Noch ein kurzer Nachschlag zum Thema Vaultwarden selbst hosten.
Ich hatte ja berichtet, dass ich den Server intern mit einem A-Record im Gateway lokal bekannt machen konnte. Soweit, so gut.
Der Yunohost lieferte ein selbstsigniertes Zertifikat, die Webseite war erreichbar. Freudig wollte ich dann die App auf dem Phone anmelden und musste feststellen, dass die sich nicht mit sowas zufrieden gab sondern ein offizielles Zertifikat verlangte.
Ooooookay, dann halt anders.
Webadresse "draußen" angemeldet, kurz Ports 80 und 443 auf die Maschine umgeleitet, echtes Let's-Encrypt gezogen, Ports wieder auf den Reverse Proxy. Alle zufrieden, da sämtliche Clients im Heimnetz sind. Mobiler Zugriff nur per Wireguard.
Damit die Kiste auch keinesfalls vom Proxy aus erreichbar ist, iptables entsprechend eingerichtet, so dass nur Pakete von einer Handvoll Geräte überhaupt ankommen. Drei Rechner, ein Tablet, ein Smartphone. Überschaubar.
Warum einfach, wenn es auch interessant geht?