ComputerBase Menü
Aktuelles

Vaultwarden auf Raspi nur per http nicht per https erreichbar

Ok, aktueller Status, nachdem ich die Anleitung von Heise nochmal vorgenommen habe:
1. docker compose aus dem Python-Paketmanager Pip3 zu beziehen läuft auf einen Fehler, scheint aber eh obsolet geworden zu sein, weil docker compose schon vorhanden ist. Sehe ich das richtig?
2. Die dhcpd.conf war bei mir nicht vorhanden, die habe ich dann erstellt. Ob das notwendig war, weiß ich nicht, denn eigentlich hatte ich schon eine feste IP vergeben. Sei es drum.
3. Welchen Sinn der Port 3012 in der docker-compose.yaml hat, erschließt sich mir nicht, nirgendwo steht geschrieben, dass dieser geforwarded werden soll. Kann mir das jemand sagen?
4. Der Zugriff über meine freedns-Domain geht jetzt auch per https. Das ist schon mal gut.
5. Der Zugriff über die lokale IP geht hingegen überhaupt nicht, was ich nicht logisch finde. Woran liegt das?
6. Der Zugriff auf den Admin-Bereich scheint grundsätzlich möglich zu sein, gelingt mir aber nicht. Es werden ja Benutzerdaten in der Anleitung erzeugt und mit Hash-Wert in der docker-compose.yaml hinterlegt. Hab jetzt zweimal neue Zugangsdaten erzeugt um Dummheit und Tippfehler auszuschließen. Anschließend natürlich den Container neu composed. Das Anmeldefenster ist nicht wegzubekommen, also schließe ich auf nicht akzeptierte Zugangsdaten. Im Docker Log steht nichts geschrieben. Und nun?
7. Anmeldung an Vaultwarden... vielleicht sehe ich das falsch, aber auch bei einer lokalen Installation von Bitwarden oder eben Vaultwarden muss man sich mit seinem Bitwarden-Konto anmelden. Da bekomme ich doch glatt die Fehlermeldung, dass Benutzername oder Passwort falsch sein. Genau diese Daten funktionieren aber in der Windows-App. Wo liegt mein Denkfehler?
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Teuti
Shi*, das hätte ich auch selbst finden können. Danke!

Ich setze mich jetzt mal an das Update von Vaultwarden und Traefik und schaue welchen Effekt das hat.

Edit: Ist der Hash eines Passworts nicht immer gleich? Ich habe ein Passwort nach folgendem Befehl generiert:
htpasswd -nb user password\<br> | sed -e s/\\$/\\$\\$/g

Aber bei jeder Wiederholung ist der Hash anders. Ist das richtig?
 
Zuletzt bearbeitet:
Wenn du es mit npm nicht hin bekommst, lass die Finger von traefik.

Poste lieber mal Screenshots der Proxy
Host Einstellungen aus npm.
Beliebter Fehler ist z.b. die Weiterleitung auf HTTPS statt HTTP
Ergänzung ()

Piepflitze schrieb:
5. Der Zugriff über die lokale IP geht hingegen überhaupt nicht, was ich nicht logisch finde. Woran liegt das?
Zum Vergrößern anklicken....
Über die IP geht eben kein HTTPS
Ergänzung ()

Piepflitze schrieb:
oder eben Vaultwarden muss man sich mit seinem Bitwarden-Konto anmelden
Zum Vergrößern anklicken....
Vaultwarden weiß nichts von deinem Bitwarden Konto in der Bitwarden Cloud.
Im Client musst du daher auch umstellen auf "selbst gehostet" und dann mit den Zugangsdaten deines vaultwarden Users anmelden.
Der sollte nicht der Admin User sein.
 
Zuletzt bearbeitet:
mal eine kategorische Frage, warum willst du eigentlich einen Vaultwarden exposen? Du könntest auch mit einem VPN arbeiten und wenn du außerhalb bist, kannst du durch den cache der Bitwarden App auch auf deine PW zugreifen? (Kein Angriff, nur interessehalber)
 
@h00bi:
=> Traefik läuft jetzt scheinbar, NPM ist insofern nicht mehr drauf. Greife jetzt per https zu
=> Und warum geht über die IP kein https?
=> Hm. Ich hatte es bisher so verstanden, dass ich auch bei selfhosting ein "online-Konto" von Bitwarden brauche, weil es eben nur darüber die Pläne gibt. Ich wusste nicht, dass das quasi komplett ohne "Bitwarden-Bindung" geht.

@RedPanda05: Es gibt ja an anderer Stelle zahlreiche Diskussionen zum Thema SSL vs. VPN. Daraus habe ich mitgenommen, dass das Sicherheitsniveau bei VPN nicht höher ist, weil sich im Prinzip die Verschlüsselung nicht unterscheidet. Mit VPN mache ich im Ernstfall die ganze Kiste auf und nicht nur den PI. Deswegen ist für mich das Exposen des Pi am Ende risikoärmer.
Ich hab auch darüber nachgedacht, wie häufig ich Änderungen an den Datensätzen vornehme, wenn ich nicht im Lan bin und ob ich nicht damit leben kann, wenn es dann einen Versatz gibt. Zwei Punkte sprechen dagegen:
1. Familienuser, die vielleicht einmal die Woche im Lan sind
2. Soweit ich gelesen habe, keine Änderung an Datensätzen ohne Verbindung zum Tresor.
 
Ach ok verstehe.

Wenn ich mich recht entsinne, geht https mit ip schon, da aber das Zertifikat auf die Domain ausgestellt ist, meckert der Browser.
 
Piepflitze schrieb:
Und warum geht über die IP kein https?
Zum Vergrößern anklicken....
Weil vaultwarden ohne Extras kein HTTPS kann. Damit Leute vaultwarden nicht per HTTP betreiben, weil sie keine Ahnung von Zertifikaten haben, hat man http über IP absichtlich kastriert.
Du wirst vom Entwickler quasi gezwungen HTTPS über ein Zertifikat zu nutzen als Schutz vor Faulheit.
Ergänzung ()

Piepflitze schrieb:
zahlreiche Diskussionen zum Thema SSL vs. VPN. Daraus habe ich mitgenommen, dass das Sicherheitsniveau bei VPN nicht höher ist, weil sich im Prinzip die Verschlüsselung nicht unterscheidet.
Zum Vergrößern anklicken....
Der Webdienst von vaultwarden wird aktiv von einer großen Community gepflegt.
Der Dienst ist dazu gedacht ins Internet gestellt zu werden.

Das ist bei vielen Diensten anders. Zudem hat vaultwarden 2FA Integration und erzwingt ein halbwegs sicheres Passwort. Bruteforce Schutz ist afaik ebenfalls integriert. Auch das ist bei vielen Services anders.
Zudem muss man für den Zugriff deine Domain + ggf. Subdomain kennen, da über die IP keine Antwort kommt.

Ein stupider FTP Server hat das z.b. nicht, deswegen sollte man diesen auch niemals ohne VPN oder ohne fail2ban öffentlich erreichbar schalten
 
Zuletzt bearbeitet:
h00bi schrieb:
Weil vaultwarden ohne Extras kein HTTPS kann. Damit Leute vaultwarden nicht per HTTP betreiben, weil sie keine Ahnung von Zertifikaten haben, hat man http über IP absichtlich kastriert.
Zum Vergrößern anklicken....
Ich hab über den Zugriff via IP geredet, nicht über den Verzicht auf HTTPS. Auch mit HTTPS komme ich nicht über die IP auf den Vault. Natürlich passt das Zertifikat nicht zur IP. Über HTTP kommt ein 404, über HTTPS toter Mann. Das finde ich nicht logisch, weil die Fritzbox ja im Prinzip auch nichts anderes macht, als den (externen) traffic auf die Maschine zu leiten. Warum nicht auch beim internen?
h00bi schrieb:
Der Webdienst von vaultwarden wird aktiv von einer großen Community gepflegt.
Der Dienst ist dazu gedacht ins Internet gestellt zu werden.

Das ist bei vielen Diensten anders. Zudem hat vaultwarden 2FA Integration und erzwingt ein halbwegs sicheres Passwort. Bruteforce Schutz ist afaik ebenfalls integriert. Auch das ist bei vielen Services anders.
Zudem muss man für den Zugriff deine Domain + ggf. Subdomain kennen, da über die IP keine Antwort kommt.

Ein stupider FTP Server hat das z.b. nicht, deswegen sollte man diesen auch niemals ohne VPN oder ohne fail2ban öffentlich erreichbar schalten
Zum Vergrößern anklicken....
Sorry, aber ja und? Die Frage war doch, warum ich Vaultwarden von extern vie HTTPS-Verbindung statt über VPN erreichen will. Ich habe doch nicht VPN generell in Frage gestellt. Du kannst mich gerne korrigieren, aber in Bezug auf den Vaultwarden ist die HTTPS-Verbindung nicht weniger sicher als VPN, beim Durchbruch der Verschlüsselung ist VPN aber tendenziell folgenreicher. Und HTTPS reicht vom "Funktionsumfang", VPN würde mir keinen Mehrwert bieten. Oder reden wir gerade aneinander vorbei?

Neue Frage, weil ich nach wie vor an der Anmeldung für den Admin-Bereich scheitere:
Ist der Hash eines Passworts nicht immer gleich? Ich habe ein Passwort nach folgendem Befehl generiert:
htpasswd -nb user password\<br> | sed -e s/\\$/\\$\\$/g

Aber bei jeder wiederholten Ausführung dieses Befehls ist der Hash anders. Ist das richtig?
 
Der Hash ist jedes Mal unterschiedlich, sonst hätte jeder, der dieser Anleitung folgt das gleiche Admin Token.
Das wäre fatal!
Dieser Guide ist mittlerweile überholt, das Admin Token im Klartext als env variable abzulegen wurde von den Entwicklern als unsicher eingestuft.
 
Es geht nicht um den Admin-Token sondern um die Anmeldedaten, die vor dem Admin-Token abgefragt werden sollen.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

J
Seiten nicht per https aufrufbar: keine https-Internet-Verbindung möglich, da Browser meinen "err_cert_date_invalid", aber die Zeit usw. stimmt...
Antworten
4
Aufrufe
875
BFF
BFF
Lupus77
Reverse proxy / https ohne Port 80? (Unraid und Vaultwarden)
Antworten
9
Aufrufe
4.413
Lupus77
Lupus77
T
Vaultwarden hinter Reverse-Proxy sicher genug oder besser VPN?
Antworten
19
Aufrufe
15.113
Yuuri
Yuuri
J
Eine externe IP mehrere Dienste per HTTPS
Antworten
7
Aufrufe
998
jomaster
J
S
Warum jede Internetseite per HTTPS (SSL/TLS) verschlüsselt sein sollte
Antworten
19
Aufrufe
3.373
chrigu
chrigu
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz