Jellyfin hinter Reverse Proxy Synology sicher?

[end0fseven]

Einen schönen guten Sonntag allen 😊

Ich nutze meine Synology DS918+ für einige Dienste.
Darunter ein Vanilla Minecraft Server, Teamspeak, Adguard Home und Jellyfin.

Der Minecraft und Teamspeak Server sind per einfache Portfreigaben erreichbar über meine Subdomain die dann auf eine DynDNS zeigt.
Zusätzlich sind Whitlisten Aktiv.

Den Jellyfin habe ich für meine Schwester freigegeben über eine Wireguard Verbindung in der Fritzbox 7583.
Jedoch ist gerade das Thema über Chromecast nicht so einfach in dieser Lösung. Zusätzlich würde ich den Zugriff gerne noch 2 weiteren Personen gewähren.

Da ich nicht jedem eine VPN einrichten will, habe ich mir überlegt das ganze über einen Reverse Proxy in der Synology zu machen. Das ganze läuft auch. Ich Frage mich aber, wie sicher das ganze ist? Und wa sich vielleicht noch machen könnte? Einstellungen in Jellyfin?

Die Filme und Serien erfolgen per Direct Play da ich das Transcoding auf der Synology über die iGPU einfach nicht zum laufen kriege. Habe aber zum Glück 100Mbit/s im Upload.
Und es wären auch nicht ständig alle Online.

 

[WhiteHelix]

Ich Frage mich aber, wie sicher das ganze ist?

Erst mit dem Jellyfin und noch nicht bei den anderen Diensten? Bei mir hängt alles hinter einem Nginx als Reverse Proxy, der macht auch das Zertifikatsmanagement für alle Subdomains und hat entsprechend je eine Subdomain je Dienst. Je nach Sicherheitsbedarf kannst du da dann noch n Crowdsec, Fail2Ban o.ä. mit anhängen, war mir aber bisher tatsächlich auch zu aufwendig.

 

[end0fseven]

Weil ich da tatsächlich noch nicht daran gedacht habe da es ja nur für den Dienst selber ist 🙈
Aber ja, den Minecraft Server und Teamspeak Server wäre wohl nicht schlecht.

Mich stresst es eher das ich Port 80/443 öffnen muss für den Reverse Proxy. Geht wohl ohne die nicht?

Edit: Beim MC Server ist sowiso der Query Port zu und es gibt nur Whitelist.
Beim Teamspeak habe ich die Aicherheit irgendwo bei 23 Hochgeschalten und auch Query von aussen geschlossen. Genau so wie auch nur Whitelist und Gruppenrichtlinien.

 

[Zero_Official]

ich betreibe Jellyfin, Adguard, etc über reverse proxy meiner Syno 1621+
allerdings schütze ich mein Netzwerk mit Opnsense und diversen Geo und IP Sperrfiltern...
bisher keine Probleme.

PS
die Firewall der Syno muss auch richtig eingestellt werden, konto sperrungen, Geo etc.

 

[end0fseven]

@Zero_Official Hast du mir da ein Beispiel? Wo läuft Opensense?

Die Firewall der Syno nutze ich nicht. Diese will uch von aussen auch nicht erreichbar haben. Wenn ich Zugriff benötige, dann nur über VPN.

Bei Jellyfin ist das nicht so einfach, vorallem wenn man verschiedene Geräte nutzen will.

 

[RedPanda05]

Nimm doch einfach Tailscale, das gibt es auch für Synology.

 

[MetalForLive]

Ich habe traefik als reverseproxy laufen.
Dahinter steht aktuell Jellyfin wie auch meine Nextcloud.
Die ganzen Dienste laufen alle in einer separaten /30 DMZ auf meinem Unifi Gateway und dürfen nur ins Internet und zum Reverseproxy.

Vorher hatte ich Nextcloud wie auch meinen Homeassistant Server direkt auf einer Domain exposed, dort hat man in den Logs ständige Fehlerhafte Loginversuche gesehen.

Seit ich auf Reverseproxy sowie Subdomains bin, kommt das gar nicht mehr vor.

 

[Zero_Official]

Die Opnsense läuft Baremetal als Router.

Ich habe aber Vlans und alles schön unterteilt und per ACL auf dem Switch getrennt und per OPSense
als Router gesichert.

Die Firewall auf der Syno empfehle ich dringend zu nutzen!!! und auch kontosperrungen einrichten.
Du kannst Openvpn bei Syno einrichten, davon aber ddns und zertifikate einpfegen, ist leichter als man denkt.

Danach kannst du Jellyfin über dein ddns oder openvpn verfügbar machen.

 

[JPsy]

Also gerade wenn man nur mit ein paar leuten teilen möchte, ist tailscale doch das tool der Wahl.

 

[end0fseven]

Was ist der Unterschied zwischen Tailscale und Wireguard?
Sind doch beides VPN Dienste, oder verstehe ich da was falsch?

Weil gerade das VPN macht auf einigen Geräten Probleme oder sind nicht mit Wireguard Kompatibel - leider.

 

[Zero_Official]

Tailscale? Nope.
man lässt keine "Freunde" ins eigene Netzwerk.... egal was sie versprechen.

eigene VPN erstellen, ob über Fritzbox, Opnsense oder Syno.

 

[RedPanda05]

Was ist der Unterschied zwischen Tailscale und Wireguard?
Sind doch beides VPN Dienste, oder verstehe ich da was falsch?

Tailscale nutzt Wireguard, benötigt aber keine Portfreigabe. Zudem kannst du einstellen (ich glaube, das ist auch der Standard), dass nur einzelne Services / Ports für das Tailnet exposed werden sollen.

 

[end0fseven]

Dann muss ich mich da mal einlesen. Sprich, in diesem Fall benötige ich auch kein Reverse Proxy?
Weil wie gsagt, die Syno darf nicht Internet sein, das ist nur über VPN möglich.

@Zero_Official Da gebe ich dir recht. Deshalb wurde die VPN Konfig in diesem Fall auch angepasst das nur die paar Ports wo ich wollte, Freigegeben waren.