Vaultwarden in Docker / HTTPS

[Aroon]

Hallo zusammen!
Ich wollte meinen Passwörtern gern ein neues zuhause bieten und dazu Vaultwarden in einem Docker laufen lassen.
Die Installation klappte ohne größere Probleme, das Webinterface ist erreichbar. Da tauchte auch schon das erste Problem auf:
Ohne https lässt sich kein Konto erstellen...

Dabei hab ich auch festgestellt, dass der Syno unter Port 5001 zwar erreichbar, aber das Zertifikat nicht akzeptiert wird.
Also habe ich via XCA ein Zertifikat erstellt und im Syno und meinem PC eingetragen, sodass das Webinterface des Syno nun per https erreichbar ist.
Da dachte ich, jetzt müsste alles laufen, aber das neue Zertifikat verträgt sich nicht mit Vaultwarden:

Wenn ich das "Standard"-Synology-Zertifikat für die im Reverse-Proxy angelegte Umleitung zu Vaultwarden aktiviere, dann komme ich bis zum Webinterface von Vaultwarden, allerdings mit der Meldung, dass die Verbindung unsicher ist, weil das Zertifikat ungültig ist.
Stelle ich allerdings mein neues Zertifikat ein, womit ich das Syno-Webinterface ohne Meldung erreiche, dann erhalte ich die Meldung
"404 Not found" nginx

Hat jemand eine Idee, warum das Zertifikat für den Syno reicht, bei Vaultwarden aber einfach nichts mehr kommt?

 

[Benares]

Ist dein Zertifikat auch für den Namen gültig, mit dem du Vaultwarden in der URL ansprichst?

 

[Aroon]

Wo kann ich das denn sehen? Die Adresse wäre für mich der Teil vor dem Port, und der ändert sich nicht. In beiden Fällen greife ich über die IP zu.

Unter commonName habe ich den Namen des Servers im Netzwerk eingetragen.

 

[Benares]

Moderne Browser schauen m.W. nicht mehr auf den commonName sondern auf eine Liste mit Alternate Names. Schau mal, ob du sowas in deinem Tool findest. Das kannst du auch im Browser sehen, wenn z.B. die Fehlermeldung ansteht und du oben auf das Schloss klickst und dir die Eigenschaften des Zertifikats anschaust.

Hier mal als Beispiel das Zertifikat von diesem Forum hier (Chrome).



Edit: Das Zertifikat ist also für synology-forum.de und www.synology-forum.de gültig.
Edit2: ... und für IPs gibt's normalerweise keine Zertifikate.

 

[Aroon]

An der Stelle hab ich:
IP-Adresse: <IP_des_Syno>

Also klingt für mich auch noch passend, wenn ich zwischen dem Syno-Webinterface-Port und dem Vaultwarden-Port wechsel...

Edit: Wenn ich auf den Vaultwarden-Port zugreife, sehe ich das Zertifikat auch, allerdings mehr auch nicht...


Edit2: Laut der Anleitung hier funktioniert auch eine IP, und sonst würde das Syno-Webinterface nicht funktionieren, oder?
https://www.wildtechgarden.ca/deplo.../#create-a-server-certificate-and-private-key

 

[Benares]

Also du hast ein Zertifikat für die IP? Ok.
Wie sieht denn dein Reverse-Proxy-Eintrag aus?

 

[Aroon]

Der sieht so aus (und funktioniert, solange das Synology-Zertifikat ausgewählt ist, nur ohne die "Sicherheit", also die Umlenkung passt):

 

[Benares]

Mmh, komisch. Ich würde die Regel so lesen:
"Wenn jemand über https://localhost:35555 reinkommt, dann leite ihn auf http://localhost:35554 weiter"
Du kommst aber mit https://<IP>:35555 rein? Muss dann nicht oben auch die IP rein?

Klappt http://<IP>:35554 wenn du das Ziel direkt aufrufst?

Edit: Bei mir sieht's so aus und das klappt
.

 

[Aroon]

Ich komme über https://<IP>:35555 auf das Webinterface, allerdings mit der Meldung hier, wenn das Zertifikat auf Syno steht:


Mit http://<IP>:35554 lande ich direkt im Webinterface, wo ich allerdings mangels https keinen Account erstellen kann...

 

[plang.pl]

Da müsstest du dir das Zertifikat mal ansehen. Aber wie gesagt, eigentlich ist die Meldung normal, wenn man via IP zugreift. Wenn du die Meldung ignorierst, kannst du auch kein Konto erstellen?

 

[Aroon]

Ich glaube auch, dass das was mit dem Zertifikat zu tun hat, ich weiß allerdings nicht wonach ich da suchen soll, da es für das Syno-Webinterface reicht und ja beides über die IP erreicht werden soll...
Die Meldung ignorieren habe ich zuerst versucht, allerdings wird auf https bestanden:

 

[Benares]

Mmh, und wenn du für den Bitwarden-Proxy dein Zertifikat einstellst, kommt 404?
Stell mal im Proxy im oberen Teil von localhost auf IP um und ordne dein Zertifikat zu.

 

[Aroon]

Genau, wenn ich das Zertifikat für die Verbindung von Vaultwarden zuweise, dann kommt 404...
Du meinst den Hostnamen bei der Quelle im Reverse-Proxy? Da lassen sich leider keine IPs eintragen.

 

[Benares]

Da lassen sich leider keine IPs eintragen.

Echt? Hab's nie probiert.

Aber ich denke, das Hauptproblem dürfte sein, dass du mit IPs arbeitest. Stell um auf Namen, dann klappt's

Ich habe mir für meine internen Geräte mal ein selbst signiertes Zertifikat erstellt, dass alle lokalen Namen (DS1522, DS415,...) umfasst und ein LE-Zertifikat für alle externen Namen (*.example.com) für den Reverse-Proxy. Damit kann ich fast alle Fälle abdecken.

 

[ctrlaltdelete]

Ich habe das ganze mit einer Subdomain und einem Wildcard-Certificate von lets encrypt gelöst.
edit: Meine unterschiedlichen Domainnamen nicht beachten, leichte Demenz beim bearbeiten des screenshots

 

[ctrlaltdelete]

Mit reiner IP wird es nicht gehen, wenn dann nur so wie @Benares geschrieben hat über die internen Namen deiner Geräte im Netzwerk.

 

[EDvonSchleck]

Schau einmal hier. Eventuell hilft dir es weiter und du hast nichts mehr mit dem Zertifikat zu tun.

 

[Aroon]

Ich hab nochmal weiter geschaut und anhand dieser Anleitung:
https://drfrankenstein.co.uk/2021/12/29/bitwarden-vaultwarden-in-docker-on-a-synology-na/
den DDNS-Service von synology.me aktiviert und siehe da, mit bitwarden.XXX.synology.me komme ich dahin, wo ich sein woltle!
Allerdings nur mit einer Freigabe des Ports 443 in der Fritzbox.

Das wollte ich eigentlich vermeiden, und alles im lokalen Netzwerk halten....

 

[plang.pl]

Die FritzBox sollte den Traffic aber intern routen. Heißt: Von intern brauchst du keine Portfreigabe

 

[EDvonSchleck]

Wenn du meinen Link gelesen hättest, wärst du auf den Rebindschutz der Fritz!Box gestoßenen. Den solltest du natürlich aktivieren.
Alternativ kannst du aber auch einen DNS-Server, AdGuard oder Pi-Hole nutzen und eine Umschreibung anlegen.

Ob ein Synology-Konto eine gute Alternative darstellt, muss jeder selbst entscheiden. Diese wird oft genutzt, weil es sehr einfach in der DS umzusetzen ist. Ich persönlich bin kein Fan davon, weder von DynDNS noch vom Quickconnect. Das ist aber eine Glaubensfrage und muss jeder selbst entscheiden.