Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?
Forum>Netzwerke>Projekt Vaultwaden mit Nginx

Projekt Vaultwaden mit Nginx

aggi
aggi20.11.2400:45
Hallo,

nun habe ich auf MacTechNews so viel über Passwort-Manager gelesen und dabei kam sehr oft Bitwaden/Vaultwaden. Da dachte ich, nachdem paperless jetzt läuft und der Umzug auf eine neue Maschine jetzt auch tadellos klappt (danke an alle Helfenden!) sowie AdGuard und dato_aa auch laufen, dachte ich an eine neue Herausforderung.
Vaultwaden sowie Nginx habe ich bereits auf meinem Mac mini M4 unter Docker installiert. Der Mac läuft natürlich 24/7! Ich bekomme aber die beiden nicht miteinander verbunden. Zwar startet Vaultwaden und ich kann damit arbeiten, aber es ist nicht mit der App erreichbar,
was habe ich bereits gemacht:
- Vaultwaden und Nginx installiert unter Docker
- DynDNS Adresse bei dnsHome.de eingerichtet
- in der FritzBox die DynDNS Adresse hinterlegt
- Portfreigabe 80 und 443

Gebe ich nun die Daten bei Nginx ein, so laufe ich auf einen internen Fehler:



Log aus Nginx


Bin mal wieder am Ende mit meinem Latein und bräuchte Hilfe. Danke ...
+1

Kommentare

Schibulski
Schibulski20.11.2408:20
Certbot kann kein Zertifikat erstellen. Hast du einen DNS-Eintrag für die zu zertifizierende Domain erstellt? Hast du überhaupt eine feste IP-Adresse für deinen Internet-Anschluss?
„Mit 'nem AMIGA wäre das NICHT passiert!“
-1
aggi
aggi20.11.2409:11
Schibulski
Certbot kann kein Zertifikat erstellen. Hast du einen DNS-Eintrag für die zu zertifizierende Domain erstellt? Hast du überhaupt eine feste IP-Adresse für deinen Internet-Anschluss?
Ich habe nur eine DynDNS angelegt und meine Fritzbox ist über VPN erreichbar.
Es ist auch der Internetzugriff für die Fritzbox über HTTPS aktiviert. Die Adresse ist meine DynDNS Adresse:Portnummer oder halt eine IP (https://91.66.XX.X:45XXX)

Meinst du das?
0
sudoRinger
sudoRinger20.11.2409:19
Kannst du Vaultwarden (mit r!) per IP (https://91.66.XX.X:45XXX) erreichen? Das kannst du hiermit testen: https://canyouseeme.org
+1
Schibulski
Schibulski20.11.2409:45
aggi
Schibulski
Certbot kann kein Zertifikat erstellen. Hast du einen DNS-Eintrag für die zu zertifizierende Domain erstellt? Hast du überhaupt eine feste IP-Adresse für deinen Internet-Anschluss?
Ich habe nur eine DynDNS angelegt und meine Fritzbox ist über VPN erreichbar.
Es ist auch der Internetzugriff für die Fritzbox über HTTPS aktiviert. Die Adresse ist meine DynDNS Adresse:Portnummer oder halt eine IP (https://91.66.XX.X:45XXX)

Meinst du das?

Ja, das meine ich. Ich kenne mich mit DynDNS in der Fritzbox nicht so gut aus. Ich hatte da in der Vergangeheit immer maximal schlechte Erfahrungen für so etwas gemacht. Bei mir läuft alles an Diensten wie Nextcloud, Vaultwarden etc. in einem Host mit fester IP im Rechenzentrum. Der Preis für einen günstigen VServer lohnt sich immer wieder, wenn du mehr solcher Projekte hast.

Versuche mal den Vorschlag von sudoRinger, aber mit der Adresse und ohne Port. Das ist wichtig für LetsEncrypt.
„Mit 'nem AMIGA wäre das NICHT passiert!“
-2
aggi
aggi20.11.2409:46
sudoRinger
Kannst du Vaultwarden (mit r!) per IP (https://91.66.XX.X:45XXX) erreichen? Das kannst du hiermit testen: https://canyouseeme.org
Bin auf Arbeit. Wenn ich https://91.66.XX.X:45XXX in mein iPhone eingebe komme ich auf meine Fritzbox!
0
aggi
aggi20.11.2409:52
Ja, das meine ich. Ich kenne mich mit DynDNS in der Fritzbox nicht so gut aus. Ich hatte da in der Vergangeheit immer maximal schlechte Erfahrungen für so etwas gemacht. Bei mir läuft alles an Diensten wie Nextcloud, Vaultwarden etc. in einem Host mit fester IP im Rechenzentrum. Der Preis für einen günstigen VServer lohnt sich immer wieder, wenn du mehr solcher Projekte hast.

Versuche mal den Vorschlag von sudoRinger, aber mit der Adresse und ohne Port. Das ist wichtig für LetsEncrypt.
Welchen Anbieter hast du? Kann ich mir echt mal überlegen.
Wenn ich nur die IP Adresse (https://91.66.XX.X) in mein iPhone eingebe, kommt die Meldung "Seite kann nicht geöffnet werden, da Safari keine sichere Verbindung zum Server herstellen konnte."
Manchmal passiert auch nichts und der Ladebalken bleibt stehen.
0
FlyingSloth
FlyingSloth20.11.2410:07
@aggi,

bei Dir in den Screenshots steht immer "vaultwaden"!! Sollte es nicht "vaultwaRden" heissen?

Schau mal bei dir in dem Domain Names Screenshot.

Kann es vielleicht an nem Schreibfehler liegen.
„Fly it like you stole it...“
-2
Schibulski
Schibulski20.11.2410:53
aggi
Welchen Anbieter hast du? Kann ich mir echt mal überlegen.
Wenn ich nur die IP Adresse (https://91.66.XX.X) in mein iPhone eingebe, kommt die Meldung "Seite kann nicht geöffnet werden, da Safari keine sichere Verbindung zum Server herstellen konnte."
Manchmal passiert auch nichts und der Ladebalken bleibt stehen.

Ich kann Netcup hier absolut empfehlen. Da bin ich seit Jahren.

Die IP kannst du nicht per https:// aufrufen. Ein offizielles Zertifikat kann nur für einen Domainnamen aufgelöst werden.
„Mit 'nem AMIGA wäre das NICHT passiert!“
-1
sudoRinger
sudoRinger20.11.2412:08
Vorweg gesagt, kenne ich mich mit nginx nicht aus, sondern nur den eingebauten Reverse Proxy von Synology. Daher kann jetzt im Folgenden einiges schief erklärt sein.
Du hast offenbar eine öffentlich erreichbare IPv4-Adresse. Hast du auch eine IPv6-Adresse? Wenn du eine DynDNS-Adresse verwendest, die eine IPv4-Adresse hinterlegt, dann muss der Router den Port 443 (HTTPS) per Portweiterleitung auf deinen Mac leiten. Falls du auch IPv6 verwenden möchtest, sollte die IPv6-Adresse der DynDNS die IPv6-Adresse deines Macs sein. In diesem Fall muss die IPv6-Adresse in der Firewall des Routers zugelassen werden.
In der Nginx-Konfiguration musst du den Port 443 (HTTPS) weiterleiten, sodass er auf den Port von Vaultwarden zeigt. Da Nginx auf deinem Mac läuft, sollte in der Konfiguration localhost oder 127.0.0.1 als Ziel für den Vaultwarden-Server angegeben werden.
Für Vaultwarden musst du WebSocket aktivieren, da Vaultwarden WebSockets verwendet, um Echtzeit-Kommunikation zwischen dem Server und dem Client zu ermöglichen.
0
aggi
aggi20.11.2412:40
Mal eine generelle Frage. Ich habe ja meine DynDNS Adresse angelegt. Muss ich für die Erreichbarkeit für den Vaultwarden einfach den Namen an meine DynDNS Adresse voranstellen oder bekommt jede Instanz eine eigene DynDNS beim Anbieter? Habe versucht, nach einem Video Vaultwarden und Nginx zu verknüpfen und bei der Vergabe des Domainnamens hat der YT seiner DynDNS den Namen seiner Instanz vorangestellt. Leider nicht erklärt, ob er/man das einfach so macht oder es eine eigene DynDNS ist.
Ihr merkt schon, dass dieses Thema für mich sehr verwirrend ist und ich erst einmal die Grundlagen verstehen muss.
0
sudoRinger
sudoRinger20.11.2412:43
aggi
Mal eine generelle Frage. Ich habe ja meine DynDNS Adresse angelegt. Muss ich für die Erreichbarkeit für den Vaultwarden einfach den Namen an meine DynDNS Adresse voranstellen oder bekommt jede Instanz eine eigene DynDNS beim Anbieter?
Der YouTuber hat wohl ein Wildcard-Zertifikat, bei dem das Zertifikat auch für Subdomains gilt. Mit dem Synology-DDNS-Service ist das per Let's Encrypt möglich, ansonsten etwas teuer.
0
aggi
aggi20.11.2414:24
Hier die Grafik, die der YTer verwendet hat.


Nun habe ich gelesen, dass er noch Videos davor gemacht hat. Vielleicht wir da ja mehr beantwortet.
Hier der Link zu den Videos:
0
DasFaultier20.11.2414:46
Ich würde sowas nicht ans Netz hängen. Warum nutzt du nicht einfach den Wireguard VPN der FRITZ!Box?
0
aggi
aggi20.11.2414:51
DasFaultier
Ich würde sowas nicht ans Netz hängen. Warum nutzt du nicht einfach den Wireguard VPN der FRITZ!Box?
Hab ich ja! Aber wieso würdest du das nicht machen? Wie kann ich denn mit der iPhone Bitwarden App auf meinen Tresor auf dem Mac zugreifen?
0
DasFaultier20.11.2415:07
aggi
Hab ich ja! Aber wieso würdest du das nicht machen?
Du brauchst den Quatsch ja gar nicht - DYNDNS ..

Lass doch einfach mehrere Docker Container auf dem Mac laufen - jeweils mit anderen Ports. Dann konfigurierst du deinen VPN so, dass nur der Traffic der deine IP 192.168.178.XXX betrifft durch den VPN läuft und gut ist. In der App dann die IP vom Mac + Port auf welchem der Dienst läuft

Portfreigabe ist immer gefährlich, würde immer Wireguard nehmen.
+1
aggi
aggi20.11.2415:52
Das hört sich doch schon viel besser an. Meine Leitung ist auch gut, habe eigentlich permanent VPN an, damit ich auch unterwegs keine Werbung sehe, da AdGuard am Raspi dazwischen hängt.
Wo trage ich denn die IP und den Port ein?

Muss nicht noch irgendwie und irgendwo ein Zertifikat hinterlegt werden?
0
DasFaultier20.11.2417:03
Erster Schritt, deaktiviere alle Portfreigaben, wenn du nicht weißt was du tust (das ist hier ja anscheinend der Fall…Nicht böse gemeint..)

Guck dir das Tutorial an: https://www.computerbase.de/forum/threads/anleitung-vaultwarden-bitwarden-nur-ueber-vpn-und-ohne-portfreigabe.2082737/

Das ist genau dein Thema.
+1
aggi
aggi20.11.2418:01
DasFaultier
Erster Schritt, deaktiviere alle Portfreigaben, wenn du nicht weißt was du tust (das ist hier ja anscheinend der Fall…Nicht böse gemeint..)
Halb- bzw. Viertel-Wissen ist bzw. kann gefährlich sein. Hatte eh schon Bauchschmerzen.
Schaue ich mir heute Abend an. Danke ...
+1

Kommentieren

Sie müssen sich einloggen, um sich an einer Diskussion beteiligen zu können.