Vaultwarden per Docker auf DS1513+

[Thonav]

Geht über 443 - daher wie gesagt, 443 an DS weiterleiten und Reverse Proxy von 443 an 5151.
Den 80er brauchst Du auch nur für die Zertifikatserstellung, der kann danach wieder geschlossen werden.

 

[lukass2000]

Okay, dann nehme ich Port 80 wieder raus und lasse nur Port 443 auf die IP der Diskstation drinnen

 

[Thonav]

Falls die Erneuerung nicht geht, machst Du halt den 80er nochmal kurz auf...

 

[lukass2000]

Falls die Erneuerung nicht geht, machst Du halt den 80er nochmal kurz auf...

Käme das auch zum Tragen, wenn ich jetzt sozusagen "manuell" per "Zertifikat Erneuern" in den Sicherheitseinstellungen der DS drücke?

So könnte ich eventuell ausschließen, das zukünftig dann irgendwann kein Zugriff mehr möglich ist, da eben das Zertifikat abgelaufen ist...

 

[alexhell]

Ja das ist das selbe verfahren

 

[lukass2000]

Zertifikatserneuerung klappt wunderbar, auch ohne Port 80 Freigabe, perfekt


In der Anleitung bei Punkt 12 wird das Script für die Aufgabenplanung erstellt
https://mariushosting.com/how-to-install-vaultwarden-on-your-synology-nas/

Hier wird jader Admin Token oder dann das Passwort für den Admin Zugang unter
https://vaultwarden.xxxxx.synology.me/admin
vergeben, oder?
In dem Beispiel ja mariushosting007mariushosting@@@
Habe die Konfiguration jetzt zweimal durchgeführt, einmal mit dem Admin Token aus dem Beispiel und einmal mit einem Eigenen, wo der Token auf XXXXXXXXXXXXX$$$ dreimal Dollarzeichen endet.

Scheinbar werden diese drei Sonderzeichen am Ende durch eine 5 Stellige Zahl ersetzt.
Die zwei Passwörter klappten bei mir nicht,
schaut man aber im Docker Container in dessen Übersicht nach, so sieht man dann das funktionierende Passwort, bei mir eben mariushosting007mariushosting12345 oder in der aktuellen Installation dann XXXXXXXXXXXXXXX12345.

Keine Ahnung, ob man im Vaultwarden Adminpanel irgendwann mal was machen muss, aber falls wer sich dort einloggen will und sich wundert, warum der vergebene Admin Token im Script nicht klappt, könnte das hilfreich sein zu wissen, wo das Passwort zu finden ist

 

[lukass2000]

So, nachdem Vaultwarden nun soweit läuft, bleibt noch die Backup Frage, irgendwie möchte ich das ganze ja auch gesichert wissen.

Wenn ich unter Systemsteuerung / Aktualisierung & Wiederherst / Konfigurationssicherung
Eine Manuelle Sicherung mache, dann sollten ja die ganzen Konfigurationen, welche nun für Vaultwarden direkt im DSM gemacht wurden, hier mitgesichert werden, oder?

Wie sieht denn das Docker Backup aus?
Reicht es da, wenn ich per HyperBackup den kompletten vaultwarden Ordner im Hauptordner docker sichere?
Kann ich den Kompletten Ordner dann gegebenenfalls einfach wieder zurückspielen?
Gegebenenfalls auch auf eine neue oder andere Diskstation?

 

[Thonav]

Antwort ist Ja...

 

[alexhell]

Wenn du eine DB nutzt, also nicht SQLite, dann würde ich auch einen Dump machen und den sichern.

 

[lukass2000]

Ist das als Datenbank in Verwendung was automatisch installiert wurde, aktuell also db.sqlite3, was auf SQLite schließen lässt

 

[alexhell]

Ja, dann reicht es wenn du den Stack und die Ordner sicherst

 

[lukass2000]

Was ist denn der "Stack"?

 

[w00dcu11er]

Den Code, den du in portainer hinzugefügt hast, um den Container zu erstellen.

 

[*kw*]

irgendwie möchte ich das ganze ja auch gesichert wissen

Du kannst dir optional auch nur die Container-Settings sichern lassen. Ich habe dafür eine tägliche Aufgabe angelegt.
In meinem Fall sichert sie alle Container in den Ordner “/docker/docker_backups/“. Docker wiederum wird täglich gesichert.

#!/bin/bash
BACKUP_DIR="/volume1/docker/docker_backups"
IGNORE_CONTAINERS=(jitsi_jicofo jitsi_jvb jitsi_prosody jitsi_web synology_docviewer_2 synology_docviewer_1)
EXPORT_DATE="$(date +%Y-%m-%d_%H-%M)"

[ ! -d "${BACKUP_DIR}" ] && mkdir -p "${BACKUP_DIR}"
echo "exporting container settings to ${BACKUP_DIR}"

for container in $(docker ps --format "{{ .Names }}"); do
    if grep -q "$container" <<< "${IGNORE_CONTAINERS[@]}" ; then
        echo "${container} is on ignore list. Skipping this container."
        continue
    else
        echo "${container} export"
        /usr/syno/bin/synowebapi --exec api=SYNO.Docker.Container.Profile method=export version=1 outfile="${BACKUP_DIR}/${container}_${EXPORT_DATE}.json" name="${container}"  2> /dev/null
    fi
done

 

[Thonav]

Wenn Du die Installation ohne Portainer gewählt hast (nach dieser Anleitung) hast Du keinen Stack. Die Aufgabe selber (im Aufgabenplaner) wird bei einer Sicherung per Hyper Backup auf eine USB Platte automatisch mitgesichert und ist in der .dss Datei hinterlegt.

 

[*kw*]

@Thonav: docker hat für mich noch eine Nebelwand, von daher waren/sind das für mich noch die Empfehlungen aus den Anfangstagen. Aber da die Rücksicherung des docker-Ordners bereits fehlerfrei umgesetzt wurde, sollte das auch das reichen. So oft ändere ich die settings auch nicht

 

[lukass2000]

Wenn Du die Installation ohne Portainer gewählt hast (nach dieser Anleitung) hast Du keinen Stack. Die Aufgabe selber (im Aufgabenplaner) wird bei einer Sicherung per Hyper Backup auf eine USB Platte automatisch mitgesichert und ist in der .dss Datei hinterlegt.

Ja, habe das nach dieser Anleitung gemacht.
Dann lege ich mir mal eine Hyper Backup Sicherung ein.
LG

 

[Benie]

Vaultwarden soll auch vom Smartphone nutzbar sein, also sozusagen von außerhalb meines LANs.

Wenn Du die DNS auf der DS nicht auf die öffentliche IP sondern auf die interne IP auflösen lässt, siehe meinen Post #44 Screenshot, und in Verbindung über VPN oder Wireguard Dich von außerhalb verbindest, da brauchst Du weder für den Zugriff auf Vaultwarden noch für die die Verlängerung des Synology / LE Zertifikat oder auf alles andere der DS einen offenen Port. Die Zertifikat Verlängerung läuft automatisch ohne Dein dazutun.
Läuft jedenfalls so bei mir ohne Probleme.

 

[plang.pl]

Ja, so mache ich das auch. Ich hab gar keine Ports offen. Zugriff von extern nur per WireGuard.

 

[lukass2000]

Wenn das soweit problemlos läuft, wäre der Plan, das auch Frau, Kind und Schwester Vaultwarden nutzen, da wird es mit einer VPN Verbindung dann schwierig