KeePass DB zwischen NAS sowie iPhone, PC und Mac synchron halten?

[tomNeugier]

Habe viel gelesen aber noch immer viele Fragen. Wer kann helfen?

Wie kann ich meine KeePass Datenbank zwischen

- 2 x DS718+
- iPhone (App Strongbox)
- iPad (App Strongbox)
- Win10 (KeePass)
- Mac (Strongbox)

komfortabel synchron halten.

Ich greife allein darauf zu. Es kann aber vorkommen, dass ich auf dem PC zufällig KeePass laufen gelassen habe und unterwegs auch per iPhone an der Datenbank arbeite.

Das NAS ist nur im Notfall via VPN über die FritzBox von außen erreichbar aber zusammen mit allen anderen Geräten per LAN oder WLAN verbunden. Eigentlich möchte ich mit offline Dateien arbeiten, die sich nach Rückkehr in mein WLAN aktualisieren, wenn ich die Datenbank unterwegs editiert habe. Notfalls verbinde ich mich mal mit dem iPhone per VPN mit dem Heimnetz.
Momentan läuft das über iCloud. iCloud ist aber insbesondere unter Win10 nicht stabil. Außerdem möchte ich auf fremde clouds verzichten.
Strongbox bietet immer an, entweder eine zweite Version zu erstellen oder die Originaldatei zu bearbeitetn, warnt für letzteren Fall aber vor möglichen Gefahren/Fehlern. Hatte auch schon mal ziemliche Probleme. Das Problem möchte ich bei der Masterlösung auch bewältigen.

Die KeePass Datenbank sollte auf dem NAS liegen und täglich (versioniert) auf dem zweiten NAS gesichert werden (eigentlich wohl eine zweite Aufgabe).

Löse ich das nun mit WebDav oder Synology Drive - wie? Gibt es irgendwo eine gute Beschreibung? Hier im Forum gibt es einige aber sehr knappe Hinweis, die mich letztlich nicht erhellen.
Auf weitere Apps auf dem iPhone würde ich nach Möglichkeit gern verzichten.
Danke für alle Hinweise!

 

[blurrrr]

WebDAV ist nicht offline, Drive hingegen synchronisiert, so dass die DB auf allen Endgeräten liegt.

 

[tomNeugier]

ich glaube, irgendwer hatte geschrieben, dass die KeePass Datenbank unterwegs (offline) bearbeitet werden kann und sich nach Rückkehr ins WLAN über WebDav synchronisiert. Ich finde den Beitrag jetzt nicht ...

 

[tritor100]

Hi Tom,
Wenn du WebDAV nur im LAN hast, dann geht das.
Ich nutzte WebDAV und habe auf meinem mobile das WLAN und LTE abgedreht. Dann in Keepass einen Eintrag hinzugefügt.
Danach WLAN wieder enabled und sync der DB forciert.

Dann habe ich Keepass am Tablet geöffnet und nach sync waren die Änderungen da.
Grüße

 

[tomNeugier]

Hi tritor100,
verstehe nicht ganz.
Wo brauchst du in deinem Beispiel LAN? Ist dein mobil dein Tablet?

 

[tomNeugier]

WebDAV ist nicht offline

Hi blurrrr,
in diesem Beitrag von 2019 stand das.

 

[blurrrr]

Wenn keine Verbindung besteht, wird die lokale DB genommen. Beim nächsten verbinden mit einer Verbindung synchronisiert Keepass2Android automatisch.

"Was/wer" synchronisiert? WebDAV oder Keepass2Android? ?

 

[tomNeugier]

Ähmmm ... vermute in dem Fall Keepass2Android über WebDav mit der Datenbank auf dem NAS, oder?
Bei mir auf dem iPhone wäre es Strongbox über WebDav mit der Datenbank auf dem NAS - so meine Vision.

 

[tomNeugier]

OK, probiere gerade so rum und merke schon: WebDav ist für mich wohl ungeeignet, weil nur von außen und nicht aus dem gleichen lokalen Netz einfach und problemlos geeignet / sinnvoll (nur mit den Einschränkungen, die tritor100 aufgezeigt hat).

Werde mir jetzt mal die Synology Drive Variante ansehen. Obwohl ich die ganz schon groß und damit komlex für eine Datenbankdatei finde.

 

[the other]

Moinsen,
Find ich auch etwas überdimensioniert...
Ich kenn nun strobngbox gar nicht und mit keepass ist es auch länger her. Hier nutze ich auf Windows und Ubuntu keepassxc. Auf den mobilen Geräten (Android) keepass2Android. Bei beiden kann ich auf verschiedenen Protokollen eine Synchronisation der auf dem NAS liegenden Datenbank machen. So verbinde ich zb mein tablet mit meinem WLAN und sobald ich keepass starte (die Datenbank entschlüsselt habe) erfolgt eine automatische Synchronisation. Ohne zu tun, muss eben einmalig eingerichtet werden. Weiß aber leider nicht, ob strongbox das auch automatisch macht.
Andererseits... So oft kommen nun auch keine neuen oder veränderten Passwörter dazu, also manuell mit ein zwei Klicks auch erledigt.

 

[tomNeugier]

Danke für bisherige Hinweise!
Ich verwalte tatsächlich sehr viele Passworte etc. und muss die Datenbank fast täglich editieren.

Habe jetzt Drive Server und die clients für iPhone und Windows installiert und eingerichtet. War recht einfach und läuft.
Strongbox (muss ich mal loben!) ist Klasse. Strongbox (iPhone) kann über Dateien > Speicherorte > Drive auf die KeePass DB zugreifen und synchronisiert selbständig mit der nun auf dem NAS liegenden (versionierten!) Datenbank (öffnen mit FaceID). Die Datenbank und die Einstellungen von Drive werden nun zudem täglich auf das 2. NAS mit HyperBackup gesichert.

Bisher perfekt. Mal sehen, wie das von unterwegs und auf dem Mac läuft. Ich werde demnächst nochmal berichten.

 

[the other]

Moinsen,
Wenn du wie geschrieben per vpn auf dein lan zugreifen kannst, dann solltest du da keinen großen Unterschied sehen...
Darf ich fragen, warum du nun via drive gehst, anstatt die keepass bzw strongbox eigene sync zu nutzen?

 

[tomNeugier]

Darf ich fragen, warum du nun via drive gehst, anstatt die keepass bzw strongbox eigene sync zu nutzen?

Guten Morgen the other! Danke für deine Frage! Ich ahne, weil ich keine Ahnung habe

Wie meinst du genau? Z.B. von Strongbox über einen Dateimanager (ich nutze Filebrowser) via VPN auf die KeePass Datenbank auf dem NAS zugreifen? Das hatte ich bisher nie ausgiebig probiert. Evtl hatte ich da bisher etwas (in Strongbox) falsch gemacht, denn Strongbox erstellte dafür eine "zweite Version" der Datenbank, die ich später nur mühsam mit der eigentlichen Version der DB auf dem NAS synchronisieren konnte. Außerdem müssen VPN und filebrowser dabei stets ganz stabil laufen ...
Oder lässt sich das ganz anders und einfacher realisieren?

Gruß, tom

 

[the other]

Moinsen,
wie gesagt: keine Ahnung von Strongbox!
Sollte aber nach kurzer Recherche doch gehen...
Mein Ablauf ist etwa so:
die wirkliche Datenbankpflege (neue PW usw) erfolgt hier idR am PC. Die Datenbank speichere ich dann lokal am PC, synchronisiere diese dann mit dem Bestand auf dem NAS. Somit ist zentral auf dem NAS die aktuelle Passwortdatenbank hinterlegt (und zusätzlich ein Exemplar auf dem PC, falls NAS mal defekt oder ähnlich).
Die Clients hier nutzen Keepass2Android, damit kann ich nach Start der App angeben, ob eine lokal auf dem Client vorgehalten Version der Db geöffnet werden soll, oder ob eine neue db erstellt werden soll oder aber ob die db gewechselt werden soll.
Gebe ich nach erfolgter Aktualisierung dann hier ein, "db wechseln", so wähle ich zB SFTP (oder webdav oder FTP oder oder oder) aus, hangel mich dann zum Ablageort auf dem NAS, gebe Benutzercredentials an und gut.
Ergebnis: keepass2Android synct dann (wenn Netz vorhanden) immer direkt nach dem Öffnen mit dem Ablageort auf dem NAS (automatisch). Ist aber kein Netz vorhanden (oder gewünscht), so wird immer die zuletzt gesyncte Version (die auf dem Client ebenfalls angelegt wird) geöffnet.
Klingt erstmal kompliziert, ist es aber nicht:
1. Datenbank pflegen am PC (geht natürlich auch durch Einträge / Änderungen am Client)
2. Synchronisation keepass Datenbank PC > NAS
3. Auswahl am mobilen Client (ob lokale DB, neue DB, andere DB)
4. es erfolgt dann Synchronisation mit keepass Datenbank NAS > mobiler Client.

Mach ich jedenfalls so seit Jahren. Manuell muss ich also nur in Abständen die PC Datenbank mit dem NAS syncen, Rest erfolgt dann automatisch...

Hoffe, das beantwortet deine Nachfrage...

 

[harrykausl]

Ich habe eine ähnliche Konstellation mit 2 PC, IPad und 2 Iphones, Keepass und Strongbox. Ich wollte, dass auf den jeweiligen Geräten nur die wirklich notwendigen Passworte sind. Deshalb habe ich habe unterschiedliche Datenbanken für die Geräte. Ein PC ist der Master, auf diesem sind alle Passworte gespeichert. Die Einträge sind getaggt mit z.B. Iphone, IPAD. Auf Keepass habe ich ein Plugin KeppassSubsetExport, welches beim Speichern der Datenbank Einträge mit den entsprechenden Tags in separate Datenbanken schreibt. Für jede Datenbank habe ich ein eigenes Verzeichnis. Die Verzeichnisse sind über Drive freigegeben, auf den jeweiligen IOS-Geräten wird über DSCloud nur das entsprechende synchronisiert. Wenn ich jetzt ein Passwort ändere, welches auch für das IPAD gilt, wird beim speichern automatisch die Datenbank für das IPAD neu geschrieben und direkt synchronisiert.

 

[the other]

Moinsen,
ja, das ist immer und unbedingt eine sehr gute Idee, verschiedene Datenbanken für die unterschiedlichen Clients zu nutzen: wenn mal eines (gerade die mobilen Geräte!!) wegkommt, dann ist nicht gleich ALLES gefährdet. Hab hier ebenfalls diverse databases.
Unterschied zu hier ist eben: ich brauche kein extra drive. Master hier eben auch der PC, die db wird mit rsync aufs NAS übertragen (gesynct), Rest dann tippitoppi mit App-eigenen Mitteln.

 

[Puppetmaster]

wenn mal eines (gerade die mobilen Geräte!!) wegkommt, dann ist nicht gleich ALLES gefährdet.

Das stellt dann aber doch den Sinn und Zweck einer verschlüsselten Datenbank wieder in Frage, oder nicht?

Soweit gehe ich nicht. Meine DB liegt zentral im Netz und ist von jedem Client aus erreichbar. Mobil auch von unterwegs über VPN.

 

[blurrrr]

Meine DB liegt zentral im Netz und ist von jedem Client aus erreichbar. Mobil auch von unterwegs über VPN.

Genau das ist der Weg, wie ich es auch handhabe. Habe auch keine große Lust, die DB kreuz und quer in der Gegend zu verteilen (was meiner Meinung nach auch sicherheitstechnisch völlig daneben ist, macht man ja mit seinen sonstigen PIN-Nummern, etc. auch nicht). Ist die DB erstmal "weg" (und dann die dritte Partei sie auch noch "lokal"....), kann man sich da so richtig volle Möhre mit irgendwelchen Bruteforce-Tools austoben. Brauch ich nicht, weil dann ist es nur noch eine Frage der Zeit (und Power)... ??

 

[the other]

Moinsen @Puppetmaster,
naja, ich mach es ja auch so. Nur hab ich irgendwann mal entschieden, dass nicht jeder Client ALLE Passworte brauch. Wenn ich kein homebanking per Handy mache, wenn ich keine administrativen Aufgaben mit dem Tablet mache...warum dann alle credentials trotzdem dort vorhalten.
Klar ist die db verschlüsselt...aber ich muss das Ding ja nicht mit Sachen befüllen, die gar nicht benötigt werden.
Das war die Idee dahinter...

Und keepass2android speichert eben immer ne Version lokal auf dem Client und eben das "Original" auf dem NAS zum Abgleich. Da wird dann nix

kreuz und quer in der Gegend

verteilt.

Oder missverstehe ich euch?

 

[Puppetmaster]

keepass2android speichert eben immer ne Version lokal auf dem Client

Das wäre dann noch zu klären. Ein zugegeben noch nicht ganz geschlossener Punkt für mich. Allerdings finde ich keine derartige Datei auf meinem Androiden.
Wo soll die gespeichert sein?