"Keine Macht den offenen Ports" - Cloudflare mit Origin-Zertifikat

    Ich habe jetzt mal auf Hinweis von Mike0185 einen neuen Thread eröffnet und meine Zeilen hinein kopiert. Hoffe, dass das so passt.

    Protogonos Mir gefällt der Ansatz "keine macht den offenen Ports" :) und ich habe mich in einer von überdurchschnittlicher Wärme geprägten Nacht, ohne Hoffnung auf eine längere Tiefschlafphase mal dem Thema Cloudflare genähert. Begleitet von den übermüdeten Blicken meines Hundes, der auch keinen wirklichen Schlaf finden konnte.

    Zurück zum Thema: Ich habe dazu also einen Cloudflare Account eingerichtet, eine Domain gekauft, einen Tunnel eingerichtet, den Cloudflared-Container im NAS eingerichtet, bei Cloudflare eine Anwendung mit entsprechenden Richtlinien eingerichtet, viel gelesen und das Meiste auch verstanden und kann jetzt von extern auf meine Test-NAS zugreifen, ohne offenen Port.

    Vorgeschaltet ist eine E-Mail-Authentifizierung die mir einen Code liefert, damit ich zur Anmeldeseite des NAS komme. Auch eine App die testweise in diesem NAS (Docker) läuft ist von extern erreichbar. Soweit so gut. Der Tunnel läuft fehlerfrei.

    Ein Punkt ist mir noch nicht ganz klar. Um bis zum NAS durchzukommen musste ich die Funktion 'keine TLS Prüfung' aktivieren. Du schreibst etwas weiter oben, dass das Origin-Zertifikat eingerichtet werden sollte, damit Cloudflare zwar die Pakete (also den Einkaufkorb) sieht, jedoch nicht was im Korb ist.

    Gehe ich recht in der Annahme, dass mit der Aktivierung der erwähnten Funktion (Keine TLS Prüfung) nicht das Origin-Zertifikat eingerichtet wird, sondern, dass das Origin-Zertifikat separat - wie zum Beispiel hier - eingerichtet werden sollte?

    Falls meine Frage. zu weit geht und Du Dich nicht weiter mit diesem Thema in diesem Forum beschäftigen willst, einfach sagen. Das wäre kein Problem ... will Dir auf keinen Fall Zeit stehlen ...

    Da Du das ja grad alles frich eingerichtet hast, vielleicht kannst ja Du ein kleines Tutorial zusammen schreiben zb. mit den wichtigsten links ect.

    Bin mir Sicher daß da einige im Forum daran interessiert sind.

    Meine Hardware

    iDX6011 Pro in Späh ^^

    DXP4800+ 2x8TB WDRedPl Btrfs Raid1 2x 2TB Lexar NM790 Raid1, 64GB RAM Kingst. KVR48S40BD8-32 DDR5/4800MH

    DXP2800 1x 12TB Seag. 1x 12TB WDRedPl, Raid1 Btrfs 16GB RAM Cruc. CT16G56C46S5.C8B2, 2x NVME Samsg,

    DS1525+ 2x8TB WD, Btrfs SHR, 2x 2TB NVME Lexar NM790 Raid1. 40GB ECC RAM_Speicher.de

    DS920+ DSM 7.3.2 Btrfs Raid1 2x8TB WD, 2x2TB Samsg. 970 EVOPlus, RAM 20GB DDR4-2666MHZ Speicher.de

    USV US3000, EatonEllip.PRO 850DIN, Switch Zyxel GS1200-8 1GB, Zyxel XMG-108 8 x 2,5GB

    @GreenEbu ach hier hast du das Neue eröffnet, schau mal ich hab dir geantwortet und dich markiert da findest du wieder, ich weiß nur nicht mehr wo das war, wie gesagt meine Antworten kommen immer ein bisschen später da ich im Moment viel eingebunden bin

    DXP480T Plus, 2x32 GB Crucial DDR5 5600MHz, 4x4 Lexar® NM790 M.2 2280 PCIe Gen 4x4 TB NVMe

    Quote from eineb

    vielleicht kannst ja Du ein kleines Tutorial zusammen schreiben

    Guter Gedanke ... möchte mich aber vorher noch etwas mehr in das Thema einlesen/einarbeiten bevor ich andere zur Nutzung dieses Services animiere.

    Quote from GreenEbu

    möchte mich aber vorher noch etwas mehr in das Thema einlesen/einarbeiten

    Ja ich kann jedem nur empfehlen das Dashboard von Cloudflare (Zero Trust) viele Funktionen sind für den Privat Nutzer kostenlos, es ist auch alles gut erklärt wenn auch etwas anders strukturiert, aber definitiv einen Blick wert. Cloudflare nennt "Origin" -ja "Ursprungsserver" manchmal ist die eindeutschung etwas hakelig aber was weiß ich schon als Ausländer ^^ Ja deutsche Sprache wirklich kompliziert, vor allen Dingen wer hat euch verdammt so viele Artikel geschenkt! :/:D

    DXP480T Plus, 2x32 GB Crucial DDR5 5600MHz, 4x4 Lexar® NM790 M.2 2280 PCIe Gen 4x4 TB NVMe

    Guten Morgen zusammen,

    ich würde mich wirklich sehr freuen, wenn jemand eine Anleitung macht, um Container extern sicher(!) erreichbar zu machen. Ich bin definitiv Laie was Internetsicherheit angeht und muss da einfach viel lesen / lernen. Das Thema von euch interessiert mich sehr und ich bleibe mal dran :)

    LG und n guten Start in den Tag

    brinkus

    Nach längerer Zeit der offenen Ports habe ich mich von Protogonos inspirieren lassen, es mit Cloudflare einzurichten. Obwohl, ich hatte keinerlei Probleme mit offenen Ports und Anmeldeversuche von fremden Menschen kamen selten vor und haben mich nicht beunruhigt.

    Testweise lief ein CF-Tunnel auf dem Ugreen NAS und seit kurzem nun auch auf der produktiven Synology.

    Das hat erstaunlich gut geklappt. Auch den Punkt mit den Origin-Certificate konnte ich einrichten. Ebenso die Richtlinien um mögliche Anmeldung am NAS einzuschränken läuft. Einerseits mit E-Mail und zugestelltem 2FA-Code und auch noch Geo-Blocking. Werde mich diesbezüglich noch weiter einlesen. Es gibt noch so einiges, was eingestellt werden kann. Aber eins nach dem anderen.

    Sehr positiv finde ich: Die bisherige Domain bei selfhost habe ich auf die Nameserver von CF umgeschrieben und kann so die gleichen URLs verwenden wie bisher ... einfach ohne offene Ports.

    Quote from GreenEbu

    Guter Gedanke ... möchte mich aber vorher noch etwas mehr in das Thema einlesen/einarbeiten bevor ich andere zur Nutzung dieses Services animiere.

    Nachdem Du das ganze jetzt eingerichtet hast, darf ich Dich fragen ob Du noch hierzu vieleicht einen kleinen Leitfaden zum Thema einstellen möchtest :) Braucht ja garnicht so in die Tiefe gehen, so wie ich das sehe muß da ja eh jeder seinen Weg auch selbst finden.

    Meine Hardware

    iDX6011 Pro in Späh ^^

    DXP4800+ 2x8TB WDRedPl Btrfs Raid1 2x 2TB Lexar NM790 Raid1, 64GB RAM Kingst. KVR48S40BD8-32 DDR5/4800MH

    DXP2800 1x 12TB Seag. 1x 12TB WDRedPl, Raid1 Btrfs 16GB RAM Cruc. CT16G56C46S5.C8B2, 2x NVME Samsg,

    DS1525+ 2x8TB WD, Btrfs SHR, 2x 2TB NVME Lexar NM790 Raid1. 40GB ECC RAM_Speicher.de

    DS920+ DSM 7.3.2 Btrfs Raid1 2x8TB WD, 2x2TB Samsg. 970 EVOPlus, RAM 20GB DDR4-2666MHZ Speicher.de

    USV US3000, EatonEllip.PRO 850DIN, Switch Zyxel GS1200-8 1GB, Zyxel XMG-108 8 x 2,5GB

    Hallo eineb

    Schön, dass Du nachfragst. Tatsächlich ist es so, dass es einem Cloudflare recht einfach macht und wie Du schreibst, viele Wege zum Ziel führen.

    Dennoch kann so ein kleiner Leitfaden möglicherweise dem einen oder anderen etwas helfen den Schritt zu machen. Ich werde mir also die Zeit nehmen und einen Leitfaden basierend auf meiner Installation - die nicht abschliessend als einzig wahrer Weg zu betrachten ist - zusammen zustellen.

    Kommt neben anderen technischen Dingen vermutlich auch hauptsächlich darauf an, ob deine https Anfragen bei dir bleiben sollen oder sie über Cloudflare laufen dürfen.

    Die einen haben mit dem einen Probleme (offene Ports), die anderen mit dem anderen (https Anfragen über US Firma). Ich bin da momentan noch unschlüssig und habe keine Präferenzen.

    Ich nutze Cloudflare bisher berufsmäßig eher nur klassisch als CDN und für ein paar unwichtigere Domains.

    Privat für das NAS, um offene Ports zu umgehen, hab ich es bisher nicht in Betracht gezogen, bin da bisher noch der offene-Ports-Typ :D

    [ DXP4800+ | 2x Samsung 980 Pro 2TB | 4x Seagate IronWolf 24TB | UGOS ]

    Quote from Mavvy

    Privat für das NAS, um offene Ports zu umgehen, hab ich es bisher nicht in Betracht gezogen, bin da bisher noch der offene-Ports-Typ :D

    Das ist doch schön, jeder so wie's ihm gefällt.

    Ich hatte ja lange Zeit offene Ports und keine Probleme damit ... man muss halt ein paar Dinge beachten. Momentan - wer weiss wie lange - gehöre ich zur Fraktion 'Keine Macht den offenen Ports".

    Spannend ist doch, eine solche Umstellung überhaupt an die Hand zu nehmen ... etwas Neues zu lernen und am Schluss sagen zu können ... "Hurraaaa, es läuft". Der Profi hätte es vielleicht in der Hälfte der Zeit geschafft ... aber was solls ... diese Dinger - also die NASen - stehen sowieso herum ... warum nicht damit spielen ... sagt eine Ü60iger ... ;)

    Yep, absolut richtig. Das beste daran ist, wenn man dabei etwas dazulernen kann.

    MACVLAN ist auch so ne Sache, bisher hatte ich es nie in Betracht gezogen, aber steht recht oben auf meiner Liste es mal auszuprobieren :)

    [ DXP4800+ | 2x Samsung 980 Pro 2TB | 4x Seagate IronWolf 24TB | UGOS ]

    Leitfaden Cloudflare Tunnel

    Einleitende Gedanken

    Auf einen Hinweis von eineb habe ich einen kleinen Leitfaden zusammengestellt, um einen Cloudflare-Tunnel als Alternative zu offenen Ports einzurichten.

    ‼️ Dieser Leitfaden erhebt keinen Anspruch auf Vollständigkeit, Richtigkeit und dokumentiert lediglich in groben Zügen meinen Weg.

    Obwohl ich in der Vergangenheit keine negativen Erfahrungen mit offenen Ports (443/80 - mit ReverseProxy) gemacht habe, habe ich mich von Protogonos inspirieren lassen und dann erstmal zu Testzwecken (und als Übung) einen CF-Tunnel in der DXP2800 eingerichtet.

    Der von Protogonos in die Welt gebrachte Claim "Keine Macht den offenen Ports" hat mich nicht mehr losgelassen, und je mehr ich mich damit beschäftigt habe, desto mehr reifte der Gedanke, diesen Weg einzuschlagen.

    Seit kurzem habe ich das erlernte in meinem produktiven NAS (DS923+) umgesetzt und die Ports in der Fritz!Box geschlossen. In der täglichen Nutzung des NAS hat sich nicht viel geändert. Gleiche URL, keine spürbaren Auswirkungen auf die Geschwindigkeit im Seitenaufbau. Ausser, dass mit der aktiven Richtlinie eine zusätzliche Sicherheitsebene eingerichtet wurde.

    Sowohl die aktuelle CF-Lösung, wie schon zuvor die Lösung mit den offenen Ports ist nicht der primäre Weg mein NAS (die Applikationen) zu nutzen. Eigentlich nur dann, wenn ich von einem Fremdgerät auf eine Applikation (Drive, Tandoor, etc.) zugreifen will, was unregelmässig und nicht täglich vorkommt. Aber in der Situation dann doch sehr angenehmem ist. Wenn ich unterwegs bin, nutze ich meine eigenen Geräte und damit dann ein Wireguard VPN das in der Fritz!Box läuft. Zuhause im eigenen LAN nutze ich die interne IP.

    Es gibt noch viele andere Einstellungsmöglichkeiten und Funktionen auf die ich nicht eingehe - sie auch (noch) nicht verstehe 😜 . Aber das, was ich eingerichtet habe, habe ich schon kapiert. Am besten ist, sich einfach mal mit der Homepage von Cloudflare auseinandersetzen und sich darin - oder auch ausserhalb - zu informieren.

    ‼️ Achtung: Laie bietet Leitfaden an. 😀 Verwendung auf eigenes Risiko, jede Haftung ist explizit ausbedungen.

    1. Erstellen kostenloser Cloudflare-Account

    1. Gehe zu https://dash.cloudflare.com/sign-up.
    2. Gib deine E-Mail-Adresse ein und wähle ein sicheres Passwort.
    3. Bestätige deine E-Mail durch den Link in der E-Mail.
    4. Melde dich an und gehe auf “Billing”“Payment Methods”.
    5. Hinterlege deine Kreditkarte (sie wird nicht belastet, falls du keine kostenpflichtigen Dienste nutzt). Ich nutze dazu eine virtuelle Debit-Karte von Revolut im Zusammenspiel mit meinem Revolut-USD-Konto. Falls was passieren würde, wären lediglich ein paar Dutzend USD futsch.
    6. Richte gleich auch noch 2FA für Dein Konto ein.

    2. Domain mit Cloudflare verbinden

    Möglichkeit A: Domain direkt bei Cloudflare kaufen:

    1. Gehe zu "Domainregistrierung"
    2. Wähle „Domain registrieren".
    3. Suche dir eine freie Domain und kaufe sie (z. B. example.org)
    4. Die Domain wird dann automatisch mit deinem Cloudflare-Account verbunden.

    Möglichkeit B: Domain bei einem anderen Anbieter (z. B. selfhost.de) kaufen:

    1. Nach dem Kauf z.B. bei selfhost.de gehst du zu Cloudflare: “Domain hinzufügen”.
    2. Gib die Domain ein und folge den Anweisungen.
    3. Du bekommst zwei Nameserver, die du beim Domainanbieter z.B. selfhost.de einträgst.
    4. Warte, bis die DNS-Übernahme abgeschlossen ist (kann bis zu 24 Std. dauern). Bei mir hat es etwa eine Stunde gedauert.

    3. Cloudflare Tunnel erstellen

    Voraussetzung: Cloudflare Zero Trust aktivieren (kostenlos).

    1. Melde Dich an Deinem Konto an
    2. Gehe zu “Access” → “Tunnels”.
    3. Klicke auf “Tunnel erstellen” → Tunnel benennen (z. B. ugreen-nas).
    4. Wähle z.B. Docker als Installationsmethode oder eine die für Dich passt.
    5. Cloudflare zeigt dir nun ein docker run-Befehl an – speichere ihn.

    4. Tunnel im Docker auf NAS einrichten

    1. Melde dich per SSH oder über die NAS-Oberfläche an.
    2. Erstelle ein Verzeichnis für die Tunnel-Konfiguration
    3. Nutze den von Cloudflare bereitgestellten docker run-Befehl
    4. Der Tunnel verbindet sich nun mit Cloudflare.
    5. Der Tunnel kann z.B. auch via Docker/Portainer eingerichtet werden.

    5. Anwendung mit Richtlinie erstellen

    1. Gehe in Cloudflare zu Access → Anwendungen.
    2. Klicke auf “Anwendung hinzufügen”.
    3. Wähle “Selbst gehostet”.
    4. Gib einen Namen an
    5. Erstelle eine öffentliche Hostnamen
    6. Wähle Zugangsrichtlinie und erstelle eine Regel z.B. E-Mail mit PIN der auf die hinterlegte E-Mail gesendet wird.
    7. Speichern und aktivieren.
    8. Weitere Richtlinien nach Wunsch hinzufügen

    6. Hostnamen erstellen um eine App/das NAS von extern zu erreichen.

    1. Gehe zu Zero Trust
    2. Wähle Netzwerk, dann Tunnels
    3. Klicke auf den betreffenden Tunnel, wähle Bearbeiten
    4. Klicke auf "Öffentlicher Hostname", wähle "Öffentlichen Hostnamen hinzufügen"
    5. Fülle die Felder aus

    7. Ursprungszertifikat (Origin)

    Zweck: Der Hauptzweck eines Cloudflare Ursprungszertifikats ist es, eine sichere, Ende-zu-Ende-verschlüsselte Verbindung zwischen dem Cloudflare-Netzwerk und dem Ursprungsserver - also dem NAS herzustellen.

    Vorteile, laut meiner Recherche im Internet (zusammengefasst) :

    • Erhöhte Sicherheit: Gewährleistet, dass der gesamte Datenverkehr, vom Benutzer über Cloudflare bis zum Server, verschlüsselt ist.
    • Vertrauenswürdigkeit: Da Cloudflare das Zertifikat ausstellt, wird es von den Cloudflare-Systemen als vertrauenswürdig eingestuft, was Fehler bei der TLS-Überprüfung im Tunnel vermeidet.
    • Längere Gültigkeit: Cloudflare Ursprungszertifikate können für bis zu 15 Jahre ausgestellt werden, was den Wartungsaufwand im Vergleich zu anderen Zertifikaten reduziert, die häufiger erneuert werden müssen.
    • Kostenlos: Cloudflare bietet diese Ursprungszertifikate kostenlos an.
    1. Wähle Dich in Dein Konto ein
    2. Klicke auf Deine Domain
    3. Gehe zu SSL/TLS
    4. Wähle Ursprungserver
    5. Klicke auf “Zertifikat erstellen”.
    6. Wähle:
      • Gültigkeit: 15 Jahre
      • Hostname: *.example.de oder spezifische Subdomain
      • Key Format: PEM
    7. Cloudflare zeigt dir nun Private Key und Certificate.
    8. Speichern auf NAS:
      • Menü 'Zertifikate' dann 'Importieren'

      • Speichere die Dateien bei Dir an einem sicheren Ort:

        - origin.pem

        - origin.key

    9. Wichtig: Konfiguration der Anwendung oder eines Webservers (z. B. nginx) so anpassen, dass dieses Zertifikat genutzt wird.

    8. Flasche leer, ich habe fertig!

    Dankeschön, wird dem einen oder anderen mit Sicherheit helfen. 😊

    Meine Hardware

    iDX6011 Pro in Späh ^^

    DXP4800+ 2x8TB WDRedPl Btrfs Raid1 2x 2TB Lexar NM790 Raid1, 64GB RAM Kingst. KVR48S40BD8-32 DDR5/4800MH

    DXP2800 1x 12TB Seag. 1x 12TB WDRedPl, Raid1 Btrfs 16GB RAM Cruc. CT16G56C46S5.C8B2, 2x NVME Samsg,

    DS1525+ 2x8TB WD, Btrfs SHR, 2x 2TB NVME Lexar NM790 Raid1. 40GB ECC RAM_Speicher.de

    DS920+ DSM 7.3.2 Btrfs Raid1 2x8TB WD, 2x2TB Samsg. 970 EVOPlus, RAM 20GB DDR4-2666MHZ Speicher.de

    USV US3000, EatonEllip.PRO 850DIN, Switch Zyxel GS1200-8 1GB, Zyxel XMG-108 8 x 2,5GB

    @GreenEbu Vielen Dank!

    Damit es nicht untergeht, würde ich vorschlagen, dass du es als Anleitung / Tutorial in unserer TUT-Sektion einreichst und dort nochmals anlegst, kopierst?! :)

    Sonstige

    Quote from Mike0185

    würde ich vorschlagen, dass du es als Anleitung / Tutorial in unserer TUT-Sektion einreichst

    ... habe es eingereicht, bin aber unsicher, ob es so den Vorgaben entspricht. Bitte um Prüfung ...

Participate now!

Join our community with over 10,000 members!

Register yourself now for free to get full access to all content, graphics, downloads and other exclusive features!

Register Yourself Login