Vaultwarden per Docker auf DS1513+

[*kw*]

Vaultwarden soll auch vom Smartphone nutzbar sein, also sozusagen von außerhalb meines LANs.

Dem würde ich aber nicht so viel Bedeutung zumessen. Du hast ja lokal eine Kopie deines (aktuellen) Tresors auf deinen Endgeräten und die Verbindung zum Vault (der DS) ist nur bei Änderungen (Abgleich) vonnöten.

Solltest du also unterwegs einen neuen Eintrag anlegen oder einen bestehenden ändern, würde sich der Client zu Hause im (W)LAN mit der DS syncen.

 

[*kw*]

Frau, Kind und Schwester Vaultwarden nutzen

Du kannst jedem eine eigene Wireguard Verbindung anlegen, aber das zuvor von mir geschilderte Prinzip bleibt das selbe.

edit: einzige Ausnahme, ihr habt gemeinsame Accounts für irgendwas und wenn einer das Passwort ändert, dieses umgehend für die anderen verfügbar sein muss.

 

[Benie]

würde sich der Client zu Hause im (W)LAN mit der DS syncen.

Hierzu auf dem Handy Client nur den Sync, auf automatisch, einstellen.

 

[Thonav]

... noch für die die Verlängerung des Synology / LE Zertifikat oder auf alles andere der DS einen offenen Port. Die Zertifikat Verlängerung läuft automatisch ohne Dein dazutun...

Klingt ja interessant. Also Deine Zertifikate verlängern sich ohne dass auch nur ein Port im Router weitergeleitet wird? Also auch ohne acme?

 

[lukass2000]

Schwester wohnt aber 200km weg und Töchterchen ist auch weit weg auf der Schule/Internet.
Eigentlich war ja einer der Gründe um Vaultwarden erstmal zu testen, genau das, das es dann problemlos sozusagen auch Standortunabhängig klappt und da möchte ich dann nicht wieder irgendwie VPN usw... nutzen....

 

[*kw*]

Also Deine Zertifikate verlängern sich ohne dass auch nur ein Port im Router weitergeleitet wird?

Auch wenn ich nicht "Zielperson" bin, aber mit acme.sh, ja.

 

[Thonav]

Dann solltet Ihr auch darauf hinweisen - ohne diesen Hinweis stimmt es einfach nicht und das hat auch nichts mit Vaultwarden zu tun sondern gilt generell für die Zertifikatsverlängerung.

 

[alexhell]

Also Deine Zertifikate verlängern sich ohne dass auch nur ein Port im Router weitergeleitet wird? Also auch ohne acme?

Das ist wohl nur bei synology.me Domains so.

 

[plang.pl]

Also Deine Zertifikate verlängern sich ohne dass auch nur ein Port im Router weitergeleitet wird? Also auch ohne acme?

Ja, mit Synology Domains geht das: "Um das Zertifikat Ihrer benutzerdefinierten Domain zu erhalten oder zu erneuern, stellen Sie sicher, dass Port 80 zu Ihrem NAS weitergeleitet wurde. Diese Einschränkung gilt nicht für Synology DDNS." Quelle: https://kb.synology.com/de-de/DSM/t...tificate_signing_request_on_your_Synology_NAS

 

[Thonav]

Ah, ok...

 

[alexhell]

Doch... vaultwarden.xxxx.synology.me ist ja eine synology.me domain

 

[Benie]

Dann solltet Ihr auch darauf hinweisen - ohne diesen Hinweis stimmt es einfach nicht

da brauchst Du weder für den Zugriff auf Vaultwarden noch für die die Verlängerung des Synology / LE Zertifikat oder auf alles andere der DS einen offenen Port. Die Zertifikat Verlängerung läuft automatisch ohne Dein dazutun.

 

[lukass2000]

Für die Zertifikatsverlängerung mit XXXXX.synology.me benötigt es keine extra Portfreigabe.
Das habe ich ja schon von Anfang an geschrieben, das ich bisher keinerlei Portfreigabe gemacht habe und die Zertifikatsverlängerung trotzdem geklappt hat.

Jetzt mit Vaultwarden muss Port 443 aber auf die Diskstation zeigen, ansonsten kann ich Vaultwarden gar nicht aufrufen?

 

[MattCB]

Ja, ohne Portweiterleitung von Port 443 kannst du nicht von außen (aus dem Internet) auf deine Dienste, die über den ReverseProxy laufen, zugreifen, da der Router die Datenpakete auf Port 443, die von außen kommen, schlicht und ergreifend nicht an deine Diskstation weiterleitet, sondern verwirft.

Um also ohne VPN aus dem Internet auf Vaultwarden zuzugreifen, ist zwingend eine Portweiterleitung nötig. Und bei VPN ist auch eine Portweiterleitung notwendig, damit der VPN-Server erreichbar ist.

 

[lukass2000]

Jetzt hätte ich mal eine Frage so rein aus Interesse.
Ihr sagt, wenn ich Vaultgarden nur im internen LAN nutze oder per VPN darauf zugreifen würde, dann bräuchte es keine Freigabe von Port 443.
Über welche URL oder IP rufe ich denn dann intern Vaultgarden auf?
Es gäbe dann ja auch kein https für einen Aufruf?

 

[Benie]

Über ->> https://vaultwarten.xxxx.synology.me

Edit: Netzintern und über VPN

 

[MattCB]

Dann müsste die Domain aber auf deine interne IP (also der Diskstation) weisen. Kann man in den DDNS-Einstellungen ja so einstellen. Aber dann ist wirklich nur noch der Zugriff per VPN möglich, da die Diskstation ja dann nicht von außen erreichbar ist. Mit VPN befindest du doch ja quasi im internen Netzwerk, das ist ja Sinn des VPN.

 

[Benie]

Das habe ich ihm ja mehr oder weniger schon im Post #78 und #44 so geschrieben, deshalb ging ich auch davon, daß ihm das bewußt ist als ich ihm das so geantwortet habe.

 

[lukass2000]

Okay, langsam verstehe ich das soweit.
Sorry, ist alles ziemliches Neuland für mich
Dann bleibe ich erstmal bei der Port 443 Freigabe

 

[Benie]

Denk daran, auch die Firewall zu aktivieren, mit Geoblock, Blockscript, usw.

Link zum Blockscript