Problem: Vaultwarden via Reverse Proxy und synology.me Zertifikat nicht erreichbar

[controllero]

Guten Morgen,

ich habe gelesen, wirklich, aber ich komme nicht weiter. Folgendes versuche ich:
Vaultwarden im Container via Reverse Proxy mit einem synology.me Zertifikat. Mein Anspruch wäre eigentlich nur, den Vaultwarden lokal zu betreiben und via VPN darauf zuzugreifen. Da Vaultwarden aber auf https besteht und ich mit mehreren Endgeräten via VPN darauf zugreifen will, bleibt mir - nach Lektüre der einschlägigen Anleitungen und Berichten in Foren - wohl nur dieser Weg...

Ich habe im Container Vaultwarden im Bridge-Modus installiert und den 80 auf 35553 gesetzt.


Dann DDNS einen Hostnamen xyz.synology.me registriert und dieses auf interne IP umgebogen. Das Zertifikat xyz.synology.me ist das Standardzertifikat.


Zuletzt den Reverse Proxy eingerichtet nach bestem Gewissen eingerichtet, indem der HTTPS 443 auf den HTTP localhost 35553 zielt.


Ergebnis: Über die lokale IP 192.168.1.11:35553 komme ich selbstverständlich auf den Vaultwarden. So lässt er aber selbstredend keine Anmeldung zu. Über https://xyz.synology.me:35553 geht nichts.
nslookup von xyz.synology.me ergibt: Non-authoritative answer: Name: xyz.synology.me Address: 192.168.1.11 - passt also meines Erachtens.

Stutzig macht mich an der Stelle noch, dass in der Konfiguration der Zertifikate, Vaultwarden nirgends als Dienst auftaucht. Damit besteht auch nicht die Möglichkeit, das xyz.synology.me dediziert zuzuweisen.


Auf der anderen Seite sollte es als Standardzertifikat ja automatisch zugewiesen werden. Aber etwas Zweifel bleibt....

Es sei noch gesagt, dass vor der Synology ein Router sitzt. Muss evtl. der 35553 mit TCP auf irgendwas zeigen? Etwas anderes fällt mir nicht mehr ein. Bin für jede Hilfe sehr dankbar!

 

[mj084]

Einfach ohne Port die Subdomain für deine Vaultwarden Instanz aufrufen

 

[controllero]

Das funktioniert leider auch nicht…

 

[mj084]

Dann schaue ich nochmal in Ruhe, aber so wäre es richtig, da der Reverse Proxy Eintrag ja so angelegt ist und die via HTTPS (443) drauf gehst...

Ein Ping auf den Vaultwarden Eintrag bringt was zurück?

 

[Benie]

Wildcard Zertifikat hast Du?

 

[controllero]

Ping auf xyz.synology.me bringt: ping: sendto: Socket is not connected | Request timeout for icmp_seq 0
Ping auf xyz.synology.me mit https vornan gestellt bringt: ping: cannot resolve xyz.synology.me: Unknown host

Wildcard Zertifikat habe ich....

Könnte es an fehlender Portweiterleitung im Router liegen?

 

[mj084]

Ist den URL auch im Bitwarden Admin Panel hinterlegt?

Ein Ping auf die normale DDNS Domain sollte ja durch die Einstellung im NAS eine Antwort vom NAS liefern...

Edit:

trag die Domain mal als Variable im Container ein starte ihn nochmal neu..

 

[controllero]

Admin Panel ist die URL hinterlegt.


Deine zweite Frage verstehe ich nicht, bzw. hatte ich einen Post weiter oben ja bereits verneint. Die Pings auf xyz.synology.me in jedweder Form (mit/ohne https voran und mit ohne Port) bringen leider kein Ergebnis....

 

[mj084]

Ich meinte damit die registrierte DDNS Domain, ohne die Subdomain davor..

Ein tracert wäre auch hilfreich um zu sehen ob er probiert die Domain intern oder extern aufzulösen

Ich tippe mal extern...

Edit:

Du hast gar keinen Subdomain Eintrag für die Vaultwarden Instanz angelegt oder?

 

[controllero]

An der Stelle bin ich mit deinen Anweisungen/Fragen lost...

 

[mj084]

Dann kann ich leider nicht auch weiterhelfen wenn die Basics wie Subdomain und tracert nicht mal sitzen...

 

[controllero]

Meinem Verständnis nach ist die Subdomain das "xyz" vor synology.me. Korrigiere mich bitte, wenn ich an der Stelle falsch bin...

traceroute bringt Nachfolgendes:
traceroute to xyz.synology.me (0.0.0.0), 64 hops max, 40 byte packets
traceroute: sendto: Socket is not connected
1 traceroute: wrote xyz.synology.me 40 chars, ret=-1
*traceroute: sendto: Socket is not connected

 

[mj084]

Nein, eine korrekte Subdomain für deine Vaultwarden Instanz wäre:

vaultwarden.xyz.synology.me

Dies ist einfach den DDNS-Diensten geschuldet, da ja jede DynDNS Domain bei einem zentralen Anbieter schon einer Subdomain entspricht...

Hättest du eine eigene Domain: meinedomain.de, würde die Subdomain dann so aussehen: vaultwarden.meinedomain.de

 

[controllero]

ok, Danke! Dann liegt eventuell da der Fehler...
Wo trage ich dann die Subdomain ein? Beim Reverse Proxy?

 

[bertoal]

https://mariushosting.com/synology-install-vaultwarden-with-portainer/

So habe ich es eingerichtet - und klappt wunderbar

 

[controllero]

So, auch mit vaultwarden.xyz.synology.me klappt es leider nicht...

ping und tracroute auf vaultwarden.xyz.synology.me bringen immer "Socket is not connected".

@bertoal Die Anleitung habe ich (bis auf smtp) auch befolgt, bzw. die entsprechenden Schritte gemacht. Port ist ein anderer, zugegeben, aber das dürfte ja nicht das Problem sein.

Muss ich im Router irgendwas auf was weiterleiten?

 

[mj084]

ping und tracroute auf vaultwarden.xyz.synology.me bringen immer "Socket is not connected".

Ein Ping kann nicht so eine Antwort liefern...

Was sagt ein Tracert, wie wird probiert aufzulösen?

 

[controllero]

traceroute to vaultwarden.xyz.synology.me (0.0.0.0), 64 hops max, 52 byte packets
traceroute: sendto: Socket is not connected
1 traceroute: wrote vaultwarden.xyz.synology.me 52 chars, ret=-1
*traceroute: sendto: Socket is not connected

 

[mj084]

Und nur auf deine DynDNS Domain?

Da muss ja die IP des NAS rauskommen...

 

[controllero]

Nein, selbe Rückmeldung....