Paperless und Vaultwarden Eigenheiten

Rob93

Benutzer
Mitglied seit
15. Aug 2024
Beiträge
14
Punkte für Reaktionen
2
Punkte
3
Hallo zusammen, ich habe soweit alles auf meiner Synology nach meiner Vorstellung eingerichtet.

Einige Docker: watchtower, adguard, vaultwarden, und paperless-ngx.
Alles funktioniert soweit wunderbar.

Allerdings habe ich via DDNS Paperless und Vaultwarden ins Internet frei gegeben, was mir nach kurzer Überlegung doch zu unsicher war.

Nun habe ich mir Wireguard auf meiner FRITZ!box und meinem iPhone eingerichtet.

Zwei Dinge sind mir nun aufgefallen.

Über den VPN kann ich nun ganz normal den Webaufruf via IP und dazugehörigem Port aufrufen.
Paperless-NGX würde ich gerne in der App benutzen, wenn ich dort allerdings die IP samt Port eingebe meckert er nun über einen SSL-Fehler, siehe Screenshot.

Gibt es hier eine Lösungsmöglichkeit?
Ich finde gerade leider keinen Forenbeitrag, bzw. sehe ich wahrscheinlich vor lauter Bäumen den Wald nicht.



Was mir außerdem aufgefallen ist: Ich nutze Vaulwarden mit der Bitwarden App für iOS, bevor ich den 443 Port der FRITZ!Box geschlossen habe, habe ich den Tresor über meine DDNS-Adresse verknüpft.

Warum kann die Bitwarden App nun immer noch mit meiner DDNS Adresse kommunizieren, auch wenn ich nicht per VPN verbunden bin.
Muss ich nicht eigentlich mit der lokalen IP darauf zugreifen?
Besteht da sicherheitstechnisch noch Handlungsbedarf?
Den Webaufruf kann ich natürlich nur per VPN auf dem Smartphone erreichen.



Falls ich das Installationsskript für Vaultwarden oder Paperless hochladen soll, kann ich das gerne machen.

Ich bin mir sehr sicher, dass hier nur Kleinigkeiten an den Freigaben bzw. Einstellungen vorgenommen werden müssen, allerdings stehe ich aktuell auf dem Schlauch und brauche einen Denkanstoß.
IMG_2768.jpeg
 

Hellraiser123

Benutzer
Sehr erfahren
Mitglied seit
31. Jul 2024
Beiträge
764
Punkte für Reaktionen
410
Punkte
139
Wegen dem SSL Fehler. Ja das ist so richtig. Für HTTPS brauchst du ein gültiges Zertifikat von einer anerkannt CA. Dies bekommt man aber nicht für IPs. Der einfachste Weg nutz die synology.me Adresse und lass es auf deine interne IP auflösen. Dann ist es nur intern erreichbar aber über die Domain und du hast automatisch ein Zertifikat.
Die zweite Frage versteh ich gerade nicht genau. Da bräuchte ich mehr Infos.

Edit: zum Tresor lesen ist keine Verbindung nötig. Er synct sich ja und kann auch benutzt werden, wenn keine Verbindung besteht. Du kannst aber nichts ändern. Probier doch mal einen neuen Eintrag zu erstellen. Dann müssten er meckern.
 
Zuletzt bearbeitet:
  • Like
Reaktionen: Rob93

Rob93

Benutzer
Mitglied seit
15. Aug 2024
Beiträge
14
Punkte für Reaktionen
2
Punkte
3
Okay, super danke, ich denke das habe ich verstanden.

Sobald ich Feierabend habe, werde ich ausprobieren paperless sowie vaultwarden über meine Synology.me Adresse intern erreichbar zu machen, damit sollte sich dann mein Problem in Luft auflösen, wenn ich das richtig verstehe 🙂
 
Zuletzt bearbeitet:

Rob93

Benutzer
Mitglied seit
15. Aug 2024
Beiträge
14
Punkte für Reaktionen
2
Punkte
3
Da habe ich mich wohl doch zu weit aus dem Fenster gelehnt...
Als ich den Port 443 meiner Fritzbox noch zum Internet hin geöffnet hatte, konnte ich per Reverse Proxy, in dem meine Subdomain vaultwarden.meinedomain.synology.me mit dem Port 443 hinterlegt wurde auf das Ziel localhost mit dem Port 4040 gezeigt hat.

Wie genau lasse ich denn meine synology.me Adresse auf die interne IP auflösen?
Ich bin gerade etwas verloren
 
Zuletzt bearbeitet:

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.647
Punkte für Reaktionen
3.666
Punkte
468
Das kannst du bei der DDNS-Konfiguration von synology.me einstellen
 

Rob93

Benutzer
Mitglied seit
15. Aug 2024
Beiträge
14
Punkte für Reaktionen
2
Punkte
3
In dem ich dort anstatt die öffentliche dynamische IP die IP meiner Synology als "externe Adresse (IPv4)" eintrage?
 

Benie

Benutzer
Contributor
Sehr erfahren
Mitglied seit
19. Feb 2014
Beiträge
8.285
Punkte für Reaktionen
3.409
Punkte
344
Warum kann die Bitwarden App nun immer noch mit meiner DDNS Adresse kommunizieren, auch wenn ich nicht per VPN verbunden bin.
Muss ich nicht eigentlich mit der lokalen IP darauf zugreifen?
Besteht da sicherheitstechnisch noch Handlungsbedarf?
Den Webaufruf kann ich natürlich nur per VPN auf dem Smartphone erreichen.
1. meinst Du intern oder extern?
2. auch intern läuft Bitwaren nur über DynDNS
3 Wenn alle Ports inkl.443 zu sind nicht. -> Ich verwende Vaultwarden auch intern mit DynDNS ReverseProxy läuft über Port 443, aber der Rebindschutz auf der Fritte ist aktiviert, so weiß die Fritte daß es nur intern laufen soll.
4. ist Normal.
 
Zuletzt bearbeitet:
  • Like
Reaktionen: Rob93

Rob93

Benutzer
Mitglied seit
15. Aug 2024
Beiträge
14
Punkte für Reaktionen
2
Punkte
3
Rebindschutz war das Stichwort, jetzt funktionierts.
Vielen, vielen Dank!
 
  • Like
Reaktionen: Benie

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.647
Punkte für Reaktionen
3.666
Punkte
468
@Rob93, du hast doch dort die Wahl neben der der externen IP (Automatisch) auch jede interne IP per DDNS zu publizieren, sowohl für IPv4 und/oder IPv6

1724788561388.png
 
  • Like
Reaktionen: Benie und Rob93

Rob93

Benutzer
Mitglied seit
15. Aug 2024
Beiträge
14
Punkte für Reaktionen
2
Punkte
3
Das hatte ich bereits entdeckt und so eingestellt, allerdings musste ich noch die Domains inkl. Subdomains im Rebindschutz in meiner Fritzbox eintragen.
Trotzdem danke, für den Gedankenanstoß!
 
Zuletzt bearbeitet von einem Moderator:
  • Like
Reaktionen: Benie


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat