Mit Bitwarden (iOS, Win10) lokal auf docker (vaultwarden/server) zugreifen

[tomNeugier]

Hallo,

nach tagelangen Recherchen komme ich einfach nicht weiter ? und hoffe hier auf Hilfe.

Ich habe den vaultwarden/server über Docker auf meiner Synology installiert (lokaler Port 5151). Let’s Encrypt Zertifikat für „meine-domain.de“ ist vorhanden (alternativ auch für „meine-domain.de:5152“).
„meine-domain.de“ (STRATO) über DDNS eingerichtet, Status „normal“.
Reverse proxy ist eingerichtet (Quelle: HTTPS, „https://meine-domain.de“, Port 5152 | Ziel: http, localhost, Port 5151).
Ich möchte nur lokal (LAN und WLAN) auf den Server zugreifen (extern notfalls über VPN/Fritzbox). NAS ist extern nicht erreichbar, was auch so bleiben soll. Ports 80/443 sind NICHT geöffnet.
DNS-Rebind-Schutz Ausnahme wurde auf der FritzBox 7590 definiert für "https://meine-domain.de" und "https://meine-domain.de:5152" .
Ich kann lokal über Firefox "https://192.168.0.123:5152/#/" auf den Server zugreifen, Konten einrichten und verwalten, läuft.

Ich kann jedoch weder über Win10 Bitwarden noch über ein iPad noch über ein iPhone (beide 14.7.1) mittels der Bitwarden App auf den lokalen Server zugreifen und erhalte (meistens) SSL-Fehler Meldungen, oder Exception message (Zertifikat ungültig) und manchmal auch „falsches Passwort“, obwohl das def. korrekt ist.

Es gibt in der iOS und der Windows App (Startseite, oben links, Zahnrad/Einstellmenü) mehrere Möglichkeiten. Ich verstehe das so, dass ich nur „Server URL“ definieren muss, oder? „https://192.168.0.123:5152“ und „https://meine-domain.de:5152“ aus dem LAN funktionieren beide nicht.

Muss ich die Let’s Encrypt crt-datei vom NAS auf die mobilen Geräte übertragen? Wo liegt die, wie?

Hat jemand eine Idee was ich falsch mache?

tom

 

[synfor]

Bei der Ausnahme für den DNS-Rebind-Schutz gehört weder Protokoll, noch die Portnummer hinein.

 

[tomNeugier]

Bei der Ausnahme für den DNS-Rebind-Schutz gehört weder Protokoll, noch die Portnummer hinein.

Danke, habe ich geändert (plus FritzBox-Neustart), hat das Problem aber nicht gelöst.

 

[Der Paul]

Du solltest solltest im Reverse Proxy eine Subdomain verwenden, bspw. "warden.meine-domain.de" auf Port 443 und diese dann auf Dein 192.168.0.123 Port 5152 binden. Nun in der Bitwarden App/Browserextension nur der FQ-Hostname eingetragen - ohne Port oder Protokoll, also "warden.meine-domain.de"

 

[tomNeugier]

Du solltest solltest im Reverse Proxy eine Subdomain verwenden, bspw. "warden.meine-domain.de" auf Port 443

Sorry, ich verstehe zwar nicht, will es aber gern versuchen (ohne zu wissen, was ich tue!).
D.h., dass ich die Subdomain so einfach in Reverse Proxy eingeben und damit schaffen kann?

Du solltest solltest im Reverse Proxy eine Subdomain verwenden, bspw. "warden.meine-domain.de" auf Port 443 und diese dann auf Dein 192.168.0.123 Port 5152 binden. Nun in der Bitwarden App/Browserextension nur der FQ-Hostname eingetragen - ohne Port oder Protokoll, also "warden.meine-domain.de"

Aber bei Port 5152 und 443 hast du dich aber geirrt, oder? Der lokale Port in meinem docker-server ist doch 5151.

Also meinst du evtl so:
Quelle: HTTPS, „warden.meine-domain.de“, Port 5152
Ziel: HTTP, localhost, Port 5151

tom

 

[Thonav]

Quelle https domain und Port 443 (das ist der Port über den von Aussen zugegriffen wird. Port muss im Router zur DS freigegeben sein)
Ziel http, localhost 5151

Probiere und berichte...

 

[tomNeugier]

Quelle https domain und Port 443 (das ist der Port über den von Aussen zugegriffen wird. Port muss im Router zur DS freigegeben sein)
Ziel http, localhost 5151

Probiere und berichte...

Hi Thonav! (Danke für die Moralpredigt )

Ich habe mir eine dritte DS (720+) beschafft, die über Port 443 auch von außen zugänglich ist und alles eingerichten, wie du und auch schon @Der Paul vorgeschlagen haben. Danke!

Inzwischen habe ich auch tatsächlich verstanden, welchen Part Reverse Proxy hierbei spielt ?

Falls das noch jemand interessieren sollte: Ein großes Problem hatte ich bei dem Versuch, für die Subdomain (STRATO) ein Let's Encrypt Zertifikat zu erhalten und diese dann auf den Port im localhost zu binden. Grund war bei mir sehr wahrscheinlich, dass ich für den DynDNS Zugang (für VPN) auf der Fritzbox eine andere Domain (auch von STRATO) genutzt habe. Als ich DynDNS (Fritzbox) auf die subdomain umgestellt habe, erhielt ich sofort das (weitere) Let's Encyrpt Zertifikat und der Rest lief dann auch problemlos.

tom

 

[Thonav]

Hi Thonav! (Danke für die Moralpredigt )

Höre ich da ein MIMIMI?
Schön, dass es jetzt geht!
Viele Grüße nach Berlin!

 

[laafelosse]

Hallo Zusammen,

klinke mich hier mal ein, da mein Problem vermutlich hier am ehesten zuhause ist.

bin seit ein paar Monaten Besitzer einer DS220+ und versuche mich grad mit Vaultwarden via Docker im Heimnetzwerk auseinanderzusetzen. Vorweggenommen – ich bin diesbezüglich blutiger Anfänger.

Im Grunde habe ich Vaultwarden auf der DS auch zum Laufen gebracht. Allerdings habe ich unter Windows 10 immer wieder Probleme die Webseite aufzurufen, oder mich über die DesktopApp bzw. über die Browser-Extension anzumelden. In einem Moment funktionierts, im nächsten bekomme ich eine Fehlermeldung (s. Bilder). Das nervt dann besonders, wenn ich denn dann mal eingeloggt bin, ein neues Passwort speichern möchte und im gleichen Moment die Verbindung zum Server fehl schlägt. Das Ganze gleicht also einem Glücksspiel und ist aktuell nicht reproduzierbar.


Sofern Vaultwarden in der Browser-Extension nur gesperrt ist, kann ich mich jederzeit wieder anmelden - vermutlich weil die Daten noch im Cache liegen. Lediglich der Sync und neue Passwörter speichern schlagen dann halt ab und an fehl.

Windows läuft im Heimnetzwerk sowohl auf dem privaten, als auch auf dem Firmen-Rechner, den ich Aufgrund von HomeOffice zuhause habe. Bei beiden Rechnern habe ich das gleiche Phänomen.

Gesurft wird fast ausschließlich mit Firefox, aber auch z.B. mit Chrome oder Microsoft-Edge funktioniert es unter Windows nicht zuverlässig.
Da die DesktopApp ebenfalls ab und zu keine Verbindung herstellen kann, liegt es vermutlich auch nicht am Browser.

Komischerweise funktioniert Vaultwarden hingegen reibungslos bei der Verwendung am MacBook meiner Frau (zum Glück, sonst wäre die Akzeptanz wohl schon gescheitert ), unter Android und auch beim iPhone funktionierts im Heimnetzwerk ebenfalls einwandfrei und jederzeit zuverlässig.

Vaultwarden läuft hier übrigens ausschließlich lokal im Heimnetzwerk und ist ggf. nur über VPN (MyFritz) von außen erreichbar.

Kurz zu meiner Einrichtung:
=====================

• Meine Domain habe ich erstellt über goip.de
• Let’s Encrypt Zertifikat ist vorhanden für „subdomain.meine-domain.de“
  • Zertifikat erstellt über die DS mit kurzzeitiger Freigabe von Port 80 in der Fritzbox.
  • In den Zertifikat-Einstellungen der DS wird obiges Zertifikat nur für Vaultwarden verwendet. Alle anderen Dienste laufen über das mitgelieferte Synology-Zertifikat.
• DynDNS-Anbieter ist in der FritzBox 7590 mit „subdomain.meine-domain.de“ eingetragen
• „DNS-Rebind-Schutz“ Ausnahme wurde auf der FritzBox definiert für „subdomain.meine-domain.de“
• Als DNS-Server wird Pi-hole auf einem Raspberry verwendet.
  • Pi-hole ist als bevorzugter DNSv4-Server ist in der Fritzbox hinterlegt
    • Internet/Zugangsdaten/DNS-Server = IP-Raspberry
    • als alternativen DNSv4-Server habe ich Quad9 eingetragen
  • Heimnetz/Netzwerk/Netzwerkeinstellungen/IPv4-Adressen
    • Lokaler DNS-Server = IP vom Raspberry
  • DNSv6-Server wird vom Internetanbieter zugewiesen
• In Pi-hole selbst habe ich unter „Local DNS/DNS-Record“ „subdomain.meine-domain.de“ hinzugefügt.
• Reverse-Proxy ist eingerichtet:
  • Quelle: HTTPS - subdomain.meine-domain.de – Port 52305
  • Ziel: http – IP der Synology – Port 52504
  • HSTS ist deaktiviert
  • Benutzerdefinierte Kopfzeile (WebSocket) ist erstellt.
• Webdienste DSM-Port wird von http 5000 automatisch zu DSM-Port https 52305 umgeleitet
  • (Zugegebenermaßen habe ich die Port-Nrn. vielleicht etwas zu kompliziert gewählt.)
• Die URL in den Bitwarden-Apps ist bei allen Geräten wie folgt eingetragen: https://subdomain.meine-domain.de:52305

=====================

Kann mir jemand erklären, warum die Verbindung zu Vaultwarden unter Windows 10 manchmal funktioniert, und dann im nächsten Augenblick nicht reproduzierbar scheitert, es aber bei MacOS-12, iOS-15 und Android zu jederzeit wunderbar und zuverlässig funktioniert?

Vorab schonmal vielen Dank
Markus

 

[Sascha_L_a_S]

Hallo zusammen.

Ich habe genau das gleiche Problem. Der Login klappt über das Chrome- und Firefox-Add-In, über die iPhone- oder Android-App und auch über die Windows-App. Nur der Login über den Browser klappt lokal nicht.

Ich möchte außerdem nicht Bitwarden über eine Firewallfreigabe in der Fritzbox freigeben.

Hat dafür jemand ne Lösung?

Besten Dank,

 

[mabox]

@laafelosse @Sascha_L_a_S

Also bei mir läuft jetzt Vaultwarden seit Monaten stabil. Hab auch ein Pi-hole im Einsatz. Es klappt über die APPs wie auch direkt im Browser lokal oder von extern aus über https oder auch http.

In der FritzBox hab ich nichts mit DNS Rebind Schutz eingestellt und meine Reverse Proxy Einstellungen auf der Synology ist soweit ich das bei euch verstanden hab anders. Ich stelle da keinen anderen Port ein sondern nehme meine eingerichtete Subdomain und Port 443. Das vorgehen wird in dem Link in Punkt 3 unten beschrieben.

Ich bin exakt nach den Anleitungen vorgegangen außer mit anderen lokalen Ports:
1. how-to-install-bitwarden-on-your-synology-nas
2. synology-how-to-allow-bitwarden-to-work-over-an-https-connection
3. https://https-ssl-to-your-docker-containers-without-port-at-the-end

Ich hatte zunächst die Konfiguration von Punkt 2 umgesetzt, dann aber diese verworfen und mich für die von Punkt 3 entschieden.
Wie gesagt, klappt einwandfrei.

 

[laafelosse]

Hallo,

habe mein Problem anscheinend lösen können, zumindest läuft Vaultwarden jetzt seit kurzem ohne Aussetzer - auch unter Windows. Die Ursache lag aber anscheinend an den DNS-Einstellungen im Pi-hole und hatte weniger mit Docker bzw. Vaultwarden selbst zu tun.

Ich habe das Let's Encrypt Zertifikat nämlich auch mal mit den anderen Synology-Diensten (Photo- und File-Station und Synology Drive) ausprobiert, um die jeweiligen Dienste, "offiziell" zertifiziert mit meiner eingerichteten Subdomain, mit HTTPS aufzurufen. Bisher liefen diese Dienste bei mir mit dem mitgelieferten Zertifikat von Synology.
Ergebnis war das Gleiche - unter MacOS, iOS und Android keine Probleme, unter Windows gab es jedoch (Rechner unabhängig) meistens den "Fehler: Netzwerk-Zeitüberschreitung" - und manchmal lief es halt seltsamerweise. Von daher war klar, dass Docker/Vaultwarden nicht das Problem sein konnten.

In den Advanced-DNS-Settings beim Pi-hole habe ich nun mal die Häckchen bei folgenden Punkten entfernt (standardmäßig waren diese aktiv):
• Never forward non-FQDN A and AAAA queries
• Never forward reverse lookups for private IP ranges

"Use Conditional forwarding" habe ich hingegen mit entsprechenden IP-Einträgen aktiviert.

Seiter funktionierts!

@mabox
Die Anleitungen von mariushosting.com hatte ich mir auch schon angeschaut und auch die Port-Nummern bzw. Reverse-Proxy-Einstellungen hatte ich bis dato wie dort gezeigten ausprobiert. Den dritten Link kannte ich allerdings noch nicht, schaue ich mir auch nochmal näher an.
Danke!

 

[mabox]

"Use Conditional forwarding" habe ich hingegen mit entsprechenden IP-Einträgen aktiviert.

Das hab ich bei mir im Pi-hole auch konfiguriert. Die beiden Haken bei den "Advanced DNS Settings" die Du entfernt hast hab ich aber drin.

 

[laafelosse]

Danke für den Hinweis!
Habe die beiden Haken wie bei dir wieder gesetzt und über den Tag getestet - funzt nach wie vor!
Die Lösung lag also allein beim Aktivieren von "Use Conditional Forwarding".
Bei der Fehlersuche also nie zu viel auf einmal ändern

Grüße

 

[hajue55]

Hallo, ich hatte zuletzt mit dem Update des vaultwarden containers auf meinem RPi4 immer wieder Probleme. Somit habe ich Vaultwarden versuchsweise auf einer VM (inkl. Watchtower) installiert.

nun kann ich via iOS App nicht über xxx.synology.me zugreifen
via 192.xxx kann ich zugreifen.

auf dem Mac kann ich in der App via xxx.synology.me zugreifen

der Versuch mit der subdomain klappt leider nicht via iOS, via Safari (Mac) klappt der reverse proxy
ansonsten finde ich das vorgehen super, weil der port nicht mehr eingegeben werden muss

das ganze probieren hat bei mir zu der besonderen Konstellation geführt

MAC: Zugriff auf VM (DDNS), kein Zugriff auf RPi4 (DDNS, lokal) --> "failed to fetch"
iPhone: Zugriff auf RPi4 (DDNS), Zugriff auf VM nur lokal --> via vault.xx.synology.me kommt "Exception message: Verbindung zum Server konnte nicht hergestellt werden."

kommt mir komisch vor, habe aktuell aber keine Idee was hier falsch läuft.
Ports sind für die VM und RPi4 identisch auf FritzBox freigegeben.

Habt ihr vielleicht eine Idee?

 

[Thonav]

Hi @hajue55 - ich würde Dir empfehlen, Vaultwarden auf der DS in Docker (Container Manager) einzurichten. Die läuft halt immer und falls sie mal ausfällt, wird Dir das eher bewusst. Schreibe das, weil ich das selber auch probiert habe.
Nutze Vaultwarden eben auch mit einer eigenen Subdomain und Zugriff auf IOS oder MacOS Geräten funktioniert tadellos.

 

[hajue55]

Hi @Thonav

in der DS habe ich aktuell noch eine alte Version von Vaultwarden laufen. Ein manuelles update hat wie auf dem RPi4 nicht geklappt. Deshalb aktuell die VM auf welcher Watchtower läuft.

Wenn alles läuft kommt Watchtower auf die DS und wird dort alles versorgen.

Einen möglichen Ausfall beobachte ich aktuell via uptime kuma. so habe ich alle services in einer Übersicht


nur leider bekomme ich aktuell unterschiedliche zugriffe über die devices (Mac iOS). Das finde ich halt komisch und ungewöhnlich, warum klappt der zugriff via Mac aber nicht via iOS