CasaOS / ZimaOS Jellyfin : Transcodage et sécurité

[Machin-Truc]

Bonjour,

Après avoir déployé Jellyfin sur ZimaOS, je souhaite réglé un soucis et sécuriser l'ensemble en accès distant.

Question :
Pourquoi Jellyfin veut absolument transcoder sur le LAN alors que tous mes appareils lisent le HEVC ? (J'ai déjà tenté de stopper l'encodage dans les paramètres utilisateur mais sans succès total).

Sécuriser :

1. Quelle est la meilleure stratégie pour sécuriser l'accès extérieur ?
2. Où trouver des tutos détaillés en français qui permettent de comprendre ce que l'on fait ? (La docs officielle ne détaille pas l'utilisation de cerbot et c'est évidemment tout en anglais)
3. On m'a déjà recommandé d'utiliser un DDNS, mais pour moi ça n'est pas une mesure de sécurité.

Déjà réalisé :

• Redirection de ports dans le routeur
• Connexion du serveur à travers un client VPN à IP publique (Le client est intégré au routeur).
• Règles dans le firewall du routeur pour le port HTTPS de Jellyfin (8921).

Merci par avance pour les idées.

 

[FX Cachem]

Quelle est la meilleure stratégie pour sécuriser l'accès extérieur ?

Mettre en place un serveur VPN sur ton routeur/box ou un autre appareil de ton réseau. Il faut également un firewall, sur ton routeur/box et sur ton NAS.

On m'a déjà recommandé d'utiliser un DDNS, mais pour moi ça n'est pas une mesure de sécurité.

Le DDNS n'a rien de sécuritaire

Connexion du serveur à travers un client VPN à IP publique (Le client est intégré au routeur).

Si j'ai bien compris, ta connexion Internet passe par un VPN (type NordVPN), cela n'apporte aucune sécurité

Règles dans le firewall du routeur pour le port HTTPS de Jellyfin (8921).

Cela me semble pas mal, à condition que le firewall bloque toutes les autres connexions

 

[falcom]

Bonjour,

Pour le transcodage, le flux video n'est pas le seul responsable, la piste audio peut jouer aussi AC3 ou E-AC3, ainsi que les sous titre, surtout ceux en AAC.

 

[Machin-Truc]

Mettre en place un serveur VPN sur ton routeur/box ou un autre appareil de ton réseau. Il faut également un firewall, sur ton routeur/box et sur ton NAS

Salut et merci pour tes informations qui confirment plusieurs choses.
Question :
Pour un utilisateur lambda qui veut accéder à l'un des services diffusés par le serveur, il continue de saisir l'adresse DDNS qui pointe vers le serveur VPN, c'est bien ça ? Le serveur VPN dirige ensuite le flux vers le port du serveur en fonction du service visé, c'est cela ?
Est-ce simple depuis un navigateur ou une application, ou cela demande-t-il des logiciels particuliers en plus sur le client ? J'avais cru comprendre qu'il fallait installer Wireguard sur les clients.

Côté firewall (Sur le routeur), 3 ou 4 ports sont ouverts. Le reste est filtré avec une application Trend micro qui scanne ce qui entre et sort.

Autre point sécu pour Jellyfin et qui me servira pour d'autres services : As-tu un tutoriel correct en français pour créer des certificats ? Ca fait des années que je n'ai pas eu à en créer et tout ce que je trouve aujourd'hui est en anglais. Merci d'avance

 

[Machin-Truc]

Pour le transcodage, le flux video n'est pas le seul responsable, la piste audio peut jouer aussi AC3 ou E-AC3, ainsi que les sous titre, surtout ceux en AAC.

Salut,
Merci pour l'info. Ca ne règle pas le soucis dans la mesure où j'ai désactivé ce satané transcodage. Il n'est plus censé se faire alors qu'il est totalement inutile sur tous les appareils testés.
Si je place une CG, est-ce que ça peut aider avec 2 ou 3 flux simultanés pour la famille ? Là, même 1 flux met mon vieux Xeon à genoux et limite considérablement le serveur.
Ou faut-il passer par des plugins sur les navigateurs pour que Jellyfin laisse le transcodage au client ?

 

[FX Cachem]

Effectivement, le VPN peut nécessiter une application supplémentaire. Ma préférence va à Wireguard, mais il en existe bien d’autres.

La partie VPN serveur peut s'installer sur un routeur, un Raspberry Pi, un NAS... ou via Docker.
Côté client, l'application est compatible Windows, macOS, Linux... mais aussi Android et iOS. Le VPN va créer un réseau privé entre le périphérique (lorsqu'il est utilisé à l'extérieur) et ton domicile. Le paramétrage est assez simple, par un fichier ou un QR Code. Sans le VPN, impossible de rentrer chez toi... Ensuite, c'est comme si tu étais à ton domicile.
Il est possible de mettre un domaine (DDNS) pour l'accès au VPN. Après, depuis Jellyfin client, tu mets le nom de la machine et le port... ou l'adresse IP locale (et le port).
Il faut voir le VPN comme une porte d'entrée à ton domicile. Sans la clé, impossible de franchir la porte. Ensuite, je te conseille de garder les systèmes d'authentification classiques (identifiant + mot de passe) ou avec de l'authentification 2FA. Tout est possible.

Certains préfèrent utiliser Tailscale. C'est un VPN (gratuit pour un usage perso), mais tu passes par un tiers de confiance et la création d'un compte. Il est basé sur Wireguard et la configuration est beaucoup plus simple. Tailscale peut être installé directement sur le NAS... et tu peux piloter facilement les clients. Pas de routage à faire, de domaine à gérer et/ou de maintenance.

Autre point sécu pour Jellyfin et qui me servira pour d'autres services : As-tu un tutoriel correct en français pour créer des certificats ? Ca fait des années que je n'ai pas eu à en créer et tout ce que je trouve aujourd'hui est en anglais. Merci d'avance

Le certificat, c'est pour faire du HTTPS avec Jellyfin ? Si c'est le cas, tu as par exemple Let's Encrypt (gratuit), que tu gères au niveau du nom de domaine.

 

[Machin-Truc]

Le paramétrage est assez simple, par un fichier ou un QR Code

Certes, le QR code est bien pratique... quand on sait ce que l'on doit paramétrer avant d'en arriver là
Après moultes lectures de tutoriels affirmant tous que c'est simple... bah y'a dû y avoir un truc qui semble évident à tout le monde mais pas à moi... vu que ça ne fonctionne pas.
Je vais remonter d'une étape...
Quand tu crées un serveur VPN pour sécuriser un accès. Celui-ci te donne accès à ton LAN si j'ai bien suivi. Or, je ne veux pas accéder à tout le LAN (On est plusieurs sur la ligne), mais uniquement à mon serveur sur lequel les services sont mis en contener.
Et là vient la question bête pour laquelle aucun tuto n'est clair, ou simplement ne la pose pas : Par où accéder (Navigateur ?) et quelle est la syntaxe de base de l'adresse IP ?

J'ai testé depuis un navigateur :

• IP fournies par mon FAI
• IP en 10.5.0.2 du serveur VPN
• IP Cyberghost
• IP LAN (Au cas où l'appli Wireguard me connecte directement à mon LAN)

Rien ne fonctionne. Pire, Instant Guard ne fait éta d'aucune connexion au routeur malgré que l'appli de mon smartphone ne renvoie pas d'erreur.

J'ai tant cherché que j'ai le cerveau qui ressemble à de la soupe. Voici une capture d'écran d'AsusWRT. Je suis sur un TUF AX5400, ServerVPN avec les paramètres par défaut sur les deux images. Si tu t'y retrouves, je veux bien de l'aide ^^. Par avance merci.

 

[FX Cachem]

Si c'était si simple, il n'y aurait pas de tutoriel, pas de forum, etc. Je ne dirai pas que monter un serveur VPN est le plus complexe à mettre en place, mais il fait parti de ceux qui sont exigeant.

Quand tu crées un serveur VPN pour sécuriser un accès.

Oui

Celui-ci te donne accès à ton LAN si j'ai bien suivi. Or, je ne veux pas accéder à tout le LAN (On est plusieurs sur la ligne), mais uniquement à mon serveur sur lequel les services sont mis en contener.

Par défaut, il y a un accès à tout le LAN... cependant, il est possible dans la configuration "client" et "serveur" de limiter les machines. J'en parlais dans cet article VPN WireGuard – Sécuriser l’accès aux machines (serveur, PC, imprimante…). Je ne sais pas si cela peut t'aider à comprendre... je pense (mais cela reste à confirmer) que tu as un wireguard natif et que tu pourras faire la même chose. L'interface AsusWRT semble vraiment bien, mais incomplète. il faudra peut-être passer par des lignes de commande à taper...

J'ai testé depuis un navigateur :

• IP fournies par mon FAI
• IP en 10.5.0.2 du serveur VPN
• IP Cyberghost
• IP LAN (Au cas où l'appli Wireguard me connecte directement à mon LAN)

Il faut absolument que tu coupes toute connexion tierce qui pourrait te gêner... comme par exemple Cyberghost au moins pendant les premiers réglages. Ensuite, il faut passer par le client Wireguard sur ton PC ou smartphone déconnecté de ton réseau chez toi (en 4G/5G ou un autre réseau). L'adresse IP à utilisée, c'est celle de ton FAI... et il faut qu'il y ait un redirection du port par défaut pour WireGuard est 51820 (UDP) vers ton routeur. Je n'ai pas ta configuration réseau et ne sait pas comment est branché ton AX5400 par rapport à ta box du FAI.
Il n'y a pas d'interface Web côté client.

 

[Machin-Truc]

Je n'ai pas ta configuration réseau et ne sait pas comment est branché ton AX5400 par rapport à ta box du FAI.

Merci pour tes précisions. Entre tes explications et un coup de pouce bienvenu d'un proche qui bosse sur OpenVPN, ça roule !!

Côté config du routeur, il n'y a plus de box. Le routeur est directement sur l'ONT et j'ai cloné l'adresse MAC de la box. Je tourne comme ça depuis 5 ans en IPv4 FULL STACK pour faire tourner les clients VPN.
TV et téléphonie sont laissés de côté.
J'ai une plage d'IP de 30 adresses en LAN sur DHCP, fixées par adresses MAC, et un filtrage WiFi.

L'adresse par défaut en 10.6.0.1 ne fonctionnait (Timed out). Mais quand je mettais l'IP du serveur (NAS) en tunnel, j'avais un échange de quelques octets et une connexion refusée. Du coup j'ai mis une Ip semblable à mon réseau, mais en dehors de la plage DHCP du LAN que j'ai volontairement limité à 30 IP disponibles lors de la configuration de départ.
Là ça roule nickel tout en maintenant les deux clients CyberGhost sur le routeur (Que j'avais désactivé le temps des tests).

Ce qui fait que maintenant que cela tourne, je vais pouvoir déployer NextCloud et des outils de synchro mobile... mais ce seront de prochaines demande d'aide

Encore merci pour cet accès sécurisé.

@falcom Salut ;
Coté transcodage, j'ai réglé le souci en installant le client Jellyfin sur PC. Il prend le HEVC et autres codecs sans transcodage. Quand je passe par des navigateurs, le transcodage se met systématiquement en route. Le client étant très satisfaisant, je ne vais même pas chercher à savoir pourquoi les navigateurs me casse les pieds.