Vaultwarden auf Synology NAS bekomme ich nicht hin. Da kein HTTPS. (Vodafone)

haydibe

Benutzer
Sehr erfahren
Mitglied seit
12. Apr 2016
Beiträge
1.518
Punkte für Reaktionen
403
Punkte
103
Nur der workaround mit dem oathtool um dies auch via TOTP gesicherten Admin zu machen gefällt mir noch nicht so.
Ich hatte MFA bei Netcup nie an (hab da nur 3 Domains und sonst nichts). Bei der Verwendung von API-Key und Passwort hätte ich nicht erwartet das MFA dort auch greift.
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.158
Punkte für Reaktionen
912
Punkte
424
2FA auf der DS beim deploy der Zertifikate.
 

haydibe

Benutzer
Sehr erfahren
Mitglied seit
12. Apr 2016
Beiträge
1.518
Punkte für Reaktionen
403
Punkte
103

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.119
Punkte
214
Danke, den DNS Alias Mode verstehe ich nicht richtig.
Habe ich es richtig verstanden das man eine andere Domain nutzt um seine Hauptdomain zu zertifizieren. Was meinst du mit "Zertifikate für Domains erstellen die überhaupt nicht selbst von außen erreichbar sein müssen"? Meinst du das im internen Netzwerk?
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.158
Punkte für Reaktionen
912
Punkte
424
Um sich wildcard Zertifikate ausstellen zu lassen, oder eben für abgeschottete Domains, braucht man einen Anbieter bei dem man die DNS Einstellungen per API oder web-wrapper etc. manipulieren kann (und die von acme.sh unterstützt werden).

--Syntax aus dem Kopf nicht korrekt--
Wenn man jetzt seine Domains (abc.example.com) aber bei einem Anbieter betreiben will der dies nicht hat kann man bei diesem im DNS feste Einträge (_acme-challenge.example.com) hinterlegen die auf einen Alias (alias.example2.com) bei einem der unterstützten Anbieter zeigen.
Über diesen Alias läuft dann die eigentliche dns-auth mit dynamischem TXT record. Das Zertifikat wird aber auf abc.example.com ausgestellt.
example.com muss also öffentlich existieren, aber die Systeme die man intern damit laufen lassen will müssen nicht öffentlich erreichbar sein.

Hab ich vielleicht vorher missverständlich geschrieben. Dann hätte man auch lesen können, dass man sich z.b. Für nas.server.local oder ähnlich ein Zertifikat ausstellen könnte.
Das ging glaube nicht.

Ich kann also jeden Domain Anbieter benutzen solange ich dort einen cname Eintrag für den challenge Alias vornehmen kann.
Und ich kann bei all den Anbieter ein und denselben Ziel Alias für die DNS-auth verwenden.
 
  • Like
Reaktionen: EDvonSchleck

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.119
Punkte
214
Danke hab ich also doch richtig verstanden (Github) - ich dachte auch du meintest Zertifizieren der internen Domain.
Trotzdem super Sache das ganze.

Eine einfach verständliche Anleitung für DSM Docker incl. Bilder gibt es hier. Damit sollte es jeden gelingen auch ohne Erfahrung acme.sh zum laufen zu bekommen.
 

haydibe

Benutzer
Sehr erfahren
Mitglied seit
12. Apr 2016
Beiträge
1.518
Punkte für Reaktionen
403
Punkte
103
Ich hab eine Wildcard Subdomain für *.int.domain.tld mit einem A-Record auf eine interne failover-IP angelegt. Das LE-Zertifikat lasse ich für die SAN's *.int.domain.tld und int.domain.tld erzeugen. Allerdings klappt das nur Ausnahme von DNS-Rebind-Protection für int.domain.tld, wenn man die nicht setzen kann, dann muss man die konkreten Subdomains nach dem Muster service.int.domain.tld in Unbound oder Pihole anlegen - beide erlauben das man Einträge für beliebige Domains anlegen kann, ohne dafür die HostedZone pflegen zu müssen. Der Rest wird dann durch einbinden des Wildcard-Zertifikats im Reverse Proxy und dort durch die Domain-Zuordnung zu Container geregelt.

Achtung: wenn auf dem selben Reverse-Proxy sowohl eine externe, als auch nur für interne gedachte Domain vorhanden ist, sollte man für die interne unbedingt eine Source-IP Filter einbauen, so dass nur das lokale LAN als gültige Source für die Domain akzeptiert wird.
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.119
Punkte
214
trotzdem brauchst du doch noch einen Provider um die Weiterleitung überhauüt möglich zu machen - in deinem Fall netcup
 

Tommily

Benutzer
Mitglied seit
25. Jul 2020
Beiträge
12
Punkte für Reaktionen
0
Punkte
1
Hallo zusammen.

Darf ich mich hier bitte gleich einklinken?

Ich habe bei meiner DS DSM 7.1 installiert und wollte mir nun auch via Docker und Vaultwarden/Bitwarden einen PM einrichten.
Eigentlich hat die Einrichtung gut funktioniert und ich komme auch wunderbar extern über meinen DDNS zur Bitwarden Anmeldeseite.
Das Problem ist nun, dass ich über meinen Hostnamen im lokalen Netzwerk nicht zur Bitwarden Login Seite komme, sondern nur auf die Anmeldeseite des Routers.
Und über die lokale IP Adresse habe ich kein SSL -> HTTPS und somit kann ich mich auch hier nicht anmelden.
Fazit: Ich kann im lokalem Netzwerk Bitwarden nich nutzen.

Ich befürchte ja das liegt daran, dass mein Router kein NAT-Loopback kann.

Gibt es hier irgendeine Lösung, oder habe ich etwas übersehen?

Danke & LG, Tommily
 

Ulfhednir

Benutzer
Sehr erfahren
Mitglied seit
26. Aug 2013
Beiträge
3.439
Punkte für Reaktionen
1.062
Punkte
194

synfor

Benutzer
Sehr erfahren
Mitglied seit
22. Dez 2017
Beiträge
8.981
Punkte für Reaktionen
1.604
Punkte
288
Womit bzw. wie kann man die Hosts-Datei übersteuern? Du meinst sicherlich, dass man das Problem mit der Hosts-Datei lösen kann.
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.158
Punkte für Reaktionen
912
Punkte
424
Die Möglichkeiten sind immer dieselben.

- VPN Zugriff und 'nur lokal' überhaupt zugreifen.
- Client bezogen die Namensauflösung anpassen (Bsp /etc/hosts Datei). Nachteil: geht dann von extern nicht
- Router tauschen in ein Modell welches NAT Loopback unterstützt bzw. Ausnahmen vom DNS Rebind-Schutz
- lokalen Nameserver / DNS selbst betreiben ala pi-hole, oder Adguard Home, oder auf der DS selbst etc.

Eventuell noch andere an die ich gerade nicht denke, aber nix neues dabei.
 

Tommily

Benutzer
Mitglied seit
25. Jul 2020
Beiträge
12
Punkte für Reaktionen
0
Punkte
1
Danke für die schnelle RM!! Ich geh dann erstmal den Weg über die "hosts" Datei.
Ich kann aber trotzdem extern via DDNS auf Bitwarden zugreifen. Gerade probiert.
Sollte den Zweck erfüllen. (y)
 

Heimi75

Benutzer
Mitglied seit
10. Jan 2020
Beiträge
250
Punkte für Reaktionen
80
Punkte
28
Ich weiss jetzt nicht, ob mein Tip hier richtig ist, denn der absolute IT-Spezialist bin ich nicht... Aber ich habe meinen Vaultwarden mit einem Reverse-Proxy eingerichtet, funktioniert auch intern, wenn ich über die normale Adresse gehe.
Also unter Systemsteuerung=>Anmeldeportal=>Erweitertert=>Reverse Proxy eine Subdomain kreieren. Z.B. vaultwarden.Deinedomain.de. Du kannst in der DS dafür auch wunderbar über Lets encrypt ein eigenes Zertifikat lösen. Funktioniert bei mir bestens.
 

Wiesel6

Benutzer
Mitglied seit
22. Aug 2016
Beiträge
320
Punkte für Reaktionen
101
Punkte
43
Nach dem Update auf DSM 7.1-42661 Update 4 ist vaultwarden nicht mehr gestartet. Der Docker meldet, dass es ein Problem mit dem Port 5555 gibt - dieser wird bereits verwendet.

Bildschirmfoto 2022-08-12 um 17.57.06.png


Wo kann ich nachschauen, welche Ports aktuell genutzt werden? Ich habe bereits alle Container durchgeschaut, dort ist 5555 nicht hinterlegt.


Update: Fehler gefunden. Es lag nicht auf Update auf DSM 7.1-42661 Update 4. Das Problem entstand durch die Installation von MailPlus inkl. Synology Contacts (Webdav Port 5555). Anscheinend lief vaultwarden die ganze Zeit trotzdem fehlerfrei und poppte erst durch den Neustart nach dem Update hoch. Habe den vaultwarden Port geändert.
 
Zuletzt bearbeitet:

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.119
Punkte
214
Während einer der Angebotsaktionen bei Netcup hab ich zwei Domains für dauerhaft jährlich 1,92€ geschossen.

Zusätzlich ist es mit eigener Domain + acme.sh möglich Wildcard-Zertifikate auszustellen, so dass man nicht mehr für jede Subdomain ein separates benötigt. Zusätzlicher Charme von Wildcard-Zertifikaten ist das im SubjectAlternateName des Zertifikats keine konkreten Domains mehr aufgelistet sind, so dass jemand der über die IP reinkommt, trotzdem nicht sehen kann "worauf der Server regiert".
Ich habe jetzt auch vor 2 Tagen zu netcup (Oktoberfest-Angebot) gewechselt. Rückruf kam ca. 2h später (Verifizierung). Der Rest hat hervorragend funktioniert und der Zugriff gestalltet sich sehr einfach und übersichtlich. Ein wirklich sehr guter Tip von dir! Es war bei mir nicht sehr dringlich - obwohl ich schon immer auf ein Angebot gewartet habe! Nach ca. 5 Monaten passt es also ;)

Acme.sh und die Domain funktioniert bestens (intern) und ohne eine Port oder eine Dyndns zu nutzen. Komme aber nicht weiter mit Wildcard. Muss ich bei acme.sh noch etwas besonderes eingeben werden?

Bin nach dieser Anleitung vorgegangen. Ein Problem mit dem DNS-Check zu Cloudflare und Google konnte ich schon mit "--dnssleep 300" lösen
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.119
Punkte
214
Das habe ich bereits versucht. Man kann ja mehrer Domains gleich hintereinander angeben. Das wurde nach erster Sichtuing auch so angenommen. Ich verwende acme.sh als Docker.

Hast du ein Zertifikal oder 2 auf der DS? Also example.com und *.example.com?
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat