polyphase schrieb:
Da muss ich
@andy_m4 Recht geben. Cloudflare ist nicht vertrauenswürdig, wie auch andere große Firmen in diesem Bereich. Weiß ich was die alles in meinem Netzwerk machen? Diese Firmen leben vom Daten sammeln und verkaufen. Dies werden sie auch hier tun.
20% der Internet-Infrastruktur laufen über Cloudflare und sie sind Marktführer in Web-Security.
Die Frage ist immer, was will man mit Self-Hosted bezwecken. Für mich ist Cloudflare die Lösung, um auch im Notfall (e.g. ich kann gerade keinen VPN einrichten) auf meine IoT-Geräte etc. zugreifen zu können. Für diesen Usecase sehe ich das eigenen öffnen vom HTTPS-Ports riskanter an, als ob Cloudflare meine Traffic-Daten zum Antrainieren ihres Threat-Algorithmus nutzt ...
Frage ist also immer: Was ist der "Job to be done" mit eurer Self-Hosted-Lösung. Wem es dabei vorrangig um Privacy Protection geht, für den ist es natürlich nichts. Ansonsten einfach mal auf r/selfhosted bei reddit geben, da wird das Thema "Cloudflare Tunnel" mit den Pro/Contra ausführlicher und weniger emotional betrachtet als hier
Eine andere Self-Hosted-Lösung die ich für den Zugang zum Heimnetzwerk nutze (um zurück zum Thema zu kommen): Wireguard Client <-> Wireguard OpnSense VPS Server <-> Wireguard OpnSense Home-Client
- z.B. IONOS-Server für 1-2€ mieten und hier OPNSense laufen lassen mit Wireguard-Server (damit hat man Firewall + Auto-Update zum Schutz des "Einfallstors")
- Clients verbinden sich mit der festen IP des VPS
- OPNSense-Server zu Hause auf Proxmox installiert. Diese verbindet sich als Client mit IONOS. Somit muss im Heimrouter keine Ports freigegeben.
- Der Port 443 des OPNSense Wireguard-Clients wird auf meine NGINX/Authentik-VM im isolierten Netzwerk weitergeleitet
Wäre ein Beispiel dafür, wie man auch bei VPN nicht gleich Zugriff auf das gesamte Heimnetzwerk geben muss, und dank OPNSense sogar super einfach zu warten mit Auto-Update und GUI.
Ansonsten habe ich ein Wildcard Zertifikat, wobei die DNS-Records der Domain auf die interne IP gestellt sind. Somit ist auch der Traffic im Tunnel encrypted, und es funktioniert auch ohne bei den Clients einen privaten DNS-Server einstellen zu müssen. Das Zertifikat gibt's auch ohne Port-Freigabe durch DNS-Challenge (via Cloudflare DNS-Challenge, steinigt mich ^^)
PS: Wer noch Gesprächsbedarf zu Cloudflare-Tunnel hat, bitte per PN, nicht Thema des Threads. Die Pro/Contra sind dargelegt, den Rest muss jeder selber entscheiden - der Thread hier dient ja auch nur als Inspiration
. Bei mir oder Mutti kann eingebrochen werden oder ein Feuer ausbrechen, Cloud geht auch nicht (ist ja nicht in meiner Hand und damit genrell unsicher) und das Bankschließfach fällt dem nächsten Raub zum Opfer. Echt eine Tragödie.
