Ich hatte MFA bei Netcup nie an (hab da nur 3 Domains und sonst nichts). Bei der Verwendung von API-Key und Passwort hätte ich nicht erwartet das MFA dort auch greift.
Vaultwarden auf Synology NAS bekomme ich nicht hin. Da kein HTTPS. (Vodafone)
- Ersteller Sir Jack Daniels
- Erstellt am
Hallo Sir Jack Daniels,
Bücher und Hardware zum Thema gibt es bei Amazon: Vaultwarden auf Synology NAS bekomme ich nicht hin. Da kein HTTPS. (Vodafone)
Bücher und Hardware zum Thema gibt es bei Amazon: Vaultwarden auf Synology NAS bekomme ich nicht hin. Da kein HTTPS. (Vodafone)
Ah. Okay das ergibt Sinn. Komisch das dafür kein Cli-Befehl vorgesehen ist...
EDvonSchleck
Gesperrt
- Mitglied seit
- 06. Mrz 2018
- Beiträge
- 4.703
- Punkte für Reaktionen
- 1.119
- Punkte
- 214
- Mitglied seit
- 06. Apr 2013
- Beiträge
- 14.158
- Punkte für Reaktionen
- 912
- Punkte
- 424
EDvonSchleck
Gesperrt
- Mitglied seit
- 06. Mrz 2018
- Beiträge
- 4.703
- Punkte für Reaktionen
- 1.119
- Punkte
- 214
Danke, den DNS Alias Mode verstehe ich nicht richtig.
Habe ich es richtig verstanden das man eine andere Domain nutzt um seine Hauptdomain zu zertifizieren. Was meinst du mit "Zertifikate für Domains erstellen die überhaupt nicht selbst von außen erreichbar sein müssen"? Meinst du das im internen Netzwerk?
Habe ich es richtig verstanden das man eine andere Domain nutzt um seine Hauptdomain zu zertifizieren. Was meinst du mit "Zertifikate für Domains erstellen die überhaupt nicht selbst von außen erreichbar sein müssen"? Meinst du das im internen Netzwerk?
- Mitglied seit
- 06. Apr 2013
- Beiträge
- 14.158
- Punkte für Reaktionen
- 912
- Punkte
- 424
Um sich wildcard Zertifikate ausstellen zu lassen, oder eben für abgeschottete Domains, braucht man einen Anbieter bei dem man die DNS Einstellungen per API oder web-wrapper etc. manipulieren kann (und die von acme.sh unterstützt werden).
--Syntax aus dem Kopf nicht korrekt--
Wenn man jetzt seine Domains (abc.example.com) aber bei einem Anbieter betreiben will der dies nicht hat kann man bei diesem im DNS feste Einträge (_acme-challenge.example.com) hinterlegen die auf einen Alias (alias.example2.com) bei einem der unterstützten Anbieter zeigen.
Über diesen Alias läuft dann die eigentliche dns-auth mit dynamischem TXT record. Das Zertifikat wird aber auf abc.example.com ausgestellt.
example.com muss also öffentlich existieren, aber die Systeme die man intern damit laufen lassen will müssen nicht öffentlich erreichbar sein.
Hab ich vielleicht vorher missverständlich geschrieben. Dann hätte man auch lesen können, dass man sich z.b. Für nas.server.local oder ähnlich ein Zertifikat ausstellen könnte.
Das ging glaube nicht.
Ich kann also jeden Domain Anbieter benutzen solange ich dort einen cname Eintrag für den challenge Alias vornehmen kann.
Und ich kann bei all den Anbieter ein und denselben Ziel Alias für die DNS-auth verwenden.
--Syntax aus dem Kopf nicht korrekt--
Wenn man jetzt seine Domains (abc.example.com) aber bei einem Anbieter betreiben will der dies nicht hat kann man bei diesem im DNS feste Einträge (_acme-challenge.example.com) hinterlegen die auf einen Alias (alias.example2.com) bei einem der unterstützten Anbieter zeigen.
Über diesen Alias läuft dann die eigentliche dns-auth mit dynamischem TXT record. Das Zertifikat wird aber auf abc.example.com ausgestellt.
example.com muss also öffentlich existieren, aber die Systeme die man intern damit laufen lassen will müssen nicht öffentlich erreichbar sein.
Hab ich vielleicht vorher missverständlich geschrieben. Dann hätte man auch lesen können, dass man sich z.b. Für nas.server.local oder ähnlich ein Zertifikat ausstellen könnte.
Das ging glaube nicht.
Ich kann also jeden Domain Anbieter benutzen solange ich dort einen cname Eintrag für den challenge Alias vornehmen kann.
Und ich kann bei all den Anbieter ein und denselben Ziel Alias für die DNS-auth verwenden.
EDvonSchleck
Gesperrt
- Mitglied seit
- 06. Mrz 2018
- Beiträge
- 4.703
- Punkte für Reaktionen
- 1.119
- Punkte
- 214
Danke hab ich also doch richtig verstanden (Github) - ich dachte auch du meintest Zertifizieren der internen Domain.
Trotzdem super Sache das ganze.
Eine einfach verständliche Anleitung für DSM Docker incl. Bilder gibt es hier. Damit sollte es jeden gelingen auch ohne Erfahrung acme.sh zum laufen zu bekommen.
Trotzdem super Sache das ganze.
Eine einfach verständliche Anleitung für DSM Docker incl. Bilder gibt es hier. Damit sollte es jeden gelingen auch ohne Erfahrung acme.sh zum laufen zu bekommen.
Ich hab eine Wildcard Subdomain für *.int.domain.tld mit einem A-Record auf eine interne failover-IP angelegt. Das LE-Zertifikat lasse ich für die SAN's
Achtung: wenn auf dem selben Reverse-Proxy sowohl eine externe, als auch nur für interne gedachte Domain vorhanden ist, sollte man für die interne unbedingt eine Source-IP Filter einbauen, so dass nur das lokale LAN als gültige Source für die Domain akzeptiert wird.
*.int.domain.tld und int.domain.tld erzeugen. Allerdings klappt das nur Ausnahme von DNS-Rebind-Protection für int.domain.tld, wenn man die nicht setzen kann, dann muss man die konkreten Subdomains nach dem Muster service.int.domain.tld in Unbound oder Pihole anlegen - beide erlauben das man Einträge für beliebige Domains anlegen kann, ohne dafür die HostedZone pflegen zu müssen. Der Rest wird dann durch einbinden des Wildcard-Zertifikats im Reverse Proxy und dort durch die Domain-Zuordnung zu Container geregelt.Achtung: wenn auf dem selben Reverse-Proxy sowohl eine externe, als auch nur für interne gedachte Domain vorhanden ist, sollte man für die interne unbedingt eine Source-IP Filter einbauen, so dass nur das lokale LAN als gültige Source für die Domain akzeptiert wird.
EDvonSchleck
Gesperrt
- Mitglied seit
- 06. Mrz 2018
- Beiträge
- 4.703
- Punkte für Reaktionen
- 1.119
- Punkte
- 214
trotzdem brauchst du doch noch einen Provider um die Weiterleitung überhauüt möglich zu machen - in deinem Fall netcup
Hallo zusammen.
Darf ich mich hier bitte gleich einklinken?
Ich habe bei meiner DS DSM 7.1 installiert und wollte mir nun auch via Docker und Vaultwarden/Bitwarden einen PM einrichten.
Eigentlich hat die Einrichtung gut funktioniert und ich komme auch wunderbar extern über meinen DDNS zur Bitwarden Anmeldeseite.
Das Problem ist nun, dass ich über meinen Hostnamen im lokalen Netzwerk nicht zur Bitwarden Login Seite komme, sondern nur auf die Anmeldeseite des Routers.
Und über die lokale IP Adresse habe ich kein SSL -> HTTPS und somit kann ich mich auch hier nicht anmelden.
Fazit: Ich kann im lokalem Netzwerk Bitwarden nich nutzen.
Ich befürchte ja das liegt daran, dass mein Router kein NAT-Loopback kann.
Gibt es hier irgendeine Lösung, oder habe ich etwas übersehen?
Danke & LG, Tommily
Darf ich mich hier bitte gleich einklinken?
Ich habe bei meiner DS DSM 7.1 installiert und wollte mir nun auch via Docker und Vaultwarden/Bitwarden einen PM einrichten.
Eigentlich hat die Einrichtung gut funktioniert und ich komme auch wunderbar extern über meinen DDNS zur Bitwarden Anmeldeseite.
Das Problem ist nun, dass ich über meinen Hostnamen im lokalen Netzwerk nicht zur Bitwarden Login Seite komme, sondern nur auf die Anmeldeseite des Routers.
Und über die lokale IP Adresse habe ich kein SSL -> HTTPS und somit kann ich mich auch hier nicht anmelden.
Fazit: Ich kann im lokalem Netzwerk Bitwarden nich nutzen.
Ich befürchte ja das liegt daran, dass mein Router kein NAT-Loopback kann.
Gibt es hier irgendeine Lösung, oder habe ich etwas übersehen?
Danke & LG, Tommily
- Mitglied seit
- 26. Aug 2013
- Beiträge
- 3.439
- Punkte für Reaktionen
- 1.062
- Punkte
- 194
Womit bzw. wie kann man die Hosts-Datei übersteuern? Du meinst sicherlich, dass man das Problem mit der Hosts-Datei lösen kann.
- Mitglied seit
- 06. Apr 2013
- Beiträge
- 14.158
- Punkte für Reaktionen
- 912
- Punkte
- 424
Die Möglichkeiten sind immer dieselben.
- VPN Zugriff und 'nur lokal' überhaupt zugreifen.
- Client bezogen die Namensauflösung anpassen (Bsp /etc/hosts Datei). Nachteil: geht dann von extern nicht
- Router tauschen in ein Modell welches NAT Loopback unterstützt bzw. Ausnahmen vom DNS Rebind-Schutz
- lokalen Nameserver / DNS selbst betreiben ala pi-hole, oder Adguard Home, oder auf der DS selbst etc.
Eventuell noch andere an die ich gerade nicht denke, aber nix neues dabei.
- VPN Zugriff und 'nur lokal' überhaupt zugreifen.
- Client bezogen die Namensauflösung anpassen (Bsp /etc/hosts Datei). Nachteil: geht dann von extern nicht
- Router tauschen in ein Modell welches NAT Loopback unterstützt bzw. Ausnahmen vom DNS Rebind-Schutz
- lokalen Nameserver / DNS selbst betreiben ala pi-hole, oder Adguard Home, oder auf der DS selbst etc.
Eventuell noch andere an die ich gerade nicht denke, aber nix neues dabei.
Danke für die schnelle RM!! Ich geh dann erstmal den Weg über die "hosts" Datei.
Ich kann aber trotzdem extern via DDNS auf Bitwarden zugreifen. Gerade probiert.
Sollte den Zweck erfüllen.
Ich kann aber trotzdem extern via DDNS auf Bitwarden zugreifen. Gerade probiert.
Sollte den Zweck erfüllen.
Ich weiss jetzt nicht, ob mein Tip hier richtig ist, denn der absolute IT-Spezialist bin ich nicht... Aber ich habe meinen Vaultwarden mit einem Reverse-Proxy eingerichtet, funktioniert auch intern, wenn ich über die normale Adresse gehe.
Also unter Systemsteuerung=>Anmeldeportal=>Erweitertert=>Reverse Proxy eine Subdomain kreieren. Z.B. vaultwarden.Deinedomain.de. Du kannst in der DS dafür auch wunderbar über Lets encrypt ein eigenes Zertifikat lösen. Funktioniert bei mir bestens.
Also unter Systemsteuerung=>Anmeldeportal=>Erweitertert=>Reverse Proxy eine Subdomain kreieren. Z.B. vaultwarden.Deinedomain.de. Du kannst in der DS dafür auch wunderbar über Lets encrypt ein eigenes Zertifikat lösen. Funktioniert bei mir bestens.
Nach dem Update auf DSM 7.1-42661 Update 4 ist vaultwarden nicht mehr gestartet. Der Docker meldet, dass es ein Problem mit dem Port 5555 gibt - dieser wird bereits verwendet.
Wo kann ich nachschauen, welche Ports aktuell genutzt werden? Ich habe bereits alle Container durchgeschaut, dort ist 5555 nicht hinterlegt.
Update: Fehler gefunden. Es lag nicht auf Update auf DSM 7.1-42661 Update 4. Das Problem entstand durch die Installation von MailPlus inkl. Synology Contacts (Webdav Port 5555). Anscheinend lief vaultwarden die ganze Zeit trotzdem fehlerfrei und poppte erst durch den Neustart nach dem Update hoch. Habe den vaultwarden Port geändert.
Wo kann ich nachschauen, welche Ports aktuell genutzt werden? Ich habe bereits alle Container durchgeschaut, dort ist 5555 nicht hinterlegt.
Update: Fehler gefunden. Es lag nicht auf Update auf DSM 7.1-42661 Update 4. Das Problem entstand durch die Installation von MailPlus inkl. Synology Contacts (Webdav Port 5555). Anscheinend lief vaultwarden die ganze Zeit trotzdem fehlerfrei und poppte erst durch den Neustart nach dem Update hoch. Habe den vaultwarden Port geändert.
Zuletzt bearbeitet:
EDvonSchleck
Gesperrt
- Mitglied seit
- 06. Mrz 2018
- Beiträge
- 4.703
- Punkte für Reaktionen
- 1.119
- Punkte
- 214
Ich habe jetzt auch vor 2 Tagen zu netcup (Oktoberfest-Angebot) gewechselt. Rückruf kam ca. 2h später (Verifizierung). Der Rest hat hervorragend funktioniert und der Zugriff gestalltet sich sehr einfach und übersichtlich. Ein wirklich sehr guter Tip von dir! Es war bei mir nicht sehr dringlich - obwohl ich schon immer auf ein Angebot gewartet habe! Nach ca. 5 Monaten passt es also
Acme.sh und die Domain funktioniert bestens (intern) und ohne eine Port oder eine Dyndns zu nutzen. Komme aber nicht weiter mit Wildcard. Muss ich bei acme.sh noch etwas besonderes eingeben werden?
Bin nach dieser Anleitung vorgegangen. Ein Problem mit dem DNS-Check zu Cloudflare und Google konnte ich schon mit "--dnssleep 300" lösen
- Mitglied seit
- 13. Mai 2021
- Beiträge
- 2.831
- Punkte für Reaktionen
- 853
- Punkte
- 154
Ich habe dies vor längerer Zeit nach dieser https://github.com/acmesh-official/acme.sh/wiki/Synology-NAS-Guide Anleitung gemacht. Ich habe da einfach bei CERT_DOMAIN einfach *.example.com eingetragen und es hat funktioniert.
EDvonSchleck
Gesperrt
- Mitglied seit
- 06. Mrz 2018
- Beiträge
- 4.703
- Punkte für Reaktionen
- 1.119
- Punkte
- 214
Das habe ich bereits versucht. Man kann ja mehrer Domains gleich hintereinander angeben. Das wurde nach erster Sichtuing auch so angenommen. Ich verwende acme.sh als Docker.
Hast du ein Zertifikal oder 2 auf der DS? Also example.com und *.example.com?
Hast du ein Zertifikal oder 2 auf der DS? Also example.com und *.example.com?
Kaffeautomat
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.
