OMV6 vaultwarden via https en réseau local uniquement

[enigmatiqk]

Bonjour,

je suis pas mal perdu avec la mise en place d'un accès https pour vaultwarden ...

les tuto que l'on trouve un peu partout parle de dns (comme celui de ce forum : https://www.forum-nas.fr/threads/tuto-installer-vaultwarden-avec-une-sauvegarde-automatique-des-données-nouvelle-version.20614/post-134954).
que ce soit avec caddy, nginx, swag, traefik .... hors moi, mon serveur ne sera accessible qu'en réseau local (et vpn pour accès extérieur).

je me pose aussi la question d'utiliser un certificat autosigné que je peux générer avec OMV ...

mais je reste perdu ....

J'ai quand même mis en place une redirection dns (ovh) vers ma box (et redirection du port vpn de ma box vers mon serveur) ... mais a mon avis ca ne sert à rien pour ce besoin ...

Sinon J'ai fait un autre post pour pouvoir mettre en place des sorte de sous domaine avec gninx : https://www.forum-nas.fr/threads/serveur-en-mode-local-avec-sous-domaine-pour-accéder-aux-services.21582/
Si pour vaultwarden il est possible d'utiliser gninx, ca m'éviterait d'avoir plusieurs containers d'applis capable de faire du reverse proxy



merci beaucoup pour votre aide, car c'est là quelque chose que je ne gère pas du tout ...

 

[EVO]

Salut, pourquoi faire du https sur le reseau local ?
Sinon, la solution c'est d'avoir un reverse proxy avec ssl pour ce domaine, et d'y inclure une limitation d'accès aux ip local, SWAG peut faire cela par exemple.
Ensuite pour la résolution du nom en local, il te faut dans l'idéal un serveur DNS local comme pihole ou adguard

 

[enigmatiqk]

Salut, pourquoi faire du https sur le reseau local ?

Bonjour,

Je suis obligé pour vaultwarden … sans https je ne peut me créer de compte utilisateur …

Sinon, la solution c'est d'avoir un reverse proxy avec ssl pour ce domaine, et d'y inclure une limitation d'accès aux ip local, SWAG peut faire cela par exemple.

Quand tu parles de domaine, tu parles du nom de ma machine ? Car comme je l’explique, en local je ne peux avoir de nom de domaine via duckdns ou autre …

Pour le reverse pro t’y, c’est ce qu’il me semblait …
Tu parles de swag, mais est ce possible via nginx (ou alors swag est un module nginx?) ? Tu saurais m’aider à le mettre en place ? Tout les tuto que je trouve sont fait pour un domaine web et non local …

Ensuite pour la résolution du nom en local, il te faut dans l'idéal un serveur DNS local comme pihole ou adguard

merde, un niveau de complexité en plus …
Suis-je vraiment obligé ?


Vaultwarden propose une option tls (plus faut fournir des certificats pem. C’est pas conseillé mais vus que je reste en local ….

Sais tu si je peux utiliser les certificats auto signe généré par omv ?

Merci

 

[zypos]

Comme @EVOTk , je ne vois que la solution du nom de domaine avec reverse proxy .
Tu n'est pas forcement obliger de mettre un DNS local .Tout dépand du FAI de la Box ou routeur utiliser
Dans mon cas j'utilise des noms de domaine en local et https sans pihole ou adguard
Peux tu modifier les DNS de ta BOX ( routeur)

 

[enigmatiqk]

Comme @EVOTk , je ne vois que la solution du nom de domaine avec reverse proxy .
Tu n'est pas forcement obliger de mettre un DNS local .Tout dépand du FAI de la Box ou routeur utiliser
Dans mon cas j'utilise des noms de domaine en local et https sans pihole ou adguard
Peux tu modifier les DNS de ta BOX ( routeur)

Bonjour,

Je suis avec une livebox, je peux donner des "nom DNS" pour une machine mais pas pour une adresse specifique. je peux donc donner un nom dns en "monserveur" ou "monserveur.fr" ...
Sachant que de tte facon ma machine s'appelle déjà "monserveur" ... qu'est ce que j'y gagne ?

après, un https://monserveur:<port> ou https://monserveur/vaultwarden (qui redirigerais vers https://monserveur:<port>) m'irais très bien

en pratique:
- je peux le faire avec le nginx de OMV (et nginx proxy manager) ?
- puis-je utiliser le certificat généré par OMV ?
- ca donne quoi comme configuration nginx ?

désolé, mais comme je ne maitrise pas du tout du tout, j'aurais besoin de plus que "il faut faire ca" ...

merci

 

[dadoupipo]

Bonjour

J'ai le même problème, vaultwarden uniquement en local et en vpn pour l'extérieur (quoique facultatif).

Je cherche donc une solution sous synology aussi et box orange.

Merci à tous

 

[zypos]

Je suis avec une livebox, je peux donner des "nom DNS" pour une machine

J'ai également une livebox : Attention il s'agit là des noms DNS Local qui ne serve pas à grand chose si ce n'est de pouvoir retrouver tes appareils plus facilement sur ton LAN.
Les DNS sont les serveurs de nom de domaine qui traduise l'URL du nom de domaine en adresse IP_Pubique . Tu ne peux pas les modifier sur une Livebox , tu passe obligatoirement par les serveurs DNS d'Orange . Seul moyen de contourner ce pb : avoir son propre routeur.
Je ne peux pas t'aider sur OVM même si je connais un peu nginx.
Normalement avec une Livebox tu n'a pas de pb pour joindre une machine en local en https . mais il te faut avoir un nom de domaine et un certificat Let'S Encrypt .

j'aurais besoin de plus que "il faut faire ca" ...

Désolé mais là tu es dans une config un peu exotique sur un forum ou des personnes utilisent majoritairement des NAS Synology/ Qnap.

Je cherche donc une solution sous synology aussi et box orange.

En https avec vaultwarden en Docker ? je pourrais répondre mais dans ce cas je pense qu'il vaux mieux ouvrir un autre fil dans le forum Synology

 

[dadoupipo]

fil créé

merci

 

[enigmatiqk]

J'ai également une livebox : Attention il s'agit là des noms DNS Local qui ne serve pas à grand chose si ce n'est de pouvoir retrouver tes appareils plus facilement sur ton LAN.

je m'en doutais un peu, mais finalement la différence entre un dns local et un dns publique, c'est juste l'ip qui change et le point d'accès (intranet ou internet)

Les DNS sont les serveurs de nom de domaine qui traduise l'URL du nom de domaine en adresse IP_Pubique . Tu ne peux pas les modifier sur une Livebox , tu passe obligatoirement par les serveurs DNS d'Orange . Seul moyen de contourner ce pb : avoir son propre routeur.

Je ne peux pas t'aider sur OVM même si je connais un peu nginx.
Normalement avec une Livebox tu n'a pas de pb pour joindre une machine en local en https . mais il te faut avoir un nom de domaine et un certificat Let'S Encrypt .

ca reviens sur le même problème : il me faut un nom de domaine publique pour un accès à une machine locale. Je ne comprends pas le principe d'avoir un nom de domaine publique sur un réseau local ...

je comprends que OVM soit un peu particulier. mais je suis preneur d'un exemple nginx sous un autre system, mon seul critère c'est que ce soit avec un serveur coupé de l'exterieur ... (donc sans domaine publique).

Désolé mais là tu es dans une config un peu exotique sur un forum ou des personnes utilisent majoritairement des NAS Synology/ Qnap.

je n'arrive pas à trouver de forum omv francais ... je vais devoir me rabattre sur le forum anglais ...

 

[zypos]

Je ne comprends pas le principe d'avoir un nom de domaine publique sur un réseau local ...

Normalement en local tu passe par l'adresse IP (192.168.xx.xxx) mais tu ne peux pas avoir de certificat pour cette adresse local.
Certain Docker ou certain équipement demande un accés en https . Donc dans ce cas
Soit tu ne pourras pas avoir d'accés soit en fonction du navigateur utilisé tu aurra au mieux la fameuse alerte de sécurité

Pour avoir des accés en https il te faut donc un nom de domaine avec son certificat
Perso dans la pratique je passe uniquement par le nom de domaine pour avoir accés en local à mes NAS et docker le tout en https.
Et d'utiliser un Reverse Proxy pour rediriger le tout . Seul le port 443 est ouvert ; j'accède à vaultwarden via : mdp.ndd.fr

 

[EVO]

Quand tu parles de domaine, tu parles du nom de ma machine ? Car comme je l’explique, en local je ne peux avoir de nom de domaine via duckdns ou autre …

Non je parle d'un nom de domaine en .fr .com, .... ou oui duckdns

Il faut savoir que par exemple avec SWAG et un domaine OVH, sauf erreur, le serveur n'a pas besoin d'etre exposé pour obtenir son certificat SSL ( certification DNS ).

[Tuto] Installer SWAG en Docker ( Reverse Proxy )

Bonjour, Voici un petit tuto, pour ceux qui souhaiterai installer SWAG de chez linuxserver en Docker. SWAG, c'est quoi ? :giggle: SWAG - Secure Web Application Gateway (anciennement connu sous le nom deletsencrypt, sans lien avec Let's Encrypt™) configure un serveur Web Nginx et un proxy...

www.forum-nas.fr

merde, un niveau de complexité en plus …
Suis-je vraiment obligé ?

Non, tu peut aussi jouer sur le fichier host de ta machine par exemple.

aultwarden propose une option tls (plus faut fournir des certificats pem. C’est pas conseillé mais vus que je reste en local ….

Sais tu si je peux utiliser les certificats auto signe généré par omv ?

Oui

GitHub - dani-garcia/vaultwarden: Unofficial Bitwarden compatible server written in Rust, formerly known as bitwarden_rs

Unofficial Bitwarden compatible server written in Rust, formerly known as bitwarden_rs - dani-garcia/vaultwarden

github.com

 

[enigmatiqk]

Non je parle d'un nom de domaine en .fr .com, .... ou oui duckdns

Il faut savoir que par exemple avec SWAG et un domaine OVH, sauf erreur, le serveur n'a pas besoin d'etre exposé pour obtenir son certificat SSL ( certification DNS ).

Alors en fait, je pense avoir fait ce dont tu parles (pour l'accès vpn) ...
- j'ai mon sous domain via ovh du type "server.mondomaine.fr"
- j'ai installé nginx proxy manager
- j'ai configuré uncertificat ssl sur "server.mondomaine.fr" en pointant letsecrypt

mais je ne sais pas quoi en en faire (ou comment l'utiliser) ... car en local l'url est pour le moment http://monserveur:<port> et non "server.mondomaine.fr" (vu que je n'ai pas ouvert le port 80 sur ma box

[Tuto] Installer SWAG en Docker ( Reverse Proxy )

Bonjour, Voici un petit tuto, pour ceux qui souhaiterai installer SWAG de chez linuxserver en Docker. SWAG, c'est quoi ? :giggle: SWAG - Secure Web Application Gateway (anciennement connu sous le nom deletsencrypt, sans lien avec Let's Encrypt™) configure un serveur Web Nginx et un proxy...

www.forum-nas.fr

swag me perd encore plus ... j'ai déjà un nginx sur mon poste (j'ai juste installé le nginx proxy manager), swag contient nginx ? c'est un module en plus ?
sauf erreur, j'ai déjà la partie certificat/sous domaine/ovh ... finalement ais-je besoin de swag / que m'apporte swag de plus ?

je pense ne pas être trop loin ... merci

Non, tu peut aussi jouer sur le fichier host de ta machine par exemple.

host de la machine client ... pas possible, et puis il y aura des telephones qui vont s'y connecter ....

Oui
Voir la pièce jointe 10475

GitHub - dani-garcia/vaultwarden: Unofficial Bitwarden compatible server written in Rust, formerly known as bitwarden_rs

Unofficial Bitwarden compatible server written in Rust, formerly known as bitwarden_rs - dani-garcia/vaultwarden

github.com

j'ai déjà épluché le site de vaultwarden je comprends la théorie ... mais la pratique ...
j'avais réussi à faire un truc via caddy sur mon pc il y a longtemps. mais là j'aimerais faire un truc bien ...

 

[enigmatiqk]

Bon .. j'ai tenté des choses pour avancer ... et j'avance

- j'ai créé un sous domain "*.monserveur.fr" sur ovh qui redirige vers l'ip de ma box
- j'ai créé un certificat "*.monserveur.fr" via nginx proxy manager
- j'ai configuré ma livebox pour rediriger vers les ports de nginx proxy manager

toujours via nginx proxy manager :
- si je configure un host proxy en fonction du nom de domaine vers l'ip de ma machine => OK
- si je configure un host proxy en fonction du nom de domaine vers l'ip 127.0.0.1 de ma machine => KO
- si je configure un host proxy en fonction du nom de domaine vers le nom de ma machine => KO
- si je configure un host proxy en fonction du nom de ma machine vers l'ip de ma machine => OK/KO, ca fonctionne lentement et en dégradé (les ressources en "NS_ERROR_CONNECTION")

il me reste :
je cherche donc à comprendre pourquoi le DNS n'est pas pris en compte par NPM ...
je cherche à comprendre pourquoi l'ip locale ne fonctionne pas ...
je cherche à faire la même chose sans ouvrir ma box (car je n'ai pas confiance en la sécurisation de OMV via l'exterieur), sachant que je ne peux pas modifier le host de tout mes pc ...

merci pour votre lecture,suivi et votre aide

 

[EVO]

- j'ai créé un sous domain "*.monserveur.fr" sur ovh qui redirige vers l'ip de ma box

Un champ A donc

- j'ai créé un certificat "*.monserveur.fr" via nginx proxy manager

Un certificat wildcard donc

- j'ai configuré ma livebox pour rediriger vers les ports de nginx proxy manager

80 et 443 TCP normalement.

- si je configure un host proxy en fonction du nom de domaine vers l'ip de ma machine => OK

Logique

si je configure un host proxy en fonction du nom de domaine vers l'ip 127.0.0.1 de ma machine => KO

127.0.0.1 = localhost, que essai tu de faire ?

si je configure un host proxy en fonction du nom de domaine vers le nom de ma machine => KO

je pense pas que nginx proxy manager puisse faire cela, le nom c'est pour la résolution interne

si je configure un host proxy en fonction du nom de ma machine vers l'ip de ma machine => OK/KO, ca fonctionne lentement et en dégradé (les ressources en "NS_ERROR_CONNECTION")

Pas compris

je cherche à faire la même chose sans ouvrir ma box (car je n'ai pas confiance en la sécurisation de OMV via l'exterieur), sachant que je ne peux pas modifier le host de tout mes pc ...

Alors attention, ce n'est pas parceque tu ouvre 80 et 443 pour la renouvellement d'un certificat, que OMV ou autre est exposé !
Malheuresement, je ne connais pas nginx proxy manager, j'utilise SWAG qui embarque nginx et une validation dns du nom de domaine, ssl, fail2ban, ...

Pour moi au vu de ton besoin, l te faut te monter un dns local, sinon tu ne va pas t'en sortir, comme pihole ou adguard. Les box sont souvent tres / trop limité a ce sujet.

Une fois le nginx configuré pour écouter, il faut restreinte a l'acces local uniquement, voici la config dans SWAG :

allow 10.0.0.0/8;
allow 172.16.0.0/12;
allow 192.168.0.0/16;
deny all;

Ensuite, le nom de domaine doit etre résolu localement via un DNS local, ou modification de fichier host

 

[enigmatiqk]

"si je configure un host proxy en fonction du nom de domaine vers l'ip 127.0.0.1 de ma machine => KO"
127.0.0.1 = localhost, que essai tu de faire ?

Sauf erreur de ma part, le nginx proxy manager est sur la même machine que les autres services.
Tu me fais douter, j'ai peut être mal configurer mes containers et ils ont peut être des ip différentes ...
ou alors, vu que ca passe par docker, je ne peux utiliser de localhost ...

"si je configure un host proxy en fonction du nom de domaine vers le nom de ma machine => KO"
je pense pas que nginx proxy manager puisse faire cela, le nom c'est pour la résolution interne

Dans ce tuto, il utilise bien le nom de la machine ...

OpenMediaVault 5 : installation de NGINX Proxy Manager

Installation, sur OpenMediaVault 5, du conteneur docker NGINX Proxy Manager …

lucduke.wordpress.com

"si je configure un host proxy en fonction du nom de ma machine vers l'ip de ma machine => OK/KO, ca fonctionne lentement et en dégradé (les ressources en "NS_ERROR_CONNECTION") "
Pas compris

Désolé, mon message était dégueu ...
En gros, si j'utilise nginx et qu'en tant que nom dns j'utilise le nom de ma machine, le reverse proxy fonctionne presque :
- la page est longue à répondre
- sur ressources de la page j'ai l'erreur "NS_ERROR_CONNEXION" et j'ai donc une page sans javascript ni css ni image

Alors attention, ce n'est pas parceque tu ouvre 80 et 443 pour la renouvellement d'un certificat, que OMV ou autre est exposé !
Malheuresement, je ne connais pas nginx proxy manager, j'utilise SWAG qui embarque nginx et une validation dns du nom de domaine, ssl, fail2ban, ...

Pour moi au vu de ton besoin, l te faut te monter un dns local, sinon tu ne va pas t'en sortir, comme pihole ou adguard. Les box sont souvent tres / trop limité a ce sujet.

Une fois le nginx configuré pour écouter, il faut restreinte a l'acces local uniquement, voici la config dans SWAG :

allow 10.0.0.0/8;
allow 172.16.0.0/12;
allow 192.168.0.0/16;
deny all;

Ensuite, le nom de domaine doit etre résolu localement via un DNS local, ou modification de fichier host

en fait, je pense que c'est le "dns local" que je n'avais pas intégré, et effectivement avec ca, ca me semble tellement plus logique !

[EDIT]
en fait je me souviens, aprioris la solution pour avoir un DNS local avec une livebox, c'est de désactiver le dhcp de la livebox ... ce que je ne veux pas (car cela empeche d'avoir la tv par box) ....

donc je me retrouve au même point ...
[/EDIT]
je continue de creuser, encore merci

 

[enigmatiqk]

dernier essai en date, cela semble fonctionner : sur ovh j'ai fait un dns qui pointe sur une ip locale :
vaultwarden.mondomaine.fr A 192.168.x.x

et la ca fonctionne

ce que je n'aime pas : j'ai donc un subdomain publique qui pointe sur une ip locale ... donc je montre aux gens l'ip de mon nas ...

vous en pensez quoi ?

 

[EVO]

Salut,
Cela marche oui. Et c'est une ip locale donc c'est pas un probleme.

Par contre, il te sera impossible de renouveler ton certificat ( dans 3 mois si c'est un lets encrypt )

 

[EVO]

en fait je me souviens, aprioris la solution pour avoir un DNS local avec une livebox, c'est de désactiver le dhcp de la livebox ... ce que je ne veux pas (car cela empeche d'avoir la tv par box) ....

Solution : Séparer avec un routeur perso, tu ne laisse sur la livebox, que la box pour la tele, et le fameux routeur. Et tu fait le reste de ton reseau derrière ce routeur.

Edit : Encore mieux, ne pas regarder la TV Orange

 

[enigmatiqk]

Salut,
Cela marche oui. Et c'est une ip locale donc c'est pas un probleme.

Par contre, il te sera impossible de renouveler ton certificat ( dans 3 mois si c'est un lets encrypt )

ok, donc ca sera ma solution !
Pour le certificat, j'ai fait un certificat en *.mondomaine.fr" ... et comme j'ai quand même un vrai domaine (pour le vpn) ca devrait passer non ?

je viens de vérifier, cela fonctionne en vpn donc c'est plutot cool !
reste :
- à comprendre pourquoi je ne peux pas mettre de nom de machine dans NPM

Solution : Séparer avec un routeur perso, tu ne laisse sur la livebox, que la box pour la tele, et le fameux routeur. Et tu fait le reste de ton reseau derrière ce routeur.

Edit : Encore mieux, ne pas regarder la TV Orange

la prochaine étape "matérielle" c'est du wifi mesh ... un bon vrai routeur, on verra encore plus tard ... (et le serveur dns à ce moment là)

merci pour tout !!

je passerais le post à résolu plus tard, le temps de faire un résumé dans le message initial

 

[enigmatiqk]

Bon, je n'ai pas trouvé comment modifier mon premier message (surement une politique de blocage de l'édition après un certain temps).

je vais donc décrire ici la solution :

- création de sous domaine dns pointant vers l'adresse ip locale de mon serveur (soit son propre domaine, soit via des fournisseur dns comme duckdns)
- installation de nginx proxy manager (NPM) avec comme point d'entrée, le port "80" et "443" (à noter que si j'avais ouvert les accès de l’extérieur, le port n'était pas important puisque j'aurais fait du routage sur ma box)
- via NPM, création d'un certificat letsencrypt sur *.<mondomaine>.fr
- rappel : OMV n'est pas joignable de l’extérieur (sauf port VPN).
- dans NPM, j'ai du proxy host pour rediriger vers le service (<ip_locale>:<port_service>) en fonction du sous domaine et en précisant le certificat
- le dns web est connu sur mon poste, donc fait la résolution sur l'ip de ma machine locale ... et donc ca fonctionne (nécessite bien une ip fixe sur ma machine).

ça me semblait tellement compliqué et pourtant si simple à décrire ...

encore merci à tout ceux qui ont essayer de m'aider et surtout à EVOTk pour ta persévérance