Vaultwarden plötzlich keine Verbindung mehr

[GammlGockl]

Hallo zusammen,

ich habe folgendes Problem:

Auf einem Pi habe ich Docker+Portainer installiert. (läuft seit Anfang März)
Dort ebenfalls installiert sind: PiHole, Nginx Proxy Manager (jc21), vaultwarden, Heimdall,

Bisher lief alles super, jedoch kann ich seit ein paar Tagen nicht mehr auf meinen Vaultwarden über einen externen Zugriff zugreifen.
Im Reverse Proxy hatte ich vaultwarden.mydomain.de mit Zertifikat eingestellt.

Ich bekomme beim direkten Aufruf immer "Unable to Connect" als Fehlermeldung.
Intern ist alles erreichbar.

Wenn ich das Zertifikat "erneuern" möchte, kommt "Internal Error".
Ebenfalls kann ich keine neuen Container mehr deployen/recreaten.
("Failure
Request failed with status code 500")

Falls wichtig, ich habe alle Container in ein extra Netzwerk gepackt und allen eine IP gegeben.

Zusatzinfo:
Am Anfang hatte ich mal das Problem, dass keine Updates oder sonstiges laufen konnten, da im Docker selber der Pihole als DNS hinterlegt war und der fehler schmiss. DNS ist für jeden Container 1.1.1.1 (Im Router bekommt jeder Host standartmäßig den Pihole)

Ich hoffe ihr könnt mir helfen.

Danke schonmal

 

[StefanArbe]

hast der pi keine verbindung ins internet, wenn du auch keine container deployen kannst?

 

[GammlGockl]

Hat den Anschein

 

[andy_0]

Verbinde dich mit ssh zum PI und verifiziere ob du Internetzugriff hast.

 

[GammlGockl]

Hat keine Verbinung.

 

[andy_0]

Wie hast du das festgestellt?

Was sagt ein ping auf www.google.de?
Was sagt eine Namensauflösung auf www.google.de?
Was sagt ein ping auf 1.1.1.1?

Wie sieht die aktuelle Netzwerkkonfiguration (IP, Subnetz, DNS; Befehl ifconfig oder ip) aus?

Alles über den PI via ssh.

 

[GammlGockl]

• ping www.google.de: Temporärer Fehler bei der Namensauflösung
• PING 1.1.1.1 (1.1.1.1) 56(84) bytes of data.

64 bytes from 1.1.1.1: icmp_seq=1 ttl=57 time=65.2 ms

inet 192.168.100.150/24 brd 192.168.100.255
DNS: 1.1.1.1

 

[GammlGockl]

Kurzes Update:
Das ich nicht rauskomme, lag am im Pi hinterlegten DNS. Ich hatte das mal geändert auf 1.1.1.1, jedoch hat er´s anscheinen irgendwie wieder auf den Pi umgestellt. Habs über die /etc/resolv.conf auf "nameserver 1.1.1.1" umgestellt. In der FB ist es jetzt auch sicherheitshalber mal auf Cloudflare eingestellt. Jetzt komme ich wieder nach draussen und kann Container/Packages usw. updaten.
Auf den Vaultwarden komme ich jedoch leider immer noch nicht von aussen drauf.

 

[andy_0]

Oki, super das dies schon geht.

Kannst du deinen custom domain anpingen? Was sagt da die Namensauflösung?

192.168.100.x ist ein ungewöhnliches IP Netz für eine Fritz Box. Wie ist dein Netzwerk definiert?

 

[GammlGockl]

Ja. Bekomme von der Domain Rückmeldung.

Die 100 ist eingestellt, damit ich VPN nutzen kann.
Habe 192.168.100.0 /24 (255.255.255.0)
Von 20 - 149 geht der DHCP.
Die VPN Adressen starten standartmäßig bei 200.

Habe gerade etwas bemerkt:
Ich hatte für den Vaultwarden (Adresse: 192.168.100.162) die Ports für 443 und 80 freigegeben.
In der Fritzbox steht jedoch für die Konfiguration von 443 ein anderer Port. (Kann ich nicht rausnehmen)

Könnte die FB damit nicht richtig klarkommen?
Den externen Zugriff auf die FB habe ich abgeschalten, da ich ja per VPN ins Netzwerk gehe.
Ich komme per http://"fritzbox-ip":61024 auf die HTTP-Seite von meinem Vaultwarden. (Was ja keinen Login zulässt)
Per Port :61003 (HTTPS) kommt wieder Unable to Connect.

Normalerweise würde doch eine Fehlermeldung da stehen, wenn es ein Problem mit dem Zertifikat gibt.
Also liegt es doch an der internen Weiterleitung?

 

[andy_0]

Genau, da die externe IP offenbar korrekt am DNS hinterlegt ist, muss das Problem an der FritzBox Portweiterleitung oder am PI liegen.

Da du über den HTTP Port drauf kommst, bei HTTPS aber nicht, würde ich noch mal schauen ob du innerhalb deines Netzwerks auf den HTTPS Port am PI drauf kommst.

 

[h00bi]

Ich hatte für den Vaultwarden (Adresse: 192.168.100.162) die Ports für 443 und 80 freigegeben.

Vaultwarden braucht keine Freigabe.
Verbindest du direkt auf die Vaultwarden Freigabe, greift das Zertifikat vom npm nicht und Vaultwarden verweigert ohne Zertifikat den Dienst. Hast du ja bereit gemerkt.
Diese Freigaben kannst du also komplett löschen.


Die Ausrufezeichen bei deinen NPM Forwardings zeigen an, dass du versucht hast externe Ports doppelt zu vergeben. Lösche diese Freigaben ebenfalls und mach neue Freigaben:

Port 80 extern auf Port 80 npm
Port 443 extern auf Port 443 npm

Wenn du dem npm nicht traust Port 80 und Port 443 sicher zu managen, solltest du komplett aufs self-hosting verzichten.

Also liegt es doch an der internen Weiterleitung?

Wie sieht denn die interne Weiterleitung, also vom NPM zum Vaultwarden aus?
Sollte so sein:
Scheme: http
Forward host: 192.168.100.162
Port: 6000 (oder welchen auch immer du in Docker konfigriert hast)
Unter SSL dann noch das Zertifikat auswählen und Force SSL aktivieren.

 

[GammlGockl]

@h00bi
Hat geklappt, vielen Dank
Dir auch @andy_0
Jetzt läuft der Laden wieder.

Ich war nur verwundert, dass es die letzten 2 Monate problemlos geklappt hat.
Da liefen Snapdrop und Vaultwarden parallel.

Wie dem auch sei hab meinen Denkfehler ausgebessert.👍