July 20, 20214 yr On 7/19/2021 at 9:21 AM, ich777 said: @sonic6 & @DarkMan83 ihr habt das ausprobiert oder? Ich hebe bei mir gar keine Portfreigaben mehr eingerichtet, läuft alles über CF Argo Tunnel und da muss der gesamte traffic ja darüber gehen... Sonst könnte man ja von extern nix auf plex schauen. Und das dashboard zeigte auch so 20GB nach einem Film an. Gruß Dark
July 20, 20214 yr Author @mgutt muss mich da mal einlesen @DarkMan83 klingt interessant, wie kann ich mir das vorstellen ? Edit: Habe das Video von Ibracorp gefunden Edited July 21, 20214 yr by anima Youtube Video
July 23, 20214 yr Hab mich da auch an das Video von Ibracorp gehalten und lasse mein Plex über swag laufen... Cloudflare -> Cloudflared -> Swag -> Plex In Plex Fernzugriff deaktivieren und unter Netzwerk dann die url z.B. https://plex.deinedomain.de:443 eintragen. Im Router alle Portfreigaben deaktivieren, werden nicht mehr benötigt -> Ich lass alle Webanwendungen über den Argo-Tunnel laufen, dementsprechen hab ich kein Port 80 + 443 mehr offen, da alles dann über Cloudflared kommt und dann durch SWAG an den richtigen Docker geht. Zusätzlich ist der Vorteil, dass nun alles erst bei CF durch die Firewall muss. Die Rule bei Cloudflared sieht bei mir z.B. so aus: # forward all traffic to Reverse Proxy w/ SSL ingress: - service: https://192.168.1.25:443 originRequest: originServerName: "*.deinedomain.de" SWAG-Config: Die SSL-Einstellung bei CF sieht bei mir so aus: Ich habe heute einen Stream getestet und das sieht man auch an den verarbeiteten Daten -> 5 GB Wenn du die Weboberfläche deines Plex auch über die Subdomain erreichen möchtest, dann musst du bei Cloudflare noch im Dashboard unter Regeln eine Ausnahme für deine Plex-Subdomain einrichten und den Rocket-Loader deaktivieren. Gruß Dark Edited July 23, 20214 yr by DarkMan83
July 26, 20214 yr Author @DarkMan83 Vielen Dank, das werde ich mal versuchen. @Topic : Mein momentaner Stand ist : 1. eine Domain erstanden 2. diese bei Cloudflare registriert 3. NGINX installiert und das über Cloudflare erstellte SSL Zertifikat in NGINX eingetragen. Der nächste Schritt wäre dann den Argo Tunnel zu erstellen. Dazu hätte fallen mir noch ein Paar Fragen ein. Selbst wenn ich jetzt schon den Tunnel erstelle, solange ich in NGINX keine domain verknüpfe läuft da eigentlich nichts oder ? Auch wenn ich nur eine Domain verknüpfe kann nicht auf die anderen Apps zugegriffen werden (das ist ja der Vorteil des Tunnel) ? Edited July 26, 20214 yr by anima
July 26, 20214 yr du brauchst eigentlich kein Zertifikat in CloudFlare erstellen und in nginx registrieren, wenn du swag benutzt, dort werden automatisch Zertifikate erstellt... Aber mach dir du meinst 😁
July 27, 20214 yr Author Danke wieder was gelernt hatte mich an die ibracorp videos gehalten, bei dem Argo Tunnel meinte er man solle die Zertifikate so beibehalten wie in den Videos davor und dann hab ich mich vor gearbeitet NGINX video -> Cloudflare + NGINX Video -> Argo Tunnel Video
July 27, 20214 yr Community Expert 9 hours ago, DarkMan83 said: wenn du swag benutzt, dort werden automatisch Zertifikate erstellt... Wie soll das gehen, wenn man nur über einen Tunnel drauf kommt? SWAG kann das Zertifikat dann doch gar nicht verifizieren?!
July 27, 20214 yr 10 hours ago, mgutt said: Wie soll das gehen, wenn man nur über einen Tunnel drauf kommt? SWAG kann das Zertifikat dann doch gar nicht verifizieren?! klar, wird alles geforwarded und als Verifizierung nehme ich ja Verifizierung über DNS und damit geht er über die CloudFlare API und das läuft nicht über den Tunnel kennt swag ja nicht... wenn man auf die Domain kommt, steht da eh das CF Zertifikat, also wayne... aber cloudflared leitet die Domain an swag weiter und damit kann swag sein eigenes Zertifikat für die Domain checken. Bei mir funktioniert es zumindest alles, siehe auch Screenshot für swag config. Nochmal angemerkt: Wenn man in swag Verifizierung über DNS (CF) am hat, dann braucht man keinen offenen Port 80 o.a., da alles per CF API gemacht wird. Edited July 27, 20214 yr by DarkMan83
July 27, 20214 yr 11 hours ago, anima said: Danke wieder was gelernt hatte mich an die ibracorp videos gehalten, bei dem Argo Tunnel meinte er man solle die Zertifikate so beibehalten wie in den Videos davor und dann hab ich mich vor gearbeitet NGINX video -> Cloudflare + NGINX Video -> Argo Tunnel Video ich habe in CloudFlare keine extra Zertifikate hinterlegt, nur das generelle aktiviert. Ich sage ja nicht, dass mein Weg der richtige ist, aber es funktioniert alles. Wenn es anders und beste Wege gibt, klärt mich gerne auf, bin für beste Lösungen offen. Edited July 27, 20214 yr by DarkMan83
July 27, 20214 yr Community Expert 34 minutes ago, DarkMan83 said: als Verifizierung nehme ich ja Verifizierung über DNS Ok, verstehe.
July 31, 20214 yr On 7/27/2021 at 9:22 AM, anima said: Danke wieder was gelernt hatte mich an die ibracorp videos gehalten, bei dem Argo Tunnel meinte er man solle die Zertifikate so beibehalten wie in den Videos davor und dann hab ich mich vor gearbeitet NGINX video -> Cloudflare + NGINX Video -> Argo Tunnel Video Läuft es denn bei dir? ich habe lediglich das CF Zertifikat verwendet. Bekommen dann jedoch einen 502 Fehler, so dass offensichtlich etwas mit dem Zertifikat nicht stimmt. Ich habe auch die Config # forward all traffic to Reverse Proxy w/ SSL ingress: - service: https://192.168.1.25:443 originRequest: originServerName: "*.deinedomain.de" soweit angepasst, dass Sie direkt auf die Subdomain verlinkt ist. Leider kein Erfolg. Update: Okay, der Fehler lag daran, dass Cloudflared in einem anderen Docker Netzwerk war. Hat es eigentlich irgendwelche Nachteile, wenn NGINX und Cloudflared im bridge Network sind? Die abschließende Frage ist nun nur noch, wie man mehrere Subdomains verwenden kann? Ich muss ja schließlich in der Config Datei genau auf eine Subdomain verlinken. Der Nutzen des Tunnels wäre ja sehr stark eingeschränkt, wenn man nur eine Subdomain verwenden könnte. Edited July 31, 20214 yr by sylus
July 31, 20214 yr 4 hours ago, sylus said: Läuft es denn bei dir? ich habe lediglich das CF Zertifikat verwendet. Bekommen dann jedoch einen 502 Fehler, so dass offensichtlich etwas mit dem Zertifikat nicht stimmt. Ich habe auch die Config # forward all traffic to Reverse Proxy w/ SSL ingress: - service: https://192.168.1.25:443 originRequest: originServerName: "*.deinedomain.de" soweit angepasst, dass Sie direkt auf die Subdomain verlinkt ist. Leider kein Erfolg. Update: Okay, der Fehler lag daran, dass Cloudflared in einem anderen Docker Netzwerk war. Hat es eigentlich irgendwelche Nachteile, wenn NGINX und Cloudflared im bridge Network sind? Die abschließende Frage ist nun nur noch, wie man mehrere Subdomains verwenden kann? Ich muss ja schließlich in der Config Datei genau auf eine Subdomain verlinken. Der Nutzen des Tunnels wäre ja sehr stark eingeschränkt, wenn man nur eine Subdomain verwenden könnte. du machst eine Subdomain mit einem CNAME und kannst dann beliebig viele Subdomains per CNAME als Alias erstellen und als Ziel die erste Subdomain benutzen. deshalb ja in Cloudflared *.deinedomain.de und in SWAG wildcard. Also in CF z.B. erste Subdomain: CNAME cloud und Ziel der ARGO Tunnel. Subdomain 2: CNAME plex und Ziel cloud.deinedomain.de P.S. Bitte bedenkt, dass wir SWAG sozusagen als firewall benutzen, da wir hier einen VPN Tunnel aufbauen, geht der traffic vorbei an der Firewall in eurem router und direkt zum server. Glücklicherweise hat CF ja eine Firewall, dort hab ich z.B. diverse Länder geblockt und auch immer den Botfight modus an! Wollte ich nur mal gesagt haben. Gruß Dark Edited July 31, 20214 yr by DarkMan83
July 31, 20214 yr Author @sylus Ich bin leider noch nicht dazu gekommen. werde mich nächste Woche da nochmal dran setzen @DarkMan83 Danke für den Hinweis mit der Firewall, daran hatte ich noch nicht gedacht
August 1, 20214 yr @DarkMan83 Leider hat es mit deiner Config nicht funktioniert. Wenn man in der Config aber einfach auf plex.deinedomain.de verweist, dann gehen auch andere Subdomains wie z.B. emby.deinedomain.de. Der Tunnel muss in CF lediglich auf CName deinedomain.de verweisen. Die anderen Subdomains haben als Ziel dann einfach deinedomain.de In CF habe ich alle Kontinente außer EU geblockt und alle Länder außer Deutschland mit einem Captcha belegt. Den Botfight kannte ich noch nicht, habe ich jetzt aber auch aktiviert. Letzter Schritt ist jetzt eigentlich noch Authelia. Grüße Sylus
August 1, 20214 yr 1 hour ago, sylus said: @DarkMan83 Leider hat es mit deiner Config nicht funktioniert. Wenn man in der Config aber einfach auf plex.deinedomain.de verweist, dann gehen auch andere Subdomains wie z.B. emby.deinedomain.de. Der Tunnel muss in CF lediglich auf CName deinedomain.de verweisen. Die anderen Subdomains haben als Ziel dann einfach deinedomain.de In CF habe ich alle Kontinente außer EU geblockt und alle Länder außer Deutschland mit einem Captcha belegt. Den Botfight kannte ich noch nicht, habe ich jetzt aber auch aktiviert. Letzter Schritt ist jetzt eigentlich noch Authelia. Grüße Sylus Könnte sein, dass das bei dir nicht funzt, weil du den swag CF Mod nicht installiert hast? und bei mir benutze ich die Hauptdomain nicht, weil ich noch einen normalen Server im rechenzentrum habe. Die Konfiguration hab ich bei mir auf jeden Fall laufen, wichtig ist bei SWAG das Zertifikat als wildcard erstellen zu lassen, dann funktioniert es auch. damit das Zertifikat in SWAG dann für *.deinedomain.de gilt, sonst akzeptiert der die anderen Subdomains nicht. aber wenn deine config für dich so okay ist, ist ja alles gut. Gruß Dark
February 2, 20224 yr On 7/24/2021 at 12:27 AM, DarkMan83 said: Hab mich da auch an das Video von Ibracorp gehalten und lasse mein Plex über swag laufen... Cloudflare -> Cloudflared -> Swag -> Plex In Plex Fernzugriff deaktivieren und unter Netzwerk dann die url z.B. https://plex.deinedomain.de:443 eintragen. Im Router alle Portfreigaben deaktivieren, werden nicht mehr benötigt -> Ich lass alle Webanwendungen über den Argo-Tunnel laufen, dementsprechen hab ich kein Port 80 + 443 mehr offen, da alles dann über Cloudflared kommt und dann durch SWAG an den richtigen Docker geht. Zusätzlich ist der Vorteil, dass nun alles erst bei CF durch die Firewall muss. Die Rule bei Cloudflared sieht bei mir z.B. so aus: # forward all traffic to Reverse Proxy w/ SSL ingress: - service: https://192.168.1.25:443 originRequest: originServerName: "*.deinedomain.de" SWAG-Config: Die SSL-Einstellung bei CF sieht bei mir so aus: Ich habe heute einen Stream getestet und das sieht man auch an den verarbeiteten Daten -> 5 GB Wenn du die Weboberfläche deines Plex auch über die Subdomain erreichen möchtest, dann musst du bei Cloudflare noch im Dashboard unter Regeln eine Ausnahme für deine Plex-Subdomain einrichten und den Rocket-Loader deaktivieren. Gruß Dark Hallo zusammen, bei mir funktioniert alles durch den ARGO Tunnel nur leider Plex nicht. Also die Subdomain "plex.deinedomain.de" kann ich nicht aufrufen. Alle anderen Docker Container funktionieren ohne Problem. Ich habe wie hier @DarkMan83 geschrieben hat den Rocker-Loader deaktiviert. Kann mir jemand helfen? Vielen Dank
February 2, 20224 yr Community Expert 5 hours ago, V1P_J0K3R said: Kann mir jemand helfen? Wie wäre es mit mehr Informationen?
February 4, 20224 yr On 2/2/2022 at 4:14 PM, V1P_J0K3R said: Hallo zusammen, bei mir funktioniert alles durch den ARGO Tunnel nur leider Plex nicht. Also die Subdomain "plex.deinedomain.de" kann ich nicht aufrufen. Alle anderen Docker Container funktionieren ohne Problem. Ich habe wie hier @DarkMan83 geschrieben hat den Rocker-Loader deaktiviert. Kann mir jemand helfen? Vielen Dank Ich kann dir da leider nicht helfen, mein Argo-Tunnel wurde gesperrt, da Cloudflare nur HTTP/HTTPS traffic untersützt und man für Videostreaming separat bezahlen soll... Gruß Dark
February 4, 20224 yr 1 hour ago, DarkMan83 said: Ich kann dir da leider nicht helfen, mein Argo-Tunnel wurde gesperrt, da Cloudflare nur HTTP/HTTPS traffic untersützt und man für Videostreaming separat bezahlen soll... Gruß Dark Hattest du denn das Caching an? Wenn das aus ist, sollte es ja eigentlich keine Probleme geben. Gruß Christan
February 5, 20224 yr 13 hours ago, sylus said: Hattest du denn das Caching an? Wenn das aus ist, sollte es ja eigentlich keine Probleme geben. Gruß Christan Ich meine irgendwo gelesen zu haben, dass bei einem ARGO-Tunnel immer gecached wird, unabhängig von der Einstellung in Cloudflare. Frag mich aber nicht wo... Auf jeden Fall bin ich halt gesperrt. Und deshalb nutz ich den ARGO-Tunnel nicht mehr, nur für ne Portfreigabe, da wird nix durch schneller, im Gegenteil... Über den ARGO-Tunnel lief bei mir alles langsamer. Und da ich z.B. Plex sowieso über ne Subdomain und mit "cache off" laufen habe, keine Probleme 🙂 Gruß Dark Edited February 5, 20224 yr by DarkMan83
February 6, 20224 yr On 2/2/2022 at 9:49 PM, mgutt said: Wie wäre es mit mehr Informationen? Ich habe Plex als Docker Container laufen in einem eigenen VLAN für VMs. Aktuell läuft es so ab das beim Cloudflare DNS meine fixe IP hinterlegt ist auf den DNS Eintrag "plex.domain.at" Fas Problem ist aber das ich haufenweise Attacken auf den Port 443 bekomme und meine Unifi Dream Machine zum Glück alles blockt. Durch den Argo Tunnel aktuell laufen alle Einträge bis eben auf die Plex Seite. Meine Config der DNS Einträge anbei: Wenn ich nun aus dem Type A Eintrag ein CName mache und dies ebenfalls auf meine Hauptdomain umstelle mit "@" dann funktioniert das ganze nicht mehr und wenn man auf die Seite will kommt "Die Website kann nicht angezeigt werden" obwohl die Einträge alles Ident sind sowohl bei Cloudflare als auch beim Nginx Proxy Manager. Eventuell reichen diese Infos?
February 7, 20224 yr On 2/4/2022 at 5:04 PM, sylus said: Hattest du denn das Caching an? Wenn das aus ist, sollte es ja eigentlich keine Probleme geben. Ich verstehe die Diskussion um CF-Tunne (Argo) nicht. Es ist doch ganz klar im Zusammenhang mit Plex nicht erlaubt. Wie es auch in einigen Guides ergänz und von @mgutt schon erklärt wurde: @DarkMan83 warum behältst du denn bis zum letzten Post für dich, dass dein Account wegen der Plex Geschichte gesperrt wurde? Willst du das die auch gesperrt werden? 😜 *edit* sorry war noch zu früh für mich. habe jetzt erst gesehen, dass der Thread schon alt ist Man liest zu Hauf bei reddit darüber. Also: Finger weg von der Lösung mit Plex über den CF-Tunnel. Auch für andere Dienste, über die "größere Daten" gehen, kann ich über CF-Tunnel nicht empfehlen. Nextcloud geht, solange man es im Browser oder die Apps nutzt, sobald aber WebDAV dazu kommt, sind die Pakete größer als 100MB. Das Problem: https://www.cloudflare.com/de-de/plans/# @ Edited February 7, 20224 yr by sonic6
February 27, 20224 yr On 2/7/2022 at 6:33 AM, sonic6 said: Ich verstehe die Diskussion um CF-Tunne (Argo) nicht. Es ist doch ganz klar im Zusammenhang mit Plex nicht erlaubt. Wie es auch in einigen Guides ergänz und von @mgutt schon erklärt wurde: @DarkMan83 warum behältst du denn bis zum letzten Post für dich, dass dein Account wegen der Plex Geschichte gesperrt wurde? Willst du das die auch gesperrt werden? 😜 *edit* sorry war noch zu früh für mich. habe jetzt erst gesehen, dass der Thread schon alt ist Man liest zu Hauf bei reddit darüber. Also: Finger weg von der Lösung mit Plex über den CF-Tunnel. Auch für andere Dienste, über die "größere Daten" gehen, kann ich über CF-Tunnel nicht empfehlen. Nextcloud geht, solange man es im Browser oder die Apps nutzt, sobald aber WebDAV dazu kommt, sind die Pakete größer als 100MB. Das Problem: https://www.cloudflare.com/de-de/plans/# @ Gibt es dafür sonst keine andere Lösungen außer die Portweiterleitung? Habe aktuell NPM inkl. Port Forwarding 80 und 443 drin. Leider sehe ich aber an der Unifi Dream Machine das hier maßig Threats erscheinen die alles Mögliche versuchen. Es wird zwar alles geblockt aber soll ich die Meldungen einfach ignorieren?
February 28, 20224 yr Community Expert 9 hours ago, V1P_J0K3R said: maßig Threats Sobald du irgendwas über das Internet erreichbar machst, wird es attackiert. Nur weil du einen Proxy von einem Drittanbieter davor schaltest und der diese Angriffe bei sich abwehrt, bleiben es trotzdem Angriffe. Das ist eher eine Frage wem du mehr vertraust. Der Vorteil bei einem Drittanbieter wie Cloudflare ist, dass die Angriffsarten weltweit auswerten können. Sagen wir mal es gäbe eine Zeroday-Lücke wie Heartbleed damals. Dann könnte Cloudflare die Angriffsart nach kurzer Zeit weltweit abfangen, in dem bestimmte Paketfolgen herausgefiltert werden. Deine lokale Firewall ist in der Regel nicht so flexibel. Allerdings frage ich mich schon länger wie Cloudflare DSGVO-konform sein kann. IP-Adressen von einem US Unternehmen verarbeiten zu lassen, kann meiner Ansicht nach gar nicht konform sein. Siehe auch ein recht frisches Urteil dazu: https://www.taylorwessing.com/de/insights-and-events/insights/2021/12/vg-wiesbaden-prohibits-use-of-content-delivery-networks Ich denke bald kommt da die Abmahnkeule. Für unsere Heimserver ist es jedenfalls wie gehabt. VPN ist das sicherste, wenn man es denn sicher konfiguriert hat (also nicht stumpf alle externen Netze und deren Clients ins eigene Netz lässt). Mir ist das allerdings eine zu große Hürde, also lasse ich alles bis zu meinem Plex Container durch. Wird der gehackt, muss ich damit leben, dass der Angreifer versuchen könnte in dem Container Dinge zu installieren und meine lokalen Clients versucht anzugreifen. Wobei ich genau da noch überlege, wie ich Plex den lokalen Zugriff einfach verbiete (ins Internet muss Plex ja wegen der Indexierung der Filme).
March 7, 20224 yr On 2/28/2022 at 8:46 AM, mgutt said: Sobald du irgendwas über das Internet erreichbar machst, wird es attackiert. Nur weil du einen Proxy von einem Drittanbieter davor schaltest und der diese Angriffe bei sich abwehrt, bleiben es trotzdem Angriffe. Das ist eher eine Frage wem du mehr vertraust. Der Vorteil bei einem Drittanbieter wie Cloudflare ist, dass die Angriffsarten weltweit auswerten können. Sagen wir mal es gäbe eine Zeroday-Lücke wie Heartbleed damals. Dann könnte Cloudflare die Angriffsart nach kurzer Zeit weltweit abfangen, in dem bestimmte Paketfolgen herausgefiltert werden. Deine lokale Firewall ist in der Regel nicht so flexibel. Allerdings frage ich mich schon länger wie Cloudflare DSGVO-konform sein kann. IP-Adressen von einem US Unternehmen verarbeiten zu lassen, kann meiner Ansicht nach gar nicht konform sein. Siehe auch ein recht frisches Urteil dazu: https://www.taylorwessing.com/de/insights-and-events/insights/2021/12/vg-wiesbaden-prohibits-use-of-content-delivery-networks Ich denke bald kommt da die Abmahnkeule. Für unsere Heimserver ist es jedenfalls wie gehabt. VPN ist das sicherste, wenn man es denn sicher konfiguriert hat (also nicht stumpf alle externen Netze und deren Clients ins eigene Netz lässt). Mir ist das allerdings eine zu große Hürde, also lasse ich alles bis zu meinem Plex Container durch. Wird der gehackt, muss ich damit leben, dass der Angreifer versuchen könnte in dem Container Dinge zu installieren und meine lokalen Clients versucht anzugreifen. Wobei ich genau da noch überlege, wie ich Plex den lokalen Zugriff einfach verbiete (ins Internet muss Plex ja wegen der Indexierung der Filme). Danke für die Ausführung. Muss mich auch mal informieren wie ich das VM Netz so gut wie möglich von meinem internen LAN abkapsle. Hatte dies einmal vor ca. 2 Jahren angefangen und glaub ich nicht ganz hinbekommen. Muss mal schauen ob es bei der Dream Machine mittlerweile einfacher geht.
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.