bitwarden sur docker nas ds918+

[Darkangel]

Bonjour à tous,

j'espère être sur le bon forum et m'en excuse si ce n'est pas le cas.

j'avais déjà installé une machine virtuelle sur mon nas synology ds918+ configuré avec un proxy inversé et un certificat let's encrypt (tout fonctionnel mais reverse proxy redirigé vers ip) mais ce ne semble pas fonctionner pareil pour un docker... Aussi j'aurais besoin dune âme charitable pour savoir ce je ne fais pas bien

j'ai donc créer un conteneur pour bitwarden sur le docker et attribué des ports 

j'ai par ailleurs configuré le reverse proxy (j'ai juste effacé mon nom de domaine)

 

j'ai également bien ajouté le port 843 sur mon routeur pointé vers l'adresse de mon serveur (j'ai rien mis pour le port 89...)

 

et enfin dans les certificats et plus précisément celui de letsencrypt

je retrouve mon nom de domaine xxxxx pointant vers mon domaine  (mais ici je trouve bizarre que c'est xxxx.synology.me avec à la fin : le port

sauf que je voila je peux me connecter et je suis bien redirigé vers bitwarden mais le navigateur m'indique que ce n'est pas sécurisé

pourtant quand je clic sur l'Astérix rouge 

et qu'après je clic sur certificat non valide et chemin d'accès de certificat j'ai

 

donc en gros je me connecte c'est a priori sécurisé mais sans l'être donc une idée svp???

car je ne suis pas rassuré de l'utiliser en l'état

Merci à vous et bonne journée

[MilesTEG1]

Hello , 

je n’utilise pas Bitwarden sur mon nas mais Vaultwarden.

si tu veux essayer cette version plus légère, j’ai fait un tuto par ici : https://www.forum-nas.fr/threads/tuto-installer-vaultwarden-avec-une-sauvegarde-automatique-de-la-base-de-données.15341/

[Jeff777]

Bonjour,

Il y a 2 heures, Darkangel a dit :

j'ai par ailleurs configuré le reverse proxy

As-tu créé une websocket dans l'onglet "entête personnalisé" ?

[Darkangel]

Bonjour @Jeff777 

non je n'ai rien déclaré dans entête

merci @MilesTEG1je vais regarder

@MilesTEG1pour info j'ai supprimé bitwarden et instalé vaultwarden mais j'ai exactement le même soucis de certificat non reconnu ..

Modifié le 5 février 2022 par Darkangel

[Darkangel]

Personne pour m'éclairer svp?

[MilesTEG1]

@Darkangel C'est quoi qui te dit que le certificat n'est pas reconnu ?
Tu l'as fait comment ton certificat ?
Normalement si tu le fais via DSM, et que tu mets bien le nom de domaine associé dans le reverse proxy, tu n'as pas de problème...

[Darkangel]

Bonjour,

si je charge le nom de domaine via mon iphone ou navigateur Google sur ordi et bah ça affiche non sécurisé alors que le certificat est valide (lets encrypt)

alors que pour ma machine virtuelle ca fonctionne nickel via ce même certificat 

mais je trouve bizarre qu’au nom de domaine le port doit être rajoute mais il est vrai que pour ma machine virtuelle je passe par une ip dédiée 

J’ai exactement le meme soucis qu’avec bitwarden intial. j’ai changé le port en 856 / changé sur le routeur mais rien n’y fait. Voir premier post explicatif à avec imprim écran.

 

mais question bête à tout hasard faut il un certificat par domaine? Ou un seul certificat peut il être bien utilisé pour plusieurs sous domaine comme ici 

Modifié le 7 février 2022 par Darkangel

[Jeff777]

@Darkangel

Bonsoir  Un certificat peut couvrir un domaine ndd et des domaines tartanpionX.ndd  mais il faut que tartanpion1.ndd, tartanpion2.ndd etc  soient déclarés comme autre noms au moment de la création du Certificat.

Tu peux aussi créer un certificat pour ndd et un autre pour tartanpion1 et tartanpion2.ndd ou un certificat pour chacun. Il existe aussi la "wildcard" , en déclarant un certificat pour *.ndd tous les domaines tartanpionsx.ndd seront couverts par ce certificat.

Modifié le 7 février 2022 par Jeff777

[MilesTEG1]

+1 avec ce que dit @Jeff777
J'ajouterais cependant que le wildcard ne peut pas s'obtenir, via DSM, pour un nom de domaine autre que Synology.
Il faut passer par des méthodes plus ou moins complexes pour avoir un certificat wildcard pour un nom de domaine chez OVH ou autre.

[Darkangel]

Merci pour vos deux retours 

aussi je comprends que je vais devoir créer un autre certificat du coup 🙂

pour être honnête le wildcard je ne connais même pas 🙂

[oracle7]

@Darkangel

Bonjour,

Pour prolonger ce que t'a dit précédemment @MilesTEG1, saches que pour créer un certificat LE pour un domaine ndd.tld et son wilcard *.ndd.tld, tu as deux méthodes selon que ton NAS supporte ou non docker voir les TUTOs : avec docker, sans docker.

Cordialement

oracle7😉

 

[Darkangel]

Ok merci je vais lire tout ça! 
bonne soirée 

ps: mon NAS supporte docker 🙂

[.Shad.]

Quelle image de Docker utilises-tu ? l'officielle ou Vaultwarden ?
Pour l'officielle c'est un script qui se charge de l'installation, pour Vaultwarden il faut effectivement créer le conteneur manuellement.

[Darkangel]

Bonjour @.Shad.

Vaultwarden et j’ai bien créé le conteneur manuellement.

j’ai créé un nouveau certificat et cela semble vouloir fonctionner mais ne peux encore le garantir car du boulot pas possible de spécifier des ports dans les adresses

Du reste comment éviter de devoir spécifier le port pour accéder à un docker?? 
merci

[.Shad.]

il y a 40 minutes, Darkangel a dit :

Du reste comment éviter de devoir spécifier le port pour accéder à un docker?? 

Utiliser le reverse proxy que tu utilises déjà (?), mais utiliser le port 443, pour quelle raison le port 843 au fait ?

[Darkangel]

J’utilise bien le reverse proxy

pour info j’utilise déjà le port 443 pour ma machine virtuelle destiné à mon système domotique via un reverse proxy et je ne sais pas si je pouvais utiliser le même pour les deux.

et de toute façon même si j’utilisais celui-ci  le port s’ajoute au domaine 

la différence en mes deux reverse proxy c’est que pour ma machine virtuelle j’indique pas l’ip de mon NAS mais l’ip de la machine virtuelle dessus  et du coup le port n’apparaît pas dans le certificat mais la  oui…

[MilesTEG1]

il y a 31 minutes, Darkangel a dit :

pour info j’utilise déjà le port 443 pour ma machine virtuelle destiné à mon système domotique via un reverse proxy et je ne sais pas si je pouvais utiliser le même pour les deux.

C'est pourtant bien là l'intéret d'un reverse proxy 😉

Moi j'ai plusieurs services qui sont accessibles via le port 443 (vaultwarden, gitea, plex...), mais avec des noms de domaines différents. Et tout fonctionne bien 😉

[Darkangel]

Exact j’ai remis le port 443 et maintenant que j’avais réglé le problème de certificat (j’en ai créer un spécifique pour vault du coup) cela fonctionne et sans le port! Merci!!!!

par contre j’en reviens aux certificats sans vouloir abuser: j’ai un certificat let’s encrypt pour ma machine virtuelle et un autre pour vault… chacun ayant un nom de domaine différent.

Est ce la bonne méthode ou puis je en créer un seul qui permette aux deux de fonctionner? Histoire de ne pas avoir plusieurs certificats à renouveler a terme 

 

ps: pourquoi pour ma bonne compréhension des choses le port 443 marche direct alors qu’un que l’on spécifie cela ne fonctionne pas pareil? 

 

Modifié le 8 février 2022 par Darkangel

[.Shad.]

Il y a 3 heures, Darkangel a dit :

Est ce la bonne méthode ou puis je en créer un seul qui permette aux deux de fonctionner? Histoire de ne pas avoir plusieurs certificats à renouveler a terme 

Un certificat est valable pour un nombre défini de domaines, le domaine racine, et tous les sous-domaines pour lesquels tu demandes un certificat.
Si tu fais un certificat qu'on appelle wildcard (astérisque), pour un domaine ndd.tld, tu valides tous les sous-domaines possibles via *.ndd.tld

Synology propose nativement cette possibilité pour son nom de domaine. Donc si ton DDNS Synology c'est toto.synology.me, un certificat wildcard validera tous les sous-domaines *.toto.synology.me

Si tu utilises un proxy inversé pour accéder à ta machine virtuelle, tu peux très bien utiliser un seul et même certificat wildcard.

Tu peux suivre cette procédure : https://mariushosting.com/synology-how-to-add-wildcard-certificate/

Ainsi ton proxy inversé exposera le même certificat pour accéder à l'ensemble de tes services.

Il y a 3 heures, Darkangel a dit :

ps: pourquoi pour ma bonne compréhension des choses le port 443 marche direct alors qu’un que l’on spécifie cela ne fonctionne pas pareil? 

Le port 443 est le port par défaut pour HTTPS, quand tu viens sur ce forum tu viens en fait sur nas-forum.com:443, mais il n'apparaît pas car implicite.
Même chose avec le port 80 pour HTTP.

D'où le côté commode d'utiliser ce port quand on le peut.

Modifié le 8 février 2022 par .Shad.

[Darkangel]

ok parfait merci pour toutes ces explications

je vais aller lire tout ça sur le wildcard.

en espérant que j’y arrive du premier coup pour éviter tout soucis de contrôle sur ma machine virtuelle 🙂

 

 

[Darkangel]

Ça a parfaitement fonctionné! Merci à vous!!!