Bitwarden auf der Synology (Docker)

[EDvonSchleck]

ich habe nun viele Anleitungen, Forenbeiträge und Threads durchgelesen. Ich würde gerne Bitwarden/Vaultwarden im internen Netz nutzen und für die mobilen Geräte via VPN. Selbst in diesen Thread habe ich es mehrmals gelesen das einige User das nutzen. Wie mache ich das denn intern mit der https-Verbindung? Bitwarden möchte ja nur diese verwenden. Bei Eingabe eines Users kann ich wegen der https-Verbindung nicht speichern. Hab ich etwas vergessen? Muss noch ein anderer Dienst laufen? Muss unbedingt eine Domain-Adresse vorhanden sein? Das würde ja bedeuten das es rein intern nicht funktioniert???

Eventuell hab ich ja auch nur ein Denkfehler oder mir fehlt der letzte "Denkanstoß"

 

[Johann001]

Hallo,

Ich schließe mich deiner Meinung an, ich habe auch lange probiert, aber ich fürchte ohne externe Domain wird das nix. Ich wollte das auch nur intern nutzen. Habe ich auch nicht hinbekommen. Also falls wer eine "Intranet" Lösung kennt..

 

[geimist]

Also wenn ich mir Vaultwarden ansehe, kann man ihn auch mit Port 80 betreiben.
Welches Image nutzt ihr?

 

[EDvonSchleck]

das letzte/aktuelle Vaultwarden. Es läuft ja auch ohne Probleme, nur wenn man die User/Admin einrichten möchte und alles ausgefüllt hat, kommt die Fehlermeldung das es nur über https funktioniet, siehe Wiki.

 

[geimist]

Mit welchen Parametern hast du den Container gestartet?

 

[EDvonSchleck]

Ich arbeite mich gerade in Docker ein, gestartet normal über Webif
Ich habe mich lange gegen Docker gewährt...

 

[Johann001]

Ja das stimmt, läuft bei mir auch auf Port 80 so, nur wenn ich dann ein neues Konto anlegen möchte im Bitwarden Login, bekomme ich die Fehlermeldung das dass eine unsichere Verbindung ist, weil kein Zertifikat installiert ist.

 

[EDvonSchleck]

habe eine Antwort bekommen aus den Vaultwarden Forum:
eventuell hat ra einer von euch noch eine Möglichkeit wie das mit localhost/127.0.0.1 umgesetzt werde kann...

The web-vault is only accessable via https because the browsers only support the encryption api’s when using a secure connection or when you access it via localhost/127.0.0.1 in the last case it doesn’t need a secure connection.

 

[EDvonSchleck]

Ja das stimmt, läuft bei mir auch auf Port 80 so, nur wenn ich dann ein neues Konto anlegen möchte im Bitwarden Login, bekomme ich die Fehlermeldung das dass eine unsichere Verbindung ist, weil kein Zertifikat installiert ist.

bin ein bisschen weiter gekommen, gund war das testen von Vaultwarden auf den RaspPi mit Dietpi. Was soll ich sagen es funktioniert mit einen automatisch erstellten selbst signierten Zertifikat. Ich habe im Admin Webif nach änderungen geschau und bin dort auf "Rocket" gestoßen. eine Internetsuche ergab folgendes: https://github.com/dani-garcia/vaultwarden/wiki/Enabling-HTTPS

wenn ich es bisschen mehr Zeit habe teste ich das ganze noch einmal mit Docker der DS, wäre doch gedacht wenn das nicht geht. Eine Anleitung dazu werde ich denn auch hier veröffentlichen, sofern mir keiner zuvor gekommen ist! Vaultwarden funktioniert hier im Webif, Firefox-Addon und Bitwarden App. Bitte beachtet: die Bitwarden-App vom G-Playstore nutzt 2 Tracker (M$ & Google), die Version für F-Droid hat diese nicht! Download hier oder nach hinzufügen der Repository direkt über den F-Droidstore.

bis dahin...

 

[EDvonSchleck]

Nachtrag:

Funktioniert hier sofort und einfacher als man erst einmal denkt!

Einfach nur den Reverse Proxy (Systemsteuerung>Anmeldeportal>Erweitert>Reverse Proxy) nehmen und als URL den Namen der Diskstation im Netzwerk, worunter sie erreichbar ist eingeben (Systemsteuerung>Netzwerk>Allgemein>Netzwerknamen). Als Zieladresse die Ip und entsprechenden Port des Docker-Images und fertig ist das Ganze.Vaultwarden kann somit offline ohne Internet mit den Zertifikat der Diskstation genutzt werden ohne das der NAS online sein muss. Einen extra Namen kann man weiterhin noch unter: Systemsteuerung>Anmeldeportal>DSM>Benutzerdefinierte Domain vergeben werden. Somit ist die Diskstation unter 2 unterschiedliche Namen im internen Netz erreichbar.

 

[EDvonSchleck]

Zum vereinfachen dazu noch ein paar Bilder

 

[CptGambit]

Ich weiss nicht ob das Thema schon geklärt wurde, aber ich kann dazu diese Seite sehr empfehlen
https://mariushosting.com/synology-how-to-allow-bitwarden-to-work-over-an-https-connection/

Der hat generell gute Anleitungen.

 

[EDvonSchleck]

Das ist generell richtig, nur ging es hier zuletzt um Vaultwarden/Bitwarden ohne Internetzugang also nur intern. Dort fehlt in der Anleitung die Konfiguration vom Reverse Proxy für intern only. Bis jetzt habe ich noch keine Seite gefunden die darauf eingegangen ist!

Mit den Daten und Bildern sollte es jetzt möglich sein Vaultwarden intern zu betreiben...

Ich schätze Marius seine Anleitungen sehr, hab diese auch schon gepostet.

 

[CptGambit]

Ich hab genau das nicht verstanden. Bis eben.
Hab mehr durch Zufall festgestellt, dass ich den bitwarden Port auch am Router nach aussen freigegeben hatte. War mir dann aber doch etwas zu risky.

Dann hab ich versucht mit meiner synology.me URL und dem Port 5152 (hab es konfiguriert wie Marius vorgeschlagen hatte) von außen per VPN zuzugreifen und gemerkt: Genau das wäre sicher, geht aber nicht.

Kriegt man das unter Verwendung einer URL/IP hin? Würde ungern den hostnamen oder die IP immer ändern müssen, anhängig davon ob ich von aussen komme oder von innen.

 

[EDvonSchleck]

was bekommst du denn nicht genau hin? Wie du siehst funktioniert das bei anderen User jetzt auch. Was willst du denn erreichen?
Warum solltest du die IP oder Hostnamen dauernd ändern wollen? Ich gehe davon aus das du mit "draußen" ein vpn meinst?

Wenn dir geholfen werden soll gibt mehr input.

 

[CptGambit]

Ich benutze zu Hause folgende URL: https://xyz.synology.me:5152
Damit kann ich bitwarden erreichen. Benutze ich genau diese URL, wenn ich mich per VPN auf meine Fritzbox eingeklingt habe, dann bekomme ich: "Exception message: Es besteht anscheinend keine Verbindung zum Internet." Es besteht aber eine Verbindung zum Internet und ich kann über diese VPN Verbindung auch zu Hause meine Hue Lampen ein und ausschalten.

Wie hab ich docker container und co eingerichtet?
docker:
0.0.0.0:3012 -> 3012/tcp
0.0.0.0:5151 -> 80/tcp

reverse proxy:


Und ich hab noch einen DNS Server der xyz.synology.me nach meiner internen IP auflöst.

Mein Ziel wäre, per https://xyz.synology.me:5152 bitwarden sowohl zu Hause, also im LAN, also auch von außerhalb per VPN zu erreichen.

 

[EDvonSchleck]

das Problem ist aber das VPN. Bei VPN funktioniert die Namesauflösung nicht nur die IPs, das ist so gewollt, leider.
Du müsstest dich also auf eine IP festlegen, das sollte ja für Intern und extern funktionieren.

https://avm.de/service/wissensdaten...Auflosung-privater-IP-Adressen-nicht-moglich/

 

[CptGambit]

Hm.. im Browser funktioniert das(iPhone - Safari), aber leider nicht mit der nativen bitwarden App. Da kommt:

 

[EDvonSchleck]

das liegt daran das dein Apple bestimmt kein Zertifikat installiert hat. Du benutzt ein selbst signiertes Zertifikat? Ich kann von Android berichten, dass man das Zertifikat erst installieren muss. Das liegt daran das die Zertifikat nicht als sicher gelten. Im Browser bekommst du normal eine Fehlermeldung, welche du aber ignorieren kannst bzw. Zustimmen. Denn hat der Browser aus "ungültige" bzw nicht lizenzierte Zertifikat, das Gerät aber nicht!

Wenn ich das Zertifikat denn manuell ins System bringe (Android/AOSP/LineageOS möglich) funktioniert auch die App, ansonsten gibt es ein Fehler.

 

[CptGambit]

Ich bin kein Experte in Sachen Zertifikaten, aber ist so ein LE Zertifikat nicht an den hostnamen, also xyz.synology.me gebunden und wird auch nur so als vertrauenswürdig eingestuft?
Und gerade das geht ja nicht über VPN, wie ich dich verstanden habe.