Vaultwarden Https fehler...

[Jesa-Design]

So habe ich es bei mir auch gemacht (habe das aber über die Aufgabenplanung der Synology gemacht). Hier läuft Vaultwarden seit Monaten problemlos. Ich vermute, du hast entweder den Eintrag im Reverse Proxy falsch angelegt oder das Zertifikat gilt nicht für deine DDNS-Domain.

Deine Einträge im Reverse Proxy sollten beim Befolgen der o.g. Anleitung wie folgt aussehen:

Reverse-Proxy-Name: egal, am besten "Vaultwarden"

Quelle:
Protokoll: HTTPS
Hostname: die von dir verwendete und mit Zertifikat versehene Domain
Port: 443

HSTS aktivieren: ja

Ziel:
Protokoll: HTTP
Hostname: localhost
Port: 6768 (bzw. den Port, den du beim Starten des Containers auf den Container-Port 80 umlenkst)

Der Port 443 muss natürlich in deinem Router auf das NAS weitergeleitet werden, damit der Reverse Proxy funktioniert. Wenn man alles über den Reverse Proxy abwickelt, reicht das Portforwarding für Port 443, da der Reverse Proxy die verschiedenen Dienste dann anhand der Subdomain erkennt.

Was für ein Zertifikat hast du denn für die Domain erstellt? Let's Encrypt? Dann empfiehlt es sich, gleich ein Wildcard-Zertifikat einzurichten. Das gilt dann für alle zukünftigen Subdomains. Geht aber nur mit dem Synology-DDNS, den du aber glaube ich nutzt (es geht auch mit anderen Domains, aber dann ist der Aufwand etwas größer und der Domainanbieter muss acme.sh supporten).

Für ein Wildcard-Zertifikat beim Beauftragen des Zertifikats bei "Betreff alternativer Name" (blöde Übersetzung?) deine Domain mit einem Sternchen davor eintragen (z.B. *mydomain.synology.me). Dann kannst du beliebig viele Subdomains für verschiedene Dienste einrichten (z.B. vaultwarden.mydomain.synology.me). Dann ist zwar die URL etwas sperrig, aber es funktioniert.

Habe ich alles so eingestellt.
Zertifikat ist ein Wildcard und habe auch *. eingegeben
Habe eben nochmal wirklich alles kontrolliert und versucht den Fehler zu finden aber entweder kann ich es wohl nicht oder es will einfach nicht laufen.
Langsam bin ich auch echt frustriert. Habe schon so viel Zeit damit verbracht das es langsam echt nervt.
Gebe ja echt nicht schnell auf aber langsam wird der Geduldsfaden damit recht dünn. :-(

Der Port 443 muß auf den der Syno https oder? ist glaub 5001

 

[plang.pl]

Nein 5001 ist DSM. Du willst aber ja auf den Container

 

[EDvonSchleck]

Websocket erstellen:

 

[Jesa-Design]

Nein 5001 ist DSM. Du willst aber ja auf den Container

Sorry mein Fehler. Vor lauter Ports und und....
Meinte ich ja. Und das ist auch das Problem wenn ich den 443 auf den Container setzte dann kommt nicht sofort die Meldung, sondern auf dem Button dreht sich ein Kreis und nach ein paar sekunden kommt erst die Meldung.

 

[Jesa-Design]

Anhang anzeigen 81596
Websocket erstellen:
Anhang anzeigen 81597

So habe ich das auch.

 

[EDvonSchleck]

Einen User hast du aber bereits angelegt und das geht nur noch um den Login?
Kommst du auf den Admin-Login und kannst dich anmelden?
Die Verbindung ist verschlüsselt?

 

[Jesa-Design]

Nein ich wollte mich registrieren aber das geht nicht. Über Portainer bekomme ich nur fehlermeldungen.
Anmelden geht nicht da ja nicht sicher.
Verbindung nicht verschlüsselt? warum auch immer.

Ich bin langsam echt am ende.
Habe gerade alles nochmal von vorne laut der Anleitung versucht aber beim Portainer gehts nicht weiter bekomme immer Fehler beim Stack erstellen.

 

[Benares]

In #43 sollte der Hostname oben doch wohl eher eine Subdomain wie z.B. vaultwarden.meinedomein.de sein, oder?
Sonst kann man ja keine weiteren Dienst anbieten.
Und das Zertifikat muss natürlich auch dafür passen.

 

[EDvonSchleck]

Das Zertifikat muss passen und das Registrieren erlaubt sein. Anders wird es nichts. Eine bessere Installation habe ich auf Seite 2 gezeigt.

@Benares nicht unbedingt. Man kann unterschiedliche Domains nutzen und wenn ich den TE richtig verstanden habe, nutzt er keinen anderen Dienst außerhalb. Somit kann man auch mit einer Domain Vaultwarden nutzen.

 

[Jesa-Design]

Also ich werde alles nochmal von vorne starten. Macht so keinen Sinn. Es will einfach nicht klappen.
@EDvonSchleck
Hast Du eine bessere Anleitung zwecks Datenbank. Ich werde es am Wochenende nochmal versuchen.

 

[EDvonSchleck]

siehe #37

1. In der Filestation den Ordner /vaultwarden/data im Ornder /docker erstellen
2. Aufgabenplaner > Erstellen > Geplante Aufgabe > Benutzerdefiniertes Script

docker run -d --name=vaultwarden \
-v /volume1/docker/vaultwarden/data:/data \
-p 3012:3012 \
-p 6768:80 \
-e WEBSOCKET_ENABLED=true \
-e ADMIN_TOKEN=AdminPasswort \
--restart always \
vaultwarden/server:latest

3. Aufgabe markieren und ausführen (Kontextmenü oder Botton)
4. Reverse Proxy einstellen
5. Als Admin mit dem Passwort AdminPasswort anmnelden
6. Einstellungen tätigen und ein neues sicheres Admin-Passwort vergeben, ggf. hashen.
7. fertig

Das ist in wenigen Minuten erledigt!

 

[Jesa-Design]

siehe #37

1. In der Filestation den Ordner /vaultwarden/data im Ornder /docker erstellen
2. Aufgabenplaner > Erstellen > Geplante Aufgabe > Benutzerdefiniertes Script

Anhang anzeigen 81604
Anhang anzeigen 81605

docker run -d --name=vaultwarden \
-v /volume1/docker/vaultwarden/data:/data \
-p 3012:3012 \
-p 6768:80 \
-e WEBSOCKET_ENABLED=true \
-e ADMIN_TOKEN=AdminPasswort \
--restart always \
vaultwarden/server:latest

3. Aufgabe markieren und ausführen (Kontextmenü oder Botton)
4. Reverse Proxy einstellen
5. Als Admin mit dem Passwort AdminPasswort anmnelden
6. Einstellungen tätigen und ein neues sicheres Admin-Passwort vergeben, ggf. hashen.
7. fertig

Das ist in wenigen Minuten erledigt!

Habe das jetzt nochmal so Installiert.
Muß ich dann im Router 443 auf denContainer 6768 setzen oder?
Wie soll ich mich dann anmelden? er will ja eine Email und Passwort.
Oder soll ich ein neues Konto erstellen?

komme momentan nur über meineIP:undPort auf die Anmeldeseite

 

[MattCB]

Nein, den Port 443 leitest du im Router 1:1 auf die IP deines NAS weiter. Die Umsetzung von Port 443 auf 6768 (Container-Port) macht dann der Reverse Proxy.

Wenn du den Container neu erstellt hast, dann musst du dich erstmal mit Mailadresse und Passwort registrieren. Danach über die Admin-Konsole die Option zum Registrieren neuer Nutzer deaktivieren, sonst kann sich jeder, der deine Vaultwarden-Adresse kennt, ein Konto anlegen.

Vor dem Neuerstellen des Container bitte auch den Inhalt des Vaultwarden-Ordner im docker-Ordner löschen, damit da keine alten Daten drin liegen bleiben.

 

[EDvonSchleck]

Wie soll ich mich dann anmelden? er will ja eine Email und Passwort.
Oder soll ich ein neues Konto erstellen?

Die Frage verstehe ich nicht. Wie kannst du dich anmelden, bevor du ein Konto erstellt hast? Als Nächstes kommt die Frage, ob dort deine Passwörter auch schon drin sind.

Siehe Punkt 6. Dort kannst du aktivieren, ob sich neue User anmelden könne und das Admin PW ändern.

komme momentan nur über meineIP:undPort auf die Anmeldeseite

DynDNS Port öffnen, Quickconnect oder DNS-Server (Synology, AdGuard oder Pi-Hole)

So langsam fange ich an zu zweifeln, ob das selbst Hosten das richtige für dich ist. Das geht jetzt schon seit 3 Seiten, immer die gleichen Fragen. Scheinbar hast du keinen Plan, was du da machst.

 

[ctrlaltdelete]

Sorry, aber das ist echt schon ein running gag.

 

[Jesa-Design]

Ok Sorry tut mir leid wenn ich Euch damit belästige. Kann auch nichts dafür das es nicht läuft. Und ich nicht der 100%ige IT ler bin.
Und habe es ja nach mehreren Anleitungen versucht und mich schlau gemacht.

Ich danke Euch trotzdem für eure Hilfe.
Werde es nochmal in Ruhe angehen und wenn es dann nicht klappt werde ich es wohl besser lassen.

 

[MattCB]

Ja, am besten nochmal ganz von vorne beginnen. Also den Ordner im Docker-Ordner löschen, Image und Container löschen. Dann am besten erstmal den Reverse Proxy anlegen. Du kannst auch gerne ein Screenshot deiner Einstellungen im Reverse Proxy hier posten, dabei bitte die Domain verpixeln.

Am besten auch Screenshots deiner Zertifikatseinstellungen posten, dabei nur den ersten Teil deiner DynDNS-Domain verpixeln, der Rest ist ja Synology-eigen, wenn du den DynDNS-Dienst von Synology nutzt.

Im Router wie erwähnt darauf achten, dass Port 443 auf dein NAS weitergeleitet sind, damit das NAS das Let's Encyrpt Zertifikat sauber erstellen kann und der Reverse Proxy funktioniert.

Wenn alles korrekt eingestellt ist, sollte das Einrichten von Vaultwarden keine 10 Minuten dauern. Am besten die Anleitung aus #51 nehmen. So in etwa habe ich es auch gemacht.

Falls du eine Diskstation hast, die Snapshots kann, dann am besten nach erfolgreicher Einrichtung Snapshots für den Docker-Ordner einrichten, so dass du bei Problemen auf einen älteren Snapshot zurück kannst (bei mir wird alle 6 Stunden ein Snapshot erstellt und ich kann die Snapshots der letzten 14 Tage wiederherstellen). Und den Docker-Ordner in ein (tägliches) Backup aufzunehmen, ist auch eine gute Idee. Denn wenn mal der Vaultwarden-Container kaputt ist und du nicht mehr an deine Passwörter kommst, ist das unschön.

Aber erstmal musst du das ganze zum Laufen bekommen. Sollte kein Hexenwerk sein, wenn man einen Schritt nach dem anderen macht.

 

[plang.pl]

Für die Synology.me Adressen, oder besser gesagt, dessen Zertifikate, ist keine Portweiterleitung nötig

 

[MattCB]

Ach okay, das wusste ich noch nicht. Gilt das für alle Synology-DDNS-Adressen? Denn ich nutze eine andere als aus dem Fundus von Synology (also keine synology.me).

Also muss man nur Port 443 für den Reverse Proxy im Router weiterleiten? Dann ist diese Meldung beim Erneuern des LE-Zertifikats für die DDNS-Adresse aber etwas irreführend:



Denn ein Zugriff über WAN (Internet) geht ja m.E. nur per Portforwarding. Man sollte also zumindest Port 443 weiterleiten. Was man ja für Reverse Proxy sowieso muss.

 

[plang.pl]

Ja, die ist irreführend.
443 ist klar. Braucht man für externen Zugriff
https://kb.synology.com/de-de/DSM/t...tificate_signing_request_on_your_Synology_NAS