Hello
Bon en me creusant la tête j'ai fini par trouver la solution pour pouvoir continuer à utiliser l'app Bitwarden Android avec Vaultwarden, en HTTPS et sans accès distant sauf via mon VPN WireGuard.
Je donne l'info ici au cas où ça peut servir à quelqu'un.
C'est plutôt classique :
- demander un certificat Let's Encrypt via DSM - avec les sous-domaines "*.mondomaine.synology.me" - et faire pointer l'instance Vaultwarden via un reverse proxy (suivre au besoin le tuto de @MilesTEG pour ceux qui ne savent pas comment faire)
- ne pas ouvrir quelque port que ce soit pour éviter d'exposer le NAS, Vaultwarden ou toute autre instance (dans la mesure où on a le VPN pour y accéder)
- créer une réécriture DNS (pour moi dans AdGuard) qui va faire pointer le sous-domaine du reverse proxy vers l'IP du NAS ("vaultwarden.mondomaine.synology.me" --> 192.168.x.x adresse du NAS) // en cas de connexion, ça permet ensuite au NAS de faire jouer le reverse proxy et d'envoyer la requête sur l'instance Vaultwarden
- utiliser l'adresse du reverse proxy pour se connecter au serveur Vaultwarden via Bitwarden Android, sous le VPN
L'app Android n'y verra que du feu car le HTTPSreverse proxy sera sous le certificat Let's Encrypt alors même que cette adresse n'est seulement accessible en local via le serveur DNS d'AdGuard et donc inaccessible depuis le net (sauf sous VPN)
J'espère avoir été assez clair, en tout cas à dispo au besoin
PS : le certificat LE ne me sert que pour le domaine et les sous-domaines, j'utilise le certificat auto-signé Synology pour le reste car rien n'est exposé en direct sans VPN pour ma part. Ce certificat est valable 1 an ça évite de se faire éjecter notamment de Synology Drive Client tous les 3 mois si j'utilise le certif LE...
Bon en me creusant la tête j'ai fini par trouver la solution pour pouvoir continuer à utiliser l'app Bitwarden Android avec Vaultwarden, en HTTPS et sans accès distant sauf via mon VPN WireGuard.
Je donne l'info ici au cas où ça peut servir à quelqu'un.
C'est plutôt classique :
- demander un certificat Let's Encrypt via DSM - avec les sous-domaines "*.mondomaine.synology.me" - et faire pointer l'instance Vaultwarden via un reverse proxy (suivre au besoin le tuto de @MilesTEG pour ceux qui ne savent pas comment faire)
- ne pas ouvrir quelque port que ce soit pour éviter d'exposer le NAS, Vaultwarden ou toute autre instance (dans la mesure où on a le VPN pour y accéder)
- créer une réécriture DNS (pour moi dans AdGuard) qui va faire pointer le sous-domaine du reverse proxy vers l'IP du NAS ("vaultwarden.mondomaine.synology.me" --> 192.168.x.x adresse du NAS) // en cas de connexion, ça permet ensuite au NAS de faire jouer le reverse proxy et d'envoyer la requête sur l'instance Vaultwarden
- utiliser l'adresse du reverse proxy pour se connecter au serveur Vaultwarden via Bitwarden Android, sous le VPN
L'app Android n'y verra que du feu car le HTTPSreverse proxy sera sous le certificat Let's Encrypt alors même que cette adresse n'est seulement accessible en local via le serveur DNS d'AdGuard et donc inaccessible depuis le net (sauf sous VPN)
J'espère avoir été assez clair, en tout cas à dispo au besoin
PS : le certificat LE ne me sert que pour le domaine et les sous-domaines, j'utilise le certificat auto-signé Synology pour le reste car rien n'est exposé en direct sans VPN pour ma part. Ce certificat est valable 1 an ça évite de se faire éjecter notamment de Synology Drive Client tous les 3 mois si j'utilise le certif LE...
