Jellyfin für Familienserver via Internet

[TechGeek]

Hallo zusammen

Möchte mein Videoarchiv unserer privaten Videos meinem Familien und Freundeskreis übers Internet zugänglich machen. Dazu bin ich bei Jellyfin gelandet, welches mir auch von der Bedienung her sehr zusagt. (Plex und Emby scheiden wegen diverser Kriterien grundsätzlich aus.)

Die Einrichtung mittels DynDns und Port Weiterleitung sind mir klar, jedoch kommen mir hier eben Sicherheitsbedenken wegen der offenen Ports. Hier käme das Thema Reverse Proxy ins Spiel. Mit dem Thema kenne ich mich aber noch nicht so aus. Welcher wäre hier zu empfehlen?

VPN geht nicht, viel zu umständlich für die Clients zum konfigurieren und bedienen.

Dann die Frage nach dem Gerät auf dem Jellyfin und Reverse Proxy laufen sollen. Momentan habe ich für mein lokales Archiv einen alten MacMini Late 10 mit SMB Freigabe für Infuse auf dem ATV. Jellyfin läuft auf dem nicht mehr. Ok, via OCLP brächte man es vielleicht hin, aber ob das noch sinnvoll ist? Sollen Jellyfin und der Reverse Proxy auf dem gleichen Gerät laufen, oder besser getrennt? (Hätte noch nen Raspi 3 rumliegen…)

Danke für die Einschätzungen.

 

[MarioHannawald]

Ich kann dir leider nur sagen, wie das bei Plex funzt, aber das wird bei JF vermutlich nicht viel anders sein. Du gibst ja keinen Port frei, sondern leitest einen Port vom Router zum entsprechenden Rechner weiter. Ähnlich einer Telefonzentrale, wenn du bei Firma Gas Wasser Scheiße Röhrich über 0815/4711-0 anrufst, sich die Sekretöse meldet, du sagst, du würdest gerne meister Röhrich sprechen und dich die Dame dann an den Chef auf Leitung -13 durchstellt. Die Durchwahl erfährst du als Anrufer nicht, aber du kannst ihn trotzdem sprechen (wenn das falsch sein sollte, korrigiert mich bitte).

So ähnlich läuft das bei Plex auch. Du konfigurierst deinen Router einfach so, dass er alle Anfragen an Port 32400 (ist glaub ich der Plex standardport) an Port 32400 auf Gerät 192.168.1.111 (die IP des Rechners, auf dem der Server läuft) weiterleitet.

Die Benutzerverwaltung selber nimmt dann Plex bzw JF vor. Bei Plex kannst du bspw Benutzer per Email oder über ihren Plex-Usernamen anlegen und diesen dann entsprechende Bibliotheken freigeben etc.

Das ist bei JF sicher nicht anders

 

[MarioHannawald]

PS: für Freigaben via Internet wäre dann aber evtl doch ein modernerer Mac sinnvoll, speziell wenn die Streams transkodiert werden sollen. Da macht dann bspw ein Mac Mini M1 Sinn, weil der nicht nur sehr sparsam, geräuschlos und leistungsstark ist, sondern weil zumindest Plex Transcodierung per Hardware bietet, also per GPU. Zumindest mit dem Plex Pass.

 

[MarioHannawald]

PPS: für private Videos hab ich übrigens extra Emby laufen, weil ich die Kapitelvorschauen da sehr vorteilhaft finde. Plex nutze ich dagegen für Kinofilme und Serien, also alles, was via IMDB/TMDB & Co. Mit Daten und Grafiken ergänzt wird. Außerdem ist Plexamp meine Ausfallsicherung für roonARC

Welche Gründe waren es denn, die dich zu JF geführt haben? Was kann das besser? So rein interessehalber?

 

[JARVIS1187]

Jellyfin ist eine schöne Sache.

Grundsätzlich solltest du sowas maximal über ein VPN (Wireguard ist sehr sehr gut und kostenlos) machen. Portfreigaben (es bleibt meist auch nicht nur bei einer) sind schnell via Portsniffer gefunden und dann gehen Attacken gerne schnell mal los.
Alle ins gleiche VPN packen und der Spaß kann losgehen. Dabei seid ihr dann nicht einmal nur auf Jellyfin beschränkt, sondern könnt auch z.B. problemlos Dateien austauschen. Fritzboxen z.B. unterstützen Wireguard auch schon nativ. Zur Konfiguration lädst du ihr das Profil hoch und man ist drin.

Wireguard würde ich aber dann grundsätzlich lieber über den Pi laufen lassen, der 3er sollte dafür locker ausreichen.
Für Jellyfin kann aber ggf. der Mini, den du da hast, als Server nicht ausreichen. Je nach Abspielgerät wird das Video vor der Übertragung live konvertiert, also umgewandelt und das braucht dann schon einige Rechenressourcen.

 

[MarioHannawald]

Nachdem ich jetzt gesehen habe, dass Jellyfin auch eBooks (ePub und PDF) verwalten kann, hab ich mir den Server mal gezogen (bei miesester DL-Geschwindigkeit) und aufgesetzt. Schön, klar. Vor-/Nachteile zu Plex bis auf die eBook-Verwaltung konnte ich bisher noch nicht erkennen (schau mir das aber mal an), bin aber direkt auf ein anderes Problem gestoßen: bisher hab ich meine ganzen eBooks alle in der iCloud und via Apples Bücher-App verwaltet. Die wollte ich jetzt in einen Ordner auf dem Server kopieren und genau DA hakt es jetzt! Das funktioniert nämlich offenbar gar nicht

Jemand ne Idee, wie ich die ganzen eBooks auf den Rechner kriege?

 

[tocotronaut]

Ich habe Jellyfin letztens auch für Ebooks geladen.
Mal sehen was das bringt.

 

[TechGeek]

Welche Gründe waren es denn, die dich zu JF geführt haben? Was kann das besser? So rein interessehalber?

Für das Thema hier eigentlich nicht wichtig, weil es grundlegende Fragen sind, die bei allen Server Anwendungen gleich oder ähnlich sind. Trotzdem, weil open source und von einem Drittanbieter unabhängig (kein Konto usw...).

Grundsätzlich solltest du sowas maximal über ein VPN (Wireguard ist sehr sehr gut und kostenlos) machen. Portfreigaben (es bleibt meist auch nicht nur bei einer) sind schnell via Portsniffer gefunden und dann gehen Attacken gerne schnell mal los.
....

VPN scheidet aus, das richten die Clients nie ein (weil sie es nicht können) und die haben sicher auch keine Fritzbox sondern nur den Standard-Router von ihrem Provider. Ausserdem will ich ja nicht, dass die dann ständig in meinem Netzwerk surfen...

Deshalb bin ich auf das Thema Reverse Proxy gestossen. Nur kenne ich das noch nicht wirklich und war gespannt ob das hier jemand kennt und aus Erfahrungen berichten kann.

 

[bowman]

Deshalb bin ich auf das Thema Reverse Proxy gestossen. Nur kenne ich das noch nicht wirklich und war gespannt ob das hier jemand kennt und aus Erfahrungen berichten kann.

...ich habe etliche Jahre lang mehrere Webdienste hinter einem Reverse Proxy auf lokalen Servern / NAS betrieben. Ein Reverse Proxy ist sinnvoll, wenn man zwei Dinge erreichen will:

1. Netzwerktrennung: Der Proxy und die Webserver will man normalerweise in unterschiedlichen Netzen haben, mit einer dedizierten Firewall dazwischen. Für den Heimbetrieb ist das meist nicht wirklich praktikabel, dort läuft es meist darauf hinaus das der RP und die Server in unterschiedlichen VMs oder Docker-Containern laufen, dort verbunden durch Docker-lokale Netze.

2. Mehrere Dienste über den selben Port: Z.B. mehrere Webdienste die per https über 443 erreicht werden sollen.

Anleitungen gibts en masse im Netz, bei gerennten Maschinen / Netzen ist die Konfiguration des Reverse Proxy-Teils in der vhost-Konfiguration des Proxy im Grunde ein Zweizeiler.

Bezogen auf deinen Jellyfin-Fall: Da Jellyfin ohnehin per docker-compose läuft, nimm einen Reverse Proxy der ebenfalls damit läuft. Ich hatte immer diesen genutzt: https://github.com/nginx-proxy/nginx-proxy

Hier gibt es eine ganz brauchbare Anleitung: https://sitegeist.de/blog/typo3/docker-compose-setup-mit-nginx-reverse-proxy

Allerdings sollte man dazu ein paar Kenntnisse zu docker-compose mitbringen.

Meine Empfehlung: Ich würde Jellyfin nur hinter einem VPN betreiben, einfach weil ich der Netzwerksicherheit von JF nicht traue (ich glaube das empfehlen sogar die Entwicker). Falls doch per Reverse Proxy: Auf keinem Fall dann JF auf einer Maschine betreiben, auf der noch andere Dienste mit vertraulichen Daten laufen, Docker hin oder her (oder besser gleich getrennte Netze mit einer FW dazwischen). Die VPN-Lösung ist bei weitem besser, zumal man ja den Clients die darüber reinkommen ja per Router-FW den Internetzugang abdrehen kann, dann surfen die auch nicht über dein Netz. Wenn die allerdings unwillens oder unfähig sind die Filmchen über einen Wireguard-tauglichen Client zu gucken, dann würde ich die höflich vor der Tür stehen lassen...