Vaultwarden nach welcher Anleitung installieren

[Damrak2010]

Hallo zusammen,
ich habe zwar schon im Internet und auch her im Forum gesucht, aber mir ist nicht ganz klar, welche Anleitung ich zur Installation von Vaultwarden nutzen kann, denn es hat sich ja auch mittlerweile wieder einiges verändert.
Eine eigene Domain (wegen Dyndns werde ich noch anlegen, wen könnt ihr da empfehlen?)
Wichtig ist mir das ich auch auf meine Passwörter von unterwegs komme, damit ich 1Password in Rente schicken kann.
Portainer und Container Manager ist bei mir installiert.

 

[hblein]

Hallo Andy,
bei meinen Docker-Experimenten habe ich meist Anleitungen von Marius Hosting genutzt.
Deshalb hier die Anleitung von Marius Hosting für Vaultwarden.
Keine Ahnung, ob sich da so viel geändert hat, die Anleitung ist vom 26. Mai 2024.
Viel Erfolg

Wichtig ist mir das ich auch auf meine Passwörter von unterwegs komme

Ich hab keine Ahnung, ob dazu unbedingt Vaultwarden via Docker nötig ist. Hab mich damit, zugegeben, noch nicht beschäftigt.
Ich nutze KeePassXC auf meinem Rechner und KeePass2Android auf meinen mobilen Devices.
Die KeePass-Datei liegt aufm NAS und auf den Devices und wird bei Bedarf über SMB/WebDAV abgerufen/abgelegt/aktualisiert.

 

[ctrlaltdelete]

Ich habe auch die von Marius verwendet

 

[JohneDoe]

Marius verwendet PostgreSQL. Das ist aber gar nicht nötig und macht das Backup nur komplizierter als nötig. Ich würde dir empfehlen die Compose von Vaultwarden direkt zu nutzen. Da wird SQLite verwendet. Da hast du auch keinen Nachteil gegenüber von PostgreSQL. Den Rest kannst du ja nach Marius machen....

 

[*kw*]

@Damrak2010:

Domain: wenn es dir nur um die interne Zertifikatsnutzung in der DS geht, empfehle ich dir, bei netcup nur eine Domain zu kaufen. Kein Webspace, keinen Server, nur die Domain. Damit kannst du per DSN-API-Challenge später ein Let's Encrypt Zertifikat erhalten und verlängern lassen (bspw. acme.sh oder nginx proxy manager). Preis: normal 42ct/mtl, im (regelmäßig wiederkehrenden) Angebot 13ct/mtl.

Installation:

Die ersten Schritte mit Reverse Proxy kannst du erstmal so übernehmen, mit Zertifikat später anpassen.


1. FileStation, im Verzeichnis "docker" die Ordner anlegen:
- Hauptverzeichnis: vaultwarden
- Unterverzeichnis: data und db

2. entweder:

a. über Aufgabenplaner in der DS (Ports habe ich für mich angepasst)

docker run -d --name=vaultwarden \
-p 3012:3012 \
-p 6768:80 \
-v /volume1/docker/vaultwarden:/data \
-e ADMIN_TOKEN=dein-persönliches-passwort \
-e INVITATIONS_ALLOWED=false \
--net=bridge \
--restart always \
vaultwarden/server:latest

oder

b. yaml-Datei über Portainer

name: vaultwarden
services:
    server:
        container_name: vaultwarden
        ports:
            - 3012:3012
            - 6768:80
        volumes:
            - /volume1/docker/vaultwarden:/data
        environment:
            - ADMIN_TOKEN=dein-persönliches Passwort
            - INVITATIONS_ALLOWED=false
            - WEBSOCKET_ENABLED=false
        network_mode: bridge
        restart: always
        image: vaultwarden/server:latest

Anschließend mit IP: Port (https) die Adminoberfläche aufgerufen, mich mit den Daten auseinandergesetzt und den Rest selbst eingetragen.

Zur späteren Datensicherung musst du nur auf das gemappte Verzeichnis "vaultwarden" achten. Dort sind auch die Anhänge gesichert, was bei einer "Exportsicherung" über Vaultwarden nicht der Fall ist (Klartext oder *.json).

 

[*kw*]

Zugriff extern:

Grundsätzlich hält Bitwarden eine Kopie der Passwörter lokal auf dem jeweiligen Client vor. In der Vergangenheit musste die App dazu "leider" immer vor dem Aufruf eine Serververbindung (selfhost) aufbauen. Das hat Bitwarden geändert und auch die Ablaufzeit, bis zum Aufruf des "Offline-Vaults" auf dem Gerät hat sich verkürzt.

Aus Sicherheitsgründen nutze ich aber auch nur die "intern-Cert-Variante" und greife im Notfall extern über WireGuard (VPN) auf's LAN zu. Bei mir steht nichts im Netz.

 

[JohneDoe]

Domain: wenn es dir nur um die interne Zertifikatsnutzung in der DS geht, empfehle ich dir, bei netcup nur eine Domain zu kaufen. Kein Webspace, keinen Server, nur die Domain. Damit kannst du per DSN-API-Challenge später ein Let's Encrypt Zertifikat erhalten und verlängern lassen (bspw. acme.sh oder nginx proxy manager). Preis: normal 42ct/mtl, im (regelmäßig wiederkehrenden) Angebot 13ct/mtl.

Wenn dir der Domainname nicht so wichtig ist kannst du auch einfach den Dienst von synology.me nutzen. Das kannst du auf deine interne IP auflösen lassen und das Zertifikat bekommst du mit. Aber ich finde ein eigene Domainer wie @*kw* schreibt auch immer schöner. Gerade wenn man mal keine Synology mehr nutzen will, dann hat man keine Abhängigkeit da.

Ich würde es genau so wie @*kw* geschrieben hat einrichten. Also ohne PostgreSQL. Nur eine kleine Anmerkung dazu:
1. Der Port 3012 ist nicht mehr nötig. Das wurde für Websockets benutzt. Dies braucht inzwischen keinen extra Port mehr.
2. WEBSOCKET_ENABLED ist ebenfalls deprecated. Websockets sind per default an und wenn man das nicht will (wieso auch immer), dann muss man ENABLE_WEBSOCKET=false setzen. Aber das ist nur nötig, wenn man die ausmachen will.
Aber ansonsten würde ich eher den Stack nutzen und nicht den von Marius.

 

[*kw*]

@JohneDoe: danke für die Erinnerung. Meine aktuelle Live-Instanz ist dahingehend angepasst, offensichtlich nur meine Konfigurationsdaten noch nicht.

Edit: mein Container läuft schon so lange fehlerfrei, dass ich erst kürzlich durch Zufall über die Websocket-Geschichte gestolpert bin.

 

[ctrlaltdelete]

Asche auf mein Haupt, ich habe es auch über den Aufgabenplaner gemacht, nix Postgres DB.

 

[Damrak2010]

@*kw* So, ich habe mir nun eine Domain bei Netcup gekauft. Dann werde ich mal schauen, ob ich das mit der Installation hinbekomme, sobald die Domain verfügbar ist. Ich werde das über den Augabenplaner machen, nachdem ich vorher die benötigten Ordner angelegt habe. Und dann muss ich mich da mal durchkämpfen, da ich nicht viel Ahnung von den einzelnen, erwähnten Punkten habe.

 

[Damrak2010]

Danke für die vielen Infos. Da es über die Anleitung mit dem Aufgabenplaner nicht geklappt hat (da hat sich garnichts getan), habe ich es jetzt nach dieser Anleitung versucht und war schon hoffnungsfroh. Wenn ich aber Vaultwarden über den Browser aufrufe kommt zwar die Vautwarden Seite mit einem drehenden Kreis, aber keine Anmeldemaske. Das Problem scheinen aber mehrere zu haben, wenn ich mir die Kommentare bei YouTube anschaue. Somit hoffe ich mal wieder auf Euere Hilfe.

 

[JohneDoe]

Ich hab mir das Video jetzt nicht angeguckt, weil ich
Wieso ging es denn nicht über den Aufgabenplaner? Hast du die Aufgabe als root ausgeführt?
Ansonsten zu dem was du bis jetzt hast. Kommt was in den Logs? Kommt was in den Entwicklertools in der Konsole beim Browser?

Edit: Wie rufst du es denn auf?
Noch ein Edit: Ich hab mal kurz durch geklickt.... Auch wenn das video aktuell ist, hat er ein Portbinding auf 3012. Dies ist aber gar nicht mehr notwendig. Da weiß ich nicht, was er sonst noch macht was nicht aktuell ist.

 

[Damrak2010]

Ich schaue später nach und melde mich dann

 

[JohneDoe]

Noch was...
Du solltest dich dringend in Docker einlesen. Du willst ja immerhin deine Passwörter selber hosten. Wenn dir die Grundlagen fehlen und du ein Problem hast dann sind im schlimmsten Fall all deine Passwörter weg. Das wäre ja mehr als blöd. Daher wäre es von Vorteil wenn du dich damit erstmal bisschen befasst bevor es die einzige Quelle für deine Passwörter ist.

 

[Damrak2010]

Ja, da hast Du recht. Ich habe mir schon einige Docker Anfänger Tutorials abgespeichert, welche ich mir die nächsten Tage anschauen werde.
Die Installation hat jetzt über den Aufgabenplaner geklappt. Ich hatte vergessen "root" einzustellen.
Habe es über den Port 6768 aufgerufen, bekomme aber auch nur die vaultwarden Seite mit einem sich ewig drehenden Kreis.
Das Protokoll sieht so aus:

 

[JohneDoe]

http://ds-iport
Den Port hast im im Script angegeben. Die linke Seite von xx:80
Oder den Reverse Proxy den du eh brauchst. Aber den musst du ja konfigurieren und da brauchst du auch den Port

Edit: Vaultwarden muss über https laufen

 

[*kw*]

@Damrak2010

PS: das ist ein von mir zufällig gewählter Port. Standard ist 80:80

 

[Damrak2010]

Sorry, bin gerade überfordert. Habe DNS noch nie selbst konfiguriert. Muss ich bei Netcup hier noch irgendwelche Einstellungen vornehmen? Und wenn ja welche? Gut, ich habe den zufällig gewählten Port von Dir übernommen. Ich komme ja auch auf die Vaultwarden Seite, aber erhalte halt keine Anmeldemaske. Das klappt aber momentan nur wenn ich "ip meiner DS und Port" eingebe, aber nicht wenn ich "https" davorsetze.
Somit fehlen wahrscheinlich noch ein paar Einstellungen, bzw. sind nicht korrekt.

 

[Kachelkaiser]

Wenn du Domain eingerichtet ist, musst du natürlich noch deine IP adresse zuordnen.

Google mal nach Netcup und DDNS, da gibt es verschiedene Möglichkeiten: Update per API oder ein CNAME auf eine bestehnden andere DDNs-Adresse (z.B. Synology DDNS)

 

[JohneDoe]

Du musst dir DynDns einrichten und dann ein Zertifikat erstellen.
Ich würde dir erstmal empfehlen vielleicht eine synology.me Adresse zu holen und diese auf deine interne IP auflösen zu lassen. Dann hast du dein Zertifikat direkt dabei. Dann kannst du erstmal Vaultwarden einrichten. Ich würde eins nach dem anderen angehen und nicht alles auf einmal, wenn die Kenntnisse fehlen.