Vaultwarden soll KeePass ersetzen

[allahopp]

Hallo zusammen,

derzeit nutze ich für meine Passwortverwaltung die Anwendung KeePass (sowohl Linux als auch Windows).
Da es mal wieder ein langweiliger Samstag war, habe ich mich mit dem Thema "Vaultwarden" beschäftigt und es testweise mal in VDSM als Docker-Image installiert.
Vorweg: Funktioniert soweit und bin total begeistert

Mein Installationsvorgehen:
- Image installiert
- Porteinstellungen: Lokaler Port: 35554; Container-Port: 80
- Enviroments: zusätzlich zum Standard: SIGNUPS_ALLOWED = false (Habe 2 User angelegt und ist ausreichend)
- Eintrag Reverse-Proxy, sodass ohne Zertifikat intern zugegriffen werden

Trotzdem sind noch einige Fragen aufgetreten:

1. Auf einigen Internetseiten wird auch die Umgebungsvariable "WEBSOCKETS_ENABLED = true" gesetzt. Wofür wird das benötigt?
2. Habt ihr noch andere Umgebungsvariablen gesetzt (z. B. "ADMIN_TOKEN" in Verbindung mit "ADMIN_PAGE")?
3. Leider werden keine Website-Icons angezeigt. Was muss hier noch administriert werden (Meldung aus dem Log: "Unable to download icon: Empty response or unable find a valid icon. www.google.de")
4. Wie nutzt ihr den Zugriff auf Vaultwarden?
   Über den Browser oder über die App (Win, Linux). Über den Browser funktioniert das Löschen der Zwischenablage nicht.

Aktuell fällt mir nichts mehr ein.

Über Antworten würde ich mich freuen.
(Ich probiere unterdessen mal weiter )

Danke und Gruß
Frank

 

[Thonav]

Bin auch begeistert, noch besser ist allerdings, dass auch meine mobilen Geräte stets die aktuellen Zugangsdaten habe. Nutzung von derzeit 8 Familienmitgliedern.
Aber auch wenn Du es nur im eigenen Web nutzt ist er sehr gut.
Meine das Websocket für die Browser Extensions notwendig ist.

 

[plang.pl]

WEBSOCKETS_ENABLED

Websocket ist für die Browser Erweiterung nicht nötig.
Hat was mit Push bei Änderungen zu tun. Hab mich damit aber nie befasst.
Hier ein Artikel dazu

ADMIN_TOKEN

Hab ich gesetzt. Somit komme ich mit /admin auf die Admin-Seite

Zu Punkt 3 kann ich leider nix sagen. Funzt bei mir einwandfrei.

Wie nutzt ihr den Zugriff auf Vaultwarden?

Ich verwende sowohl den Web-Vault als auch die Android- und Windows-App. Außerdem die Browser-Extension.

Bin auch sehr begeistert von bitwarden

 

[EDvonSchleck]

1. Auf einigen Internetseiten wird auch die Umgebungsvariable "WEBSOCKETS_ENABLED = true" gesetzt. Wofür wird das benötigt?

Wenn du den Webtresor nutzt, werden damit die Einträge aktuell gehalten, ohne dass es synchronisiert werden muss, ähnlich wie ein Push. Muss aber auch im Reverse Proxy aktiviert sein.

1. Habt ihr noch andere Umgebungsvariablen gesetzt (z. B. "ADMIN_TOKEN" in Verbindung mit "ADMIN_PAGE")?

SMTP Einstellungen für die User-Einladungen oder wenn sich neue Geräte angemeldet haben.

1. Leider werden keine Website-Icons angezeigt. Was muss hier noch administriert werden (Meldung aus dem Log: "Unable to download icon: Empty response or unable find a valid icon. www.google.de")

Das wird mit deiner VM zusammen hängen, ich habe noch nicht mitbekommen, dass es auf der DS nicht funktioniert. Installiere es indirekt auf der DS.

1. Wie nutzt ihr den Zugriff auf Vaultwarden?
   Über den Browser oder über die App (Win, Linux). Über den Browser funktioniert das Löschen der Zwischenablage nicht.

PC- Braoserwerweiterung, Android - APP, Warum soll das leeren der Zwischenablage nicht funktionieren? Geht oft zu schnell.

 

[allahopp]

Danke für die schnellen Beiträge.

Hab mir jetzt mal die Browsererweiterung in Firefox geladen. Funktioniert einwandfrei, auch das Leeren der Zwischenablage.
Bei der Nutzung der Windows-App kommt ein Fehlerhinweis "Failed to fetch", obwohl die gleiche URL hinterlegt wurde wie bei der Browsererweiterung.

Muss ich da irgendwo noch was einstellen?

 

[plang.pl]

Eigentlich nicht.
Prüfe noch mal auf Tippfehler

 

[EDvonSchleck]

Das liegt am fehlenden Zertifikat

 

[allahopp]

Na Prima, das hab ich mir fast gedacht (nach Recherchen im Internet).

Zieht hier die Einstellung des Reverse Proxys nicht?
Bedeutet, dass ich ein Zertifikat erstellen muss, damit ich die Win-App nutzen kann?

 

[plang.pl]

Bei mir funktioniert aber auch die Browsererweiterung ohne Zertifikat nicht.
Um Vaultwarden nicht nur über den Web-Vault zu nutzen, brauchst du ein Zertifikat für die FQDN, über die du zugreifst im Reverse Porxy

 

[EDvonSchleck]

Ja, war aber schon immer so. Ich nutze netzintern nur noch Domains, um die Zertifikate kümmert sich der Reverse Proxy und acme.sh. Das ist ja kein Bug, sondern ein Feature. Trotz Zertifikat nutze ich dein Desktop App nicht, aber sie funktioniert ohne Probleme:

https://www.synology-forum.de/threads/zertifikat-laesst-sich-nicht-erneuern.91522/post-1055692
https://www.synology-forum.de/threads/freedns-zertifikat-funktioniert-nicht.125343/post-1055615 <Tipp
https://www.synology-forum.de/threa...der-fritzbox-installieren.103085/post-1039052

@plang.pl: Desktop App ist nicht eine Browsererweiterung!

 

[allahopp]

Bei mir funktioniert aber auch die Browsererweiterung ohne Zertifikat nicht.

Das einzige Zertifikat das ich habe ist das Standardzertifikat von Synology. Hier ist seit dem Eintrag im Reverse-Proxy auch der Port 35555 mit aufgeführt.

 

[plang.pl]

Ja ich meine nur, dass er oben geschrieben hat, dass es mit der Browsererweiterung funktioniert, aber mit der Desktop-App nicht. Deshalb dachte ich, er hätte ein Zertifikat, weil man meines Wissens für beide Versionen eines braucht

 

[EDvonSchleck]

Doch das Zertifikat im Browser funktioniert, sofern man es manuell angenommen hat. Das gilt dann für den Browser insgesamt.

Es gibt die Möglichkeit, das selbst signierte Zertifikat manuell auf den Rechner und Android zu installieren. Unter Android funktioniert es ohne Probleme. Beim PC (Windows) habe ich es damals nicht hinbekommen.

Für Bitwarden/Vaultwarden sollte man schon ein eigenes Zertifikat haben, was gültig ist. Bei den Angebotspreisen oder unter den genannten Alternativen macht das ganze manuelle Installieren eh keinen Sinn mehr. Das ist die Zeit nicht wert. Jetzt wird es alles automatisch verteilt und aktualisiert.

 

[plang.pl]

Achja stimmt.
Ich hatte das damals auch gemacht mit dem self-signed Zertifikat. Hatte eins via PowerShell erstellt und dann unter Windows als vertrauenswürdig installiert. Das hat geklappt. Allerdings mit den Handys nicht

 

[allahopp]

@plang.pl
@EDvonSchleck
Vielen Dank erstmals für euren Input. Da ja die Nacht noch lange ist, mache ich mich jetzt mal an das Thema Zertifikate dran. Bin bei diesem Thema allerdings komplett blank.

https://www.synology-forum.de/threads/freedns-zertifikat-funktioniert-nicht.125343/post-1055615 <Tipp

Werde das mal angehen.

Fragen werden mit Sicherheit kommen

 

[EDvonSchleck]

Dazu musst du nicht unbedingt deine IP übertragen. Es reicht, wenn du dynv6 als Bridge nimmst und das Zertifikat nur netzintern benutzt. Eine Verbindung und Portöffnung ins Internet ist nicht nötig bzw. Bedingung!

 

[allahopp]

????

 

[plang.pl]

Du musst lokal dafür sorgen, dass die DynDNS Adresse auf die interne IPv4 aufgelöst wird.

 

[allahopp]

@EDvonSchleck
Vielen Dank für den super Input

So dann gebe ich mal ein Zwischenfazit:

• Erstmal das docker-image "acme.sh" installiert --> ohne Probleme
• Bei dynv6 eine Domäne registiert, angeofrdert und auf die Synology übertragen. In der Synology ist auch nur noch dieses Zertifikat vorhanden, hat auch funktioniert
• Im Reverse-Proxy den Hostnamen von "*" geändert auf "bitwarden.Domäne" und Port angepasst von 35555 auf 433
• Ebenfalls noch die Websockets erstellt

--> Problem dabei war, ich bin weder über den Browser noch über die Win-App auf Vaultwarden gekommen (Adresse: "bitwarden.domäne") ging nicht.
--> Da ich Zugriffe immer über die IP mache, hat mich DNS im Heimnetzwerk überhaupt nicht interessiert.

Also testweise die hosts auf dem WIN-PC angepasst; Zugriff auf Vaultwarden über Browser und Win-App funktioniert ohne Fehler

--> Da geht die nächste Baustelle auf; ein zentraler DNS muss her. Also DNS auf der Synology installiert, Zone eingerichtet und gleich noch einen Ressourcen-Eintrag für "bitwarden.domäne" hinzugefügt.
Auf dem Win-PC noch den DNS Eintrag auf die NAS angepasst, Eintrag in der lokalen hosts wieder gelöscht und es funktioniert immer noch alles


Bevor ich mich jetzt mal ein bisschen schlafen lege noch einige Fragen:

1. Muss ich noch irgendetwas beachten einrichten bzgl. Reverse-Proxy, Zertifikat?
2. Verstehe ich das richtig, dass ich jetzt für jedes Endgerät im Netzwerk (Handy, Drucker, NAS, usw) eine eigene "Subdomäne" einrichten muss, damit diese mit dem Namen ansprechbar sind (z. B. "Handy1.domäne", "TV2.domäne" ...). Ein Mischmasch zwischen IP und Name macht doch keinen Sinn oder?
3. Heisst auch, das im DNS jedes Gerät mit Name.domäne und der zugehörigen IP hinterlegt werden muss?
4. Ist im DNS die Aktivierung der Auflösungsdienste und als Forwarder die IP der FB korrekt?
5. Da die Clients die DNS-Informationen vom DHCP geliefert bekommen, müsste ich in der FB bei den Netzwerkeinstellungen als DNS die NAS hinterlegen oder?
6. Wie handhabt ihr das in eurem Netzwerk (ich habe ca. 20 Geräte mit statischer IP und das gleiche nochmals mit DHCP)?

Mehr fällt mir im Moment nicht mehr ein.

Vielen Dank für die Hilfe!

Gruß
Frank

 

[ebusynsyn]

@allahopp

Bei mir ist Vaultwarden auch schon viele Monate in Betrieb und ich möchte ihn nicht mehr missen.

Ergänzend zu den diversen "eingebauten" Sicherheitsmerkmalen wie 2FA haben ich anhand dieser Anleitung noch fail2ban drüber gelegt. Die Anleitung kannst Du aber nicht 1:1 übernehmen. Aber als Richtschnur gut zu gebrauchen.

Selbst ich - als bekennender Laie - konnte nach einigen Fehlversuchen und herumexperimentieren das Teil so einrichten, dass nach 3 Fehlversuchen die betreffende IP gesperrt wird.

Vielleicht auch etwas für Dich