72-dpijunkie
Goto Top

GELÖST Vaultwarden self signed SSL

Moin Zusammen,
ich habe einfach kein Glück. Bei dem Versuch Vaultwarden auf meinem Proxmox Kumpel zu installieren scheitere ich an der Absicherung mittels SSL.

Ich habe eine Debian11 Maschine erstellt und unter docker-compose vaultwarden installiert. Soweit so gut. Unter der HostIP der Debian Maschine erreiche ich Vaultwarden auch. Damit ich Vaultwarden nutzen kann, brauche ich allerdings zwingend ein SSL Zertifikat. Ich hab das Zertifikat in meiner CA erstellt und weiß nicht weiter. Wohin packe ich das Zertifikat und wo kann ich den SSL Pfad angeben? Das offizielle Wiki bringt mich nicht weiter (https://github.com/dani-garcia/vaultwarden/wiki/Private-CA-and-self-sign ..).

Achso, Anschluss ist DS-Lite (RevProxy also keine Option und Cloudflare möchte ich nicht)

screenshot_3

Würde mich über nen Denkanstoß freuen face-smile
LG

Content-ID: 33771023096

Url: https://administrator.de/forum/geloest-vaultwarden-self-signed-ssl-33771023096.html

Ausgedruckt am: 22.12.2024 um 05:12 Uhr

transocean
transocean 16.03.2024 um 14:34:28 Uhr
Goto Top
Moin,

und warum klöppelst Du dir auf eben diesen Proxmoxkumpel nicht noch einen CT mit Nginx-Proxymanager und fackelst das über den ab?

Gruß

Uwe
72-dpijunkie
72-dpijunkie 16.03.2024 aktualisiert um 14:38:30 Uhr
Goto Top
Moin Uwe,
wie oben beschrieben ist das Problem mein DS-Lite Anschluss.... face-sad

Veilleicht noch eine wichtige Info:
(Die Auflösung erfolgt über meinen PiHole (bitwarden.lan) und nutzen würde ich Vaultwarden nur über VPN von unterwegs also quasi rein im LAN)
transocean
transocean 16.03.2024 um 14:40:08 Uhr
Goto Top
72-dpijunkie
72-dpijunkie 16.03.2024 aktualisiert um 14:45:14 Uhr
Goto Top
Wenn ich das richtig verstehe würde der RevProxy dann aber auf einer Vserver im Inet liegen.. und dadurch würde ich den ganzen Krempel durchs Internet routen.. Das ist genau das was ich nicht möchte.... Die Idee ist dennoch gut gemeint danke.
iDeathz
Lösung iDeathz 17.03.2024 um 21:55:21 Uhr
Goto Top
Hi,

wenn du Vaultwarden nicht im Internet veröffentlichen möchtest, einfach den NGNIX Proxy Manager installieren und den Vaultwarden als Host mit einem Internen DNS Namen referenzieren z. B. vaultwarden.contoso.com + IP des Vaultwarden.
Anschließend das was du bisher in Pihole eingetragen hast als A-Record einfach auf den Reverse Proxy verweisen. Der Revese Proxy kümmert sich anhand des Aufrufs per FQDN um alles weitere im Hintergrund.
Dein selbst signiertes Zertifikat kannst du dann auch dort hinterlegen und deine CA an deine Clients verteilen.

Per VPN muss du dann sicherstellen, dass dein DNS Server der Pihole ist und auf dies obengenannte Adresse verweist.
72-dpijunkie
72-dpijunkie 19.03.2024 um 07:31:13 Uhr
Goto Top
Zitat von @iDeathz:

Hi,

wenn du Vaultwarden nicht im Internet veröffentlichen möchtest, einfach den NGNIX Proxy Manager installieren und den Vaultwarden als Host mit einem Internen DNS Namen referenzieren z. B. vaultwarden.contoso.com + IP des Vaultwarden.
Anschließend das was du bisher in Pihole eingetragen hast als A-Record einfach auf den Reverse Proxy verweisen. Der Revese Proxy kümmert sich anhand des Aufrufs per FQDN um alles weitere im Hintergrund.
Dein selbst signiertes Zertifikat kannst du dann auch dort hinterlegen und deine CA an deine Clients verteilen.

Per VPN muss du dann sicherstellen, dass dein DNS Server der Pihole ist und auf dies obengenannte Adresse verweist.

Vielen Dank, ich probiere es aus und schreibe dann ob ich es hinbekommen habe face-smile
72-dpijunkie
72-dpijunkie 21.03.2024 aktualisiert um 18:38:44 Uhr
Goto Top
EDIT, habs gefunden.. Ich versuche jetzt das Zertifikat zu installieren


Ich komme hier nicht wirklich weiter. Ich finde keine Möglichkeit ein existierendes SSL Zertifikat im Nginx Proxy Manager zu hinterlegen. Ein Zertifikat von Lets Encrypt ist nicht möglich wegen meinem Internetanschluss.

Vorgegangen bin ich wie folgt:

1. PiHole den A Record des Nginx Proxy Manager eingetragen (192.168.1.79)
screenshot_4

2. Proxy Host der Vaultwarden Instanz hinzugefügt. (192.168.1.77)
screenshot_5


Und jetzt stehe ich auf dem Schlauch... wenn ich die Domain aufrufe funktioniert die Auflösung. Nur bin ich mit meinem SSL Problem nicht weiter...
72-dpijunkie
72-dpijunkie 21.03.2024 um 18:45:46 Uhr
Goto Top
Ok, läuft jetzt! Vielen Vielen Dank iDeathz face-smile
iDeathz
iDeathz 22.03.2024 um 20:25:30 Uhr
Goto Top
Gerne 😊
72-dpijunkie
72-dpijunkie 24.03.2024 um 09:57:42 Uhr
Goto Top
Wo du mir nochmal so nett antwortest, hätte ich noch eine Frage :-P
Vielleicht kannst Du mir noch nen kleinen Ratschlag geben?

Damit der DNS über meinen VPN (Wireguard) richtig auflöst, reicht es da in der config
folgendes auf den lokalen DNS abzuändern?

[Interface]
PrivateKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Address = 10.0.0.5/32
DNS = [HIER DER LOKALE DNS]

[Peer]
PublicKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
AllowedIPs = 10.0.0.0/24, 192.168.1.0/24
Endpoint = xxxxxxxxxxxxxxxx:51820
PersistentKeepalive = 25

Danke dir schonmal und nen schönes Sonntag