Ik probeer voor mezelf en het gezin een Jellyfin op te zetten, incl ssl cert en bereikbaar van buitenaf. Maar ik zie iets over het hoofd.
De jellyfin is geinstalleerd op een ubuntu dedicated 20.04, welke draait op een esxi machine. Deze ubuntu heeft 2 netwerkkaarten, 1 naar mijn interne netwerk, welke oa aan onze storage kan, 1 netwerkkaart verbonden dmv vlans op de grote buitenwereld.
Ik heb geen telenet AIO modem, en kan dus geen portmapping doen op hun modem.
De jellyfin instance in perfect bereikbaar van binnenuit op zijn locale lan.
Deze is ook bereikbaar van buitenaf op een fqdn (jellyfin.onzedomeinnaam.be) en heeft een werkend SSL certificaat van Let's Encrypt. De aanvraag hiervan is ook gelukt (portforward...)
Aangezien deze instance op een van zijn netwerkkaarten direct aan het internet hangt, en een publiek IP verkrijgt van TN, dient er geen portforwarding te gebeuren volgens mij (hence, ik het dit niet gedaan en het aanvragen van een cert via certbot is gelukt, moest dit niet correct zijn, dan zou het niet werken)
Voorts heb ik de ufw aangezet en enkel poort 80, 443 toegelaten van any-any en poort 22 (ssh) vanop het interne netwerk. Er draait ook een fail2ban op, maar deze is pas later geinstalleerd.
Wat is nu de vraag..
De jellyfin is enkel bereikbaar vanop ons netwerk op zijn externe ip. Het verkeer blijft hiervoor op onze modem hangen (loopback achtig iets). De jellyfin is niet bereikbaar via een andere, niet van onze modem komende verbinding, lees via 4G of via het telenet netwerk op mijn werk.
Als ik een portscan doe (random ding op internet) dan zie ik dat de poorten allemaal gesloten zijn, wat niet kan, want op extern ip bereikbaar op onze modem. Het aan/uitzetten van de ufw maakt geen verschil (sudo ufw disable/enable) Resultaten en portscan geven hetzelfde resultaat.
Ik heb op dezelfde manier een nextcloud opgezet, zelfde princiepe, maar dan met een preconfigured OVF van IT Hanssen. Dit werkt perfect en is van overal bereikbaar.
Persoonlijk zit ik te denken aan een routeringsprobleem bij TN, maar dan zou mijn nextcloud ook niet werken me dunkt.
Ik zit een beetje met de handen in het haar en kan de oplossing niet vinden, iemand de gouden tip ? Het renewen van het externe IP adres helpt niet, dit had ik reeds geprobeerd.
Trace vanop mijn pc naar het externe ip van de jellyfin.
Trace vanop een 4G telenet verbinding
ufw status
nmap vanaf lokale ubuntu:
Maar, bovenstaande strookt volgens mij niet met mijn ufw regels. Per default (volgens mij) blokkeert ufw alles, buiten de poorten die je zelf openzet. De poorten die open staan volgens de nmap scan, kloppen totaal niet met de ufw regels
?
//edit
Er draait een nginx voor, zoals aangegeven in de tutorial die ik gevolgd heb.
Indien ik de nic uitschakel dit de jellyfin verbindt met mijn lokale netwerk, dan is alles wel extern bereikbaar. Er zit dus toch ergens een config foutje in, maar ik kan niet vinden waar.
De jellyfin is geinstalleerd op een ubuntu dedicated 20.04, welke draait op een esxi machine. Deze ubuntu heeft 2 netwerkkaarten, 1 naar mijn interne netwerk, welke oa aan onze storage kan, 1 netwerkkaart verbonden dmv vlans op de grote buitenwereld.
Ik heb geen telenet AIO modem, en kan dus geen portmapping doen op hun modem.
De jellyfin instance in perfect bereikbaar van binnenuit op zijn locale lan.
Deze is ook bereikbaar van buitenaf op een fqdn (jellyfin.onzedomeinnaam.be) en heeft een werkend SSL certificaat van Let's Encrypt. De aanvraag hiervan is ook gelukt (portforward...)
Aangezien deze instance op een van zijn netwerkkaarten direct aan het internet hangt, en een publiek IP verkrijgt van TN, dient er geen portforwarding te gebeuren volgens mij (hence, ik het dit niet gedaan en het aanvragen van een cert via certbot is gelukt, moest dit niet correct zijn, dan zou het niet werken)
Voorts heb ik de ufw aangezet en enkel poort 80, 443 toegelaten van any-any en poort 22 (ssh) vanop het interne netwerk. Er draait ook een fail2ban op, maar deze is pas later geinstalleerd.
Wat is nu de vraag..
De jellyfin is enkel bereikbaar vanop ons netwerk op zijn externe ip. Het verkeer blijft hiervoor op onze modem hangen (loopback achtig iets). De jellyfin is niet bereikbaar via een andere, niet van onze modem komende verbinding, lees via 4G of via het telenet netwerk op mijn werk.
Als ik een portscan doe (random ding op internet) dan zie ik dat de poorten allemaal gesloten zijn, wat niet kan, want op extern ip bereikbaar op onze modem. Het aan/uitzetten van de ufw maakt geen verschil (sudo ufw disable/enable) Resultaten en portscan geven hetzelfde resultaat.
Ik heb op dezelfde manier een nextcloud opgezet, zelfde princiepe, maar dan met een preconfigured OVF van IT Hanssen. Dit werkt perfect en is van overal bereikbaar.
Persoonlijk zit ik te denken aan een routeringsprobleem bij TN, maar dan zou mijn nextcloud ook niet werken me dunkt.
Ik zit een beetje met de handen in het haar en kan de oplossing niet vinden, iemand de gouden tip ? Het renewen van het externe IP adres helpt niet, dit had ik reeds geprobeerd.
Trace vanop mijn pc naar het externe ip van de jellyfin.
code:
1
2
3
4
5
6
7
| tracert jellyfin.onsdomein.be Tracing route to jellyfin.onsdomein.be [xx.xx.xx.98] over a maximum of 30 hops: 1 <1 ms <1 ms <1 ms _gateway [192.168.10.254] 2 <1 ms <1 ms <1 ms xx.xx.xx.98.access.telenet.be [xx.xx.xx.98] |
Trace vanop een 4G telenet verbinding
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
| tracert jellyfin.onsdomein.be Tracing route to jellyfin.onsdomein.be [xx.xx.xx.98] over a maximum of 30 hops: 1 3 ms 1 ms 3 ms 192.168.43.1 2 42 ms 26 ms 34 ms 10.13.226.38 3 37 ms 32 ms 32 ms 10.13.226.28 4 35 ms 25 ms 45 ms 10.13.226.29 5 * * * Request timed out. 6 * * * Request timed out. 7 * * * Request timed out. 8 32 ms 42 ms 47 ms dD5E0CAEC.access.telenet.be [213.224.202.236] 9 46 ms 57 ms 60 ms xx-xx-xx-98.access.telenet.be [xx-xx-xx.98] |
ufw status
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
| jellyfin@mediaman:~$ sudo ufw status [sudo] password for jellyfin: Status: active To Action From -- ------ ---- 443/tcp ALLOW Anywhere 22/tcp ALLOW 192.168.10.0/24 80/tcp ALLOW Anywhere 8096 ALLOW 127.0.0.1 8096 ALLOW 192.168.10.127 8096 ALLOW 192.168.10.0/24 443/tcp (v6) ALLOW Anywhere (v6) 80/tcp (v6) ALLOW Anywhere (v6) |
nmap vanaf lokale ubuntu:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
| jellyfin@mediaman:~$ nmap -v jellyfin.onsdomein.be Starting Nmap 7.80 ( https://nmap.org ) at 2021-08-06 18:27 CEST Initiating Ping Scan at 18:27 Scanning jellyfin.onsdomein.be (xx.xx.xx.98) [2 ports] Completed Ping Scan at 18:27, 0.00s elapsed (1 total hosts) Initiating Parallel DNS resolution of 1 host. at 18:27 Completed Parallel DNS resolution of 1 host. at 18:27, 0.00s elapsed Initiating Connect Scan at 18:27 Scanning jellyfin.onsdomein.be (xx.xx.xx.98) [1000 ports] Discovered open port 80/tcp on xx.xx.xx.98 Discovered open port 111/tcp on xx.xx.xx.98 Discovered open port 25/tcp on xx.xx.xx.98 Discovered open port 22/tcp on xx.xx.xx.98 Discovered open port 443/tcp on xx.xx.xx.98 Discovered open port 2049/tcp on xx.xx.xx.98 Completed Connect Scan at 18:27, 0.03s elapsed (1000 total ports) Nmap scan report for onsdomein.lugein.be (xx.xx.xx.98) Host is up (0.00011s latency). rDNS record for xx.xx.xx.98: xx-xx-xx-98.access.telenet.be Not shown: 994 closed ports PORT STATE SERVICE 22/tcp open ssh 25/tcp open smtp 80/tcp open http 111/tcp open rpcbind 443/tcp open https 2049/tcp open nfs Read data files from: /usr/bin/../share/nmap Nmap done: 1 IP address (1 host up) scanned in 0.07 seconds |
Maar, bovenstaande strookt volgens mij niet met mijn ufw regels. Per default (volgens mij) blokkeert ufw alles, buiten de poorten die je zelf openzet. De poorten die open staan volgens de nmap scan, kloppen totaal niet met de ufw regels
?//edit
Er draait een nginx voor, zoals aangegeven in de tutorial die ik gevolgd heb.
Indien ik de nic uitschakel dit de jellyfin verbindt met mijn lokale netwerk, dan is alles wel extern bereikbaar. Er zit dus toch ergens een config foutje in, maar ik kan niet vinden waar.
Page intentionally left blank.
:strip_exif()/u/101509/Avatar.gif?f=community){kind=avatar}
:fill(white):strip_exif()/f/image/nkncdZugpPEfnmutErxvlIOF.png?f=user_large)
:strip_icc():strip_exif()/u/20201/clint.jpg?f=community)