02-01-2025, 10:12 PM
Hola
En este post voy a describir como instalar un docker gestor de claves vía web que nos permita acceder al mismo desde el exterior de nuestra red local.
1-Vaultwarden por docker
2-Tengo un dominio y nginx
3-No tengo dominio, ni nginx
4-Apertura del puerto 443 hacia nuestra nas
Este docker es una evolución del docker BitWarden que es de código abierto. Aunque mas que evolución es una separación creada por Daniel García para evitar problemas legales por nombre.
Es por ello que los menús y funcionalidades son casi idénticas.
1-VaultWarden
El despliegue es sencillo, pero antes hemos de cumplir dos requisitos previos:
-la web estar accesible mediante una DDNS (no estar bajo CGNAT)
-la web ha de tener un certificado ssl
Ambos requisitos previos pueden ser cumplidos si tenemos por ejemplo un docker nginx proxy manager ya instalado y un nombre dns apuntando a nuestra NAS.
Aunque veremos que hay alguna forma mas de poder hacerlo.
El comando de creación del docker es muy sencillo, tan sólo hemos de ejecutar en nuestra consola de nuetrs NAS (ARM o x86)
En el comando anterior hemos definido:
--name vaultwarden para indicar que el nombre del docker será "vaultwarden"
--restart always para indicar que el docker se iniciará automáticamente cada vez que reiniciemos la nas o el container station
-p 8787:80 para indicar que el puerto 8787 es con el que accederemos al entorno web. Es un puerto de la nas, no del docker y podemos cambiarlo a nuestro gusto.
-v /share/DockerData/VaultWarden:/data/ es la ruta persistente de los datos del docker. En el ejemplo es una carpeta VaultWarden que está dentro un carpeta compartida llamada DockerData. Esto podemos cambiarlo según nuestras necesidades.
El container lo he obtenido de esta dirección https://hub.docker.com/r/vaultwarden/server
Tras la ejecución del comando veremos que se ha instalado sin problemas
[attachment=3430]
De hecho podríamos ir a la web principal escribiendo en nuestro navegador web la ip de la nas seguida del puerto 8788
[attachment=3431]
Pero no nos va servir de mucho ya que a la hora de registrarnos, veremos que nos da un error por no tener la página segura con el certificado SSL
[attachment=3432]
[attachment=3433]
2-Tengo un dominio y nginx
Para ello usaremos nuestra nginx proxy manager y definiremos una entrada en él, similar a la siguiente:
[attachment=3434]
[attachment=3435]
Ahora sólo nos queda crear un dns que apunte a nuestra NAS del tipo "nombre_web.mi_dominio.com" en nuestra gestión de dns del dominio
3-No tengo un dominio y nginx
Soy "pobre"
y sólo dispongo del certificado myqnapcloud.com de LetsEncrypt que me da QNAP.
Aquí lo único que podemos hacer el activar el proxy inverso que integra QTS.
Al tener un nombre de dns tipo nombre_nas.myqnapcloud.com sólo podemos tener una única web accesible al exterior, la de VaultWarden
Lo primero que tenemos que tener es disponible el puerto 443. Generalmente lo tenemos activado para el acceso de QTS junto con el 8080.
Para dejarlo libre hemos de cambiarlo en el panel de control para que QTS use por ejemplo en 1443.
[attachment=3436]
Hemos de comprobar que tenemos el certificado SSL para nuestra nas, para comprobarlo vamos la app "QTS SSL Certificate" y veremos algo similar a
la siguiente imagen
[attachment=3437]
Esa dirección mi_web.myqnapcloud.com que hace es apuntar a nuestra ip pública ( SI ESTAMOS BAJO CGNAT NO FUNCIONARÁ)
Ahora, suponiendo que ya tenemos nuestro certificado de myQNAPcloud operativo en nuestra nas
Hemos de ir al panel de control, Red y servicios de archivos, Acceso a redes e ir a la lengüeta de Proxy Inverso
[attachment=3438]
Continuamos con el asistente y rellenamos con los datos siguientes:
[attachment=3439]
Tras aceptar veremos que ya tenemos la regla definida.
4-Apertura del puerto 443 hacia nuestra nas
Ahora en nuestro router debemos abrir el puerto 443 en TCP hacia la ip de nuestra NAS.
Esto depende de cada modelo y no siempre se hace igual.
Pero una vez abierto ese puerto y si todo ha salido bien, cuando desde el exterior vamos a la web https://mi_web.myqnapcloud.com deberíamos ver la web de VaultWarden
[attachment=3440]
Ahora ya podemos dar de alta a usuarios ya que cumplimos el requisito de estar en una web con certificado ssl
[attachment=3441]
Una vez logueados podemos ver las siguientes pantallas de uso y de configuración
Esta es la pantalla principal
[attachment=3442]
Desde esta pantalla podemos enviar cadenas de texto mediante enlaces con clave. Esta función es similar a este docker pwpush
[attachment=3443]
Esta opción es para generar claves según criterios de longitud y caracteres a emplear.
[attachment=3444]
Esta pantalla es para importar claves desde otros formatos y programas
[attachment=3445]
Esta pantalla es para exportar nuestra claves
[attachment=3446]
Esta pantalla nos genera distintos informes acerca de la calidad de nuestras claves, sus filtrados, estado del 2FA...
[attachment=3447]
Esta es la pantalla para cambiar nuestro correo electrónico
[attachment=3448]
Esta es la lengüeta para cambiar la clave de acceso y la pista de la misma.
[attachment=3449]
Desde esta lengüeta podemos activar distintos 2FA
[attachment=3450]
Pantalla de algoritmo de cifrado y gestión de la clave API para ser usada desde consola de comandos.
[attachment=3451]
Pantalla de preferencias del programa
[attachment=3452]
Pantalla de equivalencias entre dominios para que el programa se comporte igual en ellos
[attachment=3453]
Pantalla de contactos de emergencia en caso de problemas para que puedan tomar control de nuestra cuenta
[attachment=3454]
Para salir pulsaremos sobre el menú de arriba a la derecha
[attachment=3455]
Y si queremos obtener mas información y aplicaciones clientes podemos ir a https://bitwarden.com/download/
Curiosamente las aplicaciones son las de BitWarden.
En este post voy a describir como instalar un docker gestor de claves vía web que nos permita acceder al mismo desde el exterior de nuestra red local.
1-Vaultwarden por docker
2-Tengo un dominio y nginx
3-No tengo dominio, ni nginx
4-Apertura del puerto 443 hacia nuestra nas
Este docker es una evolución del docker BitWarden que es de código abierto. Aunque mas que evolución es una separación creada por Daniel García para evitar problemas legales por nombre.
Es por ello que los menús y funcionalidades son casi idénticas.
1-VaultWarden
El despliegue es sencillo, pero antes hemos de cumplir dos requisitos previos:
-la web estar accesible mediante una DDNS (no estar bajo CGNAT)
-la web ha de tener un certificado ssl
Ambos requisitos previos pueden ser cumplidos si tenemos por ejemplo un docker nginx proxy manager ya instalado y un nombre dns apuntando a nuestra NAS.
Aunque veremos que hay alguna forma mas de poder hacerlo.
El comando de creación del docker es muy sencillo, tan sólo hemos de ejecutar en nuestra consola de nuetrs NAS (ARM o x86)
Code:
docker run -d --name vaultwarden --restart always -p 8787:80 -v /share/DockerData/VaultWarden:/data/ vaultwarden/server:latestEn el comando anterior hemos definido:
--name vaultwarden para indicar que el nombre del docker será "vaultwarden"
--restart always para indicar que el docker se iniciará automáticamente cada vez que reiniciemos la nas o el container station
-p 8787:80 para indicar que el puerto 8787 es con el que accederemos al entorno web. Es un puerto de la nas, no del docker y podemos cambiarlo a nuestro gusto.
-v /share/DockerData/VaultWarden:/data/ es la ruta persistente de los datos del docker. En el ejemplo es una carpeta VaultWarden que está dentro un carpeta compartida llamada DockerData. Esto podemos cambiarlo según nuestras necesidades.
El container lo he obtenido de esta dirección https://hub.docker.com/r/vaultwarden/server
Tras la ejecución del comando veremos que se ha instalado sin problemas
[attachment=3430]
De hecho podríamos ir a la web principal escribiendo en nuestro navegador web la ip de la nas seguida del puerto 8788
[attachment=3431]
Pero no nos va servir de mucho ya que a la hora de registrarnos, veremos que nos da un error por no tener la página segura con el certificado SSL
[attachment=3432]
[attachment=3433]
2-Tengo un dominio y nginx
Para ello usaremos nuestra nginx proxy manager y definiremos una entrada en él, similar a la siguiente:
[attachment=3434]
[attachment=3435]
Ahora sólo nos queda crear un dns que apunte a nuestra NAS del tipo "nombre_web.mi_dominio.com" en nuestra gestión de dns del dominio
3-No tengo un dominio y nginx
Soy "pobre"
y sólo dispongo del certificado myqnapcloud.com de LetsEncrypt que me da QNAP.Aquí lo único que podemos hacer el activar el proxy inverso que integra QTS.
Al tener un nombre de dns tipo nombre_nas.myqnapcloud.com sólo podemos tener una única web accesible al exterior, la de VaultWarden
Lo primero que tenemos que tener es disponible el puerto 443. Generalmente lo tenemos activado para el acceso de QTS junto con el 8080.
Para dejarlo libre hemos de cambiarlo en el panel de control para que QTS use por ejemplo en 1443.
[attachment=3436]
Hemos de comprobar que tenemos el certificado SSL para nuestra nas, para comprobarlo vamos la app "QTS SSL Certificate" y veremos algo similar a
la siguiente imagen
[attachment=3437]
Esa dirección mi_web.myqnapcloud.com que hace es apuntar a nuestra ip pública ( SI ESTAMOS BAJO CGNAT NO FUNCIONARÁ)
Ahora, suponiendo que ya tenemos nuestro certificado de myQNAPcloud operativo en nuestra nas
Hemos de ir al panel de control, Red y servicios de archivos, Acceso a redes e ir a la lengüeta de Proxy Inverso
[attachment=3438]
Continuamos con el asistente y rellenamos con los datos siguientes:
[attachment=3439]
Tras aceptar veremos que ya tenemos la regla definida.
4-Apertura del puerto 443 hacia nuestra nas
Ahora en nuestro router debemos abrir el puerto 443 en TCP hacia la ip de nuestra NAS.
Esto depende de cada modelo y no siempre se hace igual.
Pero una vez abierto ese puerto y si todo ha salido bien, cuando desde el exterior vamos a la web https://mi_web.myqnapcloud.com deberíamos ver la web de VaultWarden
[attachment=3440]
Ahora ya podemos dar de alta a usuarios ya que cumplimos el requisito de estar en una web con certificado ssl
[attachment=3441]
Una vez logueados podemos ver las siguientes pantallas de uso y de configuración
Esta es la pantalla principal
[attachment=3442]
Desde esta pantalla podemos enviar cadenas de texto mediante enlaces con clave. Esta función es similar a este docker pwpush
[attachment=3443]
Esta opción es para generar claves según criterios de longitud y caracteres a emplear.
[attachment=3444]
Esta pantalla es para importar claves desde otros formatos y programas
[attachment=3445]
Esta pantalla es para exportar nuestra claves
[attachment=3446]
Esta pantalla nos genera distintos informes acerca de la calidad de nuestras claves, sus filtrados, estado del 2FA...
[attachment=3447]
Esta es la pantalla para cambiar nuestro correo electrónico
[attachment=3448]
Esta es la lengüeta para cambiar la clave de acceso y la pista de la misma.
[attachment=3449]
Desde esta lengüeta podemos activar distintos 2FA
[attachment=3450]
Pantalla de algoritmo de cifrado y gestión de la clave API para ser usada desde consola de comandos.
[attachment=3451]
Pantalla de preferencias del programa
[attachment=3452]
Pantalla de equivalencias entre dominios para que el programa se comporte igual en ellos
[attachment=3453]
Pantalla de contactos de emergencia en caso de problemas para que puedan tomar control de nuestra cuenta
[attachment=3454]
Para salir pulsaremos sobre el menú de arriba a la derecha
[attachment=3455]
Y si queremos obtener mas información y aplicaciones clientes podemos ir a https://bitwarden.com/download/
Curiosamente las aplicaciones son las de BitWarden.