Cloudflare

[Alexwerilles 3]

Não sei o que posso estar fazendo de errado, pois tenho pouco conhecimento de Linux.

Estou tentando adicionar Cloudflare ao servidor. O domínio já está funcionando no Cloudflare, mas só posso abri-lo com a porta 8920 no final do endereço (https: //****.com: 8920). Se eu digitar apenas o endereço não abre e se eu digitar com a porta 443, ele também não abre.

Achei que a solução seria o redirecionamento de porta, mas fiz o que vi na internet, mas não adiantou

Meu servidor está no Debian.

[Luke 39340]

Re: 

 

[Carlo 4532]

8920 is not a valid port for use with Cloudflare. 

If not using 80 & 443 elsewhere on your local network these are the best ports to use.

Here is a list of valid ports you can use with Cloudflare:

HTTP ports supported:

• 80
• 8080
• 8880
• 2052
• 2082
• 2086
• 2095

HTTPS ports supported:

• 443
• 2053
• 2083
• 2087
• 2096
• 8443

[kirkj 9]

Você pode configurar o Nginx junto com a Cloudflare, e colocar o Emby atrás dele.

https://www.digitalocean.com/community/tutorials/how-to-install-nginx-on-ubuntu-20-04-pt

https://www.digitalocean.com/community/tutorials/how-to-host-a-website-using-cloudflare-and-nginx-on-ubuntu-18-04-pt

No arquivo de configuração do Nginx, você pode utilizar este exemplo:

server {
    listen 80;
    listen [::]:80;
    server_name seudominio.com;
    return 302 https://$server_name$request_uri;
}

server {

    # SSL configuration

    listen 443 ssl http2;
        listen [::]:443 ssl http2;
        ssl        on;
        ssl_certificate         /etc/ssl/certs/cert.pem;
        ssl_certificate_key     /etc/ssl/private/key.pem;
        ssl_client_certificate /etc/ssl/certs/cloudflare.crt;
        ssl_verify_client on;

        server_name seudominio.com;

        add_header X-Xss-Protection "1; mode=block" always;
        add_header X-Content-Type-Options "nosniff" always;
        add_header Strict-Transport-Security "max-age=2592000; includeSubdomains" always;
        add_header X-Frame-Options "SAMEORIGIN" always;
        proxy_hide_header X-Powered-By;
        add_header 'Referrer-Policy' 'no-referrer';
        add_header Content-Security-Policy "frame-ancestors seudominio.com;";

        location / {
                proxy_pass http://127.0.0.1:8096; # Local emby ip and non SSL port

                proxy_hide_header X-Powered-By;
                proxy_set_header Range $http_range;
                proxy_set_header If-Range $http_if_range;
                proxy_set_header X-Real-IP $remote_addr;
                proxy_set_header Host $host;
                proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

                #Next three lines allow websockets
                proxy_http_version 1.1;
                proxy_set_header Upgrade $http_upgrade;
                proxy_set_header Connection "upgrade";
        }
}

 

Utilizo desta forma e funciona bem.

[Alexwerilles 3]

On 9/9/2020 at 2:50 PM, cayars said:

8920 is not a valid port for use with Cloudflare. 

If not using 80 & 443 elsewhere on your local network these are the best ports to use.

Here is a list of valid ports you can use with Cloudflare:

HTTP ports supported:

• 80
• 8080
• 8880
• 2052
• 2082
• 2086
• 2095

HTTPS ports supported:

• 443
• 2053
• 2083
• 2087
• 2096
• 8443

doesn't open with 443. I don't know what to do anymore

[Alexwerilles 3]

1 hour ago, kirkj said:

Você pode configurar o Nginx junto com a Cloudflare, e colocar o Emby atrás dele.

https://www.digitalocean.com/community/tutorials/how-to-install-nginx-on-ubuntu-20-04-pt

https://www.digitalocean.com/community/tutorials/how-to-host-a-website-using-cloudflare-and-nginx-on-ubuntu-18-04-pt

No arquivo de configuração do Nginx, você pode utilizar este exemplo:

server {
    listen 80;
    listen [::]:80;
    server_name seudominio.com;
    return 302 https://$server_name$request_uri;
}

server {

    # SSL configuration

    listen 443 ssl http2;
        listen [::]:443 ssl http2;
        ssl        on;
        ssl_certificate         /etc/ssl/certs/cert.pem;
        ssl_certificate_key     /etc/ssl/private/key.pem;
        ssl_client_certificate /etc/ssl/certs/cloudflare.crt;
        ssl_verify_client on;

        server_name seudominio.com;

        add_header X-Xss-Protection "1; mode=block" always;
        add_header X-Content-Type-Options "nosniff" always;
        add_header Strict-Transport-Security "max-age=2592000; includeSubdomains" always;
        add_header X-Frame-Options "SAMEORIGIN" always;
        proxy_hide_header X-Powered-By;
        add_header 'Referrer-Policy' 'no-referrer';
        add_header Content-Security-Policy "frame-ancestors seudominio.com;";

        location / {
                proxy_pass http://127.0.0.1:8096; # Local emby ip and non SSL port

                proxy_hide_header X-Powered-By;
                proxy_set_header Range $http_range;
                proxy_set_header If-Range $http_if_range;
                proxy_set_header X-Real-IP $remote_addr;
                proxy_set_header Host $host;
                proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

                #Next three lines allow websockets
                proxy_http_version 1.1;
                proxy_set_header Upgrade $http_upgrade;
                proxy_set_header Connection "upgrade";
        }
}

 

Utilizo desta forma e funciona bem.

Vou tentar isso. Volto aqui para dizer o resultado

o tutorial server pra qualquer distro?

Edited September 11, 2020 by Alexwerilles

[kirkj 9]

Acredito que para qualquer distribuição baseada no Debian deve funcionar.

[Alexwerilles 3]

É, não resolveu. Continua da mesma forma: Erro 521 do Cloudflare.

[kirkj 9]

Sem o Cloudflare, você consegue acessar a página inicial do Nginx pelo seu domínio, via http, sem porta?

Edited September 11, 2020 by kirkj

[Alexwerilles 3]

46 minutes ago, kirkj said:

Sem o Cloudflare, você consegue acessar a página inicial do Nginx pelo seu domínio, via http, sem porta?

vou ver

[Alexwerilles 3]

48 minutes ago, kirkj said:

Sem o Cloudflare, você consegue acessar a página inicial do Nginx pelo seu domínio, via http, sem porta?

não, dá ERR_CONNECTION_REFUSED

[kirkj 9]

Sugiro que você faça uma instalação limpa do Nginx e veja se consegue acessar a página de teste dele via http.

https://www.digitalocean.com/community/tutorials/how-to-install-nginx-on-ubuntu-20-04-pt

[Alexwerilles 3]

22 minutes ago, kirkj said:

Sugiro que você faça uma instalação limpa do Nginx e veja se consegue acessar a página de teste dele via http.

https://www.digitalocean.com/community/tutorials/how-to-install-nginx-on-ubuntu-20-04-pt

na primeira tentativa funcionou, abria a pagina de teste. Depois que fiz toda a configuração do Cloudflare não abre mais. Então, eu desativei o Cloudflare, refiz toda a instalação do nginx e mesmo assim a página do nginx não abre mais, também dá ERR_CONNECTION_REFUSED

[kirkj 9]

Qual a saída do comando? 

systemctl status nginx

 

[Alexwerilles 3]

agora está abrindo a página de teste normalmente

Edited September 11, 2020 by Alexwerilles

[Alexwerilles 3]

14 minutes ago, kirkj said:

Qual a saída do comando? 

systemctl status nginx

 

está ativo, rodando

[kirkj 9]

Ok. Então agora pode seguir com a etapa do Cloudflare. Ao gerar o certificado de origem você vai copiar o conteúdo que a Cloudflare lhe der nos arquivos de configuração do Nginx completamente, inclusive o ----BEGIN CERTIFICATE----- e o -----END CERTIFICATE-----. Atente-se para os caminhos dos certificados no arquivo de configuração do Nginx. O exemplo que dei mais acima não está igual ao que é dado no tutorial da Digital Ocean.

[Alexwerilles 3]

23 minutes ago, kirkj said:

Ok. Então agora pode seguir com a etapa do Cloudflare. Ao gerar o certificado de origem você vai copiar o conteúdo que a Cloudflare lhe der nos arquivos de configuração do Nginx completamente, inclusive o ----BEGIN CERTIFICATE----- e o -----END CERTIFICATE-----. Atente-se para os caminhos dos certificados no arquivo de configuração do Nginx. O exemplo que dei mais acima não está igual ao que é dado no tutorial da Digital Ocean.

Certo. Consegui sair daquele problema. o dominio já abre, porém ao invés do Emby, aparece essa mensagem do nginx: 

400 Bad Request

No required SSL certificate was sent

---

nginx/1.14.2

[kirkj 9]

São três arquivos de certificados a serem copiados no seu servidor e configurados no block server do Nginx. Você fez os três?

ssl_certificate         /etc/ssl/cert.pem;
ssl_certificate_key     /etc/ssl/key.pem;
ssl_client_certificate /etc/ssl/cloudflare.crt;

No painel de seu domínio na Cloudflare, em SSL/TLS, na aba Servidor de Origem, deixe a opção "Pulls de origem autenticados" ativada.

Após fazer isso, e se a página de testes carregar normalmente via https, você poderá incluir o bloco de redirecionamento do Emby:

location / {
                proxy_pass http://127.0.0.1:8096; # Local emby ip and non SSL port

                proxy_hide_header X-Powered-By;
                proxy_set_header Range $http_range;
                proxy_set_header If-Range $http_if_range;
                proxy_set_header X-Real-IP $remote_addr;
                proxy_set_header Host $host;
                proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

                #Next three lines allow websockets
                proxy_http_version 1.1;
                proxy_set_header Upgrade $http_upgrade;
                proxy_set_header Connection "upgrade";
        }

[Alexwerilles 3]

Just now, kirkj said:

São três arquivos de certificados a serem copiados no seu servidor e configurados no block server do Nginx. Você fez os três?

ssl_certificate         /etc/ssl/cert.pem;
ssl_certificate_key     /etc/ssl/key.pem;
ssl_client_certificate /etc/ssl/cloudflare.crt;

No painel de seu domínio na Cloudflare, em SSL/TLS, na aba Servidor de Origem, deixe a opção "Pulls de origem autenticados" ativada.

Após fazer isso, e se a página de testes carregar normalmente via https, você poderá incluir o bloco de redirecionamento do Emby:

location / {
                proxy_pass http://127.0.0.1:8096; # Local emby ip and non SSL port

                proxy_hide_header X-Powered-By;
                proxy_set_header Range $http_range;
                proxy_set_header If-Range $http_if_range;
                proxy_set_header X-Real-IP $remote_addr;
                proxy_set_header Host $host;
                proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

                #Next three lines allow websockets
                proxy_http_version 1.1;
                proxy_set_header Upgrade $http_upgrade;
                proxy_set_header Connection "upgrade";
        }

Sim, eu fiz o 3 e "Authenticated Origin Pulls" está ativada

[Alexwerilles 3]

vou gerar um novo certificado

[Alexwerilles 3]

Pronto. Agora está funcionando perfeitamente. em SSL, mudei de Full (strict) para Full, depois coloquei Full (strict) de volta.

Correção: Parou de funcionar quando eu mudei para Full (strict). Só funciona em Full agora.

De qualquer forma, muito obrigado kirkj!

Edited September 11, 2020 by Alexwerilles

[kirkj 9]

Fico feliz que deu certo.

Até a próxima.

[Alexwerilles 3]

Foi bom enquanto durou rs.

 

Estava funcionando muito bem, porém fui ver agora e voltou a aparecer aquela mensagem.

 

400 Bad Request

No required SSL certificate was sent

---

nginx/1.14.2

[Alexwerilles 3]

Pronto, consegui resolver. Era problema com o "Authenticated Origin Pulls", mesmo estando ativado, estava constando como desativado. Era um problema ontem com a Cloudflare. Agora normalizou.