Vaultwarden selber hosten statt Bitwarden. Läuft bei mir super. Du kannst im Browser und auf dem Handy die Bitwarden App nutzen. Da Du schon Wireguard am laufen hast die perfekte Lösung.
Hast Du schon Adguard selber gehostet? Damit schmeisst Du sämtliche Werbung aus Deinem Netzwerk, auch unterwegs dank Wireguard.
Da scheitere ich momentan noch an der besagten SSL Geschichte. Du kannst dein Setup ja mal posten.
Bei mir: Vaulwarden auf NAS via Docker → NAS an FRITZ!Box → WireGuard VPN auf FRITZ!Box für einzelne Geräte (in dem Fall mein Smartphone) → WireGuard VPN auf Gerät aktivieren
Soweit ich mich gerade erinnere, scheiterte ich schon daran Vaultwarden via Browser unter http://NAS-IP:Port einzurichten, weil er schon da rumgemeckert hat, dass er kein SSL Zertifikat findet.
@Dejo : Syncthing kenne ich noch gar nicht. Meinst du, damit könnte man den SSL Zwang umgehen? Sollte man das überhaupt? Hat sich nicht irgendwer was dabei gedacht?
Ich hab exakt das selbe Setup. Du brauchst für die SSL Geschichte einen Reverse Proxy. Klingt schlimmer als es ist. Ist eine Sache von 5 Minuten das einzurichten.
Meld Dich wenn Du Hilfe brauchst.
Das brauchst Du bei noch mehreren Anwendungen, dahermacht das Sinn das einmal einzurichte.
Paperless und der Unifi Controller brauchen das auch
Was bedeutet denn er meckert rum?
Verweigert er die Verbindung?
Je nachdem was für ein Zertifikat du einbindest, kann das ebenso nicht funktionieren. Bspw. ist häufig ein selbst ausgestelltes Zertifikat (also eines das nicht auf eine anerkannte Vertrauensstelle zurückgeführt werden kann) auch nicht besser bzw. viele Programme verhalten sich da gleichermaßen, wie wenn kein Zertifikat vorliegt.
Andererseits ist SSL auch „nur“ Transportverschlüsselung. In einem separierten Netz würde man auf sowas in der Regel auch verzichten, da es nur zusätzliche Aufwände erzeugt - aber da muss man selbst wissen, wie „sicher“ einem das Heimnetz erscheint - würde dahingehend auch selbst keine Empfehlungen abgeben (und so viel spart man auch nicht durch einen Verzicht von SSL-Verschlüsselung im Privaten).
Der Reverse-Proxy läuft dann mit auf derselben Kiste wie die anderen Dienste?
Aus meiner Sicht sollte das auch weitere kosmetische Schönheiten ermöglichen, also bspw. eigene (Sub-)Domains für die Dienste auf den jeweiligen Ports - ergo könntest du paperless.balu.intern auf balu:8000, portainer.balu.intern auf balu:8090 etc. weiterleiten.
Ist auch bei mir ein Thema für nach den Schulferien - wenn ich wieder Zeit habe
Ja. Syncthing ist einfach eine File-Synchronisierungssoftware. Damit kann man sehr simpel Dateien zwischen verschiedenen Geräten synchronisieren.
KeepassXC ist ein Passwort Manager der file-basiert arbeitet. D.h. alles läuft über lokale Dateien, hier z.B. MeinePasswörter.kdbx.
Geräte müssen per VPN verbunden sein (SSL nicht nötig), nur dann kann Syncthing walten.
Kam mir damals simpler und sicherer vor als einen Passwort-Manager wie Vaultwarden selbst zu hosten. Vor allem weil man Updates und Backups separat managen muss, ebenso die Fälle in denen was schief geht (Server down, Hard- und Software kaputt, usw.).
Meine Passwort-Datei wird einfach mit gebackupt, mit meinen anderen wichtigen Daten. Und ehrlicherweise bin ich auch skeptisch ob ich als Laie meinen Homeserver wirklich gut genug abgesichert und gewartet bekomme wenn ich mich nicht ständig damit beschäftigen will.
Ist aber sicher Geschmackssache ob man lieber die Anwendung lokal laufen lässt und die Datenbank (Datei) synchronisiert oder ob man die Anwendung zentral auf dem Server laufen lässt und nur per App oder Webinterface drauf zugreift (Vaultwarden und andere).
Und die Datei in iOS (hast du überhaupt iOS?) synchronisierst du dann immer manuell ab und zu? Habe jetzt mal Synctrain probiert. Automatisch synchronisiert da leider nix.
Eben erst gesehen. Nein privat nutze ich kein iOS. Aber Sushitrain scheint ne Alternative zu sein.
Wenn nichts automatisch synchronisiert könnte man die App mit nem Scheduler alle paar Stunden öffnen. So mache ich das auf meinem Android auch weil ich gar nicht will, dass Syncthing immer im Hintergrund läuft. Das zieht mir im Dauerbetrieb zu viel Akku weil es ja andauernd checken muss ob irgendwas asynchron ist.
Ich öffne die App also nur Nachts um 2Uhr für den sync
Hat eigentlich jemand von euch einen Tipp für so eine Art Kaltarchiv-Anbieter, der nicht unbedingt Amazon ist?
Ich sichere täglich meine Konfigurationen und Daten der einzelnen Dienste (home assistant, paperless, influx,…) in meinen Storage Share bei Hetzner (aka managed nextcloud), allerdings läuft das natürlich schnell mal voll und solche Backups müssen ja auch nicht permanent erreichbar sein.
Danke euch allen für euren Input. In letzter Zeit hatte ich wenig Zeit und Muße dranzubleiben. Dabei stelle ich fest: vieles läuft nach dem Motto set and forget. Das ist gut, denn alles läuft bisher eigentlich problemlos und stabil. Risiko ist natürlich, dass man dann unter Umständen auch Update-faul wird und da braucht’s dann schon etwas Selbstdisziplin.
Bezüglich des Passwortmanagers habe ich mich für @Dejo s Lösung (leicht modifiziert) entschieden:
Syncthing auf NAS, Laptop und via Synctrain auf iOS
KeePassXC auf dem Laptop, KeePassium App auf iOS
LastPass Datenbank exportiert In KeePassXC und verschlüsselt in einen geteilten Syncthing Ordner
Anfangs habe ich beim Testen wahrscheinlich zu schnell und zu viel gleichzeitig ausprobiert. Da hat sich Syncthing hier und da verschluckt und vorsichtshalber bei Synchronisationskonflikten mehrere Versionen der Datei angelegt. Daher meine Anfangsschwierigkeiten (siehe auch meine Beiträge im Threadverlauf hier). In der Praxis (nutze es im Augenblick ausschließlich für die Passwortdatenbank) spielt das keinerlei Rolle. Man ändert ja nicht im Sekundentakt Passwörter auf unterschiedlichen Geräten. Das ich mich für die Lösung entschieden habe liegt vor allem daran, dass mir die Gewissheit gefällt, eine lokale Kopie der Datenbank auf meinen Geräten auch dann zur Verfügung zu haben, wenn mein Homelab mal Offline sein sollte.
Next Step wird wohl primär eine Bereinigung und Anpassung der Passwortdatenbank. Einige Sachen will ich noch optimieren (z.B. Kreditkartendaten) und in die Passkey Geschichte muss ich gedanklich noch reinkommen. Ach und Adguard natürlich auch noch.
btw: Ich bin immernoch happy mit dem ganzen Bumms angefangen zu haben. Es macht, trotz einiger Frustmomente, Spaß. Darüber hinaus fühlt es sich tatsächlich sinnvoll im Sinne digitaler Unabhängigkeit an. Diese Art der Befriedigung (hier Teenager-Witz einfügen) heilt für mich auch die ein oder andere vermeintliche Komforteinbuße. Ich glaube so müssen sich so Selbstversorger oder Prepper fühlen.
@renao: was spricht gegen ein stumpfes Backup auf eine externe Platte?
Da habe ich mir bisher recht wenig Gedanken drüber gemacht. Hatte meine Dokumente von filleee importiert (und dann den fileee Account gelöscht). Paperless sagt, dass da 438 Dokumente drin sind. Mal via Scanner, mal via iPhone Kamera gescannt, mal eine Rechnung direkt aus einer Mail reingezogen. Der Paperless-Ordner auf dem NAS kommt so aktuell auf 1,7 GB.
Ach was mir noch einfällt:
auf iOS QuickScan eingerichtet (scannt Dokumente dann automatisch in den einmalig eingerichteten Paperless-Ordner)
So sehe ich das übrigens auch.
Natürlich haben bitwarden und Co auch Versionen im Cache falls der Server nicht erreichbar ist.
Aber mir ist das einfach zu unsicher. Schließlich liegt da meine komplette digitale Identität. Wenn der Zugriff darauf wieso auch immer weg ist hat man ein riesen Problem. Das ist der superrduperGAU .
Kann ja auch sein, dass bitwarden und ähnliche Dienste von heute auf morgen alles löschen, ihren Server platt machen, dann synchronisiert mein Handy und Laptop das und weg sind die Passwörter. Einfach weil kein Bock mehr, gehackt, Trump oder sonst irgendeine Kacke passiert.
Klar, absolut unwahrscheinlicher Fall. Aber bei nem PW Manager hab ich halt auch alles zu verlieren.
Deshalb ist die komplett lokale Variante einfach am sichersten. Habe Kopien auf allen Devices und für den Fall dass Syncthing was irres macht und auf allen Devices alles löscht (reicht ja wenn’s auf einem Device gelöscht wird ) zusätzlich mache ich noch jede Nacht ein Backup mit restic (via backrest als WebGUI) ein Backup in zwei Clouds (Gmail, OneDrive, Dropbox, You name it, …)
Grundsätzlich nichts, aber wenn ich die Daten sowieso schon digitalisiert habe, dann würde ich diese auch gerne nochmal abseits des Hauses gesichert wissen
Das eine schließt das andere ja auch nicht aus, nur fressen die Backups mit jeweils 3,3 GB bei rund 1.500 Dokumenten und aktuell sichere ich immernoch täglich, da ich noch keine Lust hatte ein rollierendes Backup-System in mein Skript einzubauen (mag Bash Coding nicht sonderlich ).
paperless belässt die Dokument so, wie du sie dort reinwirfst.
Das ist aus meiner Sicht auch genau die richtige Vorgehensweise, da PDF an sich ja schon ein u.a. auf Größe optimiertes Austauschformat ist.
Zudem hat PDF viele unterschiedliche Standards und Ausprägungen, da tut paperless gut daran nicht irgendwelche Dinge an den Daten ihrer Nutzer zu vermuten. Das kann nur schief gehen
Neben den Dokumenten selbst werden ja noch die Metadaten in einem Datenbanksystem abgelegt. Dabei handelt es sich bei den möglichen Systemen (Standard: postgres afaik) sowieso um tot-optimierte Software, da wird zur Laufzeit nur noch wenig rauszuholen sein - und wenn, dann sicherlich zu Kosten der Benutzbarkeit durch verlängerte Ladezeiten oder gar fehlerhafte Textsuchen.
Na ja, und bislang macht paperless das aus meiner Sicht auch ziemlich gut, sich nicht allzu sehr mit dem Kleinklein der ganzen unterstützten Dateiformate zu verlieren, sondern die Organisation der Daten zu pflegen
Puh, total einleuchtend und eigentlich auch komplett bewusst - aber dieser Satz ist gerade nochmal ein Augenöffner zumindest mal selbst auch mal einen Datensatz meines Vaults zu ziehen. Guter Punkt, gute Erinnerung.