Ip_bans i cloudflared

Mam taki dziwny problem z banami we własnej sieci, otóż wszystko działało jak złoto do czasu jak zainstalowałem cloudflared po to by korzystać z https dla dzwonienia SIP do domofonu, mniejsza z tym, cloudflared działa w automatycznej konfiguracji, lokalnie nie mam ssl w configuration ,mam

http:
  ip_ban_enabled: true
  login_attempts_threshold: 5
  use_x_forwarded_for: true
  trusted_proxies:
    - 172.30.33.0/24

i problem jest taki że od czasu do czasu dostaje bana za too many login antempts ale z moich własnych IP czy to lokalnie czy ten jeden zewnetrzny IP z cloudflared ale też z moich własnych urządzeń i nie moge dojść co to się dzieje, jakieś wskazówki gdzie szukać co powoduje te bany?

Kiedy zmieniasz sposób logowania (z HTTP na HTTPS przez Cloudflare), Twoje urządzenia (telefony, tablety na ścianie, stare karty w przeglądarce) mogą mieć zestrachane tokeny uwierzytelniające.

Urządzenie próbuje dświeżyć dane, używając starego tokena, który wygasł lub jest nieprawidłow dla nowego punktu wejścia (tunelu).
Home Assistant traktuje to jako błędną próbę logowania.
Po 5 takich “odświeżniach” w tle – boom, ban.

Sprawdź to:

• Logi Home Assistant: Przejdź do Ustawienia → System → Logi. Szukaj wpisów o trezsci Login attempt or request with invalid authentication from.... Tam będzie podany adres IP.
• Logi Cloudflare: Sprawdź logi samego dodatku Cloudflared. Zobaczysz tam, czy zapytania przychodzą z zewnątrz i czy kończą się błędem 401 (Unauthorize).

ok wywalilem wszystkie tokeny i pologowalem sie na nowo, zobaczymy, w logach z cloudflared mam to 2026-01-25T07:55:41Z ERR error=“Unable to reach the origin service. The service may be down or it may not be responding to traffic from cloudflared: dial tcp x.x.x.x.x:8123: connect: connection refused” connIndex=3 event=1 ingressRule=0 originService=http://homeassistant:8123 tylko dlaczego origin service mam homeassistant: jak powinno być homeassistant.local ewentualnie moje IP, lokalne, konfiguracja jest automatyczna w cloudflared tj podalem tylko domene, w cloudflared mam wlaczone webohooki

Wejdź w panel Cloudflare Zero Trust i zmień URL z http://homeassistant:8123 na stały, lokalny adres IP Twojego serwera, np.: http://192.168.1.50:8123 (wpisz swój faktyczny adres).

I spróbuj dopisać adres bramy sieci lokalnej i samego hosta do configuration.yaml:

http:
  use_x_forwarded_for: true
  trusted_proxies:
    - 172.30.33.0/24  # Sieć add-onów
    - 127.0.0.1       # Localhost
    - 192.168.1.XX    # ADRES IP TWOJEGO SERWERA HA (podstaw swój)

w ustawieniach sieci w HA mam nazwe hosta homeassistant, lokalnie loguje sie albo po ip:8123 albo po homeassistant.local:8123 i to działą, w ssh jak dałem ha host info to mam różne info i między innymi hostname: homeassistant ale bez tego dopiska local spróbuje narazie w cloudflared pogrzebać

W panelu Cloudflare Zero Trust (tam, gdzie ustawiałeś domenę) zmień adres Service URL z http://homeassistant:8123 na:

• http://172.30.32.1:8123 (to jest standardowy adres IP bramy dla dodatków w HA)
• LUB na Twoje sztywne lokalne IP, np. http://192.168.x.x:8123.

odpaliłem ręczną konfiguracje cloudflare i błędów juz nie sypie, na routerze mam wylaczone ipv6 w ustawieniach home assistant tez, a w logach Login attempt or request with invalid authentication from fe80::b3b4:ccef:4ffffffff:9b92 (fe80::b3b4:ccef:4ffffffff:9b92). Requested URL: ‘/api/sip-core/config?t=1769342362739’. (Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:147.0) Gecko/20100101 Firefox/147.0) w sip core mam loginy ale dla lokalnych kontaktow sip i są poprawne, to kurka wodna skąd ten error?

Use server_host: 0.0.0.0 if you want to only listen to IPv4 addresses. The default listed assumes support for IPv4 and IPv6.

noo i totalnie nie kumam, jestem zalogowany w przeglądarce i nagle bam ban bo Login attempt or request with invalid authentication from delllucas.home (192.168.1.43). See the log for details. a z tego ip jestem zalogowany to jakie niepoprawne dane logowania?

Używasz w ogóle IPv6?

zwiększ sobie tę wartość do 10 może 15 czasami trafiają się wadliwe żądania z przeglądarki
zamknij wszystkie okna/taby w których masz otwarte HA i otwórz tylko jedno

było już że nie, dlatego zaproponowałem

które odfiltrowuje żądania IPv6

Potwierdzam można dostać bana nie używając cloudflared, otwarte HA w kilku miejscach.

to są możliwe powody:

1. Niewidzialne IP: W Twoim configuration.yaml masz w trusted_proxies tylko zakresy IPv4 (172.30.33.0/24).
2. Brak zaufania: Gdy Twój Firefox na Windowsie (co widać po User-Agent w logu) próbuje uderzyć do SIP-core, robi to po adresie IPv6 (bo Windows go sobie “wymyślił”).
3. Błąd uwierzytelnienia: HA widzi zapytanie z adresu, którego nie ma na liście zaufanych i który nie przeszedł przez proxy. Nawet jeśli login jest poprawny, HA może odrzucić sesję, bo nagłówki X-Forwarded-For nie zgadzają się z tym, co przyszło “bokiem” przez IPv6.
4. SIP-core: URL /api/sip-core/config sugeruje, że to wtyczka do komunikacji głosowej próbuje pobrać konfigurację. Jeśli Firefox ma otwartą kartę z HA, to on próbuje to odświeżyć w tle.

Polecam to zmienić:

1. Dodaj adresy IPv6 do trusted_proxies

Musisz powiedzieć HA, żeby ufał lokalnym zapytaniom IPv6, nawet jeśli ich nie używasz celowo. Dopisz to do swojej sekcji http:

http:
  use_x_forwarded_for: true
  trusted_proxies:
    - 172.30.33.0/24
    - 127.0.0.1
    - ::1                 # Localhost IPv6
    - fe80::/10           # Cały zakres Link-Local IPv6

Czy samo ustawienie HA → konfig. Interfejsów sieciowych enable IPv6 ma jakieś znaczenie?

No ja bym wyłączył zbędny interfejs IPv6
Jeśli jest istotnie zbędny…

UWAGA IPv6 jest potrzebne do w pełni poprawnej obsługi Matter, w przypadku Matter over WiFi oczywiście trzeba włączyć obsługę IPv6 mimimalnie również w sieci LAN, choć dostawca internetu nie musi zapewniać połączeń IPv6 (Matter jeśli się nie mylę ma jakieś obejścia dla sieci IPv4, ale nie są w 100% skuteczne)

wylaczylem totalnie ipv6 bo nie uzywam matter, dodałem zapisy do proxy, dodalem login treshold na 15, zobaczymy co będzie, dziekuje za porady!