Cloudflare gebruiken met Lionserve hosting Afdrukken

Cloudflare kan worden gebruikt als externe DNS-provider, CDN en beveiligingslaag voor uw website. Dit kan nuttig zijn voor caching, bescherming tegen ongewenst verkeer en eenvoudiger DNS-beheer. Het is wel belangrijk dat DNS, SSL en e-mailrecords correct worden ingesteld.

In dit artikel leggen we uit waar u op moet letten als u Cloudflare gebruikt in combinatie met hosting van Lionserve.

Wat doet Cloudflare?

Cloudflare kan tussen bezoekers en uw hostingserver staan. Bezoekers maken dan verbinding met Cloudflare, waarna Cloudflare het verzoek doorstuurt naar de hostingserver.

Cloudflare kan onder andere worden gebruikt voor:

• DNS-beheer;
• caching van statische bestanden;
• beperken van ongewenst verkeer;
• SSL/TLS-afhandeling;
• basisbescherming tegen bepaalde aanvallen;
• snellere levering van statische bestanden via het Cloudflare-netwerk.

Cloudflare vervangt de hostingserver niet. De websitebestanden, database, e-mailaccounts en serverconfiguratie blijven op de hostingomgeving staan.

Belangrijk voordat u begint

Gebruik Cloudflare alleen als u begrijpt waar DNS wordt beheerd en welke records wel of niet via de Cloudflare-proxy mogen lopen. Een verkeerde instelling kan zorgen voor problemen met website, SSL of e-mail.

Controleer vooraf:

• waar de domeinnaam geregistreerd is;
• welke nameservers momenteel actief zijn;
• welke DNS-records nu bestaan;
• waar e-mail wordt gehost;
• of u Microsoft 365, Google Workspace of andere externe diensten gebruikt;
• welk IP-adres bij uw hostingpakket hoort;
• of SSL op de hostingomgeving goed werkt.

Cloudflare gebruikt eigen nameservers

Als u Cloudflare gebruikt als DNS-provider, wijzigt u meestal de nameservers van uw domeinnaam naar de nameservers van Cloudflare. Vanaf dat moment beheert u DNS in het Cloudflare-dashboard.

DNS-wijzigingen in DirectAdmin worden dan niet automatisch gebruikt. U moet DNS-records aanpassen in Cloudflare zolang de domeinnaam Cloudflare-nameservers gebruikt.

Controleer daarom altijd waar de actieve nameservers staan voordat u DNS wijzigt.

DNS-records controleren voordat u Cloudflare activeert

Cloudflare probeert bestaande DNS-records vaak automatisch te detecteren. Controleer deze records altijd handmatig voordat u de nameservers wijzigt. Een gemist of verkeerd record kan ervoor zorgen dat website, e-mail of externe koppelingen niet goed werken.

Controleer minimaal:

• A-record voor het hoofddomein;
• A- of CNAME-record voor www;
• MX-records voor e-mail;
• TXT-records zoals SPF, DKIM en DMARC;
• verificatierecords van Microsoft, Google, Mailchimp of andere diensten;
• subdomeinen zoals mail, cpanel, directadmin, webmail, shop of app als die worden gebruikt.

Pas de nameservers pas aan als u zeker weet dat de DNS-zone in Cloudflare volledig genoeg is.

Proxy-status: proxied of DNS only

In Cloudflare kan een DNS-record op Proxied of DNS only staan. Dit is een belangrijk verschil.

• Proxied: webverkeer loopt via Cloudflare.
• DNS only: Cloudflare geeft alleen DNS-informatie terug en stuurt het verkeer niet via de Cloudflare-proxy.

Cloudflare adviseert om A-, AAAA- en CNAME-records die webverkeer bedienen te proxyen. Records die voor andere doelen worden gebruikt, zoals verificatie of mailgerelateerde hostnames, moeten meestal niet via de proxy lopen.

Welke records mogen via Cloudflare?

Voor normale websites kunnen deze records vaak op Proxied staan:

• uwdomein.nl
• www.uwdomein.nl

Dit geldt alleen als deze records webverkeer bedienen en de website correct werkt via Cloudflare.

Welke records moeten DNS only blijven?

Mailrecords en technische hostnames moeten meestal op DNS only blijven. Dit voorkomt problemen met e-mail, mailclients en serververbindingen.

Laat deze records meestal op DNS only staan:

• mail.uwdomein.nl
• MX-records
• SPF-records
• DKIM-records
• DMARC-records
• autodiscover- of autoconfig-records als die worden gebruikt
• verificatierecords van externe diensten
• FTP-, SSH- of serverhostnames als die direct naar de hostingserver moeten verwijzen

Het MX-record zelf loopt niet via de Cloudflare-proxy, maar de hostname waar het MX-record naar verwijst moet ook correct bereikbaar zijn. Cloudflare adviseert bij mailproblemen om de mailgerelateerde hostname op DNS only te zetten.

E-mail en Cloudflare

Cloudflare is geen vervanging voor uw mailserver. Als u e-mail via Lionserve gebruikt, moeten de MX-records en mailhostnames correct blijven verwijzen naar de mailomgeving.

Controleer bij e-mail via Lionserve minimaal:

• of het MX-record naar de juiste mailserver verwijst;
• of mail.uwdomein.nl op DNS only staat;
• of SPF correct is ingesteld;
• of DKIM-records aanwezig zijn;
• of DMARC aanwezig is als u dit gebruikt;
• of mailprogramma's nog verbinding kunnen maken met IMAP en SMTP.

Gebruikt u Microsoft 365, Google Workspace of een andere externe maildienst, wijzig dan niet zomaar de MX-records. Die moeten naar de externe maildienst blijven verwijzen.

SSL-instellingen in Cloudflare

Cloudflare heeft eigen SSL/TLS-instellingen. Omdat Cloudflare tussen de bezoeker en de hostingserver kan staan, zijn er twee verbindingen belangrijk: de verbinding van bezoeker naar Cloudflare en de verbinding van Cloudflare naar de hostingserver.

Gebruik bij voorkeur een instelling waarbij ook de verbinding tussen Cloudflare en de hostingserver via HTTPS loopt. Cloudflare adviseert waar mogelijk Full of Full (strict) te gebruiken.

Full (strict) is de netste optie als er een geldig SSL-certificaat op de hostingserver actief is. Bij Lionserve kunt u normaal een SSL-certificaat via DirectAdmin aanvragen.

Gebruik Flexible SSL bij voorkeur niet. Daarbij is de verbinding tussen bezoeker en Cloudflare wel HTTPS, maar de verbinding tussen Cloudflare en de hostingserver niet. Dit kan verwarrende situaties, redirect-loops of onvolledige beveiliging veroorzaken.

Redirect-loops voorkomen

Een redirect-loop ontstaat wanneer browser, Cloudflare, de hostingserver of de website elkaar blijven doorsturen tussen HTTP en HTTPS.

Veelvoorkomende oorzaken zijn:

• Cloudflare staat op Flexible SSL terwijl de website HTTPS forceert;
• de website forceert HTTPS, maar SSL op de hostingserver werkt niet goed;
• er staan meerdere HTTPS-redirects in CMS, plugin en .htaccess tegelijk;
• WordPress heeft nog een oud HTTP-adres ingesteld;
• Cloudflare Page Rules of Redirect Rules sturen verkeer verkeerd door.

Controleer bij redirectproblemen eerst de SSL-modus in Cloudflare en of SSL op de hostingserver correct werkt.

Caching in Cloudflare

Cloudflare kan statische bestanden cachen, zoals afbeeldingen, CSS en JavaScript. Dat kan de laadtijd verbeteren en verkeer naar de hostingserver verminderen.

Houd er rekening mee dat caching ook verwarring kan veroorzaken. Na een wijziging aan de website kan Cloudflare tijdelijk nog een oude versie tonen.

Heeft u iets aangepast en ziet u de wijziging niet? Leeg dan eerst de cache van uw website of CMS en daarna eventueel de cache in Cloudflare.

Cloudflare ondersteunt verschillende manieren om cache te wissen, waaronder specifieke bestanden of de volledige cache. Gebruik bij voorkeur gericht wissen als u weet welk bestand is aangepast. Alles wissen kan tijdelijk extra verkeer naar de hostingserver veroorzaken.

Development Mode

Bij werkzaamheden aan een website kan Cloudflare Development Mode nuttig zijn. Daarmee wordt caching tijdelijk grotendeels omzeild, zodat wijzigingen sneller zichtbaar zijn.

Gebruik dit alleen tijdelijk tijdens werkzaamheden. Zet caching daarna weer normaal terug.

Firewall, securityregels en blokkades

Cloudflare kan verkeer blokkeren of uitdagen met beveiligingsregels. Dat kan nuttig zijn, maar kan ook normale bezoekers, beheerders of API-koppelingen raken als regels te streng staan.

Controleer Cloudflare-regels als:

• u niet meer kunt inloggen in WordPress of een CMS;
• formulieren niet meer werken;
• API-koppelingen foutmeldingen geven;
• bezoekers uit bepaalde landen de website niet kunnen openen;
• u 403-meldingen of challenge-schermen ziet.

Pas beveiligingsregels zorgvuldig aan. Te strenge regels kunnen supportproblemen veroorzaken.

Real IP en bezoekers-IP’s

Als webverkeer via Cloudflare loopt, ziet de hostingserver technisch verkeer vanaf Cloudflare. Afhankelijk van de serverconfiguratie kan het oorspronkelijke bezoekers-IP via headers worden doorgegeven.

Dit kan relevant zijn voor logging, beveiligingsplugins, rate limiting en statistieken. Neem contact op met Lionserve als u vermoedt dat bezoekers-IP’s niet goed worden verwerkt.

Cloudflare tijdelijk uitschakelen

Bij troubleshooting kan het nuttig zijn om Cloudflare tijdelijk te omzeilen. Dit kan vaak door een record van Proxied naar DNS only te zetten.

Doe dit alleen bewust. Als u de proxy uitschakelt, loopt webverkeer direct naar de hostingserver en zijn Cloudflare-caching en bepaalde Cloudflare-beveiligingsfuncties tijdelijk niet actief.

Veelvoorkomende fouten

• DNS aanpassen in DirectAdmin terwijl Cloudflare de actieve nameservers beheert.
• Mailhostnames zoals mail.uwdomein.nl op Proxied zetten.
• MX-records wijzigen terwijl e-mail via een externe maildienst loopt.
• Flexible SSL gebruiken terwijl de website zelf HTTPS forceert.
• Niet controleren of SSL op de hostingserver zelf goed werkt.
• Cloudflare-cache niet legen na wijzigingen.
• Te strenge firewallregels instellen.
• Vergeten om www correct in te stellen.

Wat moet u niet doen?

• Wijzig geen nameservers naar Cloudflare zonder eerst alle DNS-records te controleren.
• Zet mailrecords niet via de Cloudflare-proxy.
• Gebruik Flexible SSL niet als standaardoplossing.
• Verwijder geen SPF-, DKIM-, DMARC- of verificatierecords zonder te weten waarvoor ze dienen.
• Schakel niet meerdere redirectregels tegelijk in zonder te testen.
• Maak firewallregels niet strenger dan nodig.

Wat kunt u zelf controleren?

• Gebruikt uw domeinnaam Cloudflare-nameservers?
• Zijn alle bestaande DNS-records correct overgenomen in Cloudflare?
• Staan webrecords zoals uwdomein.nl en www goed?
• Staat mail.uwdomein.nl op DNS only?
• Staan MX-, SPF-, DKIM- en DMARC-records correct?
• Welke SSL/TLS-modus gebruikt Cloudflare?
• Werkt SSL ook rechtstreeks op de hostingserver?
• Is Cloudflare-cache geleegd na recente wijzigingen?
• Zijn er firewallregels die normale bezoekers of beheerders blokkeren?

Wanneer contact opnemen?

Neem contact op met Lionserve als uw website of e-mail niet goed werkt na het inschakelen van Cloudflare, of als u twijfelt welke DNS-records nodig zijn.

Vermeld daarbij altijd:

• De domeinnaam waarbij het probleem speelt.
• Of Cloudflare-nameservers actief zijn.
• Welke DNS-records op Proxied staan.
• Welke DNS-records op DNS only staan.
• Welke SSL/TLS-modus in Cloudflare is ingesteld.
• Of het probleem speelt met website, e-mail of beide.
• Of u recent DNS, SSL, caching of firewallregels heeft aangepast.
• Een screenshot van de relevante Cloudflare DNS- en SSL-instellingen, indien mogelijk.

Deel geen wachtwoorden, API-tokens of geheime sleutels. Voor DNS- en SSL-controle zijn meestal alleen domeinnaam, recordwaarden en instellingen nodig.

Wat kan Lionserve controleren?

Lionserve kan controleren welke DNS-records publiek zichtbaar zijn, of de hostingomgeving correct reageert, of SSL op de hostingserver werkt en of er hostinggerelateerde foutmeldingen zichtbaar zijn.

Als DNS, proxyregels, firewallregels of caching binnen Cloudflare verkeerd zijn ingesteld, moet dit in het Cloudflare-account worden aangepast. Lionserve kan aangeven waar het probleem waarschijnlijk zit, maar heeft zonder toegang tot uw Cloudflare-account geen directe controle over die instellingen.

Gerelateerde artikelen

• DNS uitgelegd: A-records, CNAME, MX, SPF en TTL
• DNS wijzigen bij externe nameservers
• DNS-records beheren in DirectAdmin
• SSL-certificaat installeren of vernieuwen in DirectAdmin
• Waarom komt mijn e-mail in de spam terecht?
• Performance problemen oplossen