auch.

damit das Zertifikat in SWAG dann für *.deinedomain.de gilt, sonst akzeptiert der die anderen Subdomains nicht.

 

aber wenn deine config für dich so okay ist, ist ja alles gut.

 

Gruß

 

Dark

Link to comment
  • 6 months later...
On 7/24/2021 at 12:27 AM, DarkMan83 said:

Hab mich da auch an das Video von Ibracorp gehalten und lasse mein Plex über swag laufen...

Cloudflare -> Cloudflared -> Swag -> Plex

In Plex Fernzugriff deaktivieren und unter Netzwerk dann die url z.B. https://plex.deinedomain.de:443 eintragen.

Im Router alle Portfreigaben deaktivieren, werden nicht mehr benötigt -> Ich lass alle Webanwendungen über den Argo-Tunnel laufen, dementsprechen hab ich kein Port 80 + 443 mehr offen, da alles dann über Cloudflared kommt und dann durch SWAG an den richtigen Docker geht.

Zusätzlich ist der Vorteil, dass nun alles erst bei CF durch die Firewall muss.

 

Die Rule bei Cloudflared sieht bei mir z.B. so aus:

# forward all traffic to Reverse Proxy w/ SSL
ingress:
  - service: https://192.168.1.25:443
    originRequest:
      originServerName: "*.deinedomain.de"

 

SWAG-Config:

swag-config.thumb.PNG.8ac907611280dbe226fc4cf01870f0e9.PNG

 

Die SSL-Einstellung bei CF sieht bei mir so aus:

CF-SSL-Einstellung.thumb.PNG.a0b06955c87ef8b0806c4ab58ecd9da1.PNG

Ich habe heute einen Stream getestet und das sieht man auch an den verarbeiteten Daten -> 5 GB

CF-Uebersicht.thumb.PNG.6ecf38c1f78fd35a459f8af43b424d6f.PNG

 

Wenn du die Weboberfläche deines Plex auch über die Subdomain erreichen möchtest, dann musst du bei Cloudflare noch im Dashboard unter Regeln eine Ausnahme für deine Plex-Subdomain einrichten und den Rocket-Loader deaktivieren.

 

Gruß

Dark

 

Hallo zusammen,

 

bei mir funktioniert alles durch den ARGO Tunnel nur leider Plex nicht. Also die Subdomain "plex.deinedomain.de" kann ich nicht aufrufen.
Alle anderen Docker Container funktionieren ohne Problem.

Ich habe wie hier @DarkMan83 geschrieben hat den Rocker-Loader deaktiviert.


Kann mir jemand helfen?

Vielen Dank

Link to comment
On 2/2/2022 at 4:14 PM, V1P_J0K3R said:

 

Hallo zusammen,

 

bei mir funktioniert alles durch den ARGO Tunnel nur leider Plex nicht. Also die Subdomain "plex.deinedomain.de" kann ich nicht aufrufen.
Alle anderen Docker Container funktionieren ohne Problem.

Ich habe wie hier @DarkMan83 geschrieben hat den Rocker-Loader deaktiviert.


Kann mir jemand helfen?

Vielen Dank

Ich kann dir da leider nicht helfen, mein Argo-Tunnel wurde gesperrt, da Cloudflare nur HTTP/HTTPS traffic untersützt und man für Videostreaming separat bezahlen soll...

 

Gruß

Dark

Link to comment
1 hour ago, DarkMan83 said:

Ich kann dir da leider nicht helfen, mein Argo-Tunnel wurde gesperrt, da Cloudflare nur HTTP/HTTPS traffic untersützt und man für Videostreaming separat bezahlen soll...

 

Gruß

Dark

Hattest du denn das Caching an? Wenn das aus ist, sollte es ja eigentlich keine Probleme geben.

Gruß Christan

Link to comment
13 hours ago, sylus said:

Hattest du denn das Caching an? Wenn das aus ist, sollte es ja eigentlich keine Probleme geben.

Gruß Christan

Ich meine irgendwo gelesen zu haben, dass bei einem ARGO-Tunnel immer gecached wird, unabhängig von der Einstellung in Cloudflare.

Frag mich aber nicht wo...

Auf jeden Fall bin ich halt gesperrt.

 

Und deshalb nutz ich den ARGO-Tunnel nicht mehr, nur für ne Portfreigabe, da wird nix durch schneller, im Gegenteil... Über den ARGO-Tunnel lief bei mir alles langsamer.

Und da ich z.B. Plex sowieso über ne Subdomain und mit "cache off" laufen habe, keine Probleme 🙂

 

Gruß

Dark

Edited by DarkMan83
Link to comment
On 2/2/2022 at 9:49 PM, mgutt said:

Wie wäre es mit mehr Informationen?

 

Ich habe Plex als Docker Container laufen in einem eigenen VLAN für VMs.

Aktuell läuft es so ab das beim Cloudflare DNS meine fixe IP hinterlegt ist auf den DNS Eintrag "plex.domain.at"
Fas Problem ist aber das ich haufenweise Attacken auf den Port 443 bekomme und meine Unifi Dream Machine zum Glück alles blockt.
Durch den Argo Tunnel aktuell laufen alle Einträge bis eben auf die Plex Seite.

 

Meine Config der DNS Einträge anbei:

 

 image.png.ae511035b1e374efb1d7b994b494bc43.png

 

Wenn ich nun aus dem Type A Eintrag ein CName mache und dies ebenfalls auf meine Hauptdomain umstelle mit "@" dann funktioniert das ganze nicht mehr und wenn man auf die Seite will kommt "Die Website kann nicht angezeigt werden" obwohl die Einträge alles Ident sind sowohl bei Cloudflare als auch beim Nginx Proxy Manager.

 

Eventuell reichen diese Infos?

Link to comment
On 2/4/2022 at 5:04 PM, sylus said:

Hattest du denn das Caching an? Wenn das aus ist, sollte es ja eigentlich keine Probleme geben.

Ich verstehe die Diskussion um CF-Tunne (Argo) nicht. Es ist doch ganz klar im Zusammenhang mit Plex nicht erlaubt.

 

Wie es auch in einigen Guides ergänz und von @mgutt schon erklärt wurde: 

@DarkMan83 warum behältst du denn bis zum letzten Post für dich, dass dein Account wegen der Plex Geschichte gesperrt wurde? :D 

Willst du das die auch gesperrt werden? 😜

*edit* sorry war noch zu früh für mich. habe jetzt erst gesehen, dass der Thread schon alt ist xD

 

Man liest zu Hauf bei reddit darüber.

Also: Finger weg von der Lösung mit Plex über den CF-Tunnel.

 

Auch für andere Dienste, über die "größere Daten" gehen, kann ich über CF-Tunnel nicht empfehlen. Nextcloud geht, solange man es im Browser oder die Apps nutzt, sobald aber WebDAV dazu kommt, sind die Pakete größer als 100MB.

Das Problem: https://www.cloudflare.com/de-de/plans/#

image.thumb.png.d529802dc0c7dacb0c048f328cadce38.png

 

@

Edited by sonic6
Link to comment
  • 3 weeks later...
On 2/7/2022 at 6:33 AM, sonic6 said:

Ich verstehe die Diskussion um CF-Tunne (Argo) nicht. Es ist doch ganz klar im Zusammenhang mit Plex nicht erlaubt.

 

Wie es auch in einigen Guides ergänz und von @mgutt schon erklärt wurde: 

@DarkMan83 warum behältst du denn bis zum letzten Post für dich, dass dein Account wegen der Plex Geschichte gesperrt wurde? :D 

Willst du das die auch gesperrt werden? 😜

*edit* sorry war noch zu früh für mich. habe jetzt erst gesehen, dass der Thread schon alt ist xD

 

Man liest zu Hauf bei reddit darüber.

Also: Finger weg von der Lösung mit Plex über den CF-Tunnel.

 

Auch für andere Dienste, über die "größere Daten" gehen, kann ich über CF-Tunnel nicht empfehlen. Nextcloud geht, solange man es im Browser oder die Apps nutzt, sobald aber WebDAV dazu kommt, sind die Pakete größer als 100MB.

Das Problem: https://www.cloudflare.com/de-de/plans/#

image.thumb.png.d529802dc0c7dacb0c048f328cadce38.png

 

@

 

Gibt es dafür sonst keine andere Lösungen außer die Portweiterleitung?

Habe aktuell NPM inkl. Port Forwarding 80 und 443 drin. Leider sehe ich aber an der Unifi Dream Machine das hier maßig Threats erscheinen die alles Mögliche versuchen.

Es wird zwar alles geblockt aber soll ich die Meldungen einfach ignorieren?

Link to comment
9 hours ago, V1P_J0K3R said:

maßig Threats

Sobald du irgendwas über das Internet erreichbar machst, wird es attackiert. Nur weil du einen Proxy von einem Drittanbieter davor schaltest und der diese Angriffe bei sich abwehrt, bleiben es trotzdem Angriffe.

 

Das ist eher eine Frage wem du mehr vertraust.

 

Der Vorteil bei einem Drittanbieter wie Cloudflare ist, dass die Angriffsarten weltweit auswerten können. Sagen wir mal es gäbe eine Zeroday-Lücke wie Heartbleed damals. Dann könnte Cloudflare die Angriffsart nach kurzer Zeit weltweit abfangen, in dem bestimmte Paketfolgen herausgefiltert werden. Deine lokale Firewall ist in der Regel nicht so flexibel.

 

Allerdings frage ich mich schon länger wie Cloudflare DSGVO-konform sein kann. IP-Adressen von einem US Unternehmen verarbeiten zu lassen, kann meiner Ansicht nach gar nicht konform sein. Siehe auch ein recht frisches Urteil dazu:

https://www.taylorwessing.com/de/insights-and-events/insights/2021/12/vg-wiesbaden-prohibits-use-of-content-delivery-networks

 

Ich denke bald kommt da die Abmahnkeule.

 

Für unsere Heimserver ist es jedenfalls wie gehabt. VPN ist das sicherste, wenn man es denn sicher konfiguriert hat (also nicht stumpf alle externen Netze und deren Clients ins eigene Netz lässt).

 

Mir ist das allerdings eine zu große Hürde, also lasse ich alles bis zu meinem Plex Container durch. Wird der gehackt, muss ich damit leben, dass der Angreifer versuchen könnte in dem Container Dinge zu installieren und meine lokalen Clients versucht anzugreifen. Wobei ich genau da noch überlege, wie ich Plex den lokalen Zugriff einfach verbiete (ins Internet muss Plex ja wegen der Indexierung der Filme).

Link to comment
On 2/28/2022 at 8:46 AM, mgutt said:

Sobald du irgendwas über das Internet erreichbar machst, wird es attackiert. Nur weil du einen Proxy von einem Drittanbieter davor schaltest und der diese Angriffe bei sich abwehrt, bleiben es trotzdem Angriffe.

 

Das ist eher eine Frage wem du mehr vertraust.

 

Der Vorteil bei einem Drittanbieter wie Cloudflare ist, dass die Angriffsarten weltweit auswerten können. Sagen wir mal es gäbe eine Zeroday-Lücke wie Heartbleed damals. Dann könnte Cloudflare die Angriffsart nach kurzer Zeit weltweit abfangen, in dem bestimmte Paketfolgen herausgefiltert werden. Deine lokale Firewall ist in der Regel nicht so flexibel.

 

Allerdings frage ich mich schon länger wie Cloudflare DSGVO-konform sein kann. IP-Adressen von einem US Unternehmen verarbeiten zu lassen, kann meiner Ansicht nach gar nicht konform sein. Siehe auch ein recht frisches Urteil dazu:

https://www.taylorwessing.com/de/insights-and-events/insights/2021/12/vg-wiesbaden-prohibits-use-of-content-delivery-networks

 

Ich denke bald kommt da die Abmahnkeule.

 

Für unsere Heimserver ist es jedenfalls wie gehabt. VPN ist das sicherste, wenn man es denn sicher konfiguriert hat (also nicht stumpf alle externen Netze und deren Clients ins eigene Netz lässt).

 

Mir ist das allerdings eine zu große Hürde, also lasse ich alles bis zu meinem Plex Container durch. Wird der gehackt, muss ich damit leben, dass der Angreifer versuchen könnte in dem Container Dinge zu installieren und meine lokalen Clients versucht anzugreifen. Wobei ich genau da noch überlege, wie ich Plex den lokalen Zugriff einfach verbiete (ins Internet muss Plex ja wegen der Indexierung der Filme).

 

Danke für die Ausführung. Muss mich auch mal informieren wie ich das VM Netz so gut wie möglich von meinem internen LAN abkapsle. Hatte dies einmal vor ca. 2 Jahren angefangen und glaub ich nicht ganz hinbekommen. Muss mal schauen ob es bei der Dream Machine mittlerweile einfacher geht.

Link to comment

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.