Bitwarden auf der Synology (Docker)

[update-freak]

genau, zeihenkette.spdns.org ist meine Domain. Soweit ich das gesehen habe unterstützt mein DDNS-Dienst spDYN keine Subdomains.
Es gibt, also dann keine Möglichkeit

Pi-Hole: über https://zeichenkette.spdns.org:8181/admin und
Bitwarden: über https://zeichenkette.spdns.org:5151

aufzurufen?

Über http://192.168.178.74:5151/#/ geht es aktuell

 

[Penthys]

Wenn der Reverse Proxy Portbasiert sein soll, geht natürlich auch alles über eine Domain. Nach außen muss dann ein noch ungenutzter Port festgelegt werden. Also zB 8282 für Pi-Hole und 5252 für Bitwarden. Im Router wären dann diese Ports zu öffnen, statt 8181 und 5151.

 

[update-freak]

ok, danke.
Nur wie bekomme ich den Reverse Proxy eingerichtet (ist kein weiterer eingerichtet), wenn ich die Meldung "Dieser Domainname wird bereits verwendet" bekomme

 

[Penthys]

Da ich deine Konfiguration nicht kenne, kann ich das nicht sagen. Ich kann erstmal nur sagen, dass es sich bei mir so einrichten lässt. Meine Hauptdomain mit einem ungenutzten Port lässt sich im Reverse Proxy erfolgreich aktivieren.

 

[update-freak]

jetzt hat es geklappt.
Hatte irgendwie falsche Ports eingestellt.
Noch eine Frage: Muss die Portweiterleitung am Router für TCP und UDP aktiviert werden?
In Docker: Muss HSTS aktiviert werden?

 

[DrDeath]

Für bitwarden reicht eine TCP Port Weiterleitung.
Ich selbst habe HSTS und HTTP/2 im Reverse Proxy aktiviert. Schaden kann das nicht.

 

[Penthys]

HSTS darf nur aktiviert werden, wenn auch ein passendes Zertifikat für die Domain konfiguriert ist. HSTS erzwingt eine entsprechende Zertifikatsprüfung und sorgt zudem dafür, dass alle folgenden Verbindungen zu dieser Domain mit SSL erfolgen. Wenn auch Verbindungen ohne SSL für diese Domain geplant sind, ist sowas eher hinderlich. Ansonsten ist es zu empfehlen HSTS für erweiterte Sicherheit zu verwenden.
Ob TCP und/oder UDP hängt vom dahinter liegenden Dienst ab. Im Docker sind die Ports ja entsprechend konfiguriert. Schau da nach und mache es im Router passend dazu.

 

[DrDeath]

Ich bin davon ausgegangen, das ein gültiges Zertifikat für Bitwarden auf der Synology genutzt wird und Bitwaren im Docker Container selbst nur auf HTTP läuft.

 

[Fusion]

Hast ihr die Event Notifications aktiv? Also Triggerung der Desktop und Browser-Extensions bei Veränderung an Einträgen?
Wie habt ihr das mit Port 3012 gemacht? Eigene Reverse Proxy Konfiguration von Hand?

In der DSM GUI kann man für https://bitwarden.example.com ja nur einen Port (443 > 8080 z.B.) durchleiten. Nach meinem Verständnis dürfte er sich ja für https://bitwarden.example.com:3012 nicht zuständig fühlen.
Oder läuft das über https://bitwarden.example.com/notifications/hub durch?
Was ich mir nicht vorstellen kann, sonst bräuchte man ja die ganzen Beispiele für Proxies nicht
https://github.com/dani-garcia/bitwarden_rs/wiki/Proxy-examples
Andere Frage : Host ID und KEY habe ich mir zwar geholt, aber nirgends eingegeben und auch kein passende Syntax dafür gefunden.
Habe auch kein bitwarden.sh oder anderes für den Install benutzt, nur Image geladen und Container konfiguriert und gestartet. Rest über /admin konfiguriert. Es scheint trotzdem alles zu funktionieren.

Frage mich nur, ob irgendwas jetzt nicht sauber ist deshalb...

 

[DrDeath]

Host ID und Key braucht man nicht für "bitwardenrs"

Siehe dazu auch die kleine Anleitung (in Englisch) :
https://www.kartolo.de/2020/02/03/installing-bitwarden-on-synology-diskstation/https://mariushosting.com/how-to-install-bitwarden-on-your-synology-nas/

 

[Fusion]

Ah so, da wäre ich auch noch irgendwann drauf gekommen, danke für die Schnelle Aufklärung zu dem Punkt.
Dann dient das also nur der Lizenzverwaltung für die Bezahl-Abos mit der Hersteller-Self-Hosting Variante.

Werde mal Enpass (webDAV) und BitwardenRS ne Weile parallel betreiben und sehen was mir dann besser gefällt.

 

[Penthys]

Für Notifications über Subfolder an Port 3012 musst du die Reverse Proxy Konfiguration manuell über SSH erweitern oder gleich selber anlegen. Subfolder unterstützt die Synology GUI nicht.

 

[Fusion]

Ja, habs mal in die allgemeine Reverse Proxy /etc/nginx/app.d/server.ReverseProxy.conf gepackt.
Dann verliert man eventuell die Proxy conf, wenn man andere Proxies hinzufügt/löscht/bearbeitet.
Dafür kann man die Zertifikate über die GUI verwalten.

Also hab ichs dann doch in eine benutzerdefinierte config unter sites-enabled gepackt.
Und das Zertifikat (acme.sh, wildcard) von einem anderen Reverse Proxy referenziert.
Dann muss ich mich nicht mit gelöschten Dateien oder Zugriffsrechten für andere Speicherorte außerhalb der Syno-cert Struktur befassen und die Zertifikatsupdates und Verteilung braucht auch keine weitere Anpassung.

Genug Zeit verbraten jetzt.

 

[update-freak]

Bekomme für bitwardenrs unter Docker keine Iconbilder der Webseiten.
Muss ich hierfür noch zusätzlich etwas einstellen?

 

[Fusion]

Überhaupt keine, oder nur nicht alle?
Nicht jede Webseite hat ein Icon.

 

[update-freak]

Habe leider überhaupt keine Iconbilder.

 

[Fusion]

OK, komisch. Ist eigentlich im Standard aktiv und muss aktiv in den Einstellungen deaktiviert werden, wenn keine Icons angelegt werden sollen.

Hast du einen icon Ordner in deinem persistent gemappten Volume?

 

[update-freak]

genau.
Also bei mir gibt es folgendes Verzeichnis docker/bitwarden/icon_cache
Dort liegen jeweils MISS-Dateien mit der Bennennung URL.png.miss

 

[Fusion]

Hast du im log mehr, oder nur ein schnödes 'download failed.... Empty response'?

Wenn es eine miss Datei gibt probiert er es 3 Tage nicht mehr. Kannst diese löschen um eine neue Anfrage bei der nächsten Container Anmeldung zu bekommen.
Eventuell ist auch der Timeout zu kurz für deine Verbindung.

https://github.com/dani-garcia/bitwarden_rs/issues/390https://bitwardenrs.discourse.group/t/website-icons-missing-resolved/54

 

[update-freak]

wo finde ich die log-Datei?
Habe nun die MISS-Dateien gelöscht.
Die Hilfe-Links schau ich mir später an