Vaultwarden - Zugriff über https nicht mehr möglich

OlliF69

Benutzer
Mitglied seit
24. Jul 2024
Beiträge
46
Punkte für Reaktionen
8
Punkte
14
Und auf dem NAS sind auch im Docker-Ordner die Daten vorhanden samt SQLITE-Datenbank. Aber ich habe im Moment keinen Zugriff...
 

OlliF69

Benutzer
Mitglied seit
24. Jul 2024
Beiträge
46
Punkte für Reaktionen
8
Punkte
14
Der NSLOOKUP geht auf die IP der Fritzbox mit #53

Die Vaultwarden Konfiguration: (hatte zwischenzeitlich den Eintrag SIGNUPS_Allowed auf false - jetzt wieder auf true).
vaultwarden.jpg

DDS am NAS sieht auch gut aus.
Ansonsten habe ich an CONFIG Files oder ähnlichem keine Einträge gemacht.
Habe es bereits mit vers. Installationsanleitungen im Netz verglichen.
Habe das NAS auch rebootet..
 
Zuletzt bearbeitet:

Janüscht

Benutzer
Mitglied seit
13. Sep 2020
Beiträge
147
Punkte für Reaktionen
40
Punkte
28
Ohje, das sieht alles irgendwie nicht richtig aus.

Ich finde, es fängt schon bei den Container-Variablen an (Environments). Um besseren Schutz vor deinen Einstellungen, Passwörter etc. zu geben, solltest du diese in einer Config speichern. Der Ordner oder das LW kann den via DS verschlüsselt werden. Die Config wird automatisch beim Speichern eines Eintrages in der Admin-Web-GUI angelegt. Weiterhin kannst du .env- Datei nutzen, um bestimmte Funktionen auszuschalten oder zu ändern. Somit könnten deine Daten nicht mehr im Container Manager "abgegriffen" werden. Aber jeder, wie er es mag. ;) Wenn du die Sicherheit noch etwas erhöhen willst, musst du einfach fail2ban für den Container einstellen und installieren. Weil der Login-Block von Synology hier nicht greift. Eine universale Lösung wäre das Update Block-List-Script von @geimist.
  • "naslookup" hast du vom internen Netz probiert? Hast du deine Domain auch von extern, z.B. über Tor oder Mobil probiert?Ist das deine einzelne Freigabe oder nutzt du noch Bilder etc? Funktioniert diese oder nur Vaultwarden nicht?
  • Ist IPv6 in deinem Netzwerk ausgeschaltet? Hast du eine externe IPv6? Was für einen Anbieter hast du?
  • Wie hast du die Firewall eingestellt? Testweise deaktiviert?
  • Welches Betriebssystem nutzt du? Um eine einfache "Umschreibung" wie bei Adguard/Pi-Hole zu erreichen musst du nur die Subdomain und die IPderDS in dieser eintragen und speichern. Dann sollte die Adresse angenommen werden und auch das Zertifikat greifen.
  • Nach welcher Anleitung hast du Vaultwarden installiert?
Die Fragen würden teilweise alle schon einmal gestellt und nicht richtig beantwortet.
 

Benie

Benutzer
Contributor
Sehr erfahren
Mitglied seit
19. Feb 2014
Beiträge
8.524
Punkte für Reaktionen
3.528
Punkte
344
Um besseren Schutz vor deinen Einstellungen, Passwörter etc. zu geben, solltest du diese in einer Config speichern. Der Ordner oder das LW kann den via DS verschlüsselt werden. Die Config wird automatisch beim Speichern eines Eintrages in der Admin-Web-GUI angelegt.
Aber das ist doch jetzt alles zweitrangig, hier besteht doch erstenmal ein Verbindungsproblem.
 

Janüscht

Benutzer
Mitglied seit
13. Sep 2020
Beiträge
147
Punkte für Reaktionen
40
Punkte
28
Richtig,

dazu müsste der TE aber erst einmal alle gestellten Fragen beantworten.
Das fängt von der Installation z.B. MacVLAN & Port an und hört bei der Firewall auf.
Selbst die Frage, ob es der einzige Dienst ist, wo das Problem auftrat, konnte nicht beantwortet werden.
Die Frage nach"nslookup" und als Antwort die Router-IP ist ungenügend. Welche IP? die interne oder externe?

Grundsätzlich muss das Aufrufen über die IP:port immer funktionieren. Bei Vaultwarden kommt er aber ohne Zertifikat nicht in den Tresor oder in den Adminbereich herein!

Ich würde in Richtung Firewall, Containerport oder Dockernetzwerk suchen.
 

OlliF69

Benutzer
Mitglied seit
24. Jul 2024
Beiträge
46
Punkte für Reaktionen
8
Punkte
14
Hier meine NAS Settings:

Reverse Proxy:

reverse.jpg

und DDNS:


DDNS.jpg

Frage: Muss hier das Häckchen bei "Let's Encrypt" gesetzt sein?

Ich komme aber über die externe IP4-Adresse auf mein NAS. Nicht jedoch über den DNS Namen...
Aber: In den Portfreigeben der Fritzbox wird mir eine andere externe IP Adresse angezeigt, wie hier im NAS.
Soweit ich das deute, habe ich ein Problem mit dem Zertifikat? Ist das Zertifikat an einer anderen IP gebunden, als die, mit der ich in der Fritzbox nach aussen zu finden bin?
 
Zuletzt bearbeitet:

Benie

Benutzer
Contributor
Sehr erfahren
Mitglied seit
19. Feb 2014
Beiträge
8.524
Punkte für Reaktionen
3.528
Punkte
344
Einstellungen im Reverse Proxy passen.

Ich komme aber über die externe IP auf mein NAS. Nicht jedoch über den DNS Namen...
Was heißt auf das NAS?
Überhaupt nicht oder nur nicht auf Vaultwarden?

Für Vaultwarden musst Du auf der Fritte den Port öffnen,
https:// für 443 einrichten.

Den Haken musst Du nicht unbedingt setzen solltest Du aber machen, und übernehmen Speichern.

Dann bekommst Du nämlich für Deine DYNDNS von LetsEncrypt ein Zertifikat.

Findest Du in der Systemsteuerung - Sicherheit - Zertifikate

Dort musst Du dann ein sog. Wildcard Zertifikat beantragen

Das machst Du indem Du bei der Anforderung vor Deine DynDNS einen ". *" (Nur den Punkt mit Sternchen, keine Ausführungszeichen) setzt.

Wenn Du das Wildcard Zertifikat erhalten hast, dieses zum Standart Zertifikat machen, danach auf das Zertifikat klicken und unter Einstellungen die Anwendungen für die, das Zertifikat greifen soll zuordnen.
Da kannst Du eigentlich alle zuordnen.

Jetzt müsste es zumindest was das betrifft funktionieren.
 

OlliF69

Benutzer
Mitglied seit
24. Jul 2024
Beiträge
46
Punkte für Reaktionen
8
Punkte
14
Ich komme auf mein NAS, heisst auf die Oberfläche vom Synology. Nicht auf Vaultwarden. Port 443 ist freigegeben.
unter den Zertifikaten habe ich das Synology DDNS Certificate als Standard eingestellt. Ohne Wildcard.
Ging bisher - nur jetzt nicht mehr.
Muss ich dennoch ein neues Zertifikat beantragen?
 

Benie

Benutzer
Contributor
Sehr erfahren
Mitglied seit
19. Feb 2014
Beiträge
8.524
Punkte für Reaktionen
3.528
Punkte
344
Ja, ohne Wildcard Zertifikat, kannst Du keine Subdomain verwenden.

zb. In Deinem Fall
" vaultwarden.my DSMxxxx.Diskxxxx.me"

Ohne geht das wegen dem Revers Proxy gar nicht.
 

OlliF69

Benutzer
Mitglied seit
24. Jul 2024
Beiträge
46
Punkte für Reaktionen
8
Punkte
14
Aktuell habe ich keine Subdomain im Einsatz und verweise im Vaultwarden direkt auf meine Adresse my DSMxxxx.Diskxxxx.me
 

Benie

Benutzer
Contributor
Sehr erfahren
Mitglied seit
19. Feb 2014
Beiträge
8.524
Punkte für Reaktionen
3.528
Punkte
344
Das habe ich in Deinem Screenshot gerade angeschaut, auch dort muss die Subdomain rein.

Konnte man nicht lesen aber dafür in deinem 2. Screenshot, bitte einen Admin, daß das Bild rausgenommen wird, sonst hast Du bald viele Besucher auf Deiner DS.
 

OlliF69

Benutzer
Mitglied seit
24. Jul 2024
Beiträge
46
Punkte für Reaktionen
8
Punkte
14
Ok, und die kann ich über den Weg, den du beschrieben hast erhalten:
"Findest Du in der Systemsteuerung - Sicherheit - Zertifikate
Dort musst Du dann ein sog. Wildcard Zertifikat beantragen"
 

Janüscht

Benutzer
Mitglied seit
13. Sep 2020
Beiträge
147
Punkte für Reaktionen
40
Punkte
28
Wenn du den Zugriff schon über IP und Port haben weißt, musst du auch den Container Port angeben (192.168.178.99:5151) und nicht 443 wie im Reverse Proxy. Weil der Reverse Proxy auf eine Domain lauscht, wird das Zertifikat nicht genutzt und der Login bei Vaultwarden schlägt fehl.

Leider fehlen die notwendigen Angaben vom Container/Anleitung/Installationsbefehl, um weitere Fehler zu vermeiden.

Auch verstehe ich nicht, warum man seine persönlichen Daten in einem System hinterlegt. Ohne das System dahinter verstanden zu haben. Das gilt für Docker und auch DSM und deren Absicherung. Bis auf die externe IP und/oder DynDNS ist es nicht interessant, diese zu missbrauchen. Mit dieser Geheimniskrämerei und dürftigen Input kann man keinem User weiterhelfen. Ich empfehle, die Basics zu verinnerlichen und zu erwerben.

Ich bin raus.
 

Benie

Benutzer
Contributor
Sehr erfahren
Mitglied seit
19. Feb 2014
Beiträge
8.524
Punkte für Reaktionen
3.528
Punkte
344
Jip, genau so!
 

OlliF69

Benutzer
Mitglied seit
24. Jul 2024
Beiträge
46
Punkte für Reaktionen
8
Punkte
14
Ok... das probiere ich Anfang der kommenden Woche. Bin dieses Wochenende anderweitig beschäftigt. Danke schon mal bis hierhin.
 

Benie

Benutzer
Contributor
Sehr erfahren
Mitglied seit
19. Feb 2014
Beiträge
8.524
Punkte für Reaktionen
3.528
Punkte
344
Alles klar, wenn das Durch ist, und Du sonst keine andere Gründe hast einen Port geöffnet zu halten, dann erkläre ich Dir gern auch wie man das über die interne IP machen kann. Es ist sicherer die Ports der DS geschlossen zu halten, sehr sehr viele von und greifen ausschließlich über VPN / Wireguard von Netzextern auf die DS zu , aber auch das ist dann keine Zauverei. Jedenfalls ist es der sicherste Zugriff auf die DS über das Internet.
 

OlliF69

Benutzer
Mitglied seit
24. Jul 2024
Beiträge
46
Punkte für Reaktionen
8
Punkte
14
Kurzer Zwischenstand: Erweiterung des Zertifikats abgeschlossen. CONF von vaultwarden auf subdomaine erweitert und container neu gestartet. Reverse Proxy ebenfalls im NAS angepasst und in der Fritzbox den DNS-Rebind auch auf die SUB Domain erweitert.

Leider weiterhin kein Zugriff auf mein Admin-Panel oder über die Clients.
 

crammaster

Benutzer
Mitglied seit
14. Jul 2024
Beiträge
187
Punkte für Reaktionen
42
Punkte
28
Moin,

auf welchen Container Port verweist den der Port 5151? 443 oder 80?

Was gibt der der Browser zurück, wenn du "http://*nas-ip*:5151 aufrufst?

Schon mal in die Logs vom Container geguckt, ob das was steht?

Kleiner Tipp: im Reverse Proxy als Ziel nicht die IP sondern einfach "localhost" eintragen.
 

Benie

Benutzer
Contributor
Sehr erfahren
Mitglied seit
19. Feb 2014
Beiträge
8.524
Punkte für Reaktionen
3.528
Punkte
344
.Bekommst Du irgendwelche Fehlermeldungen?
Hast Du es schon einmal einen anderen Browser versucht?
Was passiert, wenn Du Vaultwarden aufrufst?

Mit welchen Eingaben und aus welchem Netz versuchst Du zuzugreifen?
 

OlliF69

Benutzer
Mitglied seit
24. Jul 2024
Beiträge
46
Punkte für Reaktionen
8
Punkte
14
Hallo,
Vielen Dank für die Fragen und Tips. Hier ein paar Antworten und Screenshots.

container1.jpg

container2.jpg
reverse.jpg
Ich kann weder über https noch http auf VAULTWARDEN zugreifen - egal ob über SAFARI oder FIREFOX
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat