Unraid-Server für Portfreigabe absichern, als Newbie möglich oder lieber gleich lassen ?


Recommended Posts

On 7/19/2021 at 9:21 AM, ich777 said:

@sonic6 & @DarkMan83 ihr habt das ausprobiert oder?

Ich hebe bei mir gar keine Portfreigaben mehr eingerichtet,  läuft alles über CF Argo Tunnel und da muss der gesamte traffic ja darüber gehen... Sonst könnte man ja von extern nix auf plex schauen. Und das dashboard zeigte auch so 20GB nach einem Film an.

 

Gruß

Dark

Link to comment

Hab mich da auch an das Video von Ibracorp gehalten und lasse mein Plex über swag laufen...

Cloudflare -> Cloudflared -> Swag -> Plex

In Plex Fernzugriff deaktivieren und unter Netzwerk dann die url z.B. https://plex.deinedomain.de:443 eintragen.

Im Router alle Portfreigaben deaktivieren, werden nicht mehr benötigt -> Ich lass alle Webanwendungen über den Argo-Tunnel laufen, dementsprechen hab ich kein Port 80 + 443 mehr offen, da alles dann über Cloudflared kommt und dann durch SWAG an den richtigen Docker geht.

Zusätzlich ist der Vorteil, dass nun alles erst bei CF durch die Firewall muss.

 

Die Rule bei Cloudflared sieht bei mir z.B. so aus:

# forward all traffic to Reverse Proxy w/ SSL
ingress:
  - service: https://192.168.1.25:443
    originRequest:
      originServerName: "*.deinedomain.de"

 

SWAG-Config:

swag-config.thumb.PNG.8ac907611280dbe226fc4cf01870f0e9.PNG

 

Die SSL-Einstellung bei CF sieht bei mir so aus:

CF-SSL-Einstellung.thumb.PNG.a0b06955c87ef8b0806c4ab58ecd9da1.PNG

Ich habe heute einen Stream getestet und das sieht man auch an den verarbeiteten Daten -> 5 GB

CF-Uebersicht.thumb.PNG.6ecf38c1f78fd35a459f8af43b424d6f.PNG

 

Wenn du die Weboberfläche deines Plex auch über die Subdomain erreichen möchtest, dann musst du bei Cloudflare noch im Dashboard unter Regeln eine Ausnahme für deine Plex-Subdomain einrichten und den Rocket-Loader deaktivieren.

 

Gruß

Dark

Edited by DarkMan83
  • Thanks 1
Link to comment
Posted (edited)

@DarkMan83

Vielen Dank, das werde ich mal versuchen.

 

@Topic :

 

Mein momentaner Stand ist : 1. eine Domain erstanden 2. diese bei Cloudflare registriert 3. NGINX installiert und das über Cloudflare erstellte SSL Zertifikat in NGINX eingetragen.

Der nächste Schritt wäre dann den Argo Tunnel zu erstellen.

 

Dazu hätte fallen mir noch ein Paar Fragen ein. Selbst wenn ich jetzt schon den Tunnel erstelle, solange ich in NGINX keine domain verknüpfe läuft da eigentlich nichts oder ? Auch wenn ich nur eine Domain verknüpfe kann nicht auf die anderen Apps zugegriffen werden (das ist ja der Vorteil des Tunnel) ?

Edited by anima
Link to comment

Danke wieder was gelernt :D hatte mich an die ibracorp videos gehalten, bei dem Argo Tunnel meinte er man solle die Zertifikate so beibehalten wie in den Videos davor und dann hab ich mich vor gearbeitet NGINX video -> Cloudflare + NGINX Video -> Argo Tunnel Video :D

Link to comment
9 hours ago, DarkMan83 said:

wenn du swag benutzt, dort werden automatisch Zertifikate erstellt...

Wie soll das gehen, wenn man nur über einen Tunnel drauf kommt? SWAG kann das Zertifikat dann doch gar nicht verifizieren?!

Link to comment
10 hours ago, mgutt said:

Wie soll das gehen, wenn man nur über einen Tunnel drauf kommt? SWAG kann das Zertifikat dann doch gar nicht verifizieren?!

klar, wird alles geforwarded und als Verifizierung nehme ich ja Verifizierung über DNS und damit geht er über die CloudFlare API und das läuft nicht über den Tunnel kennt swag ja nicht...

 

wenn man auf die Domain kommt, steht da eh das CF Zertifikat, also wayne...

aber cloudflared leitet die Domain an swag weiter und damit kann swag sein eigenes Zertifikat für die Domain checken.

 

Bei mir funktioniert es zumindest alles, siehe auch Screenshot für swag config.

Nochmal angemerkt: Wenn man in swag Verifizierung über DNS (CF) am hat, dann braucht man keinen offenen Port 80 o.a., da alles per CF API gemacht wird.

Edited by DarkMan83
Link to comment
11 hours ago, anima said:

Danke wieder was gelernt :D hatte mich an die ibracorp videos gehalten, bei dem Argo Tunnel meinte er man solle die Zertifikate so beibehalten wie in den Videos davor und dann hab ich mich vor gearbeitet NGINX video -> Cloudflare + NGINX Video -> Argo Tunnel Video :D

ich habe in CloudFlare keine extra Zertifikate hinterlegt, nur das generelle aktiviert.

Ich sage ja nicht, dass mein Weg der richtige ist, aber es funktioniert alles.

Wenn es anders und beste Wege gibt, klärt mich gerne auf, bin für beste Lösungen offen.

Edited by DarkMan83
Link to comment
On 7/27/2021 at 9:22 AM, anima said:

Danke wieder was gelernt :D hatte mich an die ibracorp videos gehalten, bei dem Argo Tunnel meinte er man solle die Zertifikate so beibehalten wie in den Videos davor und dann hab ich mich vor gearbeitet NGINX video -> Cloudflare + NGINX Video -> Argo Tunnel Video :D

 

Läuft es denn bei dir?

 

ich habe lediglich das CF Zertifikat verwendet. Bekommen dann jedoch einen 502 Fehler, so dass offensichtlich etwas mit dem Zertifikat nicht stimmt.

 

Ich habe auch die Config 

 

# forward all traffic to Reverse Proxy w/ SSL ingress: - service: https://192.168.1.25:443 originRequest: originServerName: "*.deinedomain.de"

 

soweit angepasst, dass Sie direkt auf die Subdomain verlinkt ist. Leider kein Erfolg.

 

Update: Okay, der Fehler lag daran, dass Cloudflared in einem anderen Docker Netzwerk war.

 

Hat es eigentlich irgendwelche Nachteile, wenn NGINX und Cloudflared im bridge Network sind?

 

Die abschließende Frage ist nun nur noch, wie man mehrere Subdomains verwenden kann? Ich muss ja schließlich in der Config Datei genau auf eine Subdomain verlinken. Der Nutzen des Tunnels wäre ja sehr stark eingeschränkt, wenn man nur eine Subdomain verwenden könnte.

 

 

Edited by sylus
Link to comment
4 hours ago, sylus said:

 

Läuft es denn bei dir?

 

ich habe lediglich das CF Zertifikat verwendet. Bekommen dann jedoch einen 502 Fehler, so dass offensichtlich etwas mit dem Zertifikat nicht stimmt.

 

Ich habe auch die Config 

 

# forward all traffic to Reverse Proxy w/ SSL ingress: - service: https://192.168.1.25:443 originRequest: originServerName: "*.deinedomain.de"

 

soweit angepasst, dass Sie direkt auf die Subdomain verlinkt ist. Leider kein Erfolg.

 

Update: Okay, der Fehler lag daran, dass Cloudflared in einem anderen Docker Netzwerk war.

 

Hat es eigentlich irgendwelche Nachteile, wenn NGINX und Cloudflared im bridge Network sind?

 

Die abschließende Frage ist nun nur noch, wie man mehrere Subdomains verwenden kann? Ich muss ja schließlich in der Config Datei genau auf eine Subdomain verlinken. Der Nutzen des Tunnels wäre ja sehr stark eingeschränkt, wenn man nur eine Subdomain verwenden könnte.

 

 

du machst eine Subdomain mit einem CNAME und kannst dann beliebig viele Subdomains per CNAME als Alias erstellen und als Ziel die erste Subdomain benutzen.

deshalb ja in Cloudflared *.deinedomain.de und in SWAG wildcard.

 

Also in CF z.B. erste Subdomain: CNAME cloud und Ziel der ARGO Tunnel.

Subdomain 2: CNAME plex und Ziel cloud.deinedomain.de

 

P.S. Bitte bedenkt, dass wir SWAG sozusagen als firewall benutzen, da wir hier einen VPN Tunnel aufbauen, geht der traffic vorbei an der Firewall in eurem router und direkt zum server.

 

Glücklicherweise hat CF ja eine Firewall, dort hab ich z.B. diverse Länder geblockt und auch immer den Botfight modus an! Wollte ich nur mal gesagt haben.

Screenshot_20210731-201548_Chrome.thumb.jpg.83512626bc33d3aa94f8e461e1075405.jpg

 

Gruß

 

Dark

 

Edited by DarkMan83
Link to comment

@DarkMan83 

Leider hat es mit deiner Config nicht funktioniert.

 

Wenn man in der Config aber einfach auf plex.deinedomain.de verweist, dann gehen auch andere Subdomains wie z.B. emby.deinedomain.de.

 

Der Tunnel muss in CF lediglich auf CName deinedomain.de verweisen. Die anderen Subdomains haben als Ziel dann einfach deinedomain.de

 

In CF habe ich alle Kontinente außer EU geblockt und alle Länder außer Deutschland mit einem Captcha belegt. Den Botfight kannte ich noch nicht, habe ich jetzt aber auch aktiviert.

 

Letzter Schritt ist jetzt eigentlich noch Authelia. 

 

Grüße

Sylus

 

Link to comment
1 hour ago, sylus said:

@DarkMan83 

Leider hat es mit deiner Config nicht funktioniert.

 

Wenn man in der Config aber einfach auf plex.deinedomain.de verweist, dann gehen auch andere Subdomains wie z.B. emby.deinedomain.de.

 

Der Tunnel muss in CF lediglich auf CName deinedomain.de verweisen. Die anderen Subdomains haben als Ziel dann einfach deinedomain.de

 

In CF habe ich alle Kontinente außer EU geblockt und alle Länder außer Deutschland mit einem Captcha belegt. Den Botfight kannte ich noch nicht, habe ich jetzt aber auch aktiviert.

 

Letzter Schritt ist jetzt eigentlich noch Authelia. 

 

Grüße

Sylus

 

Könnte sein, dass das bei dir nicht funzt, weil du den swag CF Mod nicht installiert hast?

und bei mir benutze ich die Hauptdomain nicht, weil ich noch einen normalen Server im rechenzentrum habe.

 

Die Konfiguration hab ich bei mir auf jeden Fall laufen, wichtig ist bei SWAG das Zertifikat als wildcard erstellen zu lassen, dann funktioniert es auch.

damit das Zertifikat in SWAG dann für *.deinedomain.de gilt, sonst akzeptiert der die anderen Subdomains nicht.

 

aber wenn deine config für dich so okay ist, ist ja alles gut.

 

Gruß

 

Dark

Link to comment

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.