Cloudflare, bitwarden i selhosting

Home Assistant
1

Cześć.
Mam ha które stoi na dockerze na debianie.
Zdalny dostęp mam przez cloudflare
Chciałbym móc samemu hostować hasła w vaultwarden ( bitwarden) i przepisy przez tandoor a w przyszłości jeszcze pewnie coś innego.
O ile z tunelem cloudflare nie mam problemu i mam dostęp zdalny to niemam pojęcia jak sobie poradzić z dostępem do vaultwardem zdalnie ( lokalnie działa).
Nie wiem jak to skonfigurować.
Problem jest jeszcze taki, ze w aplikacji kiedy dodaje własy serwer to mi odrzuca z powodu podejrzenia podszywania się pod lokalny adres (kwestia certyfikatu)
domenę mam na tk więc letsencrypt odpada.
Używam certyfikatów z cloudflare.
Wyczytałem, że mogę użyć reverse proxy z nginx ale nie wiem jak to zrobić i czy potrzebuje coś konfigurować po stronie cloudflare.
Jest jeszcze reverse proxy manager ale on (jako addon) wymaga mariadb a na moje potrzeby to przerost formy nad treścią.

Czy mógłby mi ktoś pomóc to ustawić, żeby miał zdalny dostęp do haseł w vaultwarden i tandoor?

2

Możesz dodać w Cloudflare → Zero Trust → Access —> Tunnels , subdomenę dla Bitwardena i będziesz miał dostęp po https.

3

Od. dodałem subdomenę jak radziłeś w zero trust i mam status inactive.
Powinna być proxied czy dns only?
Czy token powinienem gdzieś dodać w ha?
po wpisaniu adresu do przeglądarki mam agro tunnel error 1033

4

Hm … Tunnels —> skonfigurowany tunel – > configure → Public Hostname i tu dodajesz.
Type : http i url
grafa

W ustawieniach DNS ja mam Type CNAME i proxied ale to sa CF tworzy w locie.

5

Tak, to się zgadza i mam:

image
image1237×34 4.54 KB

tunel zrobiłem jak napisałeś z tym, że https.
i to powinno już hulać? czy coś jeszcze po stronie HA mam zrobić? nie trzeba dodawać hosta do addonu cloudflare?

6

ma być HTTP (CF tworzy tunel https) a ty w tunelu jesteś http.

Tak , nic, w HA już masz wpis w config.yaml

###    
http:
  use_x_forwarded_for: true
  trusted_proxies:
    - 172.30.33.0/24
###
7

ok.
A powiedz mi jeszcze subdomene muszę mieć czy to co tam wpisze to podziała?
filmik właśnie oglądam

8

Subdomenę wpisujesz dowolną nazwę jaką chcesz (musisz mieć domenę aktywną, ale tą już masz).

9

tak bo mam założone jedynie domene.tk.
zrobiłem sobie vaultwarden.domena.tk
no i tam http://192.168.x.x:7277
Poczekam chwile i może zatrybi bo jak narazie to dalej agro tunnel error 1033

10

Powinno zadziałać prawie od razu.
Błąd 1033 oznacza, że ​​Twój tunel nie był w tym czasie podłączony do sieci cloudflare.

wpisałeś tak jak na screnie wyżej bez http:// ? w adresie url ?

11

to jednak nie działa. w zero trust dalej mam inavtive czyli jeszcze nic się z tym nie połączyło.

image
image1067×305 13.5 KB

12

gdzie to masz, na tunelu ? a do HA masz dostęp po https ?

13

tak:

image
image1006×75 5.32 KB

tak. do HA dostaje się po https

14

coś nie tak wyklikałeś ? zastąpiłeś istniejący tunel nowym ?

Aktywny tunel

qwaq
qwaq1041×407 40.8 KB

Skonfigurowane subdomeny
zaq
zaq996×437 47.8 KB

15

zgadza się. nie robiłem public hostname tylko jakby zupełnie nowy tunel. teraz zatrybiło. dzięki wielkie

16

W jaki sposób ograniczacie dostęp do serwisów stworzonych przez Zero Trust?