Problem: Vaultwarden via Reverse Proxy und synology.me Zertifikat nicht erreichbar

controllero

Benutzer
Mitglied seit
20. Jul 2013
Beiträge
32
Punkte für Reaktionen
2
Punkte
8
Guten Morgen,

ich habe gelesen, wirklich, aber ich komme nicht weiter. Folgendes versuche ich:
Vaultwarden im Container via Reverse Proxy mit einem synology.me Zertifikat. Mein Anspruch wäre eigentlich nur, den Vaultwarden lokal zu betreiben und via VPN darauf zuzugreifen. Da Vaultwarden aber auf https besteht und ich mit mehreren Endgeräten via VPN darauf zugreifen will, bleibt mir - nach Lektüre der einschlägigen Anleitungen und Berichten in Foren - wohl nur dieser Weg...

Ich habe im Container Vaultwarden im Bridge-Modus installiert und den 80 auf 35553 gesetzt.
vaultwarden.jpg

Dann DDNS einen Hostnamen xyz.synology.me registriert und dieses auf interne IP umgebogen. Das Zertifikat xyz.synology.me ist das Standardzertifikat.
DDNS.jpg

Zuletzt den Reverse Proxy eingerichtet nach bestem Gewissen eingerichtet, indem der HTTPS 443 auf den HTTP localhost 35553 zielt.
RP.jpg

Ergebnis: Über die lokale IP 192.168.1.11:35553 komme ich selbstverständlich auf den Vaultwarden. So lässt er aber selbstredend keine Anmeldung zu. Über https://xyz.synology.me:35553 geht nichts.
nslookup von xyz.synology.me ergibt: Non-authoritative answer: Name: xyz.synology.me Address: 192.168.1.11 - passt also meines Erachtens.

Stutzig macht mich an der Stelle noch, dass in der Konfiguration der Zertifikate, Vaultwarden nirgends als Dienst auftaucht. Damit besteht auch nicht die Möglichkeit, das xyz.synology.me dediziert zuzuweisen.
Dienste.jpg

Auf der anderen Seite sollte es als Standardzertifikat ja automatisch zugewiesen werden. Aber etwas Zweifel bleibt....

Es sei noch gesagt, dass vor der Synology ein Router sitzt. Muss evtl. der 35553 mit TCP auf irgendwas zeigen? Etwas anderes fällt mir nicht mehr ein. Bin für jede Hilfe sehr dankbar!
 

mj084

Benutzer
Mitglied seit
14. Feb 2024
Beiträge
259
Punkte für Reaktionen
57
Punkte
28
Einfach ohne Port die Subdomain für deine Vaultwarden Instanz aufrufen;)
 

mj084

Benutzer
Mitglied seit
14. Feb 2024
Beiträge
259
Punkte für Reaktionen
57
Punkte
28
Dann schaue ich nochmal in Ruhe, aber so wäre es richtig, da der Reverse Proxy Eintrag ja so angelegt ist und die via HTTPS (443) drauf gehst...

Ein Ping auf den Vaultwarden Eintrag bringt was zurück?
 

Benie

Benutzer
Contributor
Sehr erfahren
Mitglied seit
19. Feb 2014
Beiträge
9.276
Punkte für Reaktionen
4.048
Punkte
389
Wildcard Zertifikat hast Du?
 

controllero

Benutzer
Mitglied seit
20. Jul 2013
Beiträge
32
Punkte für Reaktionen
2
Punkte
8
Ping auf xyz.synology.me bringt: ping: sendto: Socket is not connected | Request timeout for icmp_seq 0
Ping auf xyz.synology.me mit https vornan gestellt bringt: ping: cannot resolve xyz.synology.me: Unknown host

Wildcard Zertifikat habe ich....

Könnte es an fehlender Portweiterleitung im Router liegen?
 

mj084

Benutzer
Mitglied seit
14. Feb 2024
Beiträge
259
Punkte für Reaktionen
57
Punkte
28
Ist den URL auch im Bitwarden Admin Panel hinterlegt?

Ein Ping auf die normale DDNS Domain sollte ja durch die Einstellung im NAS eine Antwort vom NAS liefern...

Edit:

trag die Domain mal als Variable im Container ein starte ihn nochmal neu..
 

Anhänge

  • Screenshot_20240623-113858.png
    Screenshot_20240623-113858.png
    133,5 KB · Aufrufe: 24

controllero

Benutzer
Mitglied seit
20. Jul 2013
Beiträge
32
Punkte für Reaktionen
2
Punkte
8
Admin Panel ist die URL hinterlegt.
admin.jpg

Deine zweite Frage verstehe ich nicht, bzw. hatte ich einen Post weiter oben ja bereits verneint. Die Pings auf xyz.synology.me in jedweder Form (mit/ohne https voran und mit ohne Port) bringen leider kein Ergebnis....
 

mj084

Benutzer
Mitglied seit
14. Feb 2024
Beiträge
259
Punkte für Reaktionen
57
Punkte
28
Ich meinte damit die registrierte DDNS Domain, ohne die Subdomain davor..

Ein tracert wäre auch hilfreich um zu sehen ob er probiert die Domain intern oder extern aufzulösen;)

Ich tippe mal extern...

Edit:

Du hast gar keinen Subdomain Eintrag für die Vaultwarden Instanz angelegt oder?
 

mj084

Benutzer
Mitglied seit
14. Feb 2024
Beiträge
259
Punkte für Reaktionen
57
Punkte
28
Dann kann ich leider nicht auch weiterhelfen wenn die Basics wie Subdomain und tracert nicht mal sitzen...
 

controllero

Benutzer
Mitglied seit
20. Jul 2013
Beiträge
32
Punkte für Reaktionen
2
Punkte
8
Meinem Verständnis nach ist die Subdomain das "xyz" vor synology.me. Korrigiere mich bitte, wenn ich an der Stelle falsch bin...

traceroute bringt Nachfolgendes:
traceroute to xyz.synology.me (0.0.0.0), 64 hops max, 40 byte packets
traceroute: sendto: Socket is not connected
1 traceroute: wrote xyz.synology.me 40 chars, ret=-1
*traceroute: sendto: Socket is not connected
 

mj084

Benutzer
Mitglied seit
14. Feb 2024
Beiträge
259
Punkte für Reaktionen
57
Punkte
28
Nein, eine korrekte Subdomain für deine Vaultwarden Instanz wäre:

vaultwarden.xyz.synology.me

Dies ist einfach den DDNS-Diensten geschuldet, da ja jede DynDNS Domain bei einem zentralen Anbieter schon einer Subdomain entspricht...

Hättest du eine eigene Domain: meinedomain.de, würde die Subdomain dann so aussehen: vaultwarden.meinedomain.de
 
Zuletzt bearbeitet:

controllero

Benutzer
Mitglied seit
20. Jul 2013
Beiträge
32
Punkte für Reaktionen
2
Punkte
8
ok, Danke! Dann liegt eventuell da der Fehler...
Wo trage ich dann die Subdomain ein? Beim Reverse Proxy?
 
  • Like
Reaktionen: mj084

bertoal

Benutzer
Mitglied seit
20. Feb 2021
Beiträge
165
Punkte für Reaktionen
91
Punkte
78

controllero

Benutzer
Mitglied seit
20. Jul 2013
Beiträge
32
Punkte für Reaktionen
2
Punkte
8
So, auch mit vaultwarden.xyz.synology.me klappt es leider nicht...

ping und tracroute auf vaultwarden.xyz.synology.me bringen immer "Socket is not connected".

@bertoal Die Anleitung habe ich (bis auf smtp) auch befolgt, bzw. die entsprechenden Schritte gemacht. Port ist ein anderer, zugegeben, aber das dürfte ja nicht das Problem sein.

Muss ich im Router irgendwas auf was weiterleiten?
 

controllero

Benutzer
Mitglied seit
20. Jul 2013
Beiträge
32
Punkte für Reaktionen
2
Punkte
8
traceroute to vaultwarden.xyz.synology.me (0.0.0.0), 64 hops max, 52 byte packets
traceroute: sendto: Socket is not connected
1 traceroute: wrote vaultwarden.xyz.synology.me 52 chars, ret=-1
*traceroute: sendto: Socket is not connected
 

mj084

Benutzer
Mitglied seit
14. Feb 2024
Beiträge
259
Punkte für Reaktionen
57
Punkte
28
Und nur auf deine DynDNS Domain?

Da muss ja die IP des NAS rauskommen...
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat