Saltar a contenido

Vaultwarden

Gestor de contraseñas propio. Compatible con todos los clientes de Bitwarden.


📁 Rutas y configs

Qué Dónde
Compose /opt/docker/vaultwarden/docker-compose.yml
Variables de entorno /opt/docker/vaultwarden/.env
Datos /opt/docker/vaultwarden/vw-data

Contenedor: vaultwarden Puerto: 8505 URL pública: https://vault.matias7235.com.ar Panel admin: solo accesible desde red local (http://localhost:8505/admin)


🌐 Exposición

Expuesto públicamente vía Caddy en vault.matias7235.com.ar. El /admin* está bloqueado fuera de 192.168.0.0/24 y 10.66.66.0/24 (devuelve 403).

La variable DOMAIN=https://vault.matias7235.com.ar en el .env es obligatoria — sin ella Vaultwarden no acepta conexiones desde proxy.



🔥 Problemas comunes| Problema | Solución |

| --- | --- | | No puedo entrar al panel admin | Solo accesible desde red local. Verificar ADMIN_TOKEN en .env | | Cliente Bitwarden no conecta | Verificar que DOMAIN en .env coincida con la URL pública |


🔐 Seguridad

⚠️ Vaultwarden guarda TODAS tus contraseñas. Es el servicio más crítico del servidor.

  • [x] SIGNUPS_ALLOWED=false — registro de nuevos usuarios deshabilitado
  • [x] ADMIN_TOKEN hasheado con argon2 y guardado en .env separado
  • [x] /admin bloqueado desde internet a nivel de túnel (devuelve 404)
  • [x] Expuesto vía Caddy con DOMAIN configurado
  • [ ] Activar 2FA en todas las cuentas desde el cliente Bitwarden

Backup crítico: La carpeta /opt/docker/vaultwarden/vw-data contiene todas las contraseñas. Hacer backup regularmente.