Cloudflare Tunnel Client IP header (CF-Connecting-IP)

[mirages.sidle_0n]

Hallo,

ich greife über einen Cloudflare Tunnel auf meine DiskStation zu.
Auf der DiskStation sehe ich jetzt aber leider immer nur die IP des Cloudflare Tunnels in meinem Netzwerk, aber leider nicht die Client-IP.
Wo kann ich den Header der Anfragen auf CF-Connecting-IP ändern?

Danke und LG

 

[mirages.sidle_0n]

Hallo, hat jemand dazu mittlerweile eine Idee?

 

[joku]

Idee gibt es viele

Via Konsole in das Verzeichniss

/var/packages/Apache2.4/target/usr/local/etc/apache24/conf

für Apache 2.4 wechseln
im der httpd24.conf
am Ender die Zeile

Include conf/extra/mod_remoteip.conf

hintufügen. In dem Verzeichniss extra die Datei mod_remoteip.conf erstellen.

# Das Modul muss zuerst geladen werden, falls es nicht bereits global geladen ist
LoadModule remoteip_module modules/mod_remoteip.so

<IfModule remoteip_module>
    # Sagt Apache, in welchem HTTP-Header die Client-IP zu finden ist.
    # X-Forwarded-For ist der gebräuchlichste Header.
    RemoteIPHeader X-Forwarded-For

    # Listet die IP-Adressen oder Subnetze Ihrer vertrauenswürdigen Proxys auf.
    # Der Apache-Server vertraut diesen IPs, die korrekte Client-IP zu melden.
    # Ersetzen Sie die Beispiel-IPs durch die tatsächlichen IPs Ihrer Proxys.
    RemoteIPTrustedProxy 192.168.178.7
    RemoteIPTrustedProxy 10.0.0.0/8
    RemoteIPTrustedProxy 203.0.113.2/32
   
    # Optional: Wenn Sie interne Proxys haben, die nur private IPs weiterleiten
    # RemoteIPInternalProxy 172.16.0.0/12
    # RemoteIPInternalProxy 192.168.178.0/24
</IfModule>

die IP Adressen auf Deine Belange anpassen
Always get the latest list from https://www.cloudflare.com/ips/

 

[mirages.sidle_0n]

Das freut mich schonmal sehr zu hören @joku

Ich habe leider kein Verzeichnis /var/packages/Apache2.4/ auf meinem Synology NAS.

Gibt es andere Methoden als die von dir beschriebene?

Schick mir gerne einfach einen Link zu einer Anleitung oder ähnlichem, da ich aktuell leider nichts finde / ich nicht nach dem Richtigen suche.

Danke dir

 

[joku]

Ich habe leider kein Verzeichnis /var/packages/Apache2.4/ auf meinem Synology NAS.

Es ist vorhanden ganz sicher

Gibt es andere Methoden als die von dir beschriebene?

Du kommst nicht an die httpd24.conf ohne via Konsole.
Wenn Du dich nicht mit Konsole Befehlen auskennst wird es schwierig !

 

[mirages.sidle_0n]

@joku leider bin ich mir sicher, dass es das nicht gibt (siehe Bild).
Zum Glück kenne ich mich recht gut damit aus, also wenn du einen fachlichen Weg kennst möchte ich es gerne versuchen. Danke dir auf jeden Fall für deine Bemühungen

 

[JohneDoe]

Ist denn Apache 2.4 bei dir installiert?

 

[joku]

Ok, welches DSM benutzt Du ?
Du hast nicht Apache 2.4 installiert ?
Du benutzt keine Webdienste, wenn Ja liegt es an Nginx

 

[mirages.sidle_0n]

Nochmal, damit wir nicht aneinander vorbeireden und da meine Ausgangslage ein paar Jahre her ist, hier die Aktuelle Situation:

Ich habe den Cloudflare Tunnel jetzt im Container Manager auf meinem Synology NAS laufen.
Daher bekomme ich, wenn ich mich am DSM anmelde immer folgende Meldung:



Das ist immer das gleiche, ich möchte aber E-Mail Benachrichtigungen erhalten, wenn ein user sich von einer neuen IP Einloggt.

Ich habe kein Webdienst oder ähnliches installiert oder aktiviert.
Nur DSM und meinen Cloudflared Container.
Soweit ich weiß läuft DSM standardmäßig auf nginx.

Ich habe auf einem anderen Server einen Vaultwarden laufen und da kann man einfach den Client IP header auf CF- Connecting-IP stetzten und es läuft mit dem Cloudflare Tunnel.

Daher jetzt noch einmal ganz dumm die Frage, was muss ich tun um es auf DSM auch so hin zu bekommen? Was muss ich installieren und was wie einstellen?

Danke, danke, danke für deine Hilfe @joku

 

[joku]

Nochmal, damit wir nicht aneinander vorbeireden und da meine Ausgangslage ein paar Jahre her ist, hier die Aktuelle Situation:

Ich habe den Cloudflare Tunnel jetzt im Container Manager auf meinem Synology NAS laufen.

Das war meine Befürchtung

Soweit ich weiß läuft DSM standardmäßig auf nginx.

Genau

Daher jetzt noch einmal ganz dumm die Frage, was muss ich tun um es auf DSM auch so hin zu bekommen? Was muss ich installieren und was wie einstellen?

Hmm, wie kommst Du auf den Container ?
Mit der meine-diskstaion.synology.me:5000 erscheint der DSM.
Das solltes Du durch den Tunnel schicken.

 

[JohneDoe]

Ich hab mal gerade geguckt.... DSM hat das doch integriert. Du musst unter Systemsteuerung -> Sicherheit -> Vertrauenswürdige Proxys deinen Reverse Proxy eintragen. Dann wird die IP auch ausgewertet. Wenn das leer ist, dann wird das nicht ausgewertet. Das heißt du müsstest da die Cloudflare IPs eintragen. Wo du diese her bekommst weiß ich nicht.....

 

[mirages.sidle_0n]

Hmm, wie kommst Du auf den Container ?
Mit der meine-diskstaion.synology.me:5000 erscheint der DSM.
Das solltes Du durch den Tunnel schicken.

Ich nutze den Cloudflare Tunnel, damit ich keine Ports an meinem Router freigeben muss.
Nach der Installation des Containers stellt dieser automatisch eine Verbindung zu Cloudflare her, ohne etwas meines Netzwerkes offen zu legen.
Dann kann ich auf Cloudflare einfach meine Domain hinterlegen und sagen das dsm.meinedomain.de auf meineinterneip:5000 verweisen soll.
Den Rest macht Cloudflare.
Eine mega coole Sache wie ich finde.
In dem Prozess setzt Cloudflare nur leider die IP des zugreifenden Clients in den Header CF-Connecting-IP.
DSM denkt dann das jeder zugriff vom dem Cloudflared Container kommt und nimmt dessen IP (172.30.0.2).
Nun muss ich DSM also sagen das er für die Client IP in den Header CF-Connecting-IP gucken soll.

Ich hab mal gerade geguckt.... DSM hat das doch integriert. Du musst unter Systemsteuerung -> Sicherheit -> Vertrauenswürdige Proxys deinen Reverse Proxy eintragen. Dann wird die IP auch ausgewertet. Wenn das leer ist, dann wird das nicht ausgewertet. Das heißt du müsstest da die Cloudflare IPs eintragen. Wo du diese her bekommst weiß ich nicht.....

Diese Funktion habe ich auch gefunden.
Es funktioniert jedoch nicht wenn ich die IP des Containers (172.30.0.2) eingebe.
Oder muss ich die IPs von hier einfügen, dass erscheint mir aber nicht als Sinnvoll.

Oder wie funktioniert "Proxies vertrauen"??
Der Cloudflared Container sollte jetzt ja mein Proxy sein oder nicht?

 

[joku]

Von hier https://www.cloudflare.com/ips/

Johnedoe. lesen

 

[JohneDoe]

Der Proxy ist aber Cloudflare.com und nicht dein Container. Dein Container verbindet sich von INNEN nach AUSSEN und umgeht somit die Firewall und Portfreigaben. Deshalb musst du die IPs von Cloudflare nutzen.

Edit: Das heißt aber nicht, dass DSM auch den Cloudflare Header auswertet. Das habe ich nicht getestet, weil ich das nicht nutze. Der Standard Header ist normal X-Forwarded-For. Müsstest es also selber testen, ob auch CF-Connecting-IP ausgewertet wird.

 

[joku]

Dann kann ich auf Cloudflare einfach meine Domain hinterlegen und sagen das dsm.meinedomain.de auf meineinterneip:5000 verweisen soll.

Auf Deine Diskstation unter Sytemsteuerung / DSM / Erweitert
Einen Reverse Proxy erstellen , Ziel localhost und Port

 

[mirages.sidle_0n]

Ich habe jetzt die IPs von hier: https://www.cloudflare.com/ips/ und 172.30.0.2 unter Systemsteuerung -> Sicherheit -> Vertrauenswürdige Proxys eingefügt und es sieht schonmal besser als vorher aus:

Edit: Das heißt aber nicht, dass DSM auch den Cloudflare Header auswertet. Das habe ich nicht getestet, weil ich das nicht nutze. Der Standard Header ist normal X-Forwarded-For. Müsstest es also selber testen, ob auch CF-Connecting-IP ausgewertet wird.

Weißt du zufällig wo ich das anpassen könnte?

 

[JohneDoe]

Würde sagen gar nicht. Sowas ist in der Software drin.

Edit: Welche IPs werden dir denn jetzt angezeigt?