Cloudflare e gestione porte

array81

Ho Home Assistant in esecuzione su un mini PC con installato Debian. Attualmente accedo da remoto tramite DuckDNS ma ultimamente sto avendo problemi nel senso che sempre più spesso non riesco a raggiungere HA da remoto. Ho trovato una guida per usare Cloudflare. La guida parla di abilitare un tunnel tra un dominio da acquistare e HA sul mini PC. Per farlo usa applicazione chiamata "cloudflared" fatta girare su docker. Fin qui tutto bene. Tuttavia seguendo la guida si evince che cloudflared viene configurato affinchè il traffico dal dominio acquistato venga indirizzato sulla porta 8123 ovvero quella di HA.
Ora mi chiedo è possibile utilizzare Cloudflare (il pacchetto free) per gestire più applicazioni, ovvero fare qualcosa del tipo www.miodominio.com:8123 -> miopc:8123, www.miodominio.com:8080-> miopc:8080 e così via?

nyhilium

array81 Ho un server con lo stesso setup

Su cloudflare nella sezione DNS fai un nuovo record
Tipo: A
Nome: tuodominio.it
IPV4: dovrebbe riceverlo automaticamente da cloudflared (premesso che hai impostato correttamente)

per ogni "servizio/container" che vuoi accedere da ora in poi fai, sempre su cloudflare nella sezione dns, un nuovo record
Tipo: CNAME
Nome: noedelservizio o quello che vuoi (in pratica è il subdomain - ha.tuodominio.it / media.tuodominio.it e così via)
Target: tuodominio.it

Sul server, sempre in docker, installa un proxy manager che fa da "forward" di ha.tuodominio.it VERSO ip-ha/altroservizio:port

Io ho seguito QUESTA guida. Anche se è per unraid, ma fa lo stesso. Importante che capisci i passi e cosa vai a fare

Unica cosa che dicono tanti, essendo per la domotica sarebbe meglio fare tramite un VPN come wireguard. In quel caso tutto il lavoro con cloudflare non servirebbe

Lorenzo1635

array81 Una singola istanza cloudflared può gestire N tunnel diversi che generano quindi N record CNAME (record A o AAAA non ti servono se fai passare attraverso Cloudflare tutto il tuo traffico) che puntano ai vari servizi. (ha.miodominio.pippo, plex.miodominio.pippo, ...).

Se stai gestendo tutti i tuoi servizi via Docker è anche più facile visto che puoi mettere tutti i tuoi container in una stessa network e smetterla di preoccuparti delle porte.

Tieni presente che Cloudflare pacchetto base genera i certificati SSL sono fino a *.miodominio.pippo quindi sei limitato al primo livello come sottodomini (puoi aggirare la cosa generando tu manualmente i certificati ma non credo che ne valga la pena).

Ad esempio, voglio eseguire un webserver, plex e ha:

version: '3'

services:
  nginx:
    image: nginx
    ports:
      - "80:80"
      - "443:443"
    volumes:
      - ./nginx-conf:/etc/nginx/conf.d
    networks:
      - my_network

  homeassistant:
    image: homeassistant/home-assistant
    restart: always
    ports:
      - "8123:8123"
    networks:
      - my_network

  plex:
    image: plexinc/pms-docker
    restart: always
    ports:
      - "32400:32400"
      - "32469:32469"
      - "8324:8324"
      - "3005:3005"
      - "32410:32410"
      - "32412:32412"
      - "32413:32413"
      - "32414:32414"
    environment:
      - TZ=YourTimeZone
    volumes:
      - ./plex-data:/config
      - /path/to/your/media:/data
    networks:
      - my_network

  cloudflared:
    image: cloudflare/cloudflared
    command: proxy-dns
    restart: always
    networks:
      - my_network

networks:
  my_network:
    driver: bridge

A quel punto su Cloudflare aggiungero i proxy per plex.miodominio.xyz; nginx.miodominio.xyz; ha.miodominio.xyz; siccome tutti i container girano nella sessa rete il mapping puoi farlo sfruttando i DNS interni a Docker quindi: ha.miodominio.xyz punta a ha:8123, plex.miodominio.xyz a plex:8324 e nginx.miodominio.xyz a nginx:80.

Se decidi di inoltrare tutto il traffico verso cloudflare puoi evitare le dichiarative ports ma a quel punto il tuo traffico, anche quello che generi nella rete locale, fa il giro Server->Cloudflare->Client e non so quanto tu lo possa volere come cosa.

Mettere dei record A e AAAA con degli indirizzi privati per far risolvere il tuo server nella LAN te lo sconsiglio ma è tecnicamente possibile.

gio79

array81 Con HA ti installi questo https://github.com/brenner-tobias/addon-cloudflared e fa tutto lui
Per altri servizi, se sono via docker, la soluzione + semplice è installare Traefik e poi segui una delle mille guide che escono con "traefik +tunnel +cloudflared"

Lorenzo1635

gio79 Così però hai un doppio reverse proxy: Service->Traefik->Cloudflared, non è una complicazione inutile? Capirei una configurazione del genere se avessi la necessità di fare autenticazione o filtering però a quel punto è più conveniente sfruttare tutta la suite Zero Trust che fornisce Cloudflare.

array81

Grazie a tutti per le risposte. Mi scuso il ritardo ma non sono riuscito a fare i test prima.

Ho comprato un dominio e mi sono iscritto a CloudFlare. Ho creato un tunnel, ho quindi installato CloudFlared tramite docker usando docker compose e impostando il token del tunnel creato. CloudFlare vede il tunnel.
A questo punto ho definito alcuni Public hostnames su CloudFlare, uno che punta a HA, e un altro paio ad altri servizi per vedere se la cosa funzionava.
Ora di fatto se vado su ha.miodomio.com vedo HA, se vado su hb.miodominio.com vedo un altro servizio e cosi via dicendo.
Vorrei capire un paio di cose:
Quello che ho fatto è corretto? OK che funziona ma è il modo pulito di fare la cosa?
Su docker compose, per HA, se uso "networks: - my_network" HA non è raggiungibile neanche localmente oltre che da remoto mentre se uso "network_mode: host" funziona sia localmente che da remoto. Non ho mai usato "networks: - my_network". A cosa serve e perchè nel mio caso fa saltare il tutto?

Grazie.

Lorenzo1635

array81 my_network non è altro che una rete per far parlare i container tra di loro. Quando fai partire un docker-compose di default Docker mette i container in una rete comune quindi, volendo, era omettibile.

L'avere tutti i container nella stessa rete permette principalemente al container A di parlare con un container B senza conoscerne l'indirizzo ma semplicemente specificando "B:80" (o qualunque altra porta in esecuzione su B). Ad esempio quando hai configurato il tunnel l'endpoint che hai messo su Cloudflare sarà stato HA:8123 appunto perchè il container di Cloudflared riesce a risolvere "HA" con l'IP di Home Assistant tra i vari container.

Il fatto che tu non riesca ad accedere localmente non lo comprendo onestamente: le reti, semplificando molto, in Docker possono essere di 3 tipi:

overlay: permette ai container di parlare tra loro e basta.
bridge: i container possono comunicare con il Docker host e, attraverso la direttiva ports, puoi fare port forwarding dei servizi nei container che saranno raggiungibili nella LAN attraverso l'IP del tuo server (il tuo PC sta effettivamente facendo router NAT),
host: al container viene passato tutto lo stack di rete del Docker host. Sta a te prevenire eventuali conflitti.

Se my_network è come nell'esempio che ti ho mandato una rete bridge e hai esplicitato la porta corretta dovresti poter accedere a HA all'indirizzo locale del tuo server. Non è che hai altre cose in ascolto su quella porta? Altri stack docker-compose che usi per altre cose?

A livello di pulizia dipende da quello che ci devi fare: se decidi di far passare tutto il tuo traffico da Cloudflare sacrificando l'accesso diretto in LAN allora puoi evitare di fare il forwarding delle porte in Docker in quanto i container comunque riescono a parlarsi tra loro; questa soluzione può andare bene per HA ma se tipo fai streaming con Plex/Jellyfin/... o hai altri servizi che richiedono banda potrebbe non essere la soluzione migliore.

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile