V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
请不要把任何和邀请码有关的内容发到 NAS 节点。

邀请码相关的内容请使用 /go/in 节点。

如果没有发送到 /go/in,那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动,会导致账号被禁用。
moguiyu
V2EX  ›  NAS

群晖通过反代安装 Vaultwarden 无法访问求助

  •  
  •   moguiyu · 2023-01-03 05:25:59 +08:00 · 3447 次点击
    这是一个创建于 724 天前的主题,其中的信息可能已经有所发展或是发生改变。
    各位大佬好,前段时间终于从 unraid 迁移到 DS920+。尝试在群晖上安装 Vaultwarden 遇到了一些障碍,折腾了很久也没有搞定,求助大佬指点。

    在我安装软路由之前,是可以正常外网访问的。但自己装了软路由之后就出现各种问题。
    当前配置如下:
    1. Dock 除了自定义了 1 个端口,其他都是默认

    2. 反代设置

    3. 签名设置

    4. 路由端口转化设置


    结果各种报错


    感觉这个东西已经超出认知范围太多,求大佬指点如何设置?
    第 1 条附言  ·  2023-01-09 20:57:38 +08:00
    感谢各位大佬的指点,这里的主要问题确实出现在路由器的端口转发上:正确的做法应该是设置:TCP:8888 转 8888 端口。其他的设置都是正确的。

    不过我后来的方案是在 dnspod.cn 上买了便宜的域名,在群辉上通过设置获得证书,然后群辉的反代使用了 HTTPS 443 转内网的 8883 端口,这样就可以使用我买的域名直接访问,不需要添加端口号。同时不影响群辉自己的 synology.me 域名访问 DSM 。

    这里比较坑的是路由的端口转发有时候会被群辉的 UPDP 不小心重置掉。所以我后面的设置方式是关闭路由器上 upnp ,手工设置端口转发。
    17 条回复    2024-03-22 19:09:00 +08:00
    churchmice
        1
    churchmice  
       2023-01-03 06:01:45 +08:00 via Android
    你的 https 开在了端口 8888 上,但是你却在反代 8883 端口,ssl_error_rx_record_too_long 意思就是你用 https 去连了一个 http 端口
    moguiyu
        2
    moguiyu  
    OP
       2023-01-03 06:06:18 +08:00
    @churchmice 多谢,在反代这里如果用同一个端口就报错。我没有公网 IP ,所以才用了反代。
    moguiyu
        3
    moguiyu  
    OP
       2023-01-03 06:48:42 +08:00
    感觉是我地址设置的问题:
    1. 是外网查看到我的 ip 地址;
    2. 群晖中网络部分连接了光猫自动获取的地址。( dhcp 获取)
    3. 是软路由上 wan 口 dhcp 自动获取的地址.

    居然 3 个 IP 地址都不一样
    Jeremial
        4
    Jeremial  
       2023-01-03 07:33:22 +08:00
    可以画下之前的和现在的网络拓扑, 看下有没有什么不一样的地方
    yaoyao1128
        5
    yaoyao1128  
       2023-01-03 08:12:52 +08:00 via iPhone
    @moguiyu 不是說反向代理的時候用的是不是同一個端口,而是說你的防火牆的 forword 應該到 https 端口上⋯⋯
    biguokang
        6
    biguokang  
       2023-01-03 09:30:29 +08:00
    @moguiyu ip 地址不一样因为现在都是大内网,公网 ipv4 地址不够,几个小区共用一个 ipv4 公网 ip ,搞不好你家附近几个小区的电脑手机去查公网 ip 地址都是那个 104 开头 ip 。

    你路由器 wan 口 ip 地址是运营商给你分配的“大内网”地址,不是公网 ip 地址,“大内网”地址不同于 192.168 那种内网保留地址,是运营商自己与外隔绝的 ip 生态,理论上给你路由器 wan 口分配个 8.8.8.8 都有可能,但是和公网的 8.8.8.8 不是一回事。
    fackVL
        7
    fackVL  
       2023-01-03 09:57:29 +08:00 via iPhone
    路由器那个转发设置,8883 改成 8888
    cnhongwei
        8
    cnhongwei  
       2023-01-03 10:08:59 +08:00
    逐步解决
    1. 先确定在局域网里,使用 http 访问 Vaultwarden 没有问题,
    2. 再确定你有公网 IP ,而不是电信给你一个假的公网 IP 。
    3. 最后确定转发没有问题。
    Huelse
        9
    Huelse  
       2023-01-03 10:51:52 +08:00
    我是用 docker-nginx 来完成反代的,vaultwarden 有相关配置示例,按自己所需配置好就可以用了,https://github.com/dani-garcia/vaultwarden/wiki/Proxy-examples

    不过看你 firefox 报的是 ssl 相关的配置错误,不如先关闭 ssl ,hsts 之类的配置直连看看?
    moguiyu
        10
    moguiyu  
    OP
       2023-01-03 19:38:02 +08:00
    @biguokang 有道理,我回去再查一下,但是群辉 LAN2 的地址和软路由上 DHCP 获得的地址也不一样,感觉像是群辉内部又进行了一次 NAT 。
    moguiyu
        11
    moguiyu  
    OP
       2023-01-03 19:38:24 +08:00
    @Huelse 非常感谢,我学习下。
    moguiyu
        12
    moguiyu  
    OP
       2023-01-03 19:40:54 +08:00
    @cnhongwei 多谢提醒。
    1. 在局域网内 HTTP 可以用 192.168.10.2:8883 打开;
    2. 我没有公网 IP ;
    3. 我可以在公网使用 xxx.duckdns.com:8883 打开 Vaultwarden ,但是无法使用加密。说明应该是用了 vaultwarden 在 docker 内的 80 端口。这个我就不知道还有没有其他思路可以解决了,我看其他的教程这里都是对的。感觉群辉估计不支持 WAN 口硬件直通,导致了多了一层 NAT 。
    cnhongwei
        13
    cnhongwei  
       2023-01-04 10:16:53 +08:00   ❤️ 1
    2. 我没有公网 IP 。你这个回复这个比较奇怪,如果你没有公网 ip ,怎么可能通过 ddns 访问你的家里的网络,你以前能访问,电信应给了你公网 IP 的。你这一点不解决,可能访问的并不是你家里的网络。你可以先使用 https://192.168.10.2:8888 访问看看 https 反代有问题没有。群晖的 portal 是使用 nginx 反代的。不知道这样配置使用的证书对不对。如果反代没有问题,那可能是你通过公网域名访问的并不是你家里的网络。
    3. 因为使用 https ,证书处理比较麻烦,而且你有有公网 ip 都不确定。你可以先买一个域名,在 cloudflare 上绑定,通过 docker 运行 cloudflared 来访问家里的网络,这样的话有没有公网都可以处理。
    magicls
        14
    magicls  
       2023-01-04 14:46:39 +08:00   ❤️ 1
    看了下,大概率出在端口转发上。

    尝试在路由器新建两条规则,分别把 8888 转发到内网的 8888 ,8883 转发到内网的 8883 ;而不是现在的只有一条 8888 转内网的 8883 。你 8888 是 https ,往 8883 的 http 转,自然是有问题的。
    virualv
        15
    virualv  
       2023-01-05 14:12:55 +08:00 via iPhone   ❤️ 1
    路由器上应该转发 8888 端口,配好反代后可以在内网改 hosts 用域名访问测一下
    moguiyu
        16
    moguiyu  
    OP
       2023-01-09 21:00:05 +08:00
    @cnhongwei 我之前理解有误,多谢提醒。
    2. 是有公网 IP 的,只不过不是固定的,我搞混了。
    3. 嗯,我现在 dnspod.cn 上买了个域名在用还挺方便。
    frankilla
        17
    frankilla  
       279 天前
    我的架设之路是在了反代上面,我死活不会整,按照教程也不会整,直接删库跑路
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1016 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 21:34 · PVG 05:34 · LAX 13:34 · JFK 16:34
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.