p24ms511
Goto Top

Self signed SSL im LAN

Moin Zusammen,
vorab: ich bin ein Laie, also habt bitte Nachsicht mit mir face-smile

Ich möchte in meinem LAN unter Proxmox ein Vaultwarden hosten für mich privat.
Vaultwarden läuft auch und ist über die IP-Adresse (192.168.1.77) ansprechbar.

Leider habe ich einen DS Lite Anschluss und kann glaube ich keinen Reverse Proxy oder die
"Cloudflare" Methode verwenden oder? Ich wollte daher folgendes machen:

- Auf dem Promxox Host habe ich eine eigene CA installiert und Zertifikate erstellt.
- Mein Traffic läuft durch einen PiHole. Hier habe ich als DNS Adresse "bitwarden.lan" hinterlegt. Diese verweist auf die 192.168.1.77.
- Zertifikate auf dem Vaultwarden Host (bitwarden.lan.crt & bitwarden.lan.key) hinterlegt über WINSCP.
- config.yaml bearbeitet:

# Full URL for accessing the installation from a browser. (Required)
url: https://bitwarden.lan

# The actual certificate. (Required if using SSL without managed Let's Encrypt) 
# Note: Path uses the container's ssl directory. The `./ssl` host directory is mapped to 
# `/etc/ssl` within the container.
ssl_certificate_path: /opt/bitwarden/bwdata/ssl/self/bitwarden.lan/bitwarden.lan.crt
# 
# The certificate's private key. (Required if using SSL without managed Let's Encrypt)  
# Note: Path uses the container's ssl directory. The `./ssl` host directory is mapped to 
# `/etc/ssl` within the container.
ssl_key_path: /opt/bitwarden/bwdata/ssl/self/bitwarden.lan/bitwarden.lan.key

- Zuletzt noch das Zertifikat in Windows überdie Stammzertifizierungsstellen hinzugefügt.

Leider funktionierts es nicht. Was mache ich falsch ohne ins Detail zu gehen hier schon ein Fehler?
Danke euch im Voraus und nen schönes Wochenende!

Content-Key: 33564852178

Url: https://administrator.de/contentid/33564852178

Printed on: April 13, 2024 at 00:04 o'clock

Member: pebcak7123
pebcak7123 Mar 01, 2024 at 11:59:27 (UTC)
Goto Top
Cloudflare tunnel geht auch mit ds-lite.
Zu deinem Fehler, ohne das zugehörige Fehlermeldung, das zertifikat bzw die request-datei zu sehen kann man da nicht viel sagen.
Vermutung: hast du das zertifikat deiner CA auch in windows als vertrauenswürdige CA importiert ?
Member: p24ms511
p24ms511 Mar 01, 2024 at 12:12:07 (UTC)
Goto Top
Okay, dann schaue ich mir mal die Cloudflare Methode an.
Das Zertifikat ist wie oben beschrieben als vertrauenswürdiges CA importiert. face-sad


Ich hatte das ganze auch schonmal für nen halbes Jahr am laufen. Das Problem ist, dass Teile von Bitwarden nicht mehr healthy waren und BW nicht mehr richtig funktioniert hat. Nun wollte ich alles besser machen und direkt auf Vaultwarden setzen. Leider kann ich mich nicht mehr so ganz richtig dran erinnern was ich damals alles für Steps gemacht habe. Der Passwortmanager soll auch nur im internen LAN erreichbar sein. Unterwegs auf dem Handy habe ich einen Wireguard VPN, sodass ich dann dennoch lokal auf Vaultwarden zugreifen kann.

Vielleicht ist auch der Pfad wo das Zertifikat liegt falsch? Oder muss ich ggf. Vaultwarden neu starten?

Danke schonmal.
Member: aqui
aqui Mar 01, 2024 updated at 14:42:37 (UTC)
Goto Top
Okay, dann schaue ich mir mal die Cloudflare Methode an.
Das ist quasi das gleiche Prinzip wie mit einem eigenen Jumphost. Das Cloudflare Produkt heisst Argo Tunnel. https://blog.cloudflare.com/argo-tunnel/
Ob man sich datenschutztechnisch mit einen so sensitiven Passwort Server an einen US Anbieter bindet muss natürlich jeder für sich selber entscheiden.
Vielleicht ist auch der Pfad wo das Zertifikat liegt falsch?
So wie es aussieht ja! Du musst ja klären ob es das Zert. für den Webserver ist der das GUI bereitstellt (Nginx, Apache etc.) oder Vaultwarden selber ist. Dazu machst du leider keinerlei Angaben. face-sad
https://bsdbox.de/artikel/vaultwarden/vault-lokal
Member: 62696f73
62696f73 Mar 02, 2024 at 21:58:20 (UTC)
Goto Top
Domain Delegation nach cloudflare und LE certbot mit cloudflare Plugin
Member: Dani
Dani Mar 03, 2024 at 11:29:35 (UTC)
Goto Top
Moin,
Leider habe ich einen DS Lite Anschluss
einfach bei deinem ISP anrufen, sagen dass du beruflich VPN benutzt und es Probleme gibt. Den Anschluss soll bitte auf DualStack umgestellt werden. Das funktioniert in 99% der Fälle. face-wink

- Auf dem Promxox Host habe ich eine eigene CA installiert und Zertifikate erstellt.
Proxmox hat inzwischen den ACME Client integriert. Somit wird eine Vielzahl von Domain Hosters unterstützt. Damit steht dir eigentlich nichts mehr im Weg ein Zertifikat für LE zu benutzen.

kann glaube ich keinen Reverse Proxy oder die "Cloudflare" Methode verwenden oder?
Das Zertifikat für den Vaultwarden bzw. Reverse Proxy könntest du ebenfalls mit dem ACME Client abrufen, wie beim Proxmox. Wichtig wäre, dass der Reverse Proxy eine IPv6 Adresse von deinem Router erhält.

JE nachdem was du für einen Router nutzt, könntest du via DynDNS entsprechend dein Vaultwarden Service auch veröffentlichen.


Gruß,
Dani
Member: aqui
aqui Mar 16, 2024 at 13:58:13 (UTC)
Goto Top
Wenn es das denn jetzt war bitte den Thread dann auch als erledigt markieren!
How can I mark a post as solved?