Vaultwarden auf Synology NAS bekomme ich nicht hin. Da kein HTTPS. (Vodafone)

haydibe

Benutzer
Sehr erfahren
Mitglied seit
12. Apr 2016
Beiträge
1.519
Punkte für Reaktionen
404
Punkte
103
Die Lösung für bitwarden und HTTPS ist ganz einfach, geht aber nicht mit DDNS.
Bitte um Erklärung. Das ist so nicht richtig - ich verwende Bitwarden (vaultwarden_rs) mit DDNS.
Du musst wie in dem video noch das Portforwarding einrichten
Es gibt bei ipv6 kein Portforwarding. Bei ipv6 gibt es nur Firewallfreischaltungen für die ipv6 und Ports - hier kann man auch keine Ports ummappen.
Hast du duckdns installiert und eingerichtet?
Gibt es ein Duckdns Packet für Synology? Wenn nicht, wie soll die ipv6 bei Duckdns aktualisiert werden? Bei ipv6 muss die von der Syno bei Duckdns gesetzt sein, nicht die von der Fritzbox.

Anmerkung: das Video verwendet einen Reverse Proxy von Homeassistent(?), der a) ein Letsencrypt Zertifikat erzeugt und b) die IP bei DuckDNS registriert. Das Video würde passen, wenn es a) Duckdns auf der Syno mit ipv6 zeigen würde, b) die Erzeugung des Letsencrypt-Zertifikats mit dem Synology Zertifikatsmanager und c) die Einrichtung des Synology Reverse-Proxies unter Verwendung des LE-Zertifikats...
 
  • Like
Reaktionen: Sir Jack Daniels

Sir Jack Daniels

Benutzer
Mitglied seit
24. Mrz 2022
Beiträge
21
Punkte für Reaktionen
3
Punkte
3
Moin,
So habe nun eine IPv4 Adresse. Das sollte dies jetzt eigentlich etwas vereinfachen, hoffe ich.
So weit so gut.
Zumindestens konnte ich schon mal so auf die DS zugreifen. Aber komischerweise ohne HTTPS bzw. wurde als nicht sicher angezeigt,
obwohl ich ein Zertifikat von LetsEn... abgeruffen hatte. vielleicht muss ich es einfach nochmal neu machen da dies ja schon vorher gemacht wurde wo ich noch keine IPv4 hatte.
Vielleicht sollte ich alles noch einmal löschen und von vorne anfangen mit Docker und Vaultwarden, DDNS Adressen usw.
Sprich alles neu inst. und einrichten.
Duckdns habe ich bereits gelöscht.

Eine Frage, wenn ich es genauso mache wie in diesen Video (https://youtu.be/V3kJHoLuKxQ) dann sollte es doch eigentlich klappen oder?
 

haydibe

Benutzer
Sehr erfahren
Mitglied seit
12. Apr 2016
Beiträge
1.519
Punkte für Reaktionen
404
Punkte
103
Ehrlich gesagt schmunzle ich fast immer nur über diese ganzen Videos und Tutorials.
Statt ewig irgendwelchen Tutorials hinterherzujagen, würde ich Dir eher empfehlen Screenshots von all deinen Konfigurationen zu machen, damit jemand anhand Deiner Konfiguration erkennen kann wo noch etwas nicht richtig sitzt.

Ich würde Dir empfehlen folgendes als Screenshots mit uns zu teilen (dabei bitte nur WAN-IPs, Domainnamen, Benutzernamen und Passwörter in den Screenshots anonymisieren - man soll ja noch die Chance haben zu erkennen wenn etwas nicht richtig konfiguriert ist):
- Portfreigabe der Fritzbox
- Portmappings des Bitwarden Containers
- Einstellung Reverse-Proxy Konfiguration
- Einstellung des Zertifikatsmanager, dass die Zuordnung LE-Zertifikat zur Domain zeigt

Ist dein Dyndns so konfiguriert, dass es auf Deine aktuelle WAN-IP aufgelöst wird?
 
  • Like
Reaktionen: Sir Jack Daniels

Sir Jack Daniels

Benutzer
Mitglied seit
24. Mrz 2022
Beiträge
21
Punkte für Reaktionen
3
Punkte
3
Also auf die DS kommt ich jetzt mit HTTPS.
Juhu ein Erfolg.
Somit gehe ich davon aus das ich die Ports in der Fritzbox soweit richtig eingestellt habe.
Ja werde gleich mal Bilder machen. Ist wie du sagst glaube ich das einfachste.
Das Video war auch nur als Beispiel gedacht.
 

Sir Jack Daniels

Benutzer
Mitglied seit
24. Mrz 2022
Beiträge
21
Punkte für Reaktionen
3
Punkte
3
So hier mal die Bilder :
 

Anhänge

  • container-bitwarden.PNG
    container-bitwarden.PNG
    34,2 KB · Aufrufe: 39
  • ddns-geschwärtzt.PNG
    ddns-geschwärtzt.PNG
    14,1 KB · Aufrufe: 40
  • fritzbox-dsm-ports.PNG
    fritzbox-dsm-ports.PNG
    32,7 KB · Aufrufe: 42
  • fritzbox-dsm-ports-1.PNG
    fritzbox-dsm-ports-1.PNG
    31,1 KB · Aufrufe: 42
  • revers-proxy-1.PNG
    revers-proxy-1.PNG
    12,5 KB · Aufrufe: 39
  • revers-proxy-geschwärts.PNG
    revers-proxy-geschwärts.PNG
    18,5 KB · Aufrufe: 41

haydibe

Benutzer
Sehr erfahren
Mitglied seit
12. Apr 2016
Beiträge
1.519
Punkte für Reaktionen
404
Punkte
103
Was auffällt:
1. Dein LE-Zertifikat ist noch nicht der Domain zugordnet (Schaltfläche "Einstellung" im Screenshot "zertifikategeschwärzt.PNG" - entfern das Bild mal danach, da ist zu viel zu sehen...).
2. Der Reverse-Proxy Eintrag horcht auf Port 443, das Portforwarding von Port 8880 geht dran vorbei direkt auf den Container. Der Port auf den der RP horcht und der Port der weitergeleitet wird müssen zusammenpassen.

Offtopic:
3. Du hast bei der Portfreigabe für ipv6 auch die Delegation Prefixes freigegeben. Würde ich wieder rausnehmen, wenn die Syno nicht als DHCP Server für ein eigenes Netzwerk-agiert und dort eigenständig öffentlich ipv6 Adressen verteilen können soll. Die selbständige Portfreigabe bei ipv4 würde ich auch nochmal überdenken...


Alles andere sieht gut aus!
 
Zuletzt bearbeitet:
  • Like
Reaktionen: Sir Jack Daniels

Sir Jack Daniels

Benutzer
Mitglied seit
24. Mrz 2022
Beiträge
21
Punkte für Reaktionen
3
Punkte
3
Was auffällt:
1. Dein LE-Zertifikat ist noch nicht der Domain zugordnet (Schaltfläche "Einstellung" im Screenshot "zertifikategeschwärzt.PNG" - entfern das Bild mal danach, da ist zu viel zu sehen...).
2. Der Reverse-Proxy Eintrag horcht auf Port 443, das Portforwarding von Port 8880 geht dran vorbei direkt auf den Container. Der Port auf den der RP horcht und der Port der weitergeleitet wird müssen zusammenpassen.
Okay. Wieso geht 8880 direkt an vorbei? Was habe ich da übersehen? Welchen Port habe ich denn vergeben den ich ändern müsste!? Hm


Offtopic:
3. Du hast bei der Portfreigabe für ipv6 auch die Delegation Prefixes freigegeben. Würde ich wieder rausnehmen, wenn die Syno nicht als DHCP Server für ein eigenes Netzwerk-agiert und dort eigenständig öffentlich ipv6 Adressen verteilen können soll. Die selbständige Portfreigabe bei ipv4 würde ich auch nochmal überdenken...


Alles andere sieht gut aus!

Das mit der selbstständigen Portfreigabe hatte ich erstmal gemacht um zu sehen ob es überhaupt funktioniert. Habe ich bereits geändert.

Ok die IPv6 habe ich entfernt.
 

haydibe

Benutzer
Sehr erfahren
Mitglied seit
12. Apr 2016
Beiträge
1.519
Punkte für Reaktionen
404
Punkte
103
Wieso geht 8880 direkt an vorbei
Weil das bei der Syno der gemapte Host-Port des Containers ist. Wenn es durch den RP gehen soll, dann muss für das Portforwarding in der FB der im RP als Quell-Port angegeben Port angesprochen werden. Sprich: ich würde bei der FB Port 443 auf Syno-Port 443 setzen.
 
  • Like
Reaktionen: Sir Jack Daniels

Sir Jack Daniels

Benutzer
Mitglied seit
24. Mrz 2022
Beiträge
21
Punkte für Reaktionen
3
Punkte
3
Sorry da kann ich jetzt leider nicht so ganz folgen. Du sprichst hier mit einem alten Mann:cool::oops::D:unsure:
Wo muss ich welchen Port auf was ändern?
also auf der FB(Fritzbox richtig?) soll ich den Port 443 freigeben?
 

Brandmaster

Benutzer
Mitglied seit
09. Nov 2012
Beiträge
9
Punkte für Reaktionen
5
Punkte
53
Leute ich bin hier raus aus dem Kindergarten. Hier müssen die Posts durch den Admin freigeschaltet werden, und die Beitrage werden dauernd gelöscht...solch einen Schwachsinn habe ich noch nicht erlebt.
@Mod: so kann man Leute vergraulen.
Tschüss
 
  • Like
Reaktionen: Sir Jack Daniels

Sir Jack Daniels

Benutzer
Mitglied seit
24. Mrz 2022
Beiträge
21
Punkte für Reaktionen
3
Punkte
3
Hier wurde doch nicht gelöscht. Deine Beiträge sind doch noch alle da.
Sorry das ich etwas schwer von KP bin, aber das ist im hohen alter nun mal leider so. Aber man versucht sich durch sowas etwas fit zu halten und das ist nun mal mein Hobby um noch was zu lernen.
 
Zuletzt bearbeitet von einem Moderator:

haydibe

Benutzer
Sehr erfahren
Mitglied seit
12. Apr 2016
Beiträge
1.519
Punkte für Reaktionen
404
Punkte
103
also auf der FB(Fritzbox richtig?) soll ich den Port 443 freigeben?

Was Du konfiguriert hattest:
WAN:8880 -> Syno:8880; Syno:8880 ist aber der Host-Port vom Container-Mapping. Damit ist der Traffic nie durch die Syno-RP gegangen.

Was Du haben willst:
WAN:443 (oder einen anderen) -> Syno:443 (weil der Quell-Port so im RP eingestellt ist), welcher korrekt auf Syno:8880 zeigt.

Offtopic:
meine wurden auch nicht gelöscht. Ich habe neue Erkenntnisse gesammelt und festgestellt, dass ich bzgl. MyFritz falsche Aussagen getroffen habe - natürlich habe ich diese durchgestrichen und einen Mod geben sie dort durchzustreichen, wo ich es nicht mehr selbst editieren konnte (danke nochmal!). MyFritz funktioniert halt anders als ich ursprünglich gedacht hatte.
 
Zuletzt bearbeitet:
  • Like
Reaktionen: Sir Jack Daniels

Sir Jack Daniels

Benutzer
Mitglied seit
24. Mrz 2022
Beiträge
21
Punkte für Reaktionen
3
Punkte
3
Also so wie hier?
Hoffe ich habe das richtig verstanden.

PS: Danke für deine Hilfe und deine Geduld, ist nicht selbstverständlich.
 

Anhänge

  • portfreibe.PNG
    portfreibe.PNG
    16,2 KB · Aufrufe: 24

Brandmaster

Benutzer
Mitglied seit
09. Nov 2012
Beiträge
9
Punkte für Reaktionen
5
Punkte
53
Kleiner Nachtrag:
Wenn du Bitwarden starten willst, trage deine DDns Adresse:7271 ein. In deine FB gehst du auf Internet / Freigaben und richtest eine HTTPS Server Freigabe von Port 7271 auf 7277. ( für die Docker Instanz, nicht die DS Adresse)
Bitwarden lauscht auf der Adresse. Wie gesagt das Video von Zzz beschreibt das. Bei mir läuft das seit Jahren auf der DS und jetzt auf einem PI.

@Jack es wurden 2 Posts gelöscht.
 

haydibe

Benutzer
Sehr erfahren
Mitglied seit
12. Apr 2016
Beiträge
1.519
Punkte für Reaktionen
404
Punkte
103
Also so wie hier?
Hoffe ich habe das richtig verstanden.
Jep. Und jetzt sollte der BW-Container durch den RP hindurch via https:///ddns-ip:8880 erreichbar sein.

Die "Verdrahtung" sieht jetzt wie folgt aus:
WAN:8880 -> Syno:443 == Syno-RP:443 -> Syno:8880 (=Host-Port vom Container) -> Container:80.
<---------- HTTPS -----------------------> <---- HTTP--------------------------------------------------->

Das Zertifikat hattest Du in den Einstellung des Zertifikatsmanagers der Domain zugewiesen, richtig? Sonst wird das Zertifikat nicht als gültig erkannt.
 
  • Like
Reaktionen: Sir Jack Daniels

Sir Jack Daniels

Benutzer
Mitglied seit
24. Mrz 2022
Beiträge
21
Punkte für Reaktionen
3
Punkte
3
Sorry hatte versehentlich den Container gestoppt.
Aber funktioniert leider immer noch nicht.
Wenn die Adresse eingebe such er sich einen Wolf.
und dann kommt dies trotzdem:
 

Anhänge

  • Seite nicht bitwarden.PNG
    Seite nicht bitwarden.PNG
    19,6 KB · Aufrufe: 8
Zuletzt bearbeitet:

haydibe

Benutzer
Sehr erfahren
Mitglied seit
12. Apr 2016
Beiträge
1.519
Punkte für Reaktionen
404
Punkte
103
Das ist überraschend. Ich bin mir nicht ganz sicher, ob es daran liegt das der RP den eingehenden Request nicht auf denn Quell-Hostnamen matchen kann oder Probleme damit hat den Container zu erreichen.

Zum RP: Bitte überprüf mal ob es keinen Tippfehler beim Quell-Hostname (muss exakt die DDNS Domain sein, ohne http oder port) und Ziel-Hostname (ich hab hier immer localhost benutzt).

Zum Container: Teste mal, ob die containerisierte Anwendung grundsätzlich über http://nas-ip-oder-name:8880 erreichbar ist.
 
  • Like
Reaktionen: Sir Jack Daniels

Sir Jack Daniels

Benutzer
Mitglied seit
24. Mrz 2022
Beiträge
21
Punkte für Reaktionen
3
Punkte
3
So der Erfolg ist da. Habe sozusagen eine subdomain.meinesubdomain.synology.org erstellt und diese dann neu im Revers Proxy definiert.
Und siehe da kann nun darauf zugreifen.

So nun muss ich es nur noch irgendwie hinbekommen das ich auf die Admin-page komme. Hatte da schon was zu gefunden.
Bin mir nur nicht ganz so sicher ob ich das richtig verstanden habe, deswegen frage ich nochmal hier nach. Hoffe das es ok ist.
Zum einen muss ich mir einen Admin Token erstellen? Mit vielen Zeichen.
Dies dann bei den vaultwarden-container bei Umgebung hinzufügen mit einigen anderen variablen für die Mails?!
Oder den Token über ssh/putty einpflegen?
 

Sir Jack Daniels

Benutzer
Mitglied seit
24. Mrz 2022
Beiträge
21
Punkte für Reaktionen
3
Punkte
3
Sorry hatte deinen Post glatt übersehen.
Habe es nochmal probiert und bei der anderen Domain im RP localhost eingetragen und da funktioniert es jetzt auch.

Die Lösung ist tatsächlich "localhost" einzutragen anstatt die IP-Adresse.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat