Remote access vragen voor Unraid Server (Immich, etc)

Ik ben begonnen met Cloudflare Tunnels, dat werkt op zich goed maar dan staan je diensten nog steeds wagenwijd open naar de buitenwereld. Je kunt een tunnel wel afschermen met Cloudflare Access, maar dat werkt alleen goed in een webbrowser; client apps als Home Assistant en Immich kunnen daar niet lekker mee overweg.

Toen ben ik aan de slag gegaan met Cloudflare warp-to-warp, dat is een Tailscale-achtige peer-to-peer netwerkoplossing van Cloudflare. Warp-to-warp werkt met dezelfde serversoftware als Cloudflare Tunnels (cloudflared). Omdat het p2p is heb je ook geen HTTP uploadlimiet.

Warp-to-warp heb ik een tijdje gebruikt en werkte redelijk, al moest ik de Clouflare One app soms wel opnieuw verbinden om de routering aan de praat te krijgen. Het is wel echt een enterprise-grade oplossing, dus er is veel mogelijk maar ook heel veel uit te zoeken en te configureren.

Nu ben ik langzaamaan Amerikaanse big tech aan het uitfaseren, dus Cloudflare is inmiddels vervangen door plain Wireguard.

Wireguard draait op de router (OpenWRT), samen met een dynamic DNS tooltje om de DNS records van mijn domein up-to-date te houden.

Eenmaal geconfigureerd is het helemaal transparant, zodra ik mijn thuisnetwerk verlaat maakt de Wireguard app automatisch verbinding. Immich en Home Assistent blijven braaf werken met het lokale IP van mijn server, ook het uploaden van grote video's is geen probleem.

Het onboarden van een nieuwe Wireguard client is iets meer werk (je moet een keypair aanmaken, etc.), maar zodra het eenmaal is ingesteld (met on-demand activatie) heb je er geen omkijken meer naar.

Ik routeer overigens alleen lokaal verkeer over de VPN tunnel, dus niet al het internetverkeer van mijn clients. Eventueel zou je ook een tweede VPN-profiel kunnen maken om al het verkeer te routeren (voor wanneer je op een onvertrouwd netwerk zit).

Als je comfortabel bent met Wireguard zou ik dat eerst proberen, anders kun je altijd nog naar Cloudflare of Tailscale kijken.

Ik ga hier even meevolgen naar mogelijke oplossingen maar wil ook even mijn ervaringen delen.
Zelf heb ik ook een Unraid server.

Tailscale: Op je Unraid server kan je de plugin downloaden (niet de container). Deze werkt het beste.
Wat doet het? Het kijkt eigenlijk of het ip-adres of domeinnaam bedoeld is voor je lokale netwerk en gaat dat dan omleiden naar je server om zo op je lokaal netwerk te kunnen. Alle andere stuurt hij via de "normale" verbinding.
Je kan ook opteren om je server als 'exit node' te laten functioneren. Dan gaat al het verkeer via je server naar buiten en visa versa.

Zelf ben ik daar best wel tevreden over. Maar je moet thuis wel een degelijke verbinding hebben.
Nu ik 1Gbps up en down heb is dit geen probleem. Hiervoor had ik 30/5 Mbps maar dat was te weinig om de server te laten functioneren als exit node.

Het pluspunt is dat je eigenlijk in Immich het ip-adres kan opgeven.
Of het verkeer via de servers van Tailscale gaat, dat kan ik niet zo direct zeggen. Daar heb ik nog niet achter gezocht. Al je apparaten krijgen wel een ip-adres in de range van Tailscale om bereikbaar te zijn, dus ik vermoed van wel.


Denk dat je een beetje moet zoeken en proberen wat voor jou het beste werkt.

Zelf wil ik nog eens WireGuard proberen of het net wat meerwaarde heeft doordat ik nu een snellere internetverbinding heb.

P.S.: Verkeer dat via Tailscale loopt wordt niet geblokkeerd door bvb werkgevers.
Mijn werkgever blokkeert VPN verbindingen op het BYOD wifi netwerk dus VPN valt op mijn werk al af.

[ Voor 6% gewijzigd door Asterion op 24-02-2026 22:38 ]

Heel lastige situatie, ik zit met precies hetzelfde, al gebruik ik tegenwoordig Netbird in plaats van Tailscale, maar in beide gevallen is het niet stabiel genoeg om altijd aan te hebben staan.

Voor Immich gebruik ik 2 urls; een publiek 'album.domein.ltd' en 'photo.domein.ltd'. Die eerste gebruik ik als instelling 'extern domein' en wordt automatisch gebruikt voor alle gedeelde links (voor familie en openbare albums). Via Cloudflare heb ik ingesteld dat op dat domein alles achter het /login pad geblokkeerd wordt. Dus inloggen is onmogelijk via deze url. De interne url (photo.domein.tld) gebruiken we op de mobiele apps en deze is alleen beschikbaar vanaf het LAN. Onderweg uploaden gaat dus niet automatisch, maar dit is echt een afweging wat betreft de veiligheid van je Immich installatie. Tijdens vakanties voeg ik wel eens het IP van het vakantie adres in als toegestane host in de firewall zodat uploaden wel werkt.

Voor Vaultwarden en bijv. Nextcloud is het simpel, die zijn echt alleen vanaf het lokale netwerk (of Netbird) bereikbaar.

Meest "simpele" oplossing is een WireGuard vpn opzetten in Unraid, deze werkt hier al een eeuwigheid vrij probleemloos en stabiel. Eerst had ik de VPN op de Unraid machine draaien, inmiddels is die verhuisd naar de Ubiquity Cloud Gateway Fiber.

Voor Unraid is het simpel, settings tab, vpn manager en dan een WireGuard vpn opzetten. Enige wat je daarna hoeft te doen is poort 51820 (of andere opgegeven poort tijdens installatie) op je router open zetten en forwarden naar je Unraid machine. WireGuard is standaard al aanwezig dus je hoeft er ook niets extra's voor te installeren.

Daarna is het een kwestie van peers aanmaken, QR code scannen in de client apps op bijvoorbeeld telefoons op tablets / gegevens invoeren in client apps op laptop en klaar ben je.

https://docs.unraid.net/unraid-os/system-administration/secure-your-server/wireguard/

Divolex schreef op donderdag 26 februari 2026 @ 08:55:
Hmm ja het is inderdaad een lastige situatie, want ik ziet er ook niet bepaald om te springen om poorten te gaan openen van mijn router. Wat ik wel nog tegenkwam is dat ik misschien gebruik kan maken van een VPS om daar een reverse proxy op te zetten? Of kan ik dat gelijk afstrepen qau veiligheid?

Dit is toevallig wat ik gedaan heb. Had eerst ook een tijdje een reverse proxy in m'n lokale netwerk hangen voor externe toegang.
Maar sinds kort een goedkope vps, en daar de proxy op gezet. En dan op de vps en m'n homeserver Tailscale geïnstalleerd, en dat lijkt te werken. En geen poorten meer open.

Overigens geen idee of dit nou echt een hele goede oplossing is (ben geen netwerk expert)

edit: mocht iemand met meer kennis weten dat dit een heel slecht idee is hoor ik dat ook graag...

[ Voor 6% gewijzigd door fm77 op 26-02-2026 09:26 ]

Ik gebruik beide in mijn server. Zowel wireguard als Tailscale. Beide hebben hun bestaansrecht en werken prima naast elkaar.

Wireguard plugin op unraid i.c.m. port forwarding op router geeft een stabiele en snelle toegang en gebruik ik als exit node voor het internet wanneer ik onderweg ben.

Tailscale is praktisch wanneer je verbinding wilt maken met andere tailscale devices welke niet direct verbinding kunnen maken met wireguard (bijv. synology).