Vaultwarden - Zugriff über https nicht mehr möglich

OlliF69

Benutzer
Mitglied seit
24. Jul 2024
Beiträge
46
Punkte für Reaktionen
8
Punkte
14
Hallo,
so langsam verzweifle ich an meinem NAS ...
Seit ein paar Tagen kann ich über meine Clients mit BITWARDEN nicht mehr zugreifen. Die Verbindung aus dem Internet mittels https auf mein NAS funktioniert nicht mehr. Ich verstehe nur nicht warum... Vielleicht kann mir jemand hier im Forum den entscheidenden TIP geben.

Stand der Dinge:
NAS DS 220+
Im Container: Vaultwarden installiert
Reverse Proxy eingerichtet.
Zertifikat von Synolgy geladen und eingebunden
in meiner Fritz!Box 7590 Freigaben eingerichtet.
Über HTTP komme ich mit der lokalen IP an die Vaultwarden Admin Konsole noch dran. Über das Internet mit https aber nicht mehr.

Was mache ich falsch? Schon einige Anleitungen im Netz gelesen und geprüft. Danach sieht alles gut aus, aber dennoch...

Wer könnte mir hier weiter helfen? Danke
 
Zuletzt bearbeitet:

Benie

Benutzer
Contributor
Sehr erfahren
Mitglied seit
19. Feb 2014
Beiträge
8.245
Punkte für Reaktionen
3.371
Punkte
344
Stimmt denn die IP der DS noch, schau mal in der Fritte und in der DS was da steht.
 

OlliF69

Benutzer
Mitglied seit
24. Jul 2024
Beiträge
46
Punkte für Reaktionen
8
Punkte
14
Ja, hab in der Fritz!Box dem NAS eine feste lokale IP zugeordnet.
 

OlliF69

Benutzer
Mitglied seit
24. Jul 2024
Beiträge
46
Punkte für Reaktionen
8
Punkte
14
Hab gerade einen Beitrag gefunden, dass in der Fritzbox unter den Heimnetz -> Netzwerk bei den

DNS-Rebind-Schutz die Webadresse eingetragen sein soll... ups.. hatte ich keinen Eintrag - jetzt aber wieder. Muss ich die Fritzbox rebooten? - Reboot durchgeführt ... ABER

Jetzt bekomme ich auf einmal eine Fehlermeldung, wenn ich auf meine VAULTWARDEN Admin Seite zugreifen möchte:

"Synology -

Es tut uns Leid, die von Ihnen gesuchte Seite konnte nicht gefunden werden."​

 
Zuletzt bearbeitet:

*kw*

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
10. Aug 2013
Beiträge
2.822
Punkte für Reaktionen
1.354
Punkte
174
Den Rebindschutz benötigst du in dem Fall normalerweise nicht. Funktioniert denn im LAN der https-Zugriff?
 

OlliF69

Benutzer
Mitglied seit
24. Jul 2024
Beiträge
46
Punkte für Reaktionen
8
Punkte
14
Nein, leider im Moment auch kein HTTPS oder http Zugriff auf die IP und den zugehörigen PORT. Und vorgestern ging das noch... jetzt komme ich auch auf das ADMIN Panel nicht mehr... was läuft hier falsch...
 
Zuletzt bearbeitet:

Janüscht

Benutzer
Mitglied seit
13. Sep 2020
Beiträge
145
Punkte für Reaktionen
40
Punkte
28
@*kw* ,
Warum das denn nicht? Wenn er Freigaben in der Fritz!Box hinterlegt hat, funktioniert die Kommunikation auch darüber. Wenn er jetzt selbst auf seine Adresse zugreifen will, greift der Rheinschutz. Dafür ist er ja auch da.

Ich würde eher auf eine nicht ordentlich eingeleitete IPv6 tippen.
Was gibt nslookup deinesynadresse aus?
 

*kw*

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
10. Aug 2013
Beiträge
2.822
Punkte für Reaktionen
1.354
Punkte
174
Hast du schon mal versucht, den Tresor eines Clients auszuhängen und neu anzumelden? Ich hatte kürzlich auch Zugriffsprobleme und die Vault-Quelle stand "komischerweise" nach einem Update auf "bitwarden.com" und nicht "selfhosted".

Oder hast du zufällig einen VPN laufen? Also NordVPN und Konsorten? Wenn die aktiv sind, funktioniert der Zugriff auch nicht.
 

OlliF69

Benutzer
Mitglied seit
24. Jul 2024
Beiträge
46
Punkte für Reaktionen
8
Punkte
14
VPN ist keiner aktiv. Die Clients kann ich abmelden und wieder auf "selfhosted" anmelden und mich auch mit meinem Account anmelden. Eine Synchronisierung der Server ist aber nicht möglich.
Und der Zugriff über einen Browser geht auch nicht mittels IP.
 

*kw*

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
10. Aug 2013
Beiträge
2.822
Punkte für Reaktionen
1.354
Punkte
174
Dann stimmt (wie @Benie schon andeutete) irgendwas in deiner Netzwerkkonfig nicht.

reverse proxy sieht sinngemäß so aus?

bw.jpg

Die Cert-Zuordnung stimmt auch?

cert.jpg

Sorry wenn ich "doppelt" frage, rein zum Verständnis und zur Sicherheit. :)

Was den Rebind angeht, muss ich den nur bei den Geräten eintragen (bswp. die FB selbst, sowie meine Repeater, die ich anstatt IP mit einer internen URL "anspreche").
 

Benie

Benutzer
Contributor
Sehr erfahren
Mitglied seit
19. Feb 2014
Beiträge
8.245
Punkte für Reaktionen
3.371
Punkte
344
Den Rebindschutz benötigst du in dem Fall normalerweise nicht.
Braucht man schon, damit die Fritte weiß, daß die DDNS intern aufgelöst werden soll, sonst wird sie nach draußen geschickt.
Über das Internet mit https aber nicht mehr.
Das funktioniert nicht, wenn die DDNS auf die interne IP auflöst.
Funktioniert dann auch nur über Wireguard, VPN den da bist Du quasi Netzintern unterwegs obwohl es über das Internet läuft

Edit, den Rebindschutz musst Du jede DDNS eintragen, die auf die interne IP auflösen soll.
 

*kw*

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
10. Aug 2013
Beiträge
2.822
Punkte für Reaktionen
1.354
Punkte
174
@Benie: wenn ich das über Rebind steuere, bekomme ich auch die o.g. Fehlermeldung. Wie gesagt, ich löse nur intern auf.

Edit: ich vergaß, ich nutze AdGuard Home als DDNS
 

Benie

Benutzer
Contributor
Sehr erfahren
Mitglied seit
19. Feb 2014
Beiträge
8.245
Punkte für Reaktionen
3.371
Punkte
344
Richtig, Du verwendest ja auch AdGuard um die IP zuzuweisen, in seinem Fall und das geht nur mit Synology DDNS, steht bei ihm die interne IP quasi als externe drin und das Zertifikat greift so auch.
 

OlliF69

Benutzer
Mitglied seit
24. Jul 2024
Beiträge
46
Punkte für Reaktionen
8
Punkte
14
Schon mal Danke für die vielen Tips!
Ja, Reverse Proxy ist bis auf meinem spezifischen Port genauso konfiguriert. Und bei den Zertifikaten habe ich auch überall das Synology Zertifikat hinterlegt.
 

*kw*

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
10. Aug 2013
Beiträge
2.822
Punkte für Reaktionen
1.354
Punkte
174
Im Rahmen der Fehlersuche, schau dir das doch mal als alternative Umsetzung an. Erschlägt erstmal, ist aber gut erklärt. :)
 

Janüscht

Benutzer
Mitglied seit
13. Sep 2020
Beiträge
145
Punkte für Reaktionen
40
Punkte
28
Anstatt das Problem zu lösen, soll noch ein anderes, viel Komplizierteres aufgemacht werden? Ich verstehe den Sinn dahinter nicht ganz.

Viel wichtiger wäre es, wenn man selbst nicht weiß, woran es liegt, anderen Usern nicht auf eine falsche Werde zu schicken. Ist ja nicht das erste Mal. Wenn man dazu noch seine eigene Einstellung vergisst, sollte man das lieber 2x überlegen, ob man seinen Senf dazu gibt. Das gilft den TE auch nicht weiter.
 

OlliF69

Benutzer
Mitglied seit
24. Jul 2024
Beiträge
46
Punkte für Reaktionen
8
Punkte
14
Danke für den Hinweis mit AdGuard, aber zum einem möchte ich erst einmal das primäre Problem lösen und meine DNS läuft nicht immer rund um die Uhr. Zum anderen setze ich dann eher auf PiHole, da ich bereits mit meiner HomeAssistant Steuerung mit Raspi Erfahrung sammeln konnte.
 

*kw*

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
10. Aug 2013
Beiträge
2.822
Punkte für Reaktionen
1.354
Punkte
174
@Janüscht: erstens war es Alternative gedacht und zweitens bin ich auch nur ein Mensch.
 

OlliF69

Benutzer
Mitglied seit
24. Jul 2024
Beiträge
46
Punkte für Reaktionen
8
Punkte
14
Was ich aktuell überhaupt nicht mehr verstehe... ich komm in meinem lokalen Netzwerk nicht mehr auf die ADMIN Konsole, oder gar mittels Client auf die Daten. Habe jetzt in der Fritzbox schon einige Freigaben entfernt. Es muss doch möglich sein über http - NAS-IP : Port (Vaultwarden) / admin auf meine Konsole von Vaultwarden zu kommen.
 

Janüscht

Benutzer
Mitglied seit
13. Sep 2020
Beiträge
145
Punkte für Reaktionen
40
Punkte
28
Das Problem ist deine IP. Dort greift das Zertifikat nicht. Somit erhältst du auch kein Zugriffsrecht.

Was ist mit nslookup deinedomain? Was wird da ausgegeben?
Wie hast du Vaultwarden installiert?
Hast du das Admin-Panel deaktiviert? (Environments, Config oder .env-file)
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat