Vaultwarden¶
Gestor de contraseñas propio. Compatible con todos los clientes de Bitwarden.
📁 Rutas y configs¶
| Qué | Dónde |
|---|---|
| Compose | /opt/docker/vaultwarden/docker-compose.yml |
| Variables de entorno | /opt/docker/vaultwarden/.env |
| Datos | /opt/docker/vaultwarden/vw-data |
Contenedor: vaultwarden Puerto: 8505 URL pública: https://vault.matias7235.com.ar Panel admin: solo accesible desde red local (http://localhost:8505/admin)
🌐 Exposición¶
Expuesto públicamente vía Caddy en vault.matias7235.com.ar. El /admin* está bloqueado fuera de 192.168.0.0/24 y 10.66.66.0/24 (devuelve 403).
La variable DOMAIN=https://vault.matias7235.com.ar en el .env es obligatoria — sin ella Vaultwarden no acepta conexiones desde proxy.
🔥 Problemas comunes| Problema | Solución |¶
| --- | --- |
| No puedo entrar al panel admin | Solo accesible desde red local. Verificar ADMIN_TOKEN en .env |
| Cliente Bitwarden no conecta | Verificar que DOMAIN en .env coincida con la URL pública |
🔐 Seguridad¶
⚠️ Vaultwarden guarda TODAS tus contraseñas. Es el servicio más crítico del servidor.
- [x]
SIGNUPS_ALLOWED=false— registro de nuevos usuarios deshabilitado - [x]
ADMIN_TOKENhasheado con argon2 y guardado en.envseparado - [x]
/adminbloqueado desde internet a nivel de túnel (devuelve 404) - [x] Expuesto vía Caddy con
DOMAINconfigurado - [ ] Activar 2FA en todas las cuentas desde el cliente Bitwarden
Backup crítico: La carpeta /opt/docker/vaultwarden/vw-data contiene todas las contraseñas. Hacer backup regularmente.