6
Self signed SSL im LAN
Moin Zusammen,
vorab: ich bin ein Laie, also habt bitte Nachsicht mit mir
Ich möchte in meinem LAN unter Proxmox ein Vaultwarden hosten für mich privat.
Vaultwarden läuft auch und ist über die IP-Adresse (192.168.1.77) ansprechbar.
Leider habe ich einen DS Lite Anschluss und kann glaube ich keinen Reverse Proxy oder die
"Cloudflare" Methode verwenden oder? Ich wollte daher folgendes machen:
- Auf dem Promxox Host habe ich eine eigene CA installiert und Zertifikate erstellt.
- Mein Traffic läuft durch einen PiHole. Hier habe ich als DNS Adresse "bitwarden.lan" hinterlegt. Diese verweist auf die 192.168.1.77.
- Zertifikate auf dem Vaultwarden Host (bitwarden.lan.crt & bitwarden.lan.key) hinterlegt über WINSCP.
- config.yaml bearbeitet:
- Zuletzt noch das Zertifikat in Windows überdie Stammzertifizierungsstellen hinzugefügt.
Leider funktionierts es nicht. Was mache ich falsch ohne ins Detail zu gehen hier schon ein Fehler?
Danke euch im Voraus und nen schönes Wochenende!
vorab: ich bin ein Laie, also habt bitte Nachsicht mit mir
Ich möchte in meinem LAN unter Proxmox ein Vaultwarden hosten für mich privat.
Vaultwarden läuft auch und ist über die IP-Adresse (192.168.1.77) ansprechbar.
Leider habe ich einen DS Lite Anschluss und kann glaube ich keinen Reverse Proxy oder die
"Cloudflare" Methode verwenden oder? Ich wollte daher folgendes machen:
- Auf dem Promxox Host habe ich eine eigene CA installiert und Zertifikate erstellt.
- Mein Traffic läuft durch einen PiHole. Hier habe ich als DNS Adresse "bitwarden.lan" hinterlegt. Diese verweist auf die 192.168.1.77.
- Zertifikate auf dem Vaultwarden Host (bitwarden.lan.crt & bitwarden.lan.key) hinterlegt über WINSCP.
- config.yaml bearbeitet:
# Full URL for accessing the installation from a browser. (Required)
url: https://bitwarden.lan# The actual certificate. (Required if using SSL without managed Let's Encrypt)
# Note: Path uses the container's ssl directory. The `./ssl` host directory is mapped to
# `/etc/ssl` within the container.
ssl_certificate_path: /opt/bitwarden/bwdata/ssl/self/bitwarden.lan/bitwarden.lan.crt
#
# The certificate's private key. (Required if using SSL without managed Let's Encrypt)
# Note: Path uses the container's ssl directory. The `./ssl` host directory is mapped to
# `/etc/ssl` within the container.
ssl_key_path: /opt/bitwarden/bwdata/ssl/self/bitwarden.lan/bitwarden.lan.key- Zuletzt noch das Zertifikat in Windows überdie Stammzertifizierungsstellen hinzugefügt.
Leider funktionierts es nicht. Was mache ich falsch ohne ins Detail zu gehen hier schon ein Fehler?
Danke euch im Voraus und nen schönes Wochenende!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 33564852178
Url: https://administrator.de/contentid/33564852178
Printed on: April 27, 2024 at 05:04 o'clock
6 Comments
Latest comment
Cloudflare tunnel geht auch mit ds-lite.
Zu deinem Fehler, ohne das zugehörige Fehlermeldung, das zertifikat bzw die request-datei zu sehen kann man da nicht viel sagen.
Vermutung: hast du das zertifikat deiner CA auch in windows als vertrauenswürdige CA importiert ?
Zu deinem Fehler, ohne das zugehörige Fehlermeldung, das zertifikat bzw die request-datei zu sehen kann man da nicht viel sagen.
Vermutung: hast du das zertifikat deiner CA auch in windows als vertrauenswürdige CA importiert ?
Okay, dann schaue ich mir mal die Cloudflare Methode an.
Das Zertifikat ist wie oben beschrieben als vertrauenswürdiges CA importiert.
Ich hatte das ganze auch schonmal für nen halbes Jahr am laufen. Das Problem ist, dass Teile von Bitwarden nicht mehr healthy waren und BW nicht mehr richtig funktioniert hat. Nun wollte ich alles besser machen und direkt auf Vaultwarden setzen. Leider kann ich mich nicht mehr so ganz richtig dran erinnern was ich damals alles für Steps gemacht habe. Der Passwortmanager soll auch nur im internen LAN erreichbar sein. Unterwegs auf dem Handy habe ich einen Wireguard VPN, sodass ich dann dennoch lokal auf Vaultwarden zugreifen kann.
Vielleicht ist auch der Pfad wo das Zertifikat liegt falsch? Oder muss ich ggf. Vaultwarden neu starten?
Danke schonmal.
Das Zertifikat ist wie oben beschrieben als vertrauenswürdiges CA importiert.
Ich hatte das ganze auch schonmal für nen halbes Jahr am laufen. Das Problem ist, dass Teile von Bitwarden nicht mehr healthy waren und BW nicht mehr richtig funktioniert hat. Nun wollte ich alles besser machen und direkt auf Vaultwarden setzen. Leider kann ich mich nicht mehr so ganz richtig dran erinnern was ich damals alles für Steps gemacht habe. Der Passwortmanager soll auch nur im internen LAN erreichbar sein. Unterwegs auf dem Handy habe ich einen Wireguard VPN, sodass ich dann dennoch lokal auf Vaultwarden zugreifen kann.
Vielleicht ist auch der Pfad wo das Zertifikat liegt falsch? Oder muss ich ggf. Vaultwarden neu starten?
Danke schonmal.
Okay, dann schaue ich mir mal die Cloudflare Methode an.
Das ist quasi das gleiche Prinzip wie mit einem eigenen Jumphost. Das Cloudflare Produkt heisst Argo Tunnel. https://blog.cloudflare.com/argo-tunnel/Ob man sich datenschutztechnisch mit einen so sensitiven Passwort Server an einen US Anbieter bindet muss natürlich jeder für sich selber entscheiden.
Vielleicht ist auch der Pfad wo das Zertifikat liegt falsch?
So wie es aussieht ja! Du musst ja klären ob es das Zert. für den Webserver ist der das GUI bereitstellt (Nginx, Apache etc.) oder Vaultwarden selber ist. Dazu machst du leider keinerlei Angaben. https://bsdbox.de/artikel/vaultwarden/vault-lokal
Domain Delegation nach cloudflare und LE certbot mit cloudflare Plugin
Moin,
JE nachdem was du für einen Router nutzt, könntest du via DynDNS entsprechend dein Vaultwarden Service auch veröffentlichen.
Gruß,
Dani
Leider habe ich einen DS Lite Anschluss
einfach bei deinem ISP anrufen, sagen dass du beruflich VPN benutzt und es Probleme gibt. Den Anschluss soll bitte auf DualStack umgestellt werden. Das funktioniert in 99% der Fälle. - Auf dem Promxox Host habe ich eine eigene CA installiert und Zertifikate erstellt.
Proxmox hat inzwischen den ACME Client integriert. Somit wird eine Vielzahl von Domain Hosters unterstützt. Damit steht dir eigentlich nichts mehr im Weg ein Zertifikat für LE zu benutzen.kann glaube ich keinen Reverse Proxy oder die "Cloudflare" Methode verwenden oder?
Das Zertifikat für den Vaultwarden bzw. Reverse Proxy könntest du ebenfalls mit dem ACME Client abrufen, wie beim Proxmox. Wichtig wäre, dass der Reverse Proxy eine IPv6 Adresse von deinem Router erhält.JE nachdem was du für einen Router nutzt, könntest du via DynDNS entsprechend dein Vaultwarden Service auch veröffentlichen.
Gruß,
Dani
1
Wenn es das denn jetzt war bitte den Thread dann auch als erledigt markieren!
How can I mark a post as solved?
How can I mark a post as solved?