Immich sichere Internet Freigabe - Eine praktische Anleitung

Immich sichere Internet Freigabe, dieser Beitrag zeigt, wie Sie Ihre private Immich-Fotoplattform sicher über das Internet zugänglich machen – für Sie selbst mit Passwortschutz UND für Familie & Freunde über teilbare Links. Die Lösung basiert auf Cloudflare Tunnel und erfordert keine komplizierten Router-Einstellungen oder eigene Reverse-Proxy-Konfiguration.

Video: Immich sichere Internet Freigabe – Eine praktische Anleitung

Sprache: 🇩🇪|🇬🇧
☝️ Benutze YouTube Untertitel für alle Sprachen.

Cloudflare Tunnel Einrichtung

Voraussetzungen

Eine Domain, die von Cloudflare verwaltet wird
Docker-Umgebung mit laufendem Immich
Cloudflare Konto (kostenlos)

Tunnel mit zwei Subdomains einrichten

1. Tunnel in Cloudflare anlegen

Im Cloudflare Dashboard zu Zero Trust > Networks > Tunnels
Neuen Tunnel erstellen (Typ: Cloudflared)
Token notieren

2. Docker-Compose um Tunnel erweitern

services:
  # ... Ihre bestehenden Immich-Services ...

  cloudflared:
    container_name: cloudflared
    image: cloudflare/cloudflared:latest
    depends_on:
      - immich-server
    restart: always
    networks:
      - immich_default
    environment:
      - TUNNEL_TOKEN=IHR_TOKEN_HIER
    # command: tunnel --no-autoupdate run

networks:
  immich_default:
    external: true

3. Zwei öffentliche Hostnamen konfigurieren

Im Tunnel-Dashboard zwei Public Hostnames anlegen:

Subdomain	Zweck	Zugriffsschutz
fotos.ihre-domain.de	Admin-Bereich & eigene Nutzung	✅ Cloudflare Access (E-Mail-PIN)
share.ihre-domain.de	Öffentliche Share-Links	❌ Kein zusätzlicher Schutz

Beide zeigen auf den gleichen internen Service: http://immich-server:2283

4. Access Policy für Admin-Bereich

In Zero Trust > Access > Applications eine neue Application für fotos.ihre-domain.de erstellen
Policy-Typ: „Email“ (E-Mail-PIN)
Zugelassene E-Mail-Adressen hinterlegen (z.B. Familienmitglieder)
Wichtig: Für share.ihre-domain.de keine Application anlegen

Alternative: Klassischer Reverse Proxy

Falls Sie keinen Cloudflare Tunnel nutzen möchten, können Sie Immich auch über einen eigenen Reverse Proxy (z.B. Nginx Proxy Manager, Caddy oder Traefik) freigeben. Vorteil: Kein 100 MB Upload-Limit. Nachteil: Sie müssen Ports in der Firewall freigeben und SSL-Zertifikate selbst verwalten.

Sicherheitstechnik verstehen

Zwei getrennte Zugangswege

Internet
    │
    ├─→ share.ihre-domain.de ──→ Cloudflare Tunnel ──→ Immich (öffentliche Links)
    │      │
    │      └─→ Keine Hürde - Direkter Zugriff auf geteilte Inhalte
    │
    └─→ fotos.ihre-domain.de ──→ Cloudflare Tunnel ──→ Cloudflare Access
           │                                                │
           └─→ E-Mail-PIN erforderlich ←───────────────────┘
                                      └─→ Immich (Admin/Privat)

Warum diese Trennung?

fotos.ihre-domain.de: Durch Cloudflare Access (E-Mail-PIN) geschützt. Nur berechtigte Personen mit bestätigter E-Mail-Adresse kommen hier rein. Dies schützt Ihre gesamte Fotobibliothek, Admin-Funktionen und die Konfiguration.
share.ihre-domain.de: Hier landen alle öffentlichen Freigaben. Die Links sind bewusst nicht durch eine zusätzliche PIN-Hürde geschützt, damit Empfänger direkt die geteilten Fotos sehen können. Die Sicherheit liegt hier in den zufälligen, nicht erratbaren Links und den individuellen Link-Einstellungen.

Ein Extra Video mit detaillierter Einrichtung von Cloudflare findest du unter:

NAT? Deine WEB-Seite Hosten

Immich selbst absichern

Öffentliche Registrierung deaktivieren

Damit sich niemand ungefragt auf Ihrer Instanz anmelden kann:

In der .env-Datei (neben Ihrer docker-compose.yml):

DISABLE_PUBLIC_SIGNUP=true

Oder direkt in der docker-compose.yml:

services:
  immich-server:
    environment:
      - DISABLE_PUBLIC_SIGNUP=true
    # ... restliche Konfiguration

Nach dem Hinzufügen Container neu starten: docker compose up -d

Weitere sinnvolle Einstellungen

Standardmäßig keine neuen Benutzer: Legen Sie Accounts nur manuell für Familienmitglieder an
Passwortrichtlinie: In den Systemeinstellungen können Sie eine Mindestlänge für Passwörter festlegen

Share-Links richtig einsetzen

Link-Optionen in Immich

Beim Erstellen eines öffentlichen Links haben Sie viele Einstellungsmöglichkeiten:

Option	Beschreibung	Empfehlung
Ablaufdatum	Link wird automatisch ungültig	Für temporäre Freigaben setzen
Passwort	Zusätzlicher Schutz für den Link	Für sensible Alben verwenden
Download erlauben	Empfänger können Originale herunterladen	Nur bei Bedarf aktivieren
Metadaten anzeigen	EXIF-Daten (Ort, Kamera) sichtbar	Für Privatsphäre deaktivieren

Link-Sicherheit verstehen

Wie sicher sind die Links?
Immich generiert extrem lange, zufällige Zeichenketten (z.B. JUckRMxlgpo7F9BpyqGk_cZEwDzaU_U5LU5_oNZp1ETIBa9dpQ0b5ghNm_22QVJfn3k). Diese sind praktisch nicht erratbar. Ein Angreifer müsste Milliarden von Kombinationen durchprobieren – technisch unmöglich.

Links in sozialen Medien und Suchmaschinen

Das Risiko
Wenn Sie einen Share-Link öffentlich in einem Forum, auf Social Media oder einer Website posten, kann er von Suchmaschinen gefunden und indexiert werden. Google und Co. crawlen öffentliche Seiten und folgen allen Links.

So schützen Sie sich

Verwenden Sie für öffentliche Posts zusätzlich ein Passwort für den Link
Oder setzen Sie ein kurzes Ablaufdatum (z.B. 24 Stunden für Veranstaltungen)
Teilen Sie sensible Links nur direkt per E-Mail oder Messenger

Aber: Es kann auch sinnvoll sein!
Für Fotografen, Vereine oder öffentliche Veranstaltungen können indexierte Share-Links durchaus gewünscht sein. Wenn Sie möchten, dass Ihre geteilten Alben in Google gefunden werden, posten Sie den Link auf Ihrer Website oder in sozialen Medien – ganz wie Sie möchten.

Nutzung mit der Immich-App

Im Heimnetz: Die App findet Ihren Server automatisch
Von unterwegs: Geben Sie in den App-Einstellungen https://fotos.ihre-domain.de als Server-URL ein
Die App unterstützt den Cloudflare Access-Login (wird automatisch weitergeleitet)

Wichtige Einschränkung

Das 100 MB Upload-Limit des kostenlosen Cloudflare Tunnels:

Dateien über 100 MB (insbesondere Videos) können nicht hochgeladen werden
Betroffen ist nur der Upload – das Ansehen großer Videos funktioniert
Lösung: Upload nur im Heimnetz oder Wechsel zu einem klassischen Reverse Proxy

Fehlerbehebung

Problem	Mögliche Lösung
502 Bad Gateway	Container-Netzwerk prüfen: Läuft cloudflared im selben Netzwerk wie Immich?
E-Mail-PIN kommt nicht an	In Cloudflare Access die erlaubten E-Mails prüfen, Spam-Ordner checken
Share-Link funktioniert nicht	Liegt der Link auf der richtigen Subdomain (share.ihre-domain.de)?

Fazit

Mit dieser Lösung haben Sie:

✅ Sicheren Admin-Zugang über E-Mail-PIN
✅ Einfach teilbare Links für Familie & Freunde
✅ Keine Port-Freigaben im Router
✅ DDoS-Schutz durch Cloudflare
✅ Verschlüsselte Verbindung (HTTPS) automatisch inklusive

Die Kombination aus zwei Subdomains mit unterschiedlichen Schutzmechanismen ist der Schlüssel zu einer Lösung, die sowohl sicher als auch alltagstauglich ist.

Haben Sie Fragen oder Anregungen? Hinterlassen Sie gerne einen Kommentar!

Link zur Unterstützung / Spende für den Kanal
Wenn meine Beiträge hilfreich sind oder dir geholfen haben, würde ich mich über eine Unterstützung sehr freuen 🙏

PayPal Link
Überweisung, Bitcoin und Lightning

#Immich #Hosting #InternetFreigabe #ImmichSicherheit #FotoArchive