Vaultwarden selber hosten statt Bitwarden. Läuft bei mir super. Du kannst im Browser und auf dem Handy die Bitwarden App nutzen. Da Du schon Wireguard am laufen hast die perfekte Lösung.
Hast Du schon Adguard selber gehostet? Damit schmeisst Du sämtliche Werbung aus Deinem Netzwerk, auch unterwegs dank Wireguard.
Da scheitere ich momentan noch an der besagten SSL Geschichte. Du kannst dein Setup ja mal posten.
Bei mir: Vaulwarden auf NAS via Docker → NAS an FRITZ!Box → WireGuard VPN auf FRITZ!Box für einzelne Geräte (in dem Fall mein Smartphone) → WireGuard VPN auf Gerät aktivieren
Soweit ich mich gerade erinnere, scheiterte ich schon daran Vaultwarden via Browser unter http://NAS-IP:Port einzurichten, weil er schon da rumgemeckert hat, dass er kein SSL Zertifikat findet.
@Dejo : Syncthing kenne ich noch gar nicht. Meinst du, damit könnte man den SSL Zwang umgehen? Sollte man das überhaupt? Hat sich nicht irgendwer was dabei gedacht?
Ich hab exakt das selbe Setup. Du brauchst für die SSL Geschichte einen Reverse Proxy. Klingt schlimmer als es ist. Ist eine Sache von 5 Minuten das einzurichten.
Meld Dich wenn Du Hilfe brauchst.
Das brauchst Du bei noch mehreren Anwendungen, dahermacht das Sinn das einmal einzurichte.
Paperless und der Unifi Controller brauchen das auch
Paperless klappt auch prima „nur“ über VPN.
Aber deine Hilfe nehme ich sicher gerne an. Melde mich!
Was bedeutet denn er meckert rum?
Verweigert er die Verbindung?
Je nachdem was für ein Zertifikat du einbindest, kann das ebenso nicht funktionieren. Bspw. ist häufig ein selbst ausgestelltes Zertifikat (also eines das nicht auf eine anerkannte Vertrauensstelle zurückgeführt werden kann) auch nicht besser bzw. viele Programme verhalten sich da gleichermaßen, wie wenn kein Zertifikat vorliegt.
Andererseits ist SSL auch „nur“ Transportverschlüsselung. In einem separierten Netz würde man auf sowas in der Regel auch verzichten, da es nur zusätzliche Aufwände erzeugt - aber da muss man selbst wissen, wie „sicher“ einem das Heimnetz erscheint - würde dahingehend auch selbst keine Empfehlungen abgeben (und so viel spart man auch nicht durch einen Verzicht von SSL-Verschlüsselung im Privaten).
Der Reverse-Proxy läuft dann mit auf derselben Kiste wie die anderen Dienste?
Aus meiner Sicht sollte das auch weitere kosmetische Schönheiten ermöglichen, also bspw. eigene (Sub-)Domains für die Dienste auf den jeweiligen Ports - ergo könntest du paperless.balu.intern auf balu:8000, portainer.balu.intern auf balu:8090 etc. weiterleiten.
Ist auch bei mir ein Thema für nach den Schulferien - wenn ich wieder Zeit habe 
so mache ich das bei meinem Reverse Proxy. Die Kiste gibt nichts nach draußen, es bleibt alles im LAN. Verbindung nach außen nur über VPN möglich.
Meine heißen ganz simpel:
vaultwarden.lan
paperless.lan
Machmalpaperless.lan!
Klingt nach Schulhof 
.malakka, .kurva,… ich sehe Potentiale 
Ja. Syncthing ist einfach eine File-Synchronisierungssoftware. Damit kann man sehr simpel Dateien zwischen verschiedenen Geräten synchronisieren.
KeepassXC ist ein Passwort Manager der file-basiert arbeitet. D.h. alles läuft über lokale Dateien, hier z.B. MeinePasswörter.kdbx.
Geräte müssen per VPN verbunden sein (SSL nicht nötig), nur dann kann Syncthing walten.
Kam mir damals simpler und sicherer vor als einen Passwort-Manager wie Vaultwarden selbst zu hosten. Vor allem weil man Updates und Backups separat managen muss, ebenso die Fälle in denen was schief geht (Server down, Hard- und Software kaputt, usw.).
Meine Passwort-Datei wird einfach mit gebackupt, mit meinen anderen wichtigen Daten. Und ehrlicherweise bin ich auch skeptisch ob ich als Laie meinen Homeserver wirklich gut genug abgesichert und gewartet bekomme wenn ich mich nicht ständig damit beschäftigen will.
Ist aber sicher Geschmackssache ob man lieber die Anwendung lokal laufen lässt und die Datenbank (Datei) synchronisiert oder ob man die Anwendung zentral auf dem Server laufen lässt und nur per App oder Webinterface drauf zugreift (Vaultwarden und andere).
Und die Datei in iOS (hast du überhaupt iOS?) synchronisierst du dann immer manuell ab und zu? Habe jetzt mal Synctrain probiert. Automatisch synchronisiert da leider nix.