Bitwarden Lokal betreiben

[Revan335]

Hallo,

 

wie kann man Bitwarden Lokal betreiben so das dieser nicht extern erreichbar ist, aber dennoch im eigenen Netz oder wenn man sich per VPN ins eigene verbindet funktioniert?

Es scheint Vaultwarden als inoffiziellen Docker zu geben wenn man danach sucht.

 

Er sollte eine ähnliche Sicherheit haben wie der "offizielle" Webvault inkl. HTTPS, 2FA, Notfallkontakt und so weiter.

 

Vielen Dank!

 

Viele Grüße

 

Revan335

Edited June 9, 2022 by Revan335

[vakilando]

Genau,

1. Such nach Vaultwarden unter Apps und installier den Container.
2. Gib dem Container eine IP-Adresse, also nicht host bzw. bridge als Netzwerk auswählen sondern br0, br1 usw. jenachdem was du hast.
3. Dann sperr diese IP auf deinem Router oder Firewall von WWW-Zugriff aus.

Damit die Anmeldung funktioniert benötigst du allerdings eine HTTPS-Verbindung.

Ich mach das über einen Reverse Proxy (vorher swag, jetzt npm), allerdings ist mein Vaultwarden auch aus dem WWW erreichbar. 

Ich schätze, dass dies aber auch ohne reverse proxy geht, habe ich aber nie probiert....

2FA sollte mit den integrierten Diensten genauso funktionieren.

Notfallkontakte über einen erreichbaren Mailserver. Allerdings müssen diese Notfallkontakte auch entsprechenden Zugriff auf deine Umgebung haben (lokal oder VPN).

[Revan335]

Vielen Dank schon mal an dich! @vakilando

 

Gibt es irgendwas bei den Konfigs zu beachten oder einzustellen die man beim ersten Start sieht?

Scheint das Vaultwarden Admin Center zu sein.

 

Ist ein Reverse Proxy dafür notwendig?

Den müsste ich wenn, erst noch aufsetzen und einrichten und auch dort erstmal schauen wie das/datenschutzfreundlich/Privacy geht. Der Server/Host/Unraid soll ja ebenso wenig erreichbar/im Netz sein.

 

Wie sperrt man den diese in einer Fritz!Box?

Edited June 9, 2022 by Revan335

[Revan335]

Vielleicht weiß auch noch wer anders was dazu?

[sanobi]

Ich kann nur empfehlen sehr gut im Vorfeld zu testen. Nichts ist schlimmer, in meinen Augen, wie eine gute Verschlüsselung und unzugängliche Keys (bspw. wenn man das interne 2FA von BW nutzt). Dazu auch die Datensicherung des Vaults gut aufstellen wenn er im Betrieb ist.

 

Ansonsten kann ich den Container nur empfehlen, absolut überragend wenn es um einen sicheren und flexiblen Schlüsseltausch geht. Gerade auch was das Teilen von Schlüsseln und bspw. Notitzen oder Daten geht.

 

@Revan335 du brauchst halt den https Zugang und dafür etwas was das Zertifikat im Vorfeld zum Zugriff stellt. Sonst lassen Server und Client keinen Austausch zu. Für die lokale Variante als Reverseproxy würde ich dir die bekannten Vertreter empfehlen. Ich selber nutze Nginx das stellt auch gleich das Zertifikat was du brauchst.

[FrankWG]

On 6/13/2022 at 3:22 PM, sanobi said:

du brauchst halt den https Zugang und dafür etwas was das Zertifikat im Vorfeld zum Zugriff stellt. Sonst lassen Server und Client keinen Austausch zu. Für die lokale Variante als Reverseproxy würde ich dir die bekannten Vertreter empfehlen. Ich selber nutze Nginx das stellt auch gleich das Zertifikat was du brauchst.

Kann man denn mit Nginx ein rein Lokales SSL Zertifikat ausstellen? Wenn ja, wie? Ich würde gerne BW auch nur lokal laufen lassen da ich keine Grund sehe es über das Internet zu nutzen. Die Passwörter sind ja eh lokal auf dem PC, Handy, Notebook gespeichert und die Synchronisation über das WLAN zu Hause wäre für mich perfekt und ich würde mich damit auch noch sehr sicher fühlen.  

[mgutt]

6 hours ago, FrankWG said:

Kann man denn mit Nginx ein rein Lokales SSL Zertifikat ausstellen?

Ich habe das so gelöst:

 

[FrankWG]

@mgutt Vielen Dank für den Link! 🙂

[speedycxd]

Hallo,

 

ich nutze auf meinem Server auch Bitwarden und wollte jetzt noch eine 2FA nutzen via  YUBIKEY 5NFC.

Ich habe zwar gelesen das es funktionieren soll, wollte aber trotzdem erstmal fragen ob das jemand nutzt von euch.

 

VG

 

Edit: Funktioniert alles mit dem Yubikey 5 NFC

Edited December 25, 2022 by speedycxd

[mgl]

Ich habe das mit folgender Anleitung hinbekommen: https://github.com/dani-garcia/vaultwarden/wiki/Running-a-private-vaultwarden-instance-with-Let's-Encrypt-certs

Das ganze läuft über Let's Encrypt DNS challenge und Caddy. Es muss kein Port geöffnet werden.

Vielleicht hilft das den einen oder anderen.

 

Schöne Weihnachten zusammen!

 

Edited December 24, 2022 by mgl

[pdy]

On 12/24/2022 at 10:32 AM, mgl said:

Ich habe das mit folgender Anleitung hinbekommen: https://github.com/dani-garcia/vaultwarden/wiki/Running-a-private-vaultwarden-instance-with-Let's-Encrypt-certs

Das ganze läuft über Let's Encrypt DNS challenge und Caddy. Es muss kein Port geöffnet werden.

Vielleicht hilft das den einen oder anderen.

 

Schöne Weihnachten zusammen!

 

Ich glaub ich bin zu doof dazu... könntest du mir die Schritte die du gemacht hast grob erklären? 

Habe es erst nur über Portainer probiert, klappte nicht... dann bin ich jetzt seit bestimmt 6 Stunden in PuTTY beschäftigt und immerhin läuft Caddy jetzt mal, allerdings anscheinend nicht so wie es soll bzw. falsch glaube ich

Habe zuerst das hier probiert, dann gemerkt dass das glaube ich nur ein Beispiel war... habe jetzt:

- die docker-compose.yml im Ordner

- die caddy-dns/duckdns Datei gedownloaded und umbenannt in "caddy", ebenfalls im Ordner wo die docker-compose.yml liegt

- Caddyfile mit dem was hier steht gefüllt und ebenfalls in dem Ordner
- caddy.env hab ich erstellt, wenn ich aber "caddy run -envfile caddy.env" eingebe, sagt er mir "caddy: command not found"

xcaddy müsste auch installiert sein... jedenfalls wenn ich das richtig gemacht hab