Bitwarden iOS App: SSL Probleme beim Zugriff aus lokalem Netzwerk

[dtv1899]

Habe mir eben einen Bitwarden Container aufgesetzt, der von außen via https://bw.xyz.de erreichbar ist. Abgesichert über ein LE Zertifikat.

Reverse Proxy ist soweit eingerichet und funktioniert.

Nun habe ich mir die iOS App heruntergeladen und als Server URL die oben genannte eingetragen. Ein Verbinden ist aber nicht möglich, da die App einen SSL Fehler meldet. Wenn ich Wifi deaktiviere und die Verbindung via LTE herstelle, funktioniert alles ohne Probleme.

Zusätzlich gibt es noch das Problem, dass ich beim internen Aufruf von https://bw.xyz.de auf meiner Fritzbox lande, die eigentlich auf fb.xyz.de liegt.

Kann mir hier jemand helfen?

 

[Fusion]

In der Fritzbox in den Netzwerkeinstellungen eine Ausnahme für den DNS rebind Schutz eintragen für bw.example.com

(das sind die offiziellen Beispiel Domains die man bitte benutzen soll, bevor man fremde Domains benutzt. Deine gewählte benutzt anscheinend zwar gerade niemand, aber...)

 

[dtv1899]

Im Rebind-Schutz sind alle drei meiner Subdomains eingetragen, denn zuvor hat mich die Fritzbox beim Aufruf der Seiten von lokal nämlich darauf hingewiesen, dass der Rebind-Schutz zugeschlagen hat.

Zusatzinfo: Ich nutze ein Pi-Hole als DNS

 

[Fusion]

Ich hoffe doch die ganze Domain... Weil Subdomain ist nur bw oder example. de ist dann die top Level Domain und bw.example.com ist eine Domain oder ein Full Qualified Domain Name (FQDN).

Wenn du ein pihole benutzt, dann nimm doch einfach dort die Sektion 'local DNS' und trage die bw.example.com dort mit der IP deiner NAS ein, dann brauchst du auch keine Ausnahme mehr im DNS Rebind Schutz, weil die Client direkt vom DNS Server gesagt bekommen: wo willst hin? Ah, zu bw.example.com, OK, das findest du unter 192.168.168.10 (oder wo deine NAS hängt).
Dann kommen die clients nämlich überhaupt gar nicht erst an der Fritzbox vorbei.
Alternativ auch das conditional forwarding unter Einstellungen > DNS

Rebind Schutz schlägt nur zu, weil deine Clients am DNS anklopfen : hey, ich will zu bw.example.com, wo finde ich das? Sekunde... Unter 80.79.123.578. Dann klopft der Client dort an und die Fritzbox sagt: Moment, da kommt eine Anfrage von 192.168.178.20 (dein iPhone) von extern und will zu 192.168.178.10 (dein NAS)... Das Blöcke ich mal lieber, stinkt nach einem DNS Rebind Angriff.

 

[dtv1899]

Okay, habe die Ausnahme in der Fritzbox wieder herausgenommen, aber nun greift auch sofort wieder der Schutz der Fritzbox, d.h. im Pihole muss etwas falsch konfiguriert sein. Es sind die FQDNS eingetragen.

 

[Fusion]

Das conditional forwarding greift nur für bw.fritz.box
Da du das so nicht willst (alles außer *.fritz.box wird als nicht lokal behandelt) würde ich das eher ausschalten.

Bei local domains steht jetzt bw.example.com drin auf 192.168.5.2...

Also dann fragt vermutlich dein iPhone nicht den pihole sondern einen anderen dns server, weil er immer noch auf der öffentlichen IP der Fritzbox anklopft.
Oder es ist ein timing problem.

Dazu mal Fritzbox, pihole ausschalten, iPhone in Flugmodus. Dann Fritzbox und pihole wieder an und dann das WLAN am iPhone anmachen und nochmal probieren.
Wenn es immer noch nicht geht liegts sehr wahrscheinlich nicht mehr an der Netzhardware sondern am iPhone.

Man kann dann auch neben her das pihole tail log mitlaufen lassen und beobachten, ob anfragen nach bw.example.com reinkommen und beantwortet werden.

 

[dtv1899]

Mein iPhone fragt im Moment des Bitwarden-Syncversuchs tatsächlich das Pi-Hole, das wäre demnach korrekt.
Ich wundere mich jetzt nur, weshalb da meine myfritz.net Adresse steht und nicht die Subdomain.
Die myfritz-Adresse habe ich als CNAME Record beim Domainanbieter für die Subdomain hinterlegt.

Das Problem beim Bitwarden-Sync ist vermutlich auch nicht, dass er den Server nicht findet, sondern die SSL Probleme.

 

[haydibe]

Hmm, mir war so als ob hier häufiger schon die Meldung war, dass https terminieren im Syno-RP zu Problemen bei BW und iOS führt.
Wäre mal interessant zu sehen, welche Cipher-Suits der Syno-RP unterstützt und welche der BW-Container selbst anbietet (wenn HTTPS dort konfiguriert ist).

Einfach mal beide Varianten mit https://www.ssllabs.com/ssltest/ testen. Hier bekommt man auch die Kompatibilität mit diversen OS und Client Versionen angezeigt.

Für https ist die IP in der Regel egal, relevant ist nur das die verwendete URL beim Zugriff zum CN oder einem der SAN im Zertifikat passt. Client und Server müssen sich natürlich auch auf eine Cipher-Suite einigen können...

 

[Fusion]

Trotzdem sollte er keine myfritz Adresse suchen eigentlich, weil es völlig egal sein sollte was bei deinem Domain anbieter im DNS steht wenn das iPhone nur lokal den Pihole befragt und die lokale Ziel Adresse vom NAS bekommt.

Unter Systemsteuerung > Sicherheit > ganz rechts. Moderne Kompatibilität gewählt?
Im reverse proxy bei den Headern den socket upgrade eingestellt (erstellen geklickt)?

Aber am reverse proxy kann es eigentlich nicht liegen, weil du ja von extern aufgerufen keinerlei Probleme damit hast.