Bitwarden auf der Synology (Docker)

[AroundTheWorld]

Hallo AroundTheWorld und willkommen hier im Forum ,

ein (vertrauenswürdiges) Zertifikat bringt dir im eigenen LAN gegenüber einem selbstausgestellten keinen Vorteil - in beiden Fällen wirst du eine Browserwarnung bekommen, sofern du über https auf Bitwarden zugreifen möchtest. Das mindert aber nicht die Sicherheit.

Ports musst du im Router nicht öffnen (lediglich in der Firewall der DS für die lokalen IP freigeben, sofern aktiviert).

Danke für die Info! Habe mich inzwischen für die DS218+ entschieden und 8GB Ram nachgerüstet. Die Installation lief danach ohne Probleme durch (mit den 2GB hat es nicht geklappt)

Bei der Installation habe ich mich an diese Anleitung hier (https://xpenology.com/forum/topic/12455-bitwarden-self-hosted-password-manager-on-docker/ ) gehalten. Mit dem einzigen Unterschied, dass ich bitwarden eben nur lokal erreichen will und daher keine Zertifikat erstellt habe im DSM Manager. Lediglich in der Systemsteuerung unter Sicherheit habe ich das Standardzertifikat mit dem Dienst bitwarden.meinesynology.com verknüpft. Reverse Proxy habe ich eingerichtet.

Leider bekomme ich eine 404 Seite, wenn ich von meinem Rechner, der im gleichen lokalen Netzwerk hängt, auf bitwarden.meinesynology.com zugreifen will

(!) Enter the domain name for your bitwarden instance (ex. bitwarden.company.com): bitwarden.meinesynology.com
(!) Do you want to use Let's Encrypt to generate a free SSL certificate? (y/n): n
1.17.2: Pulling from bitwarden/setup
Digest: sha256:cf55e0288b6392ee9c35022089396c3c561773ddc963945f1afea8fce359757f
Status: Image is up to date for bitwarden/setup:1.17.2
(!) Enter your installation id (get it at https://bitwarden.com/host): <my_installation_id>
(!) Enter your installation key: <my_installation_key>
(!) Do you have a SSL certificate to use? (y/n): n
(!) Do you want to generate a self-signed SSL certificate? (y/n): n
!!!!!! WARNING !!!!!!
You are not using an SSL certificate. Bitwarden requires HTTPS to operate. You must front your installation with a HTTPS proxy. The web vault (and other Bitwarden apps) will not
work properly without HTTPS.
!!!!!!!!!!!!!!!!!!!!!
Generating key for IdentityServer.
Generating a 4096 bit RSA private key
....................................................................................++
......................................++
writing new private key to 'identity.key'
-----
(!) Do you want to use the default ports for HTTP (80) and HTTPS (443)? (y/n): n
(!) HTTP port: 8123
(!) Is your installation behind a reverse proxy? (y/n): y
(!) Do you use the default ports on your reverse proxy (80/443)? (y/n): y
(!) Do you want to use push notifications? (y/n): y

Woran könnte das liegen? updatedb habe ich auch laufen lassen.

 

[geimist]

… Mit dem einzigen Unterschied, dass ich bitwarden eben nur lokal erreichen will …
Leider bekomme ich eine 404 Seite, wenn ich von meinem Rechner, der im gleichen lokalen Netzwerk hängt, auf bitwarden.meinesynology.com zugreifen will

Sofern du keinen eigenen DNS-Server mit der Domain „bitwarden.meinesynology.com“ nutzt, wiederspricht das deinem Wunsch, Bitwarden nur lokal nutzen zu können. Dafür musst du auch die lokale IP deiner DS, bzw. Dockercontainers verwenden. Ich habe auch auf eine Subdomain und Reverseproxy verzichtet, aber dafür nicht den Standardport (80/443) für den Container verwendet.

 

[AroundTheWorld]

*facepalm* Das macht natürlich Sinn. Bin von einer Art virtuellen Domaine ausgegangen, die ich damit erstelle und auf die ich zugreifen kann, wie z.b. fritz.box. Aber das kann ich ja in meinem Router einrichten. Super vielen Dank!

 

[AroundTheWorld]

Ok super, jetzt klappt es. Ich kann den bitwarden web vault jetzt in meinem Netzwerk auf meinem Laptop aufrufen

Nächste Hürde ist die iOS App von bitwarden. Mit der würde ich auch gern in meinem Netzwerk auf bitwarden zugreifen. Dafür habe ich in den Einstellungen der App die angepasst. Beim Einloggen kommt jetzt aber der Fehler: "There is a problem connecting to the server".

Ein bisschen Google Recherche hat ergeben, dass man wohl das Selbst-Zertifizierte Zertifikat auf sein iPhone laden und speichern muss. Ich habe bei der Installation aber angegeben, dass ich kein selbst-signiertes Zertifikat verwenden möchte.

Brauche ich ein selbst-signiertes Zertifikat, um die iOS App zum Laufen zu kriegen? Geht die App auch ohne selbst-signiertes Zertifikat?

 

[arphex]

Auch eine gute Seite dazu: https://xpenology.com/forum/topic/12455-bitwarden-self-hosted-password-manager-on-docker/

 

[geimist]

Vielen Dank für den Link.

Meine Erfahrung bisher:
Ich muss sagen, die Standardinstallation war bei mir eine ziemliche Mimose und lief dann gar nicht mehr (kein Login möglich). Seit ich es nochmal mit mprasil/bitwarden probiert habe, läuft es bestens (nicht zu vergessen, die wesentlich einfachere Installation und der geringe Ressourcenverbrauch und alles in der sqlite-DB. Die Icons werden zwar nicht angezeigt, aber das bin ich noch nicht angegangen (uns ist mir eigentlich auch ziemlich egal).

 

[meidon]

ich habe bei der Installation ein Problem.
Nach der Eingabe des Instalaltion Key kommt der Fehler:

(!) Enter your installation key: "KEY"

Unable to validate installation id. Problem contacting Bitwarden server.

Jemand eine Idee?

 

[geimist]

Dort kam ich im Frühjahr mit der Standardinstallation auch nicht mehr weiter (eine vorherige Installation hatte funktioniert).

 

[meidon]

Also nutzt du Bitwarden nicht mehr?

 

[geimist]

Doch, wie ich auch ein paar Posts weiter oben schrieb. Ich nutze mprasil/bitwarden. Guckst du hier: #74
- sehr ressourcensparend
- nutzt eine sqlite-DB die man leicht wegsichern kann
- sehr einfach Installation

Datenbank-Backup (mit meinen Pfaden):

sqlite3 /volume1/docker/bitwarden/bw-data/db.sqlite3 ".backup '/volume1/docker/bitwarden/BACKUP/backup_`date +%Y`-`date +%m`-`date +%d`_`date +%H`-`date +%M`.sqlite3'"

 

[haydibe]

Das Image von mprasil/bitwarden läuft übrigens auch sauber mit dem Yubikey 5 NFC zusammen.

Was man benötigt:
- Yubikey 5 NFC (andere gehen bestimmt auch, ABER: ohne NFC funktioniert das nicht am Handy!)
- Gültiges SSL-Zertifikat für die Domain auf der Bitwarden bei euch betrieben wird.

Ich hab es gerade eingerichtet und gleich ausprobiert.
- läuft in Firefox mit Bitwarden-Addon
- läuft Dank NFC auch mit der Android Version von Bitwarden

Um "YubiKey OTP" scharf zu schalten, muss man sich nur einen API-Key generieren lassen (https://upgrade.yubico.com/getapikey/, YubiKey reinstecken, E-Mail-Adresse eingeben und beim "YubiKey OTP"-Feld einmal auf den Knopf des YubiKey drücken). Danach erhält man eine ClientID und ein SecretKey, der dann in den "docker run"-Befehl eingetragen werden muss (siehe hier).

Nach dem nächsten Login in Bitwarden kann man dann in den Einstellungen unter "Zwei-Faktor-Authentifizierung" beim Anbieter Yubico auf Verwalten klicken, ggf. sein Masterpassword erneut eingeben und dann beim Key1 in das Textfeld gehen und einmalig den Knopf auf dem YubiKey drücken. Nachdem man nun gespeichert hat, wird beim Login in Zukunft immer der YubiKey benötigt

Das verbessert deutlichlich das Gefühl einen Passwortmanager ins Netz zu hängen.

 

[myfri09]

Hallo Stephan

Bist du immer noch mit dieser Docker Variante happy?
Weisst du wie man neue User Eröffnungen deaktivieren kann? Ich habe ja nur die "/volume1/docker/bitwarden/bw-data - /data" gemounted und sehe da kein env folder?

Gruss
Myfri

Doch, wie ich auch ein paar Posts weiter oben schrieb. Ich nutze mprasil/bitwarden. Guckst du hier: #74
- sehr ressourcensparend
- nutzt eine sqlite-DB die man leicht wegsichern kann
- sehr einfach Installation

Datenbank-Backup (mit meinen Pfaden):

sqlite3 /volume1/docker/bitwarden/bw-data/db.sqlite3 ".backup '/volume1/docker/bitwarden/BACKUP/backup_`date +%Y`-`date +%m`-`date +%d`_`date +%H`-`date +%M`.sqlite3'"

 

[geimist]

Herzlich Willkommen, Myfri, hier im Forum

Ja, der Container läuft nach wie vor ganz smooth bei mir (anders als das Originalpaket).

Ich gehe davon aus, dass man diese Variable einfach in der Docker-GUI einträgt. Schonmal probiert?

 

[myfri09]

Hallo

Danke!

Sorry, das isch nachfrage... Wie macht man das?

 

[geimist]

-> Bitwarden-Container stoppen
-> "Bearbeiten"
-> Reiter "Umwelt"
-> neue Variable mit + erstellen
-> Variablennamen und Wert eintragen

 

[haydibe]

Also ich habe mir dafür eine docker-compose.yml gebaut:

version: "2.2"

services:
  bitwarden:
   image: mprasil/bitwarden:latest
   restart: unless-stopped
   ports:
     - 1090:80
   environment:
     # Signup verbieten
     SIGNUPS_ALLOWED: 'false'
     # TLS-Schlüssel einbinden für HTTPS
     ROCKET_TLS: '{certs="/ssl/ssl.crt",key="/ssl/ssl.key"}'
     # Die nächsten Zeilen sind nur relevant, wenn man einen Yubikey verwendet
     YUBICO_CLIENT_ID: {Zeile entfernen oder eigene CLIENT_ID verwenden}
     YUBICO_SECRET_KEY: {Zeile entfernen oder eingenen SECRET_KEY verwenden}
   volumes:
     # Datenverzeichnis
     - /volume2/docker/bitwarden/bw-data/:/data/:rw
     # Zertifikatsverzeichnis
     - /volume2/docker/bitwarden/certs/:/ssl/:ro

Notwendige vorarbeit:
- Die Verzeichnisse /volume2/docker/bitwarden/bw-data und /volume2/docker/bitwarden/certs händisch angelegen
- Die über die Syno erzeugte Letsencrypt-Zertifikate nach /volume2/docker/bitwarden/certs kopieren und entsprechend umbenennen (Das Skript dazu hatte ich irgendwann mal in einem Gitlab-Thread gepostet).
- In der Fritzbox ein Portforwarding von WAN Port 1090 auf DS Port 1090 einrichten

 

[myfri09]

Leider hat es mit der Variable nicht funktioniert. Danke trotzdem.

Wo hast du das File docker-compose.yml eingebaut? Screenshot

 

[haydibe]

zur Variable) zeig mal einen Screenshot. Aktuell steht da nur als Text "Schreenshot".
Dann kann man schnell sehen was Du ggf. anders machen musst.

zu docker-compose,yml)
Die docker-compose.yml habe ich unter Windows erzeugt, auf den share //dsm/docker/bitwarden kopiert.
Dann mit putty über ssh auf die Shell, mit 'sudo -i' root werden und dann in dem Verzeichnis wo die docker-compose.yml liegt dann mit 'docker-compose up -d' starten.

 

[myfri09]

Hier habe ich noch den Screenshot zur Variable:

 

[haydibe]

Normalerweise wird der Button zum Neuanlegen trotzdem weiter angezeigt, aber schon im ersten Schritt, wo man E-Mail und ein Master-Passwort eingibt, erscheint eine Fehlermeldung beim Klick auf "Absenden". Ist das bei dir anders?

Wenn ja, dann versuch mal 'false' statt nur false.