自建 bitwarden 的一些咨询

背景：一台群晖；一台阿里云 ECS 服务器，一个域名需求：在群晖中部署 bitwarden ，由于 bitwarden 需要 SSL 访问，目前使用的群晖反向代理，并通过 FRP 穿透进行访问。现在打算使用域名+证书的方式，请问有什么好的实现方案吗？该怎么配置 ECS 和群晖？

fengci

249 天前

1. ECS FRPS. 配置 vhost_http_port 端口不要 80 和 443
2. ECS 配置 nginx 反代到 frps 的 vhost_http_port 端口，这里 nginx 就可以配置 ssl 了。
3. 群晖还是 frpc

ashong

249 天前

局域网 + cf tunnel

likelylee

249 天前

我是直接装 nginx proxy manager 做反代+ssl 证书自动更新，openwrt 的 ddns 自动更新，https://url:port 这样访问 vaultwarden ，额外开了 vaultwarden 的多因素认证，使用上没有任何问题。

totoro625

249 天前

你的群晖内部已经给 bitwarden 反代配置好 SSL 了，ECS 服务器上没必要折腾太多
ECS 服务器运行 FRPS 服务端，留一个通信端口+bitwarden 端口
群晖上跑一个 FRPC 客户端，直接转发 tcp ，不需要其他地方额外配置
[[proxies]]
name = "dsm-bitwarden"
type = "tcp"
localIP = "192.168.1.x"
localPort = xxx
remotePort = xxx

gezimonkey

249 天前

nginx+虚拟机 unbuntu 定时运行你域名服务商更改解析的脚本+unbuntu 中运行 certbot
这样你家宽一更改 IP,脚本就会把你的 IP 报到域名服务商更新,ssl 证书用 certbot 解决

okzy520

249 天前

不管你用什么方式访问最好在建完需要的账号之后走 bitwarden 的 admin panel 把新建账号的权限给禁止了

Ch3n4y

249 天前

1 、在群晖的虚拟机上创建一个 Linux 系统，并使用 frp 将阿里云服务器的 80 和 443 端口映射到该 Linux 系统。
2 、在 Linux 系统上安装 Nginx Proxy Manager ，并监听 80 和 443 端口以进行反向代理。
3 、使用 Nginx Proxy Manager 来反向代理内网服务。
4 、在内网中自行搭建 DNS 服务器，并修改相应的 host 配置。

这样配置，内外网都可以直接通过域名访问内网服务，实现内外网无缝切换。

sadara

249 天前

那啥，nas 装个 lucky ？感觉上边说的好复杂

huang86041

249 天前

就像楼上说的，本地 nas 有公网的话，申请个域名，安装 lucky ，自动更新证书和域名再加反代。感觉这样比较简单

dlwlrm

249 天前

小白问下为啥要自建啊，我都是用官方的服

cnlaok999

249 天前

走 cf 的隧道最方便

ugenehan

249 天前

@totoro625 我现在群晖反代，网页可以正常访问，但是手机客户端就无法访问

ugenehan

249 天前

@fengci 我试一下

zhhmax

249 天前

直接在阿里云 ECS 上部署多简单

securityCoding

249 天前

cf tunnel docker 装就好，我已经稳定跑了两年没啥问题

icaolei

249 天前

@dlwlrm #10 官方服务免费版不能用 TOTP ，自建的可以用。

gvdlmjwje

249 天前

1.阿里 DNS 中将域名指向阿里云服务器 IP
2.阿里云服务器装 FRPS ，S 端的配置没啥好说的
3.群辉安装 vaultwarden ，FRPC
4.群辉设置反向代理，为 vaultwarden 设一个反向代理用的端口
5.C 端配置：
[common]
server_addr = XXX.XXX.XXX.XXX #阿里云服务器 IP
server_port = 7000 #S 端中设置的端口
token = XXXXXXXX #S 端中设置的 token
log_file = /usr/local/frp/frpc.log
log_level = info
log_max_days = 7

[Vaultwarden]
type = tcp
local_ip = 192.168.1.16 #群辉 IP
local_port = 7789 #vaultwarden 反代端口
remote_port = 60002 #云服务器端口

6.最终 bitwarden 中选择自建，地址为： https://www.域名:60002

gvdlmjwje

249 天前

上面这个是我之前的方案，22 年魔都电信封公网服务，所以停用公网 IP 用了云服务器；去年末改成公网 IP+nginx proxy manager+DDNS-GO 方案了，直接白嫖赛博菩萨 let's encrypt 的免费证书配合 npm 到期自动更新。省掉了一年 300 多的云服务器和每年手动更新群辉域名的麻烦。我看现在很多人用 luckytool 了，貌似比 npm 更简单。

frankilla

249 天前

我用 lucky 反代，域名访问。

9A0DIP9kgH1O4wjR

249 天前

我是在 ECS 把指定域名的 443 端口的请求，转发给 18443 端口，然后在 fprc 中，转发 fprs 的 18443 到本地的 18443 端口中，然后本地的 18443 端口是一个 nginxproxymanager 的 docker ，最终在 nginxproxymanager 的图形化页面里面配置各个域名指向本地不同的端口。

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1102822

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.