Bitwarden auf der Synology (Docker)

[geimist]

Docker-GUI ? Bitwarden-Container anklicken ? Button "Details" ? Protokoll

 

[update-freak]

danke. Hier ein Teil der log-Datei

 

[update-freak]

oder kann es z.B. auch daran liegen, dass ich auf dem Docker noch Pi-Hole am Laufen habe und dadurch die Icons geblockt werden?

 

[geimist]

Das kannst du doch leicht testen, indem du PiHole mal disablest.

 

[update-freak]

ok, führ ich das mal so durch. Danach die MISS-Dateien löschen oder kann ich die Icon-Suche manuell anstoßen?

EDIT: Noch eine zusätzliche Frage:
Zum Updaten muss ich ja folgende Schritte durchführen?

1. Container -> deaktivieren
2. Registrierung -> bitwardenrs/server -> Download
3. Container -> Aktionen > Inhalt löschen
4. Container -> aktivieren

 

[Penthys]

Zwei kann vor Eins erledigt werden. Verkürzt die Downzeit für den Container.

 

[update-freak]

hier nochmal eine längere Log-Datei. Hoffe die hilft weiter

 

[update-freak]

Diese Antwort hab ich bei github bekommen:
Either DNS Resolving isn't working, or your container does not have a connection to the internet.
That is all i can figure out from the logs.
Wie muss ich da vorgehen, um das zu überprüfen?

 

[Penthys]

Mach eine Konsole im Container auf und pinge irgendwas im Internet an. Dann siehst du ob es an der Namensauflösung oder am Weg zum Ziel scheitert.

 

[update-freak]

Habe es ausprobiert. Also "apt-get update" hat funktioniert.
Heißt das, dass die Namenauflösung das Problem ist?

 

[Penthys]

Das heißt, dass die genrelle Namensauflösung und die Verbindung zum Internet funktionieren. apt-get verwendet die angegebenen Repositories, die normalerweise auf eine spezifische URL verweisen, welche wiederum per DNS in eine IP aufgelöst wird.
Also 'DNS resolving' und 'connection to the internet' funktionieren wie sie sollen, außer die Konfiguration der Repository wäre als IP hinterlegt, so das über möglich ist. Habe ich jedenfalls noch nicht gesehen.

 

[update-freak]

ohne irgendeine Einstellung zu ändern, wird mittlerweile ein Großteil (fast alle) der Webseiten mit Icon angezeigt.

 

[Johann001]

Hallo,

ich möchte auch gerne bitwarden nutzen. Habe aber hier ein Problem. Ich möchte bitwarden nur im internen Netz verwenden. Muss ich trotzdem einen Reverse Proxy einrichten? Ich habe keine DynDns Seite und möchte auch keine nutzen. Ich habe jetzt bitwarden ohne Proxy installiert und eingerichtet. Wenn ich aber nun im Browser auf die Bitwarden localhost-Seite gehe kann ich aber kein Konto erstellen. Es kommt zwar die Seite zum Eingeben der e-mail, Masterkennwort usw. Wenn ich aber auf Absenden drücke tut sich nichts...
Weis jemand an was das liegt?

Habe das hier im Beitrag dazu gefunden nur leider weiß ich nicht wo ich das "updatedb" eingeben soll?

Hatte ich auch .... bei mir lag es daran, dass ich das Script nicht mir "updatedb" Option ausgeführt hatte (nach der Installation).
Danach lief alles einwandfrei. Vielleicht solltest Du es nochmal probieren ...

Gruß

 

[adahmen]

Bei mir liegt das Script in einem gemappten Ordner: /volume2/docker/bitwarden/bitwarden.sh updatedb

Das Script kann man entweder über ssh ausführen (als root) oder aber über den Aufgabenplaner des DSM

 

[update-freak]

Noch eine Ergänzung: Für das Updaten verwende ich jetzt Watchtower: https://mariushosting.com/synology-30-second-watchtower-install-using-task-scheduler-docker/

 

[Kachelkaiser]

Läuft bei mir auch, Das letzte Update war auch erfolgreich. Kann ich nur empfehlen.

 

[adahmen]

Wer es benötigt, hier nochmal das angepasste Zertifikat-Kopierskipt von haydibe.

Anzupassen sind die Variablen domain und bitwarden_certs

#!/bin/bash
# domain certificate is valid for
    domain=bitwarden.domain.de

# bitwarden certificate folder
    bitwarden_certs=/volume1/docker/bitwarden/bwdata/ssl/${domain}

# targetname of the crt and key file in the certificate folder
    bitwarden_crt=certificate.crt
    bitwarden_cacrt=ca.crt
    bitwarden_key=private.key


# uid:gid used to change ownership in certificate folder
    uid=root
    gid=root

# name of the docker image to restart
    image=bitwarden/nginx

for current_domain_cert in /usr/syno/etc/certificate/_archive/*; do
    if [ -d ${current_domain_cert} ] && [ -f ${current_domain_cert}/cert.pem ];then
        openssl x509 -in ${current_domain_cert}/cert.pem -text | grep DNS:${domain} > /dev/null 2>&1
        domain_found=$?
        if [ "${domain_found}" = "0" ]; then
            # time of last file change, seconds since Epoch
            last_change_cert_key=$(stat -c %Y ${current_domain_cert}/privkey.pem)
            if [ -f ${bitwarden_certs}/${bitwarden_key} ];then
                last_change_bitwarden_cert_key=$(stat -c %Y ${bitwarden_certs}/${bitwarden_key})
            else
                last_change_bitwarden_cert_key=0
            fi
            if [ ${last_change_bitwarden_cert_key} -le ${last_change_cert_key} ]; then
           
                echo "bitwarden ssl certificate is outdated… updating from domain certificate"
                cp ${current_domain_cert}/privkey.pem ${bitwarden_certs}/${bitwarden_key}
                cp ${current_domain_cert}/cert.pem ${bitwarden_certs}/${bitwarden_crt}
                cp ${current_domain_cert}/chain.pem ${bitwarden_certs}/${bitwarden_cacrt}
                # original:            cat ${current_domain_cert}/cert.pem ${current_domain_cert}/fullchain.pem > ${bitwarden_certs}/${bitwarden_crt}

                echo "changing ownership of gitlab certificates"
                chown ${uid}:${gid} ${bitwarden_certs}/*
                chmod 444 ${bitwarden_certs}/*

                echo "restarting bitwarden-nginx container to activate new certificate"
                container_id=$(docker ps | grep "${image}" | cut -c1-12)
                docker stop ${container_id}
                docker start ${container_id}
                echo "bitwarden ssl certificate update"

            else
                echo "nothing to do, bitwarden ssl certifiacte is same or newer than the domain ssl certificate"
            fi
        fi
    fi
done

Ich nutze dieses Script seit langer Zeit um die Zertifikate in den Docker-Context zu bekommen. Das hat auch bis heute immer gut geklappt.
Seit heute bekomme ich aber einen SSL-Fehler, wenn ich auf Bitwarden zugreife :-(
Problem ist nicht das Zertifikat der Domain selber, sondern das CA Root Zertifikat sowie das R3 Zertifikat.
Beide werden mit Ablaufdatum Ende September angezeigt. Hier wurde ja schon seit langer Zeit angekündigt, dass Ende September ein altes Root-Zertifikat ausläuft.

Wie bekomme ich hier den aktuellen Stand von der Synology in den Bitwarden-Kontext? Welche Dateien müssen hier kopiert werden? Wie muss das Script angepasst werden?

 

[haydibe]

Aktualliser mal Deine Zertifikate. Bei Letsencrypt sind am 30.09 eine der CA's und eine der Intermediate-CA's abgelaufen.

Generell kann es aber auch danach mit Geräten die eine zu alten OpenSSL Veriante verwenden zu Problemen kommen, da die Zertifikate von LE Kreuzsigniert sind - damit können alte OpenSSL Varianten scheinbar noch nicht umgehen.

Letsencrypt hat da wirklich eine Bock geschossen.

Nicht alle LE-Clients (bspw. wie der in die Syno-Certmanager eingebaute Variante) erzeugen Zertifikate mit derselben Zertifikatskette. Notfalls kann man schauen, ob "acme.sh" evtl. andere Ketten erzeugt. Acme.sh hat sogar einen "Hook" der erlaubt erzeugte Zertificate in dem Syno-Certmanager zu regististrieren. Acme.sh kann auch Wildcard-Zertifikate für eigene Domains ausstellen, sofern der DNS-Anbieter mittels DNS-API unterstützt wird.

Update: Typos entfernt.

 

[adahmen]

Zertifikate habe ich heute aktualisiert .... und über die Webstation (dort liegt noch eine andere Anwendung, die aus dem Internet über Port 443 erreichbar ist) bekomme ich auch keine Fehler. Hier ist das Root-Zertifikat okay.
Nur bei Bitwarden habe ich das Problem. Es scheint also mit den 3 Dateien zu tun zu haben, die kopiert werden.

 

[haydibe]

Dann scheinen die neuen Zertifikate durch das Skript nicht kopiert worden zu sein. Lass das Skript doch noch mal laufen, da es das Datei Erstellungsdatum des Zertifikats in den Quell- und Ziel-Verzeichnis vergleicht und nur dann kopiert, wenn die Quelle jünger ist als das Ziel.