Bitwarden auf der Synology (Docker)

[EDvonSchleck]

Das Zertifikat ist ja eine Domain gebunden. Dein Problem ist die Umleitung, da du ja nicht über die Domain gehst. Das ist ja der Sinn dahinter. Du könntest versuchen über eine Rückwärtseintrag im DNS Server wieder von der IP auf die Domain zu kommen. Aber da bin ich draußen.
Da ich das ganze intern nutze, benutze ich das Synology selbst ausgestellte Zertifikat. Da ich nur zugriff auf das Netzwerk,Geräte und Anmeldedaten habe passt das für mich.

Wenn du einfach die Domains so umbiegen könntest, wäre ja das ganze Zertifikat überflüssig! Bitwarden Synchronisiert die Einträge und hält diese im Speicher bereit - erst wenn Einträge verändert oder angelegt werden ist ein abgleichen notwendig. Somit funktioniert das auch wenn einmal das Internet ausfällt.

 

[haydibe]

Jepp, die URL die beim Zugriff verwendet wird MUSS gemäß RFC zu einem Eintrag aus der Liste der Subject Alternative Names passen. Bei LE-Zertifikaten haben ich bisher noch nicht gesehen das dort jemals IPs hinterlegt werden.

Es ist richtig: wenn man mit der IP auf BW zugreift, dann kann ein LE-Zertifikat nicht als gültig erkannt werden.

 

[EDvonSchleck]

@CptGambit

hast du das jetzt einmal probiert?
Ich habe das einmal mit internen URL's mit Adguard getestet, diese waren denn errreichbar, nachdem diese in der Fritzbox auch eingegeben wurden. Wenn das bei dir also genauso funktioniert sollte dr rest auch funktionieren.

Schau auch einmal hier

Duch Adguard benutzer ich das indirekt natürlich schon, einen DNS Server brauche ich nicht, da dieses Adguard home für die internen Adressen übernimmt und in der Weiterleitung eingetragen ist.

 

[CptGambit]

So fing eigentlich alles an.
Ich hab mir ein LE Zertifikat gemacht, das natürlich nur auf den hostnamen läuft. Das Zertifikit wollte ich benutzen um auf bitwarden zuzugreifen. Wenn man allerdings von "innen" mit dem synology.me DDNS Namen kommt dann wird der Name nur mit der "externen" Internet IP aufgeölst und dummerweise kommt man dann auch technisch wie von aussen, d.h. die Portfowardings vom Router werden angezogen.
Ich wollte aber mit dem DDNS Namen und dem Zertifikat innerhalb meines Netzes Dienste nutzen die ich dann aber nicht alle am Router freigeben wollte.
Das mit den DNS Rebind hab ich an meiner Fritzbox ausprobiert, hat aber keine Veränderung gezeigt. Ich bin immer beim Nutzen des DDNS Namen von "aussen" her gekommen.
Daher hab ich mir auf der Synology einen DNS Server aufgesetzt der mir den DDNS Namen mit meiner internen IP auflöst.

 

[Benares]

Probiere es doch einfach mal mit einem Eintrag in deiner lokalen hosts-Datei (C:\Windows\System32\drivers\etc\hosts bzw. /etc/hosts)

 

[CptGambit]

Eine Host Datei haste auf nem iPhone leider nicht.

 

[Benares]

Das ist natürlich ein Argument

 

[EDvonSchleck]

willst doch alles interne im Netzwerk nutzen, Bitwarden benötigt jedoch das SSL wegen der Datenbank. Warum nimmst du nicht das selbst signierte Zertifikat von Synology. Die Fehlermeldung wegen Unsicherheit kannst du doch ignorieren, da ja eh alles intern ist.
Das funktioniert 100%.

Du wolltest durch aufsetzen einen DNS Servers im Netzwerk deine Externe URL auf eine interne URL umbiegen? Eine Domain erzeugen damit das Zertifikat wieder greift?

 

[CptGambit]

Du wolltest durch aufsetzen einen DNS Servers im Netzwerk deine Externe URL auf eine interne URL umbiegen? Eine Domain erzeugen damit das Zertifikat wieder greift?

Nein. Ich will nur auf jedem Gerät und für jeden Dienst die DDNS Adresse (mit Zertifikat) verwenden. Ohne den DNS Server, müsste ich aber für jeden Dienst, den ich nur innerhalb des Netzes nutze ein Portforwarding am Router machen. Sprich, ich müsste einen Port nach außen hin öffnen für einen Dienst den ich eigentlich nur innen nutze.

Ich hab das auch nicht glauben können, aber dann ausgetestet. Es reicht wenn man mal im Netz einen Ping oder Traceroute auf die DDNS Adresse macht. Da kommt zumindest bei meiner Fritzbox 7590 die externe IP zurück. Und man kann das auch gut testen in dem man das Port Forwarding aktiviert/deaktiviert.

 

[EDvonSchleck]

keinen Plan warum du immer einen Port öffnen willst. Ich habe es ja verstanden das du die/den Dienst(e) lokal nutzen willst. das geht ganz bequem über eien IP oder interne DNS. Soweit auch alles richtig. Aber das LE Zertifikat ist eigentlich gedacht üm über einen EXTERNE DNS zuzugreifen unddie dadur einen gewisse Sicherheit zu gewährleisten das es sich um den richtigen "Server" handelt.
Nun möchtest du dieses Zertifikat intern nutzen, jedoch ohne Zugang von außen.

Das sollte auch möglich sein - ich habe es hier mit Adguard nachgestellt, jedoch ohne VPN (ist erst einmal außen vor und ohne LE dafür mit Syno Zertifikat. Die eingerichtete DNS Umleitung synology.home > Ip der Diskstation (entspricht einen Rückwärtseintrag im DSN Server) und einrichten des Revers Proxy mit synology.home als Eingang und Vaultwarden Docker als Ausgang nahm das Zertifikat mit. Den Port kannst du denn auch schenken und den Standartport 443 benutzen.

Wenn ich jetzt die synology.home aufrufe komme ich auf die Vaultwarden Webseite. Das LE müsste genau so "mitgenommen" werden wenn eingerichtet und eingestellt für die Domain.

Und nebenbei bei mir werden NIE irgendwelche Ports geöffnet am Router - deaktiviere mal Upnp, wäre ja schlimm.
Wieviele DNS willst du denn einsetzen? Du redest immer nur um den heißen Brei. Welchse anderen Apps brauchst du denn noch wegen den Ports... Wie wäre es wenndu genau schreibst was du alles wie betreiben willst, du hast meine Meinung nach mehrere Baustellen.

 

[CptGambit]

keinen Plan warum du immer einen Port öffnen willst.

Ich will nicht. Ich muss. Falls du eine Fritzbox hast, teste es.

https://www.synology-forum.de/threads/portforwarding-fuer-lokale-dienste.119877/#post-990417

Ich möchte halt meine App nicht jedesmal anpassen müssen, je nachdem ob ich mich gerade zu hause befinde oder unterwegs sind. Daher bleibt nur der DDNS Name.

 

[EDvonSchleck]

Ich will nicht. Ich muss.

das glaube ich aber nicht. Sicherlich hab ich eine 7590 und wo der Fehler bei deinen DSN-Server kann ich auch nicht sagen. Warum stellst du nicht eine Frage in den passenden Bereich? - ist ja nicht so das ich keinen Link zur Fritzbox und DNS gepostet habe.

Weiterhin kann ich nichts dafür das die Fb nicht das umsetzt was du gerne hättest - auf meinen Vorschlag das ganze mit Adguard ggf. PiHole bist du nicht eingegangen. Ich kann mir so jede URL anlegen und connecten, das passende Zertifikat wird ja durch den Reverse Proxy mit der richtigen URL eingebunden. Weiterhin kannst du alle Dienste auch mit der IP nutzen - eine DNS ist ja im Prinzip nichts anderes.

Wenn ich Bock habe die nächste Zeit mache ich es noch mit LE und ggf mit Fotos als Beweis- aber auch dort wirst du wieder was finden was dir nicht passt. Auf keine Fall werde ich mein System so bauen wie du es hast! Ich werde es auch nur mit meinen Installierte Software testen.

ABer wenn du soviel Angst hast um deine Daten, Warum verwendest du eine Synology Account als dyndns oder wie hast du das Protokoll auf die DS bekommen? Ich würde das automatische öffnen der Porst deaktivieren, eine dyndns ohne Synology einrichten und auch kein Apple nutzen. Wenn man die Schwachstellen aufwiegen muss, macht das in meinen Augen nicht viel Sinn. Welche andere Anwendungen noch betroffen sind oder Subdomains sagst du auch nicht.

Fragen über Fragen

 

[EDvonSchleck]

https://www.synology-forum.de/threads/portforwarding-fuer-lokale-dienste.119877/reply?quote=990409

Das genau macht Adguard hier, somit sollte es mit Pi-Hole auch möglich sein - alle DNS WAN Anfragen laufen darüber! Das kann die Fritzbox nicht, trotzdem muss man noch DNS Rebind zusätzlich machen.

Teste es oder nicht...

 

[CptGambit]

das glaube ich aber nicht. Sicherlich hab ich eine 7590 und wo der Fehler bei deinen DSN-Server kann ich auch nicht sagen. Warum stellst du nicht eine Frage in den passenden Bereich? - ist ja nicht so das ich keinen Link zur Fritzbox und DNS gepostet habe.

Weiterhin kann ich nichts dafür das die Fb nicht das umsetzt was du gerne hättest - auf meinen Vorschlag das ganze mit Adguard ggf. PiHole bist du nicht eingegangen. Ich kann mir so jede URL anlegen und connecten, das passende Zertifikat wird ja durch den Reverse Proxy mit der richtigen URL eingebunden. Weiterhin kannst du alle Dienste auch mit der IP nutzen - eine DNS ist ja im Prinzip nichts anderes.

Wenn ich Bock habe die nächste Zeit mache ich es noch mit LE und ggf mit Fotos als Beweis- aber auch dort wirst du wieder was finden was dir nicht passt. Auf keine Fall werde ich mein System so bauen wie du es hast! Ich werde es auch nur mit meinen Installierte Software testen.

ABer wenn du soviel Angst hast um deine Daten, Warum verwendest du eine Synology Account als dyndns oder wie hast du das Protokoll auf die DS bekommen? Ich würde das automatische öffnen der Porst deaktivieren, eine dyndns ohne Synology einrichten und auch kein Apple nutzen. Wenn man die Schwachstellen aufwiegen muss, macht das in meinen Augen nicht viel Sinn. Welche andere Anwendungen noch betroffen sind oder Subdomains sagst du auch nicht.

Fragen über Fragen

Ich bin nur auf deine Punkte weiter oben eingegangen. Mehr nicht. Ich hätte es unsinnig gefunden das in einem anderen Bereich zu schreiben und dann hier zu verlinken.
Und ich hab hier 2 Posts vorher geschrieben, dass ich den DNS Server erst aufgesetzte hab als Lösung um das Portforwarding Thema zu umgehen.

Weiterhin hab ich weder dich noch meine Fb dafür verantwortlich gemacht wie es bei mir funktioniert. "Weiterhin kann ich nichts dafür das die Fb nicht das umsetzt was du gerne hättest" Ich hab ausschliesslich dargelegt wie es zur Situation in Post #244 gekommen ist. Nicht mehr und nicht weniger.
Du kansnt das kommentieren oder nicht, brauchst dich aber nicht verpflichtet zu fühlen mir eine Lösung zu präsentieren.

"- aber auch dort wirst du wieder was finden was dir nicht passt"
Ich weiss auch nicht warum der Faden hier so eine toxische Richtung eingeschlagen hat.
Mein Vorschlag wäre das hier (zumidnest für meinen Teil) zu beenden. In den letzten Posts von dir geht das komplett weg von der Sachebene.

 

[houdap]

Ich hab es am Laufen. tOP. War auch bei 1password. Alles gekündigt. Hab die Anleitung von idomix benutzt. Kostet einmalig 10€ aber dafür Schritt für Schritt erklärt!

 

[EDvonSchleck]

Auch wenn es für dich unlogisch ist gehört alles irgendwie zusammen. Nach und nach kommt immer was dazu,. Da blickt doch keiner mehr durch! Angefangen hast du hiermit: https://www.synology-forum.de/threads/bitwarden-auf-der-synology-docker.90435/post-994964, zwischendurch mit irgendwelchen automatisch geöffneten Ports, denn mit "andere Dienste" Danach deinen eigenen DNS-Server usw.

ABER alles einmal in einen Beitrag zu verpacken hast du nicht geschafft - wie soll dir denn da einer helfen? Auch in den anderen Beitrag wurde dir PI-Hole angetragen, hier Adguard was praktisch das gleiche ist - keine Reaktion. Weiterhin gab es bis jetzt keine Fehlermeldung was denn nicht geht - wird die URL nicht aufgelöst und bis wohin wird sie nicht aufgelöst? Ein geht nicht hilft hier nicht weiter. Wenn du dein DNS- Server mit einen 7 Minuten Video eingerichtet hast (dein Beitrag) - kommt das ganze schon sehr zu kurz! Du solltest die Sacher ein bisschen vertiefen hier und hier. Das wird aber länger dauern. Ich würde erst einmal mit ein paar Grundbegriffen anfangen und danach aufbauen.

Bin raus... mach was du willst, bei mir geht es ja und bei anderen auch!

 

[Wiesel6]

Eine Lösung mal in den Raum geworfen, so läuft es bei mir.

Intern Pi-hole - dort die synology.me Adresse händisch eingetragen. Somit kann ich per IP oder URL auf vaultwarden. Bei der iOS App gibt es ja das Problem mit dem Zertifikat beim IP Aufruf.
Neben Pi-hole läuft ein PiVPN mit wireguard auf dem Pi. Verbinde ich mich per WireGuard funktioniert URL und IP.
Testweise habe ich den Weg über VPN der fritzbox getestet, dort geht die URL nicht.

In der fritzbox ist nur der Port für wireguard geöffnet.
PS. Mit URL meinte ich die synology.me Adresse.

 

[EDvonSchleck]

hast du die synology.me Adresse in der fritzbox eingetragen bei DNS Rebind? Wireguard kommt ja auch bald auf der Fritzbox. Danach benötigt die Fritzbox keine Freigabe mehr. Das ganze funktioniert auch mit Adguard - für mich das besser Pi-Hole und natürlich auch mit einen DNS-Server. Beim letzteres ist natürlich der Aufwand höher und komplizierter. Und wenn du schon Pi-Hole hast solltest du auch gleich Unbound nutzen!

 

[Wiesel6]

hast du die synology.me Adresse in der fritzbox eingetragen bei DNS Rebind?

Nein, hatte ich nicht.
Kann es testen, wenn es von Interesse ist. Bin mit aber auch nicht sicher, ob per fritzbox VPN Pi-hole korrekt als DNS gezogen wird. Bei wireguard ist das vorgegeben.

Zur fritzbox wireguard Unterstützung. Ich bin gespannt, ob das genauso gut läuft wie bisher. Aktuell bin ich mit meiner Einrichtung sehr zufrieden ( https://forum.kuketz-blog.de/viewtopic.php?t=8759 und PiVPN mit wireguard). Aber das ist ein anderes Thema und wird etwas off topic

 

[EDvonSchleck]

wenn DNS-Rebind nicht aktiviert oder wie bei der Fritzbox eingerichtet, finden keine Domainabfragen im Netzwerk statt, dass ist so gewollt
Bei einigen Routern oder Rozersoftware wie dd-wrt oder Open-wrt kann man das noch genauer einstelle, teilweise sogar die Zieladresse/IP eingeben. Das macht denn ein DNS-Server überflüssig. Ohne diese Funktion ist nur ein Verbinden mit IP möglich bei VPN.

Zusammen mit einen DNS-Server, Adguard oder PI-Hole kann man das ganze umbiegen. Bei den beiden letzteren Varianten bekommt man noch zusätzliche Features wie Filterung und in Verbindung mit Unbound weiter noch Geschwindigkeit und Sicherheit.

Das klingt erst einmal viel - ist aber gar nicht so schwer, wenn man das erst einmal verstanden hat.