Vaultwarden - Zugriff über https nicht mehr möglich

[OlliF69]

Hallo,
so langsam verzweifle ich an meinem NAS ...
Seit ein paar Tagen kann ich über meine Clients mit BITWARDEN nicht mehr zugreifen. Die Verbindung aus dem Internet mittels https auf mein NAS funktioniert nicht mehr. Ich verstehe nur nicht warum... Vielleicht kann mir jemand hier im Forum den entscheidenden TIP geben.

Stand der Dinge:
NAS DS 220+
Im Container: Vaultwarden installiert
Reverse Proxy eingerichtet.
Zertifikat von Synolgy geladen und eingebunden
in meiner Fritz!Box 7590 Freigaben eingerichtet.
Über HTTP komme ich mit der lokalen IP an die Vaultwarden Admin Konsole noch dran. Über das Internet mit https aber nicht mehr.

Was mache ich falsch? Schon einige Anleitungen im Netz gelesen und geprüft. Danach sieht alles gut aus, aber dennoch...

Wer könnte mir hier weiter helfen? Danke

 

[Benie]

Stimmt denn die IP der DS noch, schau mal in der Fritte und in der DS was da steht.

 

[OlliF69]

Ja, hab in der Fritz!Box dem NAS eine feste lokale IP zugeordnet.

 

[OlliF69]

Hab gerade einen Beitrag gefunden, dass in der Fritzbox unter den Heimnetz -> Netzwerk bei den

DNS-Rebind-Schutz die Webadresse eingetragen sein soll... ups.. hatte ich keinen Eintrag - jetzt aber wieder. Muss ich die Fritzbox rebooten? - Reboot durchgeführt ... ABER​

Jetzt bekomme ich auf einmal eine Fehlermeldung, wenn ich auf meine VAULTWARDEN Admin Seite zugreifen möchte:​

"Synology - ​

Es tut uns Leid, die von Ihnen gesuchte Seite konnte nicht gefunden werden."​

​

 

[*kw*]

Den Rebindschutz benötigst du in dem Fall normalerweise nicht. Funktioniert denn im LAN der https-Zugriff?

 

[OlliF69]

Nein, leider im Moment auch kein HTTPS oder http Zugriff auf die IP und den zugehörigen PORT. Und vorgestern ging das noch... jetzt komme ich auch auf das ADMIN Panel nicht mehr... was läuft hier falsch...

 

[Janüscht]

@*kw* ,
Warum das denn nicht? Wenn er Freigaben in der Fritz!Box hinterlegt hat, funktioniert die Kommunikation auch darüber. Wenn er jetzt selbst auf seine Adresse zugreifen will, greift der Rheinschutz. Dafür ist er ja auch da.

Ich würde eher auf eine nicht ordentlich eingeleitete IPv6 tippen.
Was gibt nslookup deinesynadresse aus?

 

[*kw*]

Hast du schon mal versucht, den Tresor eines Clients auszuhängen und neu anzumelden? Ich hatte kürzlich auch Zugriffsprobleme und die Vault-Quelle stand "komischerweise" nach einem Update auf "bitwarden.com" und nicht "selfhosted".

Oder hast du zufällig einen VPN laufen? Also NordVPN und Konsorten? Wenn die aktiv sind, funktioniert der Zugriff auch nicht.

 

[OlliF69]

VPN ist keiner aktiv. Die Clients kann ich abmelden und wieder auf "selfhosted" anmelden und mich auch mit meinem Account anmelden. Eine Synchronisierung der Server ist aber nicht möglich.
Und der Zugriff über einen Browser geht auch nicht mittels IP.

 

[*kw*]

Dann stimmt (wie @Benie schon andeutete) irgendwas in deiner Netzwerkkonfig nicht.

reverse proxy sieht sinngemäß so aus?



Die Cert-Zuordnung stimmt auch?



Sorry wenn ich "doppelt" frage, rein zum Verständnis und zur Sicherheit.

Was den Rebind angeht, muss ich den nur bei den Geräten eintragen (bswp. die FB selbst, sowie meine Repeater, die ich anstatt IP mit einer internen URL "anspreche").

 

[Benie]

Den Rebindschutz benötigst du in dem Fall normalerweise nicht.

Braucht man schon, damit die Fritte weiß, daß die DDNS intern aufgelöst werden soll, sonst wird sie nach draußen geschickt.

Über das Internet mit https aber nicht mehr.

Das funktioniert nicht, wenn die DDNS auf die interne IP auflöst.
Funktioniert dann auch nur über Wireguard, VPN den da bist Du quasi Netzintern unterwegs obwohl es über das Internet läuft

Edit, den Rebindschutz musst Du jede DDNS eintragen, die auf die interne IP auflösen soll.

 

[*kw*]

@Benie: wenn ich das über Rebind steuere, bekomme ich auch die o.g. Fehlermeldung. Wie gesagt, ich löse nur intern auf.

Edit: ich vergaß, ich nutze AdGuard Home als DDNS

 

[Benie]

Richtig, Du verwendest ja auch AdGuard um die IP zuzuweisen, in seinem Fall und das geht nur mit Synology DDNS, steht bei ihm die interne IP quasi als externe drin und das Zertifikat greift so auch.

 

[OlliF69]

Schon mal Danke für die vielen Tips!
Ja, Reverse Proxy ist bis auf meinem spezifischen Port genauso konfiguriert. Und bei den Zertifikaten habe ich auch überall das Synology Zertifikat hinterlegt.

 

[*kw*]

Im Rahmen der Fehlersuche, schau dir das doch mal als alternative Umsetzung an. Erschlägt erstmal, ist aber gut erklärt.

 

[Janüscht]

Anstatt das Problem zu lösen, soll noch ein anderes, viel Komplizierteres aufgemacht werden? Ich verstehe den Sinn dahinter nicht ganz.

Viel wichtiger wäre es, wenn man selbst nicht weiß, woran es liegt, anderen Usern nicht auf eine falsche Werde zu schicken. Ist ja nicht das erste Mal. Wenn man dazu noch seine eigene Einstellung vergisst, sollte man das lieber 2x überlegen, ob man seinen Senf dazu gibt. Das gilft den TE auch nicht weiter.

 

[OlliF69]

Danke für den Hinweis mit AdGuard, aber zum einem möchte ich erst einmal das primäre Problem lösen und meine DNS läuft nicht immer rund um die Uhr. Zum anderen setze ich dann eher auf PiHole, da ich bereits mit meiner HomeAssistant Steuerung mit Raspi Erfahrung sammeln konnte.

 

[*kw*]

@Janüscht: erstens war es Alternative gedacht und zweitens bin ich auch nur ein Mensch.

 

[OlliF69]

Was ich aktuell überhaupt nicht mehr verstehe... ich komm in meinem lokalen Netzwerk nicht mehr auf die ADMIN Konsole, oder gar mittels Client auf die Daten. Habe jetzt in der Fritzbox schon einige Freigaben entfernt. Es muss doch möglich sein über http - NAS-IP : Port (Vaultwarden) / admin auf meine Konsole von Vaultwarden zu kommen.

 

[Janüscht]

Das Problem ist deine IP. Dort greift das Zertifikat nicht. Somit erhältst du auch kein Zugriffsrecht.

Was ist mit nslookup deinedomain? Was wird da ausgegeben?
Wie hast du Vaultwarden installiert?
Hast du das Admin-Panel deaktiviert? (Environments, Config oder .env-file)