Bitwarden auf der Synology (Docker)

[Sniffer71]

Interressante Frage .. und komischerweise: Ja, ich komme auf die Admin-Seite https://btw.mydomain.de/admin rauf und kann ganz normal damit arbeiten! Aber wenn ich hinten /admin entferne, dann bekomme ich 404!

 

[Penthys]

Das ist ja schonmal was. Um das Problem weiter einzukreisen (genereller Art oder Reverse Proxy zB.): Funktioniert der Webclient lokal, also intern über das LAN oder mag er da auch nicht?

 

[Sniffer71]

Unverschlüsselt komme ich intern auf http: //<ip | servername>:<port>/admin rauf. Das funktioniert, und ich kann Einstellungen anpassen! Ich komme unverschlüsselt von intern ebenfalls auf die Anmeldeseite: http: //<ip | servername>:<port> . Bei der Anmeldung bekomme ich dann aber den Hinweis, dass https erforderlich ist (This browser requires HTTPS to use the web vault Check the bitwarden_rs wiki for details on how to enable it)!

 

[Penthys]

Dann muss die Konfiguration des Reverse Proxys angeschaut werden, mehr ist ja nicht mehr übrig als mögliches Problem. Bitwarden intern funktioniert soweit genauso auch bei mir.

 

[Sniffer71]

Aber beim Zugriff auf /admin funktiniert es ja auch von aussen! Aus meiner Sicht kann es nicht am ReverseProxy liegen..
DerEintrag im ReverseProxy:
Quelle: Protokoll: https Hostname: btn.meinedomain.de Port:443
Ziel: Protokoll: http Hostname: localhost Port:4677
HSTS, HTTP/2 und Zugangskontrolle nicht aktiviert
keine erweiterten Einstellungen, Proxy HTTP-Version 1.1, Timeouts alle 60s!

Gibt es einen Parameter, um die Logausgabe zu erhöhen?

Und ich hatte auch nochmal getestet mit der Fehlerseite 404... Das kann man ja einstellen im Proxy, ob die Fehlerseite des Servers zurückgeliefert werden soll. Und wenn ich das aktiviere, bekomme ich auchdie NOTFOUND-Fehlerseite vom Rocket-Server, nicht von Synology. D.h., dass der ReverseProxy den Rocket-Webserver anspricht, der aber keine Seite dazu findet und entsprechend die 404-Seite zurückliefert. Also muss es doch am bitwarden-Server liegen ..

 

[Penthys]

Bei mir hab ich noch die Websocket Header mit drin, sowas kann für den Browser schon interessant sein. Ob nötig oder nicht weiß ich jetzt aber auch nicht. Ich hau die einfach immer mit dazu, geschadet haben sie bisher noch nicht. Bei einigen Diensten kommt da soger eher noch mehr an Headern dazu.

 

[geimist]

Könntest du das noch etwas erläutern (evtl. Beispiel)?

 

[Penthys]

Bei Erstellen rechts auf das Dreieckchen klicken und WebSocket wählen. Dann sollte es so aussehen:

 

[Sniffer71]

Hi,
nach einigen Versuchen bin ich nun weitergekommen! Und das Ergebnis ist strange .. Ich hatte jetzt mal versucht, vom Tablet aus auf meine Seite per https zu kommen. Und das war erfolgreich! Also vom PC im lokalen Netz über die externe URL komme ich nicht rauf, vom Tablet im lokalen Netz über die externe URL komme ich rauf! Ich habe mein InternetSecuritySuite abgestellt: gleiches Ergebnis. Dann habe ich es statt des eigentlich von mir seit Jahren genutzten Firefox mit Edge versucht. Und mit Edge komme ich auf die Seite per externer URL !! Also scheint das Problem am Firefox zu liegen!! Aber die Deaktivierung aller Add-Ons, Deaktivierung von Aktivitätsverfolgung und Neustart brachte keine Verbesserung! Und ich nutze die neueste stable version von FF (83.0!) Auf allen anderen Webseiten von der Diskstation (dsm, drive, cloud, office, plex ,...) habe ich keine Probleme!! Ich habe dann nochmal bei mir aus dem Büro den externen Aufruf von ausserhalb mit Firefox getestet .. und auch das funktionierte ... Also muss es an meiner lokalen Installation liegen ... Hat jemand von Euch eine Idee, was da noch schief laufen könnte ..?

 

[King3R]

Hast du mal die Cookies gelöscht? Vielleicht hilft auch das Anlegen eines neuen Profiles.

 

[Penthys]

Auch alle gespeicherten Daten der Webseiten im Firefox gelöscht?

 

[Sniffer71]

Ja, und mittlerweile geht es nun auch .... ? ... Unglaublich .. da verbringt man wieder Stunden, um irgendein Problem in der Netzwerkkonfiguration zu suchen ... und dann sowas? ... Naja .. nun sind 800MB Cache gelöscht .. es fühlt ssich gleich viel schneller an ??

Danke für Eure Hilfe!

 

[Penthys]

Schön zu hören. Browser Caches können gemein sein. Wenn du mal HSTS aktivierst, merken Browser sich das für bis zu 90 Tagen. Das kann testen mit SSL+HSTS recht nervig machen.

 

[update-freak]

Will Bitwarden einmal auf meiner Synology NAS ausprobieren.
Man liest häufig, dass Bitwarden RS in Docker empfohlen wird. Kennt jemand ne gute Anleitung zur Installation?

Im Kuketz-Forum (https://forum.kuketz-blog.de/viewtopic.php?f=41&t=458&start=135) wird von der Installation in Docker allgemein abgeraten. Ist das berechtigt?

Würdet ihr Bitwarden gegenüber dem Passwortmanager Enpass Pro vorziehen? Wenn ja, warum?

 

[haydibe]

Kann man Enpass Pro selbst hosten? Ist es Ressourcenschonend? Sind die Backups und die Wiederherstellung einfach? Kann man beliebige MFA verfahren damit verwenden? Ist die Endgeräte Unterstützung auch so breit aufgestellt und die Integration so gut wie bei Bitwarden?

Ich hab gut geschmunzelt über die Argumente warum Bitwarden im Docker ein No-Go ist... wobei ich eher über die Abwesenheit dieser geschmunzelt hat.

 

[update-freak]

• Enpass Pro lässt sich nicht selbst hosten, da die Passwörter ja in eine Passwortdatei geschrieben werden, die sich z.B. über WebDAV auf verschiedene Geräte verteilen lässt
• Backup und Wiederherstellung sind einfach, da ja nur die Datei gesichert werden muss
• Ob man MFA Verfahren verwenden kann weiß ich nicht
• Für Windows gibt es ein Programm und für Chrome eine Erweiterung; für Android eine App

Noch zu Bitwarden RS ein paar Fragen:

• Wie sieht es bei Bitwarden RS in Docker mit dem Backup und der Wiederherstellung aus. Wie macht man das?
• Wie lässt sich in Bitwarden RS in Docker eigentlich updaten ohne dass die ganzen Passwörter verloren gehen?

 

[Penthys]

Die Daten sind im gemounteten Verzeichnis hinterlegt. Das kann man sichern und wiederherstellen wie jedes andere Verzeichnis auch. Beim Update des Docker-Containers bleibt es ja unangetastet, da es extern ist und nur in den Container gemountet wird. So ist es mit allen Docker-Apps, die ihre Daten entsprechend verwalten.

 

[DrDeath]

Ich betreibe meinen eigenen bitwardenrs Server im Docker Container auf meiner Synology.
Dazu noch einen zusätzlichen Docker Container fürs automatische Backup der sqlite3 Datenbank (hier würde auch ein Cronjob Script das Backup erledigen können)
Zuletzt noch einen Watchtower Container, der sich darum kümmert die anderen Docker Container automatisch aktuell zu halten.

• BitwardenRS Server
• Bitwarden Backup
• Watchtower

 

[update-freak]

Ich will gerade einen Reverse Proxy einrichten, jedoch bekomme ich beim Eintrag hostname die Meldung "Dieser Domainname wird bereits verwendet", wenn ich (hier etwas abgeändert): zeichenkette.spdns.org eingebe
Aktuelle betreibe ich noch Pi-Hole in einem Docker-Container, das über zeichenkette.spdns.org:8181/admin aufgerufen wird.
Habt ihr Lösungsvorschläge was ich machen kann?

 

[Penthys]

Ich nehme mal an, dass zeichenkette.spdns.org deiner Domain entspricht. Im Reverse Proxy richtest du geeignete Subdomains ein. Für Pi-Hole dann zb pihole.zeichenkette.spdns.org und andere Dienste entsprechend. Je nach DNS Anbieter für deine Domain musst du diese Subdomains eventuell noch eintragen, damit der Weg dahin zu dir führt. Für SSL noch passende Zertifikate erstellen lassen und zuweisen.