Vaultwarden soll KeePass ersetzen

[plang.pl]

Verstehe ich das richtig, dass ich jetzt für jedes Endgerät im Netzwerk

Musst du nicht. Habe ich auch nicht gemacht. Nur für Geräte, die man eben auch anspricht. Für was willst du zum Beispiel vom Handy auf den TV zugreifen? Oder gar vom PC aufs Handy?

Heisst auch, das im DNS jedes Gerät mit Name.domäne und der zugehörigen IP hinterlegt werden muss

Jedes Gerät, dass einen DNS-Eintrag hat, muss logischerweise immer eine feste IP haben. Ob das nun ein statischer DHCP-Lease in der Fritz ist, oder die IP am Gerät selbst statisch eingestellt ist, macht keinen Unterschied.

Da die Clients die DNS-Informationen vom DHCP geliefert bekommen

Wenn du unter Internet -> Zugangsdaten den DNS einträgst, nutzen alle Clients die Fritte und diese wiederum nutzt deinen DNS-Server.
Wenn du den DNS unter Heimnetz->Netzwerkeinstellungen einträgst, verwenden alle Clients direkt den DNS-Server der DS. Nachteil: Eventuell funktioniert die Hostnameauflösung nicht mehr richtg.

 

[EDvonSchleck]

Bevor ich mich jetzt mal ein bisschen schlafen lege noch einige Fragen:

1. Muss ich noch irgendetwas beachten einrichten bzgl. Reverse-Proxy, Zertifikat?

nein

1. Verstehe ich das richtig, dass ich jetzt für jedes Endgerät im Netzwerk (Handy, Drucker, NAS, usw) eine eigene "Subdomäne" einrichten muss, damit diese mit dem Namen ansprechbar sind (z. B. "Handy1.domäne", "TV2.domäne" ...). Ein Mischmasch zwischen IP und Name macht doch keinen Sinn oder?

nein. Gerätenamen werden im Netzwerk über NetBIOS angesprochen. Erkennst du gut daran, das kein .de im Namen ist. Wenn du eine Fritzbox hast, kannst du diese auch über die vergebenen Namen ansprechen. Ich nutzte aber trotzdem keine IPs mehr im Netzwerk.

1. Heisst auch, das im DNS jedes Gerät mit Name.domäne und der zugehörigen IP hinterlegt werden muss?

nein, du musst nur die Domains einrichten, die du auch erreichen willst. Wenn das nur Vaultwarden ist, reicht das aus.

1. Ist im DNS die Aktivierung der Auflösungsdienste und als Forwarder die IP der FB korrekt?

Normal kommt dort ein Internetdienst rein und in der Fritz!Box die IP des DNS-Servers (Netzwerk nicht Internet)

1. Da die Clients die DNS-Informationen vom DHCP geliefert bekommen, müsste ich in der FB bei den Netzwerkeinstellungen als DNS die NAS hinterlegen oder?

Ich habe die Feste IP direkt über die Fritz!Box verteilt, somit stehen alle Clients auf DHCP. Bei deiner Weise musst du die Settings von Hand ändern. Nutze das aber in der Fritz!Box . Wenn du dein System neu machen musst, hat der Rechner automatisch immer die richtige IP!

1. Wie handhabt ihr das in eurem Netzwerk (ich habe ca. 20 Geräte mit statischer IP und das gleiche nochmals mit DHCP)?

Siehe oben nur DHCP.


Ich verwende wie viel hier im Forum AdGuard. Dort ist die Umschreibung einfacher und du bekommst noch einen Blocker und Filter obendrauf.

 

[allahopp]

Guten Morgen zusammen,

danke für eure Ausführungen.
Nachdem ich mich in den letzten 5 Stunden in das Thema "DNS" reingelesen habe, blicke ich so gaaaaanz langsam mal durch. Da es in diesem Thread ursprünglich um Vaultwarden ging, würde ich meine Fragen bzgl. DNS bei Bedarf in einem separaten Beitrag posten.

Eine Frage hätte ich noch, bzgl. den Einstellungen in der FB:

Wenn du unter Internet -> Zugangsdaten den DNS einträgst, nutzen alle Clients die Fritte und diese wiederum nutzt deinen DNS-Server.
Wenn du den DNS unter Heimnetz->Netzwerkeinstellungen einträgst, verwenden alle Clients direkt den DNS-Server der DS. Nachteil: Eventuell funktioniert die Hostnameauflösung nicht mehr richtg.

Einstellung unter "Internet" vornehmen.
Was hat das mit der evtl. nicht funtkionierenden Hostnameauflösung auf sich?

Normal kommt dort ein Internetdienst rein und in der Fritz!Box die IP des DNS-Servers (Netzwerk nicht Internet)

Einstellung unter "Heimnetz" vornehmen.


Wenn ich es unter Internet einstelle, habe ich doch den Weg:
Client <-> FB <-> NAS <-> FB <-> Internet

Bei Netzwerk:
Client <-> NAS <-> FB <-> Internet

Danke und einen schönen Sonntag noch allen.
Werde mich weiter einlesen (sind hochinteressante Themen, leider hat der Tag nur 24 Stunden )

Gruß
Frank

 

[EDvonSchleck]

Ich würde nicht den DNS-Server auf der WAN-Seite eintragen. Technisch gesehen willst du ja nur eine kleine Schleife, um deine eigene Domain aufzulösen. Nun kannst du die Anfrage nicht nur im Netzwerk kreisen lassen. Das würde dazu führen, dass nur noch deine Seiten funktionieren. Irgendwo muss es ja in das Internet gehen. Wenn du es also auf der WAN-Seite einträgst, musst der DNS-Server das Tor zum Internet sein. Ansonsten hättest du einen Loop.

Problem mit bestimmten Domains habe ich noch nicht gehabt in der ganzen Zeit.

 

[allahopp]

Hallo,

möchte zu diesem Thema noch meine abschliesenden Tätigkeiten und Ergebnisse mitteilen.

1. Habe vaultwaden jetzt von der VDSM auf die "normale" NAS installiert --> funktioniert einwandfrei (auch das mit den Icons).
2. Da wir bei ionos seit Jahren eine öffentliche Domäne haben, habe ich dort die API aktiviert und mir ein Zertifikat über acme.sh erstellt --> hat dank der Ausführungen von @EDvonSchleck ebenfalls einwandfrei funktioniert.
3. 2 Revers-Proxy-Regeln erstellt (einmal mit IP und einmal mit Domäne), da ich übergangsweise sowohl über IP als auch über Domäne zurgreife (bis ich alles auf DNS umgestellt habe, was ich mal im Urlaub angehen möchte und nicht immer nur zeitweise nach Feierabend).
4. Gleichzeitig noch ein Zugangskontrollprofil für die entsprechenden IPs angelegt und den Reverse-Proxy-Regeln zugewiesen (mal sehen ob die Aktualisierung der Zertifikate funktioniert, da in der Hilfe steht, dass dies u. U. fehlschlagen könnte).
5. Sowohl der Zugriff über IP als auch über Domäne funktioniert. Bin echt begeistert
   
6. Damit der Zugriff temporär über Domäne funktioniert in der /etc/hosts den entsprechenden Eintrag für IPv4 ergänzt

@ebusynsyn
2FA haben wir auch schon aktiviert und das mit failt2ban habe ich auch schon länger im Blick. Mein Problem ist leider die Zeit. Als nächstes Projekt werden ich wohl erst mein Netzwerk mit einem DNS versorgen, damit ich meine interne Domäne auch sinnvoll nutzen kann.
Mein Motto: Erst muss das Fundament stehen, damit man dann darauf bauen kann ohne dass es später zusammenbricht. Und da ich in diesen Themen nicht so fit bin, dauert es leider seine Zeit.

@EDvonSchleck
Du schreibst im Post #24, dass du din der FB die IP des DNS nicht auf der WAN-Seite einrichten würdest, sondern unter "Heimnetz".
Im Post #22 Zitat Nr. 4, dass im DNS ein Internetdienst eingetragen werden sollte.

Meinst du damit, dass ich die IP eines öffentlichen DSN hinterlegen soll?
Dann hätte der DNS eine direkte Verbindung ins WAN und die DNS-Einträge in der FB auf der WAN-Seite hätte dann ja keinen Sinn oder?

Bzgl. meiner weiteren Fragen zu DNS werde ich einen separaten Thread öffnen.

 

[EDvonSchleck]

Das hast du alles richtig verstanden.

Als DNS würde ich dir AdGuard mit Unbound nutzen. Dadurch werden nicht nur ungewünschte Webseiten gefiltert, sondern auch direkt die Root-Server abgefragt. Weitere Listen und Einträge findest du hier. Eine Umschreibung kannst du so ganz einfach anlegen.

 

[allahopp]

Bis ich intern die Umstellung auf DNS durchgeführt habe, reicht es doch aus, wenn ich die hosts-Datei auf den Rechnern anpasse mit welchen ich per Domäne auf vaultwarden zugreifen möchte (aktuell 3 Stück).

Die Threads mit AdGuard lese ich aktuell auch sehr interessiert. Ich glaube ich werde mir statt SynDNS mal dies ansehen (wollte ich früher auch schon mal testen).

Hier schreibst du, dass in der FB der DNS-Eintrag auf der WAN-Seite angepasst werden soll. Läuft es mit AdGuard anders als mit SynDNS (ist es die direkte Abfrage der Roor-Server)?

 

[EDvonSchleck]

Hier schreibst du, dass in der FB der DNS-Eintrag auf der WAN-Seite angepasst werden soll.

Sorry beide Antworten sind genau verdreht, wenn man das testet wird man es sehen @GameBred hat AdGuard unter Netzwerk und nicht im WAN. Der Vorteil ist, wenn etwas doch nicht funktioniert kann man einfach im Client die IP vom Router eintragen und man ist im Internet. Das würde natürlich auch gehen, wenn man die IP vom DNS z. B. Google direkt im Client einträgt. Aber selbst WAN wäre jetzt kein direkter Beinbruch.

Läuft es mit AdGuard anders als mit SynDNS (ist es die direkte Abfrage der Roor-Server)?

Nein, AdGuard erweitert den Synology Server um die Protokolle, Filterlisten, Clienteinstellungen und DHCP (nutze ich nicht) und gesperrte Dienste. Der Synology-DNS-Server kann nur die Adressen auflösen und ist dagegen kompliziert, weil man den Vorwärts- und Rückwärtseinträge für jede Domain vergeben muss. Bei AdGuard kann man gleich eine Wildcard einstellen.

Viel falsch machen kannst du dabei nicht.

 

[allahopp]

Eine Frage hätte ich noch zu der /etc/hosts-Datei.

Bis zum Umsetzen des DNS (wird wahrscheinlich AdGuard und Unbound sein) habe ich bei den 3 Rechnern die hosts-Datei ergänzt:

123.456.789.10 --> vaultwarden.domäne.de
Über den Eintrag im Reverse-Proxy wird "umgeleitet" IP und Port des Dockers vaultwarden

Jetzt kann ich ja auch die Diskstation per Namen aufrufen; Bspw.: "ds1621.domäne.de"
Ich würde die hosts-Datei wie folgt ergänzen:

123.456.789.10 --> ds1621.domäne.de

1. Funktioniert das, da 2 identische IPs mit unterschiedlichen Namen stehen(ggf. über einen weiteren Reverse-Proxy-Eintrag)?
2. Muss ich hier auch die Rückwärtseinträge ergänzen?

 

[allahopp]

Bin auch begeistert, noch besser ist allerdings, dass auch meine mobilen Geräte stets die aktuellen Zugangsdaten habe. Nutzung von derzeit 8 Familienmitgliedern.

Ist es möglich mit nur einem User für Vaultwarden (den beide Ehepartner [nicht gleichzeitig] nutzen) eine Synchronisation mit 2 Handys (Ehemann und Ehefrau) zu ermöglichen, oder braucht jeder eine eigenen Anmeldung?

 

[EDvonSchleck]

Ja, weil der Webserver auf den Namen lauscht und diesem der entsprechenden Anwendung zuordnet. Die Domain trägst du unter: Systemsteuerung > Anmeldeportal > DSM > Domain ein, aktiviert am besten auch gleich HSTS. Nach dem Speichern solltest du unter dieser Adresse den DSM aufrufen können.

Vorwärts- und Rückwärtseinträge sind nur für den DNS-Server wichtig.

 

[EDvonSchleck]

Ist es möglich mit nur einem User für Vaultwarden (den beide Ehepartner [nicht gleichzeitig] nutzen) eine Synchronisation mit 2 Handys (Ehemann und Ehefrau) zu ermöglichen, oder braucht jeder eine eigenen Anmeldung?

Ist möglich, kannst so viele Geräte verbinden wie du willst. Alternativ kann man auch einen weiteren User legen und die Daten teilen. Das passiert über die Organisation.