Vaultwarden - Zugriff über https nicht mehr möglich
- Ersteller OlliF69
- Erstellt am
-
- Schlagworte
- bitwarden externe zugriff https vaultwarden
- Mitglied seit
- 24. Jul 2024
- Beiträge
- 46
- Punkte für Reaktionen
- 8
- Punkte
- 14
Der NSLOOKUP geht auf die IP der Fritzbox mit #53
Die Vaultwarden Konfiguration: (hatte zwischenzeitlich den Eintrag SIGNUPS_Allowed auf false - jetzt wieder auf true).
DDS am NAS sieht auch gut aus.
Ansonsten habe ich an CONFIG Files oder ähnlichem keine Einträge gemacht.
Habe es bereits mit vers. Installationsanleitungen im Netz verglichen.
Habe das NAS auch rebootet..
Die Vaultwarden Konfiguration: (hatte zwischenzeitlich den Eintrag SIGNUPS_Allowed auf false - jetzt wieder auf true).
DDS am NAS sieht auch gut aus.
Ansonsten habe ich an CONFIG Files oder ähnlichem keine Einträge gemacht.
Habe es bereits mit vers. Installationsanleitungen im Netz verglichen.
Habe das NAS auch rebootet..
Zuletzt bearbeitet:
Ohje, das sieht alles irgendwie nicht richtig aus.
Ich finde, es fängt schon bei den Container-Variablen an (Environments). Um besseren Schutz vor deinen Einstellungen, Passwörter etc. zu geben, solltest du diese in einer Config speichern. Der Ordner oder das LW kann den via DS verschlüsselt werden. Die Config wird automatisch beim Speichern eines Eintrages in der Admin-Web-GUI angelegt. Weiterhin kannst du .env- Datei nutzen, um bestimmte Funktionen auszuschalten oder zu ändern. Somit könnten deine Daten nicht mehr im Container Manager "abgegriffen" werden. Aber jeder, wie er es mag.
Wenn du die Sicherheit noch etwas erhöhen willst, musst du einfach fail2ban für den Container einstellen und installieren. Weil der Login-Block von Synology hier nicht greift. Eine universale Lösung wäre das Update Block-List-Script von @geimist.
Ich finde, es fängt schon bei den Container-Variablen an (Environments). Um besseren Schutz vor deinen Einstellungen, Passwörter etc. zu geben, solltest du diese in einer Config speichern. Der Ordner oder das LW kann den via DS verschlüsselt werden. Die Config wird automatisch beim Speichern eines Eintrages in der Admin-Web-GUI angelegt. Weiterhin kannst du .env- Datei nutzen, um bestimmte Funktionen auszuschalten oder zu ändern. Somit könnten deine Daten nicht mehr im Container Manager "abgegriffen" werden. Aber jeder, wie er es mag.
Wenn du die Sicherheit noch etwas erhöhen willst, musst du einfach fail2ban für den Container einstellen und installieren. Weil der Login-Block von Synology hier nicht greift. Eine universale Lösung wäre das Update Block-List-Script von @geimist.- "naslookup" hast du vom internen Netz probiert? Hast du deine Domain auch von extern, z.B. über Tor oder Mobil probiert?Ist das deine einzelne Freigabe oder nutzt du noch Bilder etc? Funktioniert diese oder nur Vaultwarden nicht?
- Ist IPv6 in deinem Netzwerk ausgeschaltet? Hast du eine externe IPv6? Was für einen Anbieter hast du?
- Wie hast du die Firewall eingestellt? Testweise deaktiviert?
- Welches Betriebssystem nutzt du? Um eine einfache "Umschreibung" wie bei Adguard/Pi-Hole zu erreichen musst du nur die Subdomain und die IPderDS in dieser eintragen und speichern. Dann sollte die Adresse angenommen werden und auch das Zertifikat greifen.
- Nach welcher Anleitung hast du Vaultwarden installiert?
- Mitglied seit
- 19. Feb 2014
- Beiträge
- 8.245
- Punkte für Reaktionen
- 3.371
- Punkte
- 344
Aber das ist doch jetzt alles zweitrangig, hier besteht doch erstenmal ein Verbindungsproblem.
Richtig,
dazu müsste der TE aber erst einmal alle gestellten Fragen beantworten.
Das fängt von der Installation z.B. MacVLAN & Port an und hört bei der Firewall auf.
Selbst die Frage, ob es der einzige Dienst ist, wo das Problem auftrat, konnte nicht beantwortet werden.
Die Frage nach"nslookup" und als Antwort die Router-IP ist ungenügend. Welche IP? die interne oder externe?
Grundsätzlich muss das Aufrufen über die IPort immer funktionieren. Bei Vaultwarden kommt er aber ohne Zertifikat nicht in den Tresor oder in den Adminbereich herein!
Ich würde in Richtung Firewall, Containerport oder Dockernetzwerk suchen.
dazu müsste der TE aber erst einmal alle gestellten Fragen beantworten.
Das fängt von der Installation z.B. MacVLAN & Port an und hört bei der Firewall auf.
Selbst die Frage, ob es der einzige Dienst ist, wo das Problem auftrat, konnte nicht beantwortet werden.
Die Frage nach"nslookup" und als Antwort die Router-IP ist ungenügend. Welche IP? die interne oder externe?
Grundsätzlich muss das Aufrufen über die IP
ort immer funktionieren. Bei Vaultwarden kommt er aber ohne Zertifikat nicht in den Tresor oder in den Adminbereich herein!Ich würde in Richtung Firewall, Containerport oder Dockernetzwerk suchen.
- Mitglied seit
- 24. Jul 2024
- Beiträge
- 46
- Punkte für Reaktionen
- 8
- Punkte
- 14
Hier meine NAS Settings:
Reverse Proxy:
und DDNS:
Frage: Muss hier das Häckchen bei "Let's Encrypt" gesetzt sein?
Ich komme aber über die externe IP4-Adresse auf mein NAS. Nicht jedoch über den DNS Namen...
Aber: In den Portfreigeben der Fritzbox wird mir eine andere externe IP Adresse angezeigt, wie hier im NAS.
Soweit ich das deute, habe ich ein Problem mit dem Zertifikat? Ist das Zertifikat an einer anderen IP gebunden, als die, mit der ich in der Fritzbox nach aussen zu finden bin?
Reverse Proxy:
und DDNS:
Frage: Muss hier das Häckchen bei "Let's Encrypt" gesetzt sein?
Ich komme aber über die externe IP4-Adresse auf mein NAS. Nicht jedoch über den DNS Namen...
Aber: In den Portfreigeben der Fritzbox wird mir eine andere externe IP Adresse angezeigt, wie hier im NAS.
Soweit ich das deute, habe ich ein Problem mit dem Zertifikat? Ist das Zertifikat an einer anderen IP gebunden, als die, mit der ich in der Fritzbox nach aussen zu finden bin?
Zuletzt bearbeitet:
- Mitglied seit
- 19. Feb 2014
- Beiträge
- 8.245
- Punkte für Reaktionen
- 3.371
- Punkte
- 344
Einstellungen im Reverse Proxy passen.
Überhaupt nicht oder nur nicht auf Vaultwarden?
Für Vaultwarden musst Du auf der Fritte den Port öffnen,
https:// für 443 einrichten.
Den Haken musst Du nicht unbedingt setzen solltest Du aber machen, und übernehmen Speichern.
Dann bekommst Du nämlich für Deine DYNDNS von LetsEncrypt ein Zertifikat.
Findest Du in der Systemsteuerung - Sicherheit - Zertifikate
Dort musst Du dann ein sog. Wildcard Zertifikat beantragen
Das machst Du indem Du bei der Anforderung vor Deine DynDNS einen ". *" (Nur den Punkt mit Sternchen, keine Ausführungszeichen) setzt.
Wenn Du das Wildcard Zertifikat erhalten hast, dieses zum Standart Zertifikat machen, danach auf das Zertifikat klicken und unter Einstellungen die Anwendungen für die, das Zertifikat greifen soll zuordnen.
Da kannst Du eigentlich alle zuordnen.
Jetzt müsste es zumindest was das betrifft funktionieren.
Was heißt auf das NAS?
Überhaupt nicht oder nur nicht auf Vaultwarden?
Für Vaultwarden musst Du auf der Fritte den Port öffnen,
https:// für 443 einrichten.
Den Haken musst Du nicht unbedingt setzen solltest Du aber machen, und übernehmen Speichern.
Dann bekommst Du nämlich für Deine DYNDNS von LetsEncrypt ein Zertifikat.
Findest Du in der Systemsteuerung - Sicherheit - Zertifikate
Dort musst Du dann ein sog. Wildcard Zertifikat beantragen
Das machst Du indem Du bei der Anforderung vor Deine DynDNS einen ". *" (Nur den Punkt mit Sternchen, keine Ausführungszeichen) setzt.
Wenn Du das Wildcard Zertifikat erhalten hast, dieses zum Standart Zertifikat machen, danach auf das Zertifikat klicken und unter Einstellungen die Anwendungen für die, das Zertifikat greifen soll zuordnen.
Da kannst Du eigentlich alle zuordnen.
Jetzt müsste es zumindest was das betrifft funktionieren.
- Mitglied seit
- 24. Jul 2024
- Beiträge
- 46
- Punkte für Reaktionen
- 8
- Punkte
- 14
Ich komme auf mein NAS, heisst auf die Oberfläche vom Synology. Nicht auf Vaultwarden. Port 443 ist freigegeben.
unter den Zertifikaten habe ich das Synology DDNS Certificate als Standard eingestellt. Ohne Wildcard.
Ging bisher - nur jetzt nicht mehr.
Muss ich dennoch ein neues Zertifikat beantragen?
unter den Zertifikaten habe ich das Synology DDNS Certificate als Standard eingestellt. Ohne Wildcard.
Ging bisher - nur jetzt nicht mehr.
Muss ich dennoch ein neues Zertifikat beantragen?
- Mitglied seit
- 19. Feb 2014
- Beiträge
- 8.245
- Punkte für Reaktionen
- 3.371
- Punkte
- 344
Das habe ich in Deinem Screenshot gerade angeschaut, auch dort muss die Subdomain rein.
Konnte man nicht lesen aber dafür in deinem 2. Screenshot, bitte einen Admin, daß das Bild rausgenommen wird, sonst hast Du bald viele Besucher auf Deiner DS.
Konnte man nicht lesen aber dafür in deinem 2. Screenshot, bitte einen Admin, daß das Bild rausgenommen wird, sonst hast Du bald viele Besucher auf Deiner DS.
Wenn du den Zugriff schon über IP und Port haben weißt, musst du auch den Container Port angeben (192.168.178.99:5151) und nicht 443 wie im Reverse Proxy. Weil der Reverse Proxy auf eine Domain lauscht, wird das Zertifikat nicht genutzt und der Login bei Vaultwarden schlägt fehl.
Leider fehlen die notwendigen Angaben vom Container/Anleitung/Installationsbefehl, um weitere Fehler zu vermeiden.
Auch verstehe ich nicht, warum man seine persönlichen Daten in einem System hinterlegt. Ohne das System dahinter verstanden zu haben. Das gilt für Docker und auch DSM und deren Absicherung. Bis auf die externe IP und/oder DynDNS ist es nicht interessant, diese zu missbrauchen. Mit dieser Geheimniskrämerei und dürftigen Input kann man keinem User weiterhelfen. Ich empfehle, die Basics zu verinnerlichen und zu erwerben.
Ich bin raus.
Leider fehlen die notwendigen Angaben vom Container/Anleitung/Installationsbefehl, um weitere Fehler zu vermeiden.
Auch verstehe ich nicht, warum man seine persönlichen Daten in einem System hinterlegt. Ohne das System dahinter verstanden zu haben. Das gilt für Docker und auch DSM und deren Absicherung. Bis auf die externe IP und/oder DynDNS ist es nicht interessant, diese zu missbrauchen. Mit dieser Geheimniskrämerei und dürftigen Input kann man keinem User weiterhelfen. Ich empfehle, die Basics zu verinnerlichen und zu erwerben.
Ich bin raus.
- Mitglied seit
- 19. Feb 2014
- Beiträge
- 8.245
- Punkte für Reaktionen
- 3.371
- Punkte
- 344
Alles klar, wenn das Durch ist, und Du sonst keine andere Gründe hast einen Port geöffnet zu halten, dann erkläre ich Dir gern auch wie man das über die interne IP machen kann. Es ist sicherer die Ports der DS geschlossen zu halten, sehr sehr viele von und greifen ausschließlich über VPN / Wireguard von Netzextern auf die DS zu , aber auch das ist dann keine Zauverei. Jedenfalls ist es der sicherste Zugriff auf die DS über das Internet.
- Mitglied seit
- 24. Jul 2024
- Beiträge
- 46
- Punkte für Reaktionen
- 8
- Punkte
- 14
Kurzer Zwischenstand: Erweiterung des Zertifikats abgeschlossen. CONF von vaultwarden auf subdomaine erweitert und container neu gestartet. Reverse Proxy ebenfalls im NAS angepasst und in der Fritzbox den DNS-Rebind auch auf die SUB Domain erweitert.
Leider weiterhin kein Zugriff auf mein Admin-Panel oder über die Clients.
Leider weiterhin kein Zugriff auf mein Admin-Panel oder über die Clients.
Moin,
auf welchen Container Port verweist den der Port 5151? 443 oder 80?
Was gibt der der Browser zurück, wenn du "http://*nas-ip*:5151 aufrufst?
Schon mal in die Logs vom Container geguckt, ob das was steht?
Kleiner Tipp: im Reverse Proxy als Ziel nicht die IP sondern einfach "localhost" eintragen.
auf welchen Container Port verweist den der Port 5151? 443 oder 80?
Was gibt der der Browser zurück, wenn du "http://*nas-ip*:5151 aufrufst?
Schon mal in die Logs vom Container geguckt, ob das was steht?
Kleiner Tipp: im Reverse Proxy als Ziel nicht die IP sondern einfach "localhost" eintragen.
- Mitglied seit
- 19. Feb 2014
- Beiträge
- 8.245
- Punkte für Reaktionen
- 3.371
- Punkte
- 344
.Bekommst Du irgendwelche Fehlermeldungen?
Hast Du es schon einmal einen anderen Browser versucht?
Was passiert, wenn Du Vaultwarden aufrufst?
Mit welchen Eingaben und aus welchem Netz versuchst Du zuzugreifen?
Hast Du es schon einmal einen anderen Browser versucht?
Was passiert, wenn Du Vaultwarden aufrufst?
Mit welchen Eingaben und aus welchem Netz versuchst Du zuzugreifen?
Kaffeautomat
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.
