Question mise en place d'OpenVPN et Bitwarden

[TheSnipe789]

Bonjour !

Je suis l'heureux possesseur d'un NAS Synology depuis quelques jours et étant un débutant je cherche des solutions pour le sécuriser.

J'aimerais utiliser Bitwarden à l'extérieur de mon réseau.

J'ai vu que l'une des meilleures solutions de protection si on veut pouvoir accéder à certains services en dehors de notre réseau est de créer un serveur VPN avec OpenVPN sur le NAS pour d'obliger à passer par le VPN pour accéder à Bitwarden par exemple.

 

Mais j'ai vu qu'il faut un certificat SSL pour Bitwarden pour qu'il fonctionne mieux (apparemment) mais l'installation d'un SSL avec Lets encrypt par exemple nécessite la mise en place d'un nom de domaine où d'un sous domaine donc le problème c'est que si on met en place un nom de domaine avec SSL pour Bitwarden cela demande d'ouvrir obligatoirement le port 80. Donc de s'ouvrir à l'extérieur.

 

Dans mon cas de figure, comment faire ?

Je peut simplement ne pas mettre de SSL sur Bitwarden et passer par OpenVPN pour y accéder et tout va bien. Mais d'après ce que j'ai compris si j'utilise Bitwarden où l'interface du NAS (DSM) sans SSL les requêtes ne sont pas protégé donc c'est pas top niveau sécurité donc en théorie il faudrait tout mettre en SSL pour éviter des problèmes. Donc j'avoue que je ne sais pas comment faire dans mon cas.

 

J'ai vu certaine personne donner comme solution d'acheter un certificat SSL qui ce renouvelle annuellement au lieu de lets encrypt qui lui se renouvelle tous les 3 mois. Il suffirait de faire toute la configuration pour installer le SSL en ouvrant le port 80 et après, on ferme le port 80 et on le réouvre uniquement pour renouveler. Cette solution est viable dans mon cas ?

Si oui, comment faire techniquement ? Il faudrait faire un type A vers mon NAS en mettant l'ip locale du nas et non l'ip public de ma box ? (Si je mets l'ip public de ma box, du fait que les ports sont fermés cela va me refuser l'accès normalement)

 

Merci d'avance pour votre attention ! 🙂

[oracle7]

@TheSnipe789

Bonjour,

1. Comme sur tout forum, il est d'usage que les nouveaux membres passent par la rubrique [PRESENTATION] pour faire la leur. Certains ici, y sont sensibles et de plus cela facilite les réponses en fonction du niveau de compétences du membre et de ses équipements. Cela dit, rassures-toi il n'est pas trop tard pour bien faire ...

2. Personnellement j'utilise Keepass plutôt que Bitwarden car je préfère que mes MdP soient stockés CHEZ MOI et non dans le Cloud avec tous les doutes que l'on peut avoir à ce propos sur comment ils sont effectivement gérés, mais c'est mon choix.
   Cela dit, je synchronise en temps réel ma base de données Keepass qui est stockée dans un dossier partagé du NAS, avec tous mes périphériques aussi bien en local que depuis l'extérieur à l'aide de l'outil Syncthing installé en docker sur mon NAS. J'ai donc toujours de fait mes MdP à jour.
   Toutes mes synchronisations s'effectuent en parfaite sécurité car avec Syncthing :
   - Les transferts sont signés et chiffrés en AES-128.
   - Les transferts sont effectués via la méthode P2P, les fichiers sont récupérés depuis plusieurs sources pour accélérer les synchronisations.
   - Il n'est pas nécessaire d'ouvrir des ports.
   - Chaque périphérique ajouté doit être approuvé, il n'y a pas de risque qu'un intrus accède aux fichiers.
   - Il n'y a pas de limite de nombre de périphériques pour une synchronisation.
   - Un client Syncthing existe pour un grand nombre de systèmes, que ce soit Windows, Mac OS, Linux, BSD, Solaris, Android ...
   
   Donc pas besoin de domaine ni de VPN pour accéder à mes MdP même si j'utilise par ailleurs un domaine pour accéder à d'autres fonctionnalités de mes NAS.

Voilà une autre vision technique. Maintenant ce que j'en dit, c'est toi qui voit ...

Cordialement

oracle7😉

[MilesTEG1]

@oracle7 Il peut aussi vouloir héberger lui même sa propre instance de Bitwarden. Auquel cas, les données seront chez lui.

@TheSnipe789 il faudrait quelques précision sur le modèle de ton NAS...

Ensuite, si tu accèdes au NAS et aux services hébergés sur ce dernier à distance uniquement via le serveur VPN du NAS, tu n'as pas vraiment besoin du HTTPS... tout sera protégé par le tunnel VPN.

Par contre, en faisant cela pour Bitwarden, tu n'auras pas de synchronisation sans être connecté au serveur VPN de ton NAS... faudra le savoir. Ce n'est en soi pas super gênant, mais ça peut poser quelques soucis si tu n'as pas fait la synchro et que tu veux accéder à ton Bitwarden de ton téléphone sans être connecter au VPN du NAS (les données sont stockées sur le smartphone 😉 )

[oracle7]

@MilesTEG1

Bonjour,

Merci pour l'info car je pensais, à tord manifestement, que Bitwarden stockait uniquement dans le Cloud ses données.

Cordialement

oracle7😉

[MilesTEG1]

il y a 3 minutes, oracle7 a dit :

@MilesTEG1

Bonjour,

Merci pour l'info car je pensais, à tord manifestement, que Bitwarden stockait uniquement dans le Cloud ses données.

Cordialement

oracle7😉

Bah ça dépend de quel Bitwarden tu parles 🙂

• Si c'est : https://vault.bitwarden.com/#/
  Alors oui, ce sont les serveurs de Bitwarden 😉
• Si c'est sur une adresse perso, avec un serveur que tu as monté toi-même avec Docker (que ce soit les images officielles Bitwarden, ou bien avec l'image VaultWarden (voir mon tuto en signature)), alors les données sont sur ton serveur ^^

 

[oracle7]

@MilesTEG1

Bonjour,

J'en étais resté au premier cas que tu cites et qui est aussi cité dans tous les comparatifs "Keepass vs Bitwarden" que l'on trouve sur la toile. Pour moi, Bitwarden était différent de Vaultwarden (simple avatar du premier) que je ne connais que de nom.

Cordialement

oracle7😉

[MilesTEG1]

@oracle7

en fait Vaultwarden c’est une version de Bitwarden tout en un (car Bitwarden te mets pléthore de conteneurs…) et écrit dans un autre language moins gourmand 

https://github.com/dani-garcia/vaultwarden
 

ça n’est que le serveur car toutes les applications et extensions de navigateur Bitwarden sont à utiliser pour accéder à son coffre, faut juste spécifier l’adresse de son serveur avec la roue crantée.

[.Shad.]

Il y a 12 heures, TheSnipe789 a dit :

J'ai vu que l'une des meilleures solutions de protection si on veut pouvoir accéder à certains services en dehors de notre réseau est de créer un serveur VPN avec OpenVPN sur le NAS pour d'obliger à passer par le VPN pour accéder à Bitwarden par exemple.

Ca fait partie des applications qu'il est quand même plus pratique d'exposer.
Il y a tout un tas d'options de sécurité intégrées à Bitwarden pour ne pas avoir à faire ça.

Il y a 12 heures, TheSnipe789 a dit :

Mais j'ai vu qu'il faut un certificat SSL pour Bitwarden pour qu'il fonctionne mieux (apparemment) mais l'installation d'un SSL avec Lets encrypt par exemple nécessite la mise en place d'un nom de domaine où d'un sous domaine donc le problème c'est que si on met en place un nom de domaine avec SSL pour Bitwarden cela demande d'ouvrir obligatoirement le port 80. Donc de s'ouvrir à l'extérieur.

Bitwarden exige en effet une utilisation via un port sécurisé. Il te suffit d'utiliser le proxy inversé du NAS.
Tu rediriges le port 443 dans ta box vers le NAS, port à ouvrir dans le NAS aussi (par exemple pour la France uniquement).
Côté certificat, tu peux utiliser les nom de domaine fourni par Synology et créer un certificat wildcard (à la demande du création, tu précises dans les domaines alias le domaine *.xxx.synology.me, "xxx" étant ton sous-domaine unique.

En créant un wildcard, aucun port à ouvrir, car la validation se fait au niveau des serveurs DNS de Synology.

Une fois le certificat créé, il suffira de créer une entrée de proxy inversé pour Bitwarden, qui s'exposera sur tel ou tel port en HTTP suivant la version que tu as utilisées (officielle ou Vaultwarden).

Il y a 12 heures, TheSnipe789 a dit :

J'ai vu certaine personne donner comme solution d'acheter un certificat SSL qui ce renouvelle annuellement au lieu de lets encrypt qui lui se renouvelle tous les 3 mois. Il suffirait de faire toute la configuration pour installer le SSL en ouvrant le port 80 et après, on ferme le port 80 et on le réouvre uniquement pour renouveler. Cette solution est viable dans mon cas ?

Non pas viable. Un certificat wildcard comme cité plus haut se renouvelle tout seul, tu peux complètement l'oublier et ça fonctionnera, le tout gratuitement.

Tu devrais jeter un œil au tutoriel du proxy inversé si tu ne sais pas de quoi il retourne exactement :