p24ms511
Goto Top

Self signed SSL im LAN

Moin Zusammen,
vorab: ich bin ein Laie, also habt bitte Nachsicht mit mir face-smile

Ich möchte in meinem LAN unter Proxmox ein Vaultwarden hosten für mich privat.
Vaultwarden läuft auch und ist über die IP-Adresse (192.168.1.77) ansprechbar.

Leider habe ich einen DS Lite Anschluss und kann glaube ich keinen Reverse Proxy oder die
"Cloudflare" Methode verwenden oder? Ich wollte daher folgendes machen:

- Auf dem Promxox Host habe ich eine eigene CA installiert und Zertifikate erstellt.
- Mein Traffic läuft durch einen PiHole. Hier habe ich als DNS Adresse "bitwarden.lan" hinterlegt. Diese verweist auf die 192.168.1.77.
- Zertifikate auf dem Vaultwarden Host (bitwarden.lan.crt & bitwarden.lan.key) hinterlegt über WINSCP.
- config.yaml bearbeitet:

# Full URL for accessing the installation from a browser. (Required)
url: https://bitwarden.lan

# The actual certificate. (Required if using SSL without managed Let's Encrypt) 
# Note: Path uses the container's ssl directory. The `./ssl` host directory is mapped to 
# `/etc/ssl` within the container.
ssl_certificate_path: /opt/bitwarden/bwdata/ssl/self/bitwarden.lan/bitwarden.lan.crt
# 
# The certificate's private key. (Required if using SSL without managed Let's Encrypt)  
# Note: Path uses the container's ssl directory. The `./ssl` host directory is mapped to 
# `/etc/ssl` within the container.
ssl_key_path: /opt/bitwarden/bwdata/ssl/self/bitwarden.lan/bitwarden.lan.key

- Zuletzt noch das Zertifikat in Windows überdie Stammzertifizierungsstellen hinzugefügt.

Leider funktionierts es nicht. Was mache ich falsch ohne ins Detail zu gehen hier schon ein Fehler?
Danke euch im Voraus und nen schönes Wochenende!

Content-ID: 33564852178

Url: https://administrator.de/forum/self-signed-ssl-im-lan-33564852178.html

Ausgedruckt am: 27.12.2024 um 11:12 Uhr

pebcak7123
pebcak7123 01.03.2024 um 12:59:27 Uhr
Goto Top
Cloudflare tunnel geht auch mit ds-lite.
Zu deinem Fehler, ohne das zugehörige Fehlermeldung, das zertifikat bzw die request-datei zu sehen kann man da nicht viel sagen.
Vermutung: hast du das zertifikat deiner CA auch in windows als vertrauenswürdige CA importiert ?
p24ms511
p24ms511 01.03.2024 um 13:12:07 Uhr
Goto Top
Okay, dann schaue ich mir mal die Cloudflare Methode an.
Das Zertifikat ist wie oben beschrieben als vertrauenswürdiges CA importiert. face-sad


Ich hatte das ganze auch schonmal für nen halbes Jahr am laufen. Das Problem ist, dass Teile von Bitwarden nicht mehr healthy waren und BW nicht mehr richtig funktioniert hat. Nun wollte ich alles besser machen und direkt auf Vaultwarden setzen. Leider kann ich mich nicht mehr so ganz richtig dran erinnern was ich damals alles für Steps gemacht habe. Der Passwortmanager soll auch nur im internen LAN erreichbar sein. Unterwegs auf dem Handy habe ich einen Wireguard VPN, sodass ich dann dennoch lokal auf Vaultwarden zugreifen kann.

Vielleicht ist auch der Pfad wo das Zertifikat liegt falsch? Oder muss ich ggf. Vaultwarden neu starten?

Danke schonmal.
aqui
aqui 01.03.2024 aktualisiert um 15:42:37 Uhr
Goto Top
Okay, dann schaue ich mir mal die Cloudflare Methode an.
Das ist quasi das gleiche Prinzip wie mit einem eigenen Jumphost. Das Cloudflare Produkt heisst Argo Tunnel. https://blog.cloudflare.com/argo-tunnel/
Ob man sich datenschutztechnisch mit einen so sensitiven Passwort Server an einen US Anbieter bindet muss natürlich jeder für sich selber entscheiden.
Vielleicht ist auch der Pfad wo das Zertifikat liegt falsch?
So wie es aussieht ja! Du musst ja klären ob es das Zert. für den Webserver ist der das GUI bereitstellt (Nginx, Apache etc.) oder Vaultwarden selber ist. Dazu machst du leider keinerlei Angaben. face-sad
https://bsdbox.de/artikel/vaultwarden/vault-lokal
62696f73
62696f73 02.03.2024 um 22:58:20 Uhr
Goto Top
Domain Delegation nach cloudflare und LE certbot mit cloudflare Plugin
Dani
Dani 03.03.2024 um 12:29:35 Uhr
Goto Top
Moin,
Leider habe ich einen DS Lite Anschluss
einfach bei deinem ISP anrufen, sagen dass du beruflich VPN benutzt und es Probleme gibt. Den Anschluss soll bitte auf DualStack umgestellt werden. Das funktioniert in 99% der Fälle. face-wink

- Auf dem Promxox Host habe ich eine eigene CA installiert und Zertifikate erstellt.
Proxmox hat inzwischen den ACME Client integriert. Somit wird eine Vielzahl von Domain Hosters unterstützt. Damit steht dir eigentlich nichts mehr im Weg ein Zertifikat für LE zu benutzen.

kann glaube ich keinen Reverse Proxy oder die "Cloudflare" Methode verwenden oder?
Das Zertifikat für den Vaultwarden bzw. Reverse Proxy könntest du ebenfalls mit dem ACME Client abrufen, wie beim Proxmox. Wichtig wäre, dass der Reverse Proxy eine IPv6 Adresse von deinem Router erhält.

JE nachdem was du für einen Router nutzt, könntest du via DynDNS entsprechend dein Vaultwarden Service auch veröffentlichen.


Gruß,
Dani
aqui
aqui 16.03.2024 um 14:58:13 Uhr
Goto Top
Wenn es das denn jetzt war bitte den Thread dann auch als erledigt markieren!
Wie kann ich einen Beitrag als gelöst markieren?