ComputerBase Menü
Aktuelles

Bitwarden Lite + NGINX Access List; Erreichbarkeit Internet

Nebuk

Nebuk

Lieutenant Pro
🎅Rätsel-Elite ’11
Registriert
Sep. 2009
Beiträge
981
Hallo zusammen

Bisher nutzte ich KeePass und KeePassXC für meine Passwortverwaltung. Damit bin ich eigentlich äusserst zufrieden. Einzig das regelmässige Kopieren der DB auf die mobilen Geräte (Smartphone, IPad und Laptops) ist etwas umständlich. Wobei bei einem Laptop habe ich das automatische synchronisieren des entsprechenden Ordners eingerichtet. Beim Firmenlaptop kann ich das leider nicht einrichten und muss es deshalb händisch vornehmen.

Vor etwa zwei Jahren hatte ich Vaultwarden (auf meinem NAS) ausprobiert. Dann hatte ich mit einem Update Probleme, was mir die DB irgendwie zerschossen hat. Über ein Backup konnte ich das zwar widerherstellen, hat mich aber Zeit und Nerven gekostet. Deswegen bin ich wieder zurück.

Jetzt hab ich von Bitwarden Lite gehört, was ich jetzt gerne probiert hätte. Gesagt getan. Ich hab es eben auf nein NAS (als Docker-App) installiert. Bitwarden Lite benötigt ja einen HTTPS Verbindung, um sich einloggen zu können. Dies habe ich via NGINX NPM eingerichtet (Domain und Zertifikat --> https://bitwarden.mydomain.com). Normalerweise richte ich vor öffentlich erreichbaren Apps eine Access List ein, um noch eine zweite Schicht davor zu schalten. Dies funktioniert aber bei Bitwarden Lite nicht.

Nach dem Eintippen des Passworts öffnet sich das Login für die Access List vom NGINX. Dieses fülle ich korrekt aus und es kommt zur Endlosschleife mit der Access List. Schalte ich es ab, geht es. Dann hab ich aber nur das Loginfenster von Bitwarden Lite...

Dazu habe ich recherchiert und herausfinden können, dass es an der Architektur der App. Die Requests laufen asynchron ohne Browser. Man umgeht quasi die Access List. Dies betrifft aber nur die normale Umgebung. Die Adminkonsole (/admin) kann ich auch mit der Access List öffnen.

Als Idee hatte ich dann, dass ich einfach Bitwarden Lite lokal laufen lasse mit einem Selfsigned Zertifikat unter der Domain bitwarden.lan. Extern würde ich mich erst via VPN ins heimische Netz einwählen und dann so auf den Tresor zugreifen können. Das sei aber nicht zu empfehlen, weil man sich damit nicht in die App einloggen könne. Ebenso sei es nicht möglich die Browser-Extension zu verwenden... (für IPad und Smartphone wär das wichtig)

Jetzt meine Fragen:
Wie macht ihr das?
Ist bei euch Bitwarden/Vaultwarden auch direkt aus dem Internet erreichbar?
Reicht euch das normale Login?
Verwendet ihr zusätzlich 2FA oder nutzt ihr dafür Passkeys?
Nutzt ihr Blockinglists (Geoblocking/IP-Blocking)?
Habe ich was grundsätzliches missverstanden oder übersehen?
Bin ich zu paranoid?
Einfach weiterhin KeePassXC verwenden?
 
  • Gefällt mir
Reaktionen: JumpingCat
Nutzt du die Apps auf dem Smartphone (Android) oder ein IPad? Geht das dann, wenn du es nur lokal erreichbar machst? Oder hab ich was falsch verstanden?

Bin wie gesagt auch eher skeptisch
 
Nebuk schrieb:
Ist bei euch Bitwarden/Vaultwarden auch direkt aus dem Internet erreichbar?
Zum Vergrößern anklicken....
Ebenfalls VPN.

Nebuk schrieb:
Nutzt du die Apps auf dem Smartphone (Android) oder ein IPad? Geht das dann, wenn du es nur lokal erreichbar machst? Oder hab ich was falsch verstanden?
Zum Vergrößern anklicken....
Bleiben wir mal bei Consumer Geräten .. heutige Speedports / Fritz!Boxen usw. haben eigentlich alle eine VPN Funktion dabei. Heißt du kannst dich per VPN mit deinem Heimnetz verbinden, sobald du unterwegs bist. Je nach Konfiguration lässt du deine Traffic (meist alle) dann über den VPN laufen.

Heißt deine Daten gehen erstmal per VPN in dein Heimnetz (als wärst du zuhause) - so erreichst du deine Geräte im Heimnetz. Und die Traffic die in Richtung Internet sollte, geht dann über deinen Anschluss zuhause ins Netz.

Hat den Vorteil, dass deine gesamte Traffic die du unterwegs hast, verschlüsselt und gesichert läuft.

Falls du nur einzelne Domains/IPs per VPN umleitest, gehen halt nur die Aufrufe dieser per VPN nach Hause. Der Rest nutzt die normale Internetverbindung deines Geräts.

So umgehst du alle Risiken die offene Dienste im Internet angehen.
 
  • Gefällt mir
Reaktionen: madmax2010
Muss der Passwordmanager kostenlos sein? Wenn nicht, ich habe bisher gute Erfahrungen mit Enpass. Das synchronisiert über eine handvoll Dateien und unterstützt das out-of-the-box auch mittels Nextcloud und sogar WebDAV (was ich nutze). Da braucht man quasi nur einen Webserver und kein riesiges Setup mit Datenbank etc. Funktioniert hier seit Jahren ohne Probleme (habe glücklicherweise noch eine alte "one time premium"-Lizenz).

Hoffe das bleibt noch lange so... bin da nach dem Cloud/Abo-Zwang von 1Password hin migriert...
 
Zuletzt bearbeitet:
Nebuk schrieb:
Beim Firmenlaptop kann ich das leider nicht einrichten und muss es deshalb händisch vornehmen.
Zum Vergrößern anklicken....
Mit dem darfst du ins heimische VPN?
Ergänzung ()

0xffffffff schrieb:
Muss der Passwordmanager kostenlos sein? Wenn nicht, ich habe bisher gute Erfahrungen mit Enpass. Das synchronisiert über eine handvoll Dateien und unterstützt das out-of-the-box auch mittels Nextcloud und sogar WebDAV (was ich nutze). Da braucht man quasi nur einen Webserver und kein riesiges Setup mit Datenbank etc. Funktioniert hier seit Jahren ohne Probleme (habe glücklicherweise noch eine alte "one time premium"-Lizenz).
Zum Vergrößern anklicken....
Da kann er meinem Verständnis nach auch bei Keepass bleiben.
 
  • Gefällt mir
Reaktionen: madmax2010
RedPanda05 schrieb:
Da kann er meinem Verständnis nach auch bei Keepass bleiben.
Zum Vergrößern anklicken....
Ich habe ehrlichgesagt keinen Überblick darüber wie robust die Synchronisation der Keepass-Clients ist.

Enpass überlässt dir halt die Infrastruktur und integriert die Synchronisation direkt in die Software. Sprich, in dem Moment wo du die Software öffnest, synchronisiert sich die Datenbank. Wenn das nur über das FS laufen würde, gibt es halt prinzipiell das Problem von Versionskonflikten, außerdem funktioniert der Ansatz so auch Problemlos auf Smartphones, ohne das man erst andere Apps öffnen muss um die Daten zu aktualisieren.

Ich stehe in keiner Beziehung zu Enpass, ich hab damals nur sehr lang egesucht und getestet bis ich was für mich (!) zufriedenstellendes (inkl. Windows, macOS, iOS) gefunden habe. :) Mir ist KISS halt wichtig, da ich es nicht einsehe einen riesigen Software-Stack zu betreiben (und zu pflegen) nur um ein paar Passwörter zu synchronisieren.
 
Zuletzt bearbeitet:
Nebuk schrieb:
Ist bei euch Bitwarden/Vaultwarden auch direkt aus dem Internet erreichbar?
Zum Vergrößern anklicken....
Ja, das Ding ist dafür gebaut und der Code dahingehend ausgerichtet.
Nebuk schrieb:
Reicht euch das normale Login?
Zum Vergrößern anklicken....
Ja und Nein, wir haben in Vaultwarden 2FA Zwang aktiviert und die Auswahl der 2FA Optionen beschnitten. Es geht nur per TOTP Code. Zudem läuft fail2ban, was in einer Docker Umgebung ein bisschen aufwendiger ist als auf einer einzelnen Maschine, aber ich finde es lohnt sich, da man auch viel über Docker lernt.
Nebuk schrieb:
Einfach weiterhin KeePassXC verwenden?
Zum Vergrößern anklicken....
Naja, das Problem an KeePass ist halt, die Datenbank überall synchron zu halten. Da setzt man halt auf irgendwelche kreativen Lösungen, weil es von KeePass selbst nicht vorgesehen ist. Vaultwarden/Bitwarden ist hier vom Konzept her völlig anders und erlaubt daher auch das Teilen von Informationen und Daten.

Nebuk schrieb:
Dann hatte ich mit einem Update Probleme, was mir die DB irgendwie zerschossen hat
Zum Vergrößern anklicken....
Ich verwende Vaultwarden ausschließlich mit sqlite Datenbank Files. Diese sind sehr robust, aber vergleichsweise langsam. Aber selbst der Firmen-Vaultwarden mit zig Usern läuft einwandfrei. Dadurch, dass die Datenbank Dateien im persistenten Mount des Containers liegen, wo sonst nichts drauf zugrift, hast du auch nahezu keine Probleme, dass die Datenbank von dem abweicht was der Server erwartet (=zerschießen).
Falls du doch mit einer echten Datenbank hosten willst, würde ich dir empfehlen einen separaten Datenbankcontainer nur dafür laufen zu lassen.

Nebuk schrieb:
Jetzt hab ich von Bitwarden Lite gehört, was ich jetzt gerne probiert hätte.
Zum Vergrößern anklicken....
Bedenke, dass Bitwarden Lite die gleichen Restriktionen hat, wie ein Bitwarden Free Konto direkt bei Bitwarden.com
Du hostest dann zwar selbst, brauchst aber weiterhin für einige Funktionen einen Premium Account bei Bitwarden.com.
Gut, der Premium kostet jetzt mit 10$ pro Jahr nicht die Welt und der Familiy ist mit 40$ pro Jahr für 6 User auch völlig im Rahmen.

Nebuk schrieb:
VPN ins heimische Netz einwählen und dann so auf den Tresor zugreifen können. Das sei aber nicht zu empfehlen, weil man sich damit nicht in die App einloggen könne. Ebenso sei es nicht möglich die Browser-Extension zu verwenden...
Zum Vergrößern anklicken....
Kann ich so nicht nachvollziehen. Wenn die DNS Einstellungen im VPN passen, sollte das problemlos funktionieren.
Aber gerade die mobile Apps und die Browser Extensions sind ja das wichtige an Bitwarden. Den normalen Windows bzw. Linux Client habe ich nichtmal installiert.
 
Zuletzt bearbeitet:
Nebuk schrieb:
Als Idee hatte ich dann, dass ich einfach Bitwarden Lite lokal laufen lasse mit einem Selfsigned Zertifikat unter der Domain bitwarden.lan. Extern würde ich mich erst via VPN ins heimische Netz einwählen und dann so auf den Tresor zugreifen können. Das sei aber nicht zu empfehlen, weil man sich damit nicht in die App einloggen könne. Ebenso sei es nicht möglich die Browser-Extension zu verwenden... (für IPad und Smartphone wär das wichtig)
Zum Vergrößern anklicken....
ich würde proxmox auf ein gerät installieren. ist wie ein linux OS zu installieren. Und dann vaultwarden installieren. https://community-scripts.github.io/ProxmoxVE/scripts?id=vaultwarden das geht schnell und funktioniert für lokal, wenn man ins netzwerk von außen kommt.

wenn man mutig ist, dann sichert man proxmox und vaultwarden ab und macht es von außen erreichbar.

auf jeden fall ist proxmox für mich viel einfacher als mit containern und ports rumzufrickeln. die apps sind einfach nicht designed, dass du über einen VPN drauf kommst, das ist mit synology apps auch nicht anders.
 
@Allgemein
Dann gibt es zwei Lager:
  • Erstes Lager sagt nur via VPN.
  • Zweites Lager sagt dafür ist die Software gemacht (mit 2FA und ggf. Fail2ban).


Creeping.Death schrieb:
Unraid
Zum Vergrößern anklicken....
empower schrieb:
proxmox
Zum Vergrößern anklicken....
Da ich ein schwachbrünstiges NAS (Synology) einsetze, soll es in Docker und das auf dem Synology OS laufen. Mit der neuen Wohnung (irgendwann nächstes Jahr) soll dann ein richtiger Server (Unraid/Proxmox) herhalten. Je nachdem was ich damit alles machen will. :-)

0xffffffff schrieb:
Enpass
Zum Vergrößern anklicken....
Ein alternatives System würde ich nur ungern anschauen. Da hab ich mich schon zu sehr in Vaultwarden/Bitwarden eingelesen und getestet. Preislich jetzt auch nicht grad attraktiver. Ziel soll zudem sein, dass mein Vater das auch noch nutzen kann, sofern ich ihm das erklären kann. Bei KeePass hat das so noch nicht ganz funktioniert.

h00bi schrieb:
Datenbank überall synchron zu halten
Zum Vergrößern anklicken....
Das ist die Krux. Deswegen wär das Ziel über Vaultwarden/Bitwarden zu gehen, da ich die Datenbank bei mir lokal hosten würde. Ein Server läuft ohnehin im Hintergrund und ob da ein Dienst mehr drauf läuft ist völlig egal. Über diesen Weg hätte ich natürlich von überall Zugriff drauf und könnte

h00bi schrieb:
sqlite Datenbank
Zum Vergrößern anklicken....
Ja, hab ich auch dran gedacht. Hab mich aber in der aktuellen Konfiguration für PostgreSQL entschieden, da ich grad privat damit für zwei Webseiten arbeite. Umgestellt wäre es schnell, da ich noch keine Daten drauf habe.

h00bi schrieb:
Kann ich so nicht nachvollziehen. Wenn die DNS Einstellungen im VPN passen, sollte das problemlos funktionieren.
Aber gerade die mobile Apps und die Browser Extensions sind ja das wichtige an Bitwarden. Den normalen Windows bzw. Linux Client habe ich nichtmal installiert.
Zum Vergrößern anklicken....
Nutze den (OpenVPN) VPN Dienst von Synology (da Müllrouter von Provider und NAS via Docker Apps. Hat Mühe mit Alternativen, da wohl zu alt). Das hab ich so irgendwo gelesen, dass dies nicht zu empfehlen sei.
Müsste sonst mal genau schauen, was man da einstellen kann bzw. ich eingestellt habe.
 
Einzig das regelmässige Kopieren der DB auf die mobilen Geräte (Smartphone, IPad und Laptops) ist etwas umständlich.
Zum Vergrößern anklicken....
Ich habe die KeepassDB auf meinem Onedrive liegen. So klappt es auch mit den mobilen Geräten.
 
So viel trau ich MS nicht. Zudem wär ich von einer externen cloud abhängig.

Wireguard hab ich glaub ich probiert, aber auf dem NAS nicht zum laufen gebracht.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

H3llF15H
Bitwarden / Vaultwarden via VPN erreichen ohne externen Zugriff mittels Domain
2
Antworten
22
Aufrufe
10.968
H3llF15H
H3llF15H
H3llF15H
RasPi4 / Bitwarden RS / Nginx - kein SSL Zertifikat erstellbar
Antworten
19
Aufrufe
3.561
H3llF15H
H3llF15H
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 170 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz