Umstieg von KeePassXC auf Vaultwarden - Linux Bitwarden Client will nicht

[Shihatsu]

Moin, ich hab in meinem lokalen Netzwerk mitlerweile einen kleinen Zoo von lokalen KeePass-Datenbanken und wollte das auf Vaultwarden umstellen - sollte ja einfach sein:
Vaultwarden installieren, KeePass installieren, KeePassXC DB in KeePass öffnen, exportieren, in Vaultwarden importieren, Gruppen zuweisen und glücklich sein. In der Theorie.
Also losgelegt, rauf auf meinen Proxmox, pve helperskript angeschmissen, Vaultwarden war "relativ" schnell installiert - relativ deshalb, weil das für nen LXC echt ewig dauert. ERsten USer angelegt, MAsterpw vergeben, erstmal fertig, joa.
Und nu der Teil der nicht klappt: Bitwarden auf EndevourOS installiert und gestartet. Server ausgewählt, mit User zum Passwortpromt, Masterpassword eingegeben und ZONK - error. Und was für einer: An error has ocured - Failed to fetch. Ja to fetch was denn? Erste suche bringt auch nichts tolles ausser "Nimm gefälligst Cloud Bitwarden" (hell no) und "Pech, funzt halt nicht". Ideen?

 

[74181]

Geht es da nicht auch um Sicherheit? Je weniger komplex, je weniger Code, desto sicherer?

Ich habe gerade mal auf die Vaulwarden Website geschaut.. Da steht was von Web Crypto API? Von Containern? Von Docker? Ist das nicht viel zu komplex?

 

[Shihatsu]

Also, Vaultwarden wird relativ hart auditiert, aber ist mir theoretisch egal, denn: Zugriff nur vom Lan aus, nix mit Internet. Sehe keinen Vector...

 

[Supaman]

Vaultwarden benötigt zwingend https mit Zertifikat, d.h. für die Zugriffs URL ist ein reverse Proxy mit hinterelgtem Zertifikat erfordelrich.

Weiterhin brauchst Du Split DNS, damit "vaultwarden.yourd0main.com" von intern und extern richtig aufgelöst wird.

vaultwarden.yourd0main.com - DNS von extern (Beispiel) -> 213.45.67.90 @port 443 -> 192.168.178.10 @443 (reverse proxy) -> docker VM
vaultwarden.yourd0main.com - DNS von intern muss dann 192.168.178.10 liefern.

Wenn von intern für "vaultwarden.yourd0main.com" die public IP geliefert wird, gehts nicht.

/Nachtrag;
So Spielzeugrouter wie eine Fritzbox kann das nicht, da brauchst Du dann die Umleitung über eine Software DNS Instanz wie z.B. Pihole, oder einen Router der A-Records im DNS kann, z.B. von Unifi. Lokale Hosts Datei würde auch gehen, ist aber hart unpraktisch.

 

[Shihatsu]

Ich will das Ding nicht von Extern erreichen, und nö, ich will keinen reverse proxy. Tjoa. Mal schaon obs uU mit ner eigenen RootCA geht... doof.

 

[you]

Hast Du schon Bitwarden Lite gesehen? Die Alternative zu Vaultwarden direkt von Bitwarden? Ich bin grad am überlegen, ins Selbsthostiing zu gehen, habe es mit Vaultwarden aber irgendwann verworfen.

 

[Haldi]

Aber wieso einen "zoo" von Datenbanken?
Man kann doch Kinder Datenbank automatisch übernehmen lassen.
1x auf dem NAS. Die Datenbank drauf via SMB auf alle Computer. Und via WebDav für Android.
Android cacht dann immer lokale Kopien für unterwegs.

 

[Shihatsu]

Hast Du schon Bitwarden Lite gesehen? Die Alternative zu Vaultwarden direkt von Bitwarden? Ich bin grad am überlegen, ins Selbsthostiing zu gehen, habe es mit Vaultwarden aber irgendwann verworfen.

Nee, kenn ich nicht - aber will schon selbst hosten

Aber wieso einen "zoo" von Datenbanken?

Historeusch gewachsen

Man kann doch Kinder Datenbank automatisch übernehmen lassen.

???

1x auf dem NAS. Die Datenbank drauf via SMB auf alle Computer. Und via WebDav für Android.

Nix webdav, syncthing, aber ja. Nur weil die auf nem mapped share liegen ist das trotzdem was anderes als ne zentrale lösung

Android cacht dann immer lokale Kopien für unterwegs.

Nix da pw safe auf android. android ist so sicher wie ich gegen den wind spucken kann.

 

[you]

Bitwarden Lite ist der "neue" Selbsthost Support von Bitwarden selbst, als Alternative zu Vaultwarden. Ich bin auch eher durch Zufall drauf gestossen. Hier mal Youtube ... https://tinyurl.com/ahzp2adj

 

[Supaman]

Ich will das Ding nicht von Extern erreichen, und nö, ich will keinen reverse proxy. Tjoa. Mal schaon obs uU mit ner eigenen RootCA geht... doof.

Reverse proxy wäre die einfachste Art, gültige (LE) Zertifikate mit auto renewal einzubinden. Das bedeutet nicht zwingend, das Vaultwarden auch von extern erreichbar sein muss.

Und wie gesagt - https Zugriff mit gültigem Zertifikat erfordert i.d.r. Split DNS.

Bitwarden Lite erfordert eine Lizenz, von daher keine wirlliche 1:1 Alternative.

 

[Haldi]

https://keepassxc.org/docs/KeePassXC_UserGuide#_automatic_database_opening

Du öffnest deine Master Datenbank. Und die öffnet auch gleich noch die Familien/Arbeits Datenbank mit.

Nix webdav, syncthing, aber ja. Nur weil die auf nem mapped share liegen ist das trotzdem was anderes als ne zentrale lösung

Und das geht ohne Komplikationen?
Wenn du da auf System A einen Eintrag hinzu fügst und dann später auf system B bevor es online war/syncen konnte einen Eintrag machst merged es korrekt beide Einträge?

Beitrag automatisch zusammengeführt: Heute um 18:25

Und wie gesagt - https Zugriff mit gültigem Zertifikat erfordert i.d.r. Split DNS.

Frage an den Profi. Wie macht man das korrekt?
Ich hab momentan Wildcard Zert das meine Domain auf den Router Zeigt.
Mein OpenWRT Router hat im Docker nen Reverse Proxy der das ganze Zert Management macht. Und dort hab ich dann auch die Subdomain Einträge alle drin. Mit Access Rule das gewisse nur aus dem LAN erreichbar sind.

 

[you]

Bitwarden Lite erfordert eine Lizenz, von daher keine wirlliche 1:1 Alternative.

Interesting ... war mir gar nicht so bewusst ... Merci

 

[Supaman]

Und dort hab ich dann auch die Subdomain Einträge alle drin. Mit Access Rule das gewisse nur aus dem LAN erreichbar sind.

Hört sich soweit alles richtig an. Split DNS = als DNS auflösung *muss* von intern und extern eine unterschiedliche IP als Antwort gelifert werden. Das geht z.B. mit *sense, pihole, OpenWRT, Unifi, Draytek uvm - aber eben nicht mit Fritzboxen und ähnlichem Geraffel.