Vaultwarden in Proxmox (selfhosted) ist über das eigene Netzwerk nicht erreichbar? Eine Anleitung zur Fehlerbehebung

Es ist ein klassisches Szenario für jeden Selfhosting-Enthusiasten: Man hat Stunden damit verbracht, alles einzurichten – den Proxmox-Server, eine VM oder einen LXC-Container, darauf Vaultwarden (die beliebte Bitwarden-Alternative) installiert – nur um dann festzustellen, dass man nicht darauf zugreifen kann. Die Frustration ist groß, besonders wenn die Zugangsdaten sicher verwahrt werden sollen und man nun vor einem scheinbar unerreichbaren Tresor steht. Keine Sorge, Sie sind nicht allein! Dieses Problem ist häufiger, als Sie denken, und meistens auf eine Handvoll bekannter Ursachen zurückzuführen.

In diesem umfassenden Leitfaden nehmen wir Sie Schritt für Schritt durch die gängigsten Fehlerquellen und bieten detaillierte Lösungen, um Ihr Vaultwarden endlich im heimischen Netzwerk erreichbar zu machen. Von der Basis-Netzwerkkonfiguration in Proxmox bis hin zu spezifischen Vaultwarden-Einstellungen – wir decken alles ab.

Warum ist mein Vaultwarden nicht erreichbar? Die häufigsten Übeltäter

Bevor wir in die Tiefe gehen, verschaffen wir uns einen Überblick über die typischen Verdächtigen, wenn Vaultwarden in Proxmox nicht über das Netzwerk erreichbar ist:

1. Netzwerkkonfiguration: Falsche IP-Adressen, Subnetzmasken, Gateways oder DNS-Einstellungen auf Proxmox-Ebene oder innerhalb der VM/LXC.
2. Firewall-Blockaden: Proxmox-Firewall, Firewall der VM/LXC (z.B. UFW, iptables) oder sogar eine clientseitige Firewall können den Zugriff verhindern.
3. Vaultwarden-Konfiguration: Der Dienst ist möglicherweise falsch konfiguriert (z.B. lauscht er nur auf localhost), oder er läuft gar nicht erst.
4. Dienststatus: Vaultwarden-Dienst oder Docker-Container läuft nicht.
5. IP-Konflikte: Eine andere Maschine im Netzwerk hat dieselbe IP-Adresse.
6. Reverse Proxy: Falls ein Reverse Proxy (Nginx, Caddy) verwendet wird, könnte dessen Konfiguration fehlerhaft sein.

Diese Anleitung konzentriert sich auf den Zugriff innerhalb des Heimnetzwerks. Themen wie Port-Weiterleitung oder externes DNS werden nur am Rande behandelt, da sie für den lokalen Zugriff nicht direkt relevant sind.

Voraussetzungen und grundlegende Annahmen

Für diese Anleitung gehen wir davon aus, dass:

• Proxmox VE installiert und grundlegend eingerichtet ist.
• Sie eine VM oder einen LXC-Container erstellt haben, in dem Vaultwarden laufen soll.
• Vaultwarden (meistens über Docker) in der VM/LXC installiert wurde.
• Sie SSH-Zugriff auf Ihren Proxmox-Host und die Vaultwarden-VM/LXC haben.
• Sie grundlegende Linux-Befehle beherrschen.

Schritt 1: Proxmox-Basisprüfung – Ist die Infrastruktur stabil?

Bevor wir uns auf Vaultwarden stürzen, stellen wir sicher, dass die Basis stimmt. Ihr Proxmox-Host muss korrekt im Netzwerk sein.

1.1 Proxmox-Webinterface erreichbar?

Können Sie das Proxmox Webinterface (üblicherweise unter https://:8006) von einem anderen Gerät im Netzwerk erreichen? Wenn nicht, liegt das Problem bereits auf der Proxmox-Ebene.

1.2 Proxmox-Netzwerkkonfiguration prüfen

Melden Sie sich per SSH am Proxmox-Host an. Überprüfen Sie die Netzwerkkonfiguration:

• IP-Adresse: ip a oder ifconfig (falls installiert). Notieren Sie sich die IP-Adresse und Subnetzmaske.
• Gateway und DNS: Überprüfen Sie cat /etc/resolv.conf und ip r. Stellen Sie sicher, dass das Gateway die IP-Adresse Ihres Routers ist und die DNS-Server korrekt sind.
• Netzwerkinterfaces: Die primäre Netzwerkkonfiguration in Proxmox findet sich unter /etc/network/interfaces. Ein typischer Eintrag für eine Bridge (vmbr0), die für VMs und LXCs genutzt wird, sieht so aus:

  auto vmbr0
  iface vmbr0 inet static
      address 192.168.1.10/24 # Ihre Proxmox-IP
      gateway 192.168.1.1     # Ihr Router
      bridge-ports eno1      # Ihr physischer Netzwerkadapter
      bridge-stp off
      bridge-fd 0

  Stellen Sie sicher, dass die address, gateway und bridge-ports zu Ihrer Hardware und Ihrem Netzwerk passen.

• Konnektivität testen:
  • ping 8.8.8.8 (Google DNS) – Prüft Internetverbindung.
  • ping – Prüft Verbindung zum Router.
  • ping google.com – Prüft DNS-Auflösung.

Schritt 2: Die Vaultwarden VM/LXC – Die Zwischenstation

Als Nächstes konzentrieren wir uns auf die virtuelle Maschine oder den Container, der Vaultwarden hostet.

2.1 VM/LXC Erreichbarkeit prüfen

• Ping von Proxmox: Pingen Sie die IP-Adresse Ihrer Vaultwarden-VM/LXC vom Proxmox-Host aus: ping . Wenn das fehlschlägt, ist die VM/LXC möglicherweise nicht richtig mit der Proxmox-Bridge verbunden oder hat eine falsche IP.
• Ping vom Client: Pingen Sie die IP-Adresse Ihrer Vaultwarden-VM/LXC von Ihrem Arbeits-PC aus. Funktioniert das nicht, deutet es auf ein Problem in der Netzwerkkonfiguration der VM/LXC oder eine Firewall hin.
• SSH-Zugriff: Können Sie sich per SSH an der Vaultwarden-VM/LXC anmelden? Wenn ja, ist das Netzwerk zumindest bis zu einem gewissen Grad funktionsfähig.

2.2 Netzwerkkonfiguration innerhalb der VM/LXC

Melden Sie sich per SSH in Ihrer Vaultwarden-VM/LXC an und überprüfen Sie die Netzwerkeinstellungen:

• IP-Adresse: Führen Sie ip a oder ifconfig aus.

  Wichtig: Geben Sie Ihrer VM/LXC eine statische IP-Adresse. Bei DHCP könnte sich die IP ändern, was zu Verbindungsproblemen führt. Die IP muss im selben Subnetz wie Ihr Proxmox-Host und Ihr Router liegen (z.B. 192.168.1.x). Stellen Sie sicher, dass keine andere Maschine dieselbe IP verwendet.

• Gateway und DNS: Prüfen Sie cat /etc/resolv.conf und ip r. Gateway und DNS-Server sollten korrekt konfiguriert sein, idealerweise Ihr Router und/oder ein öffentlicher DNS-Server (z.B. 1.1.1.1, 8.8.8.8).
• Netzwerkadapter (nur VM): In den Proxmox-Hardwareeinstellungen der VM sollte der Netzwerkadapter auf VirtIO (paravirtualisiert) eingestellt sein, da dies die beste Leistung bietet.
• LXC-spezifisch: In den Proxmox-Einstellungen Ihres LXC unter „Netzwerk” stellen Sie sicher, dass IPv4/IPv6 korrekt konfiguriert ist (statisch oder DHCP). Der Netzwerknamen sollte net0 sein und an die Proxmox-Bridge (vmbr0) gebunden sein.
• Konnektivität testen: Pingen Sie von der VM/LXC aus Ihren Router und eine externe Adresse (ping , ping google.com).

Schritt 3: Firewalls – Die unsichtbaren Barrieren

Firewalls sind eine häufige Ursache für nicht erreichbare Dienste. Sie können auf mehreren Ebenen aktiv sein.

3.1 Proxmox-Firewall

Proxmox verfügt über eine eigene Firewall, die den Datenverkehr zum Proxmox-Host und zu den VMs/LXC-Containern regeln kann.

• Überprüfen: Gehen Sie im Proxmox Webinterface zu Datacenter -> Firewall. Ist die Firewall aktiviert?
• Regeln prüfen: Überprüfen Sie die Regeln für das Datacenter und speziell für Ihre Vaultwarden-VM/LXC. Gibt es explizite „DROP”- oder „REJECT”-Regeln für den Port, auf dem Vaultwarden lauscht (standardmäßig oft 8000, oder 80/443 wenn ein Reverse Proxy verwendet wird)?
• Temporär deaktivieren (nur zu Testzwecken!): Für reine Testzwecke können Sie die Firewall temporär deaktivieren (im Datacenter oder für die VM/LXC unter „Firewall” -> „Enabled” deaktivieren). Wenn der Zugriff danach funktioniert, wissen Sie, dass die Firewall die Ursache war und müssen entsprechende Regeln hinzufügen.
• Regel hinzufügen: Fügen Sie eine Regel hinzu, die den gewünschten Port (z.B. 8000) für Vaultwarden erlaubt.

3.2 VM/LXC-interne Firewall

Auch innerhalb Ihrer Vaultwarden-VM/LXC kann eine Firewall aktiv sein (z.B. UFW für Ubuntu/Debian, firewalld für CentOS/Fedora).

• Status prüfen (Ubuntu/Debian):

  sudo ufw status verbose

  Wenn UFW aktiv ist, stellen Sie sicher, dass der Port, auf dem Vaultwarden lauscht, explizit erlaubt ist. Z.B. für Port 8000:

  sudo ufw allow 8000/tcp
  sudo ufw reload

  Für 80/443 (falls Reverse Proxy):

  sudo ufw allow 80/tcp
  sudo ufw allow 443/tcp
  sudo ufw reload

• Status prüfen (CentOS/Fedora):

  sudo firewall-cmd --list-all

  Wenn firewalld aktiv ist, fügen Sie den Port hinzu:

  sudo firewall-cmd --permanent --add-port=8000/tcp
  sudo firewall-cmd --reload

• Temporär deaktivieren (nur zu Testzwecken!):
  • UFW: sudo ufw disable (später sudo ufw enable)
  • firewalld: sudo systemctl stop firewalld (später sudo systemctl start firewalld)

  Wenn der Zugriff nach der Deaktivierung funktioniert, ist die Firewall der Verursacher.

Schritt 4: Vaultwarden Dienst – Läuft er überhaupt und korrekt?

Nachdem die Netzwerkschicht überprüft ist, müssen wir sicherstellen, dass Vaultwarden selbst ordnungsgemäß läuft und auf den richtigen Schnittstellen lauscht.

4.1 Dienststatus prüfen

• Docker-Installation (am häufigsten):

  Prüfen Sie, ob der Docker-Container läuft:

  sudo docker ps

  Suchen Sie nach Ihrem Vaultwarden-Container (oft vaultwarden oder bitwarden). Wenn er nicht in der Liste ist, starten Sie ihn neu (oder überprüfen Sie Ihr docker-compose.yml und führen Sie docker-compose up -d aus).

  Überprüfen Sie die Logs des Containers auf Fehler:

  sudo docker logs 

• Systemd-Dienst (falls nativ installiert):

  sudo systemctl status vaultwarden

  Stellen Sie sicher, dass der Dienst aktiv ist und keine Fehler anzeigt. Falls nicht, starten Sie ihn neu: sudo systemctl restart vaultwarden.

4.2 Port-Bindung prüfen

Dies ist ein *sehr kritischer* Punkt. Vaultwarden muss auf einer Schnittstelle lauschen, die von außen erreichbar ist, nicht nur auf localhost (127.0.0.1).

sudo netstat -tulpn | grep 8000

(Ersetzen Sie 8000 durch den tatsächlichen Port, den Vaultwarden verwendet, falls dieser abweicht. Wenn Sie einen Reverse Proxy verwenden, prüfen Sie 80 und 443, sowie den internen Port zum Vaultwarden-Container, z.B. 8000).

Erwartete Ausgabe:

tcp        0      0 0.0.0.0:8000            0.0.0.0:*               LISTEN      /vaultwarden

oder (für Docker):

tcp        0      0 0.0.0.0:8000            0.0.0.0:*               LISTEN      -

Das Entscheidende ist 0.0.0.0:8000 (oder :::8000 für IPv6). Das bedeutet, Vaultwarden lauscht auf allen Netzwerkschnittstellen. Wenn Sie stattdessen 127.0.0.1:8000 sehen, ist Vaultwarden nur über den lokalen Host erreichbar und kann nicht von anderen Geräten im Netzwerk erreicht werden.

Schritt 5: Vaultwarden-Konfiguration – Das Herzstück des Problems

Wenn Vaultwarden nur auf 127.0.0.1 lauscht, liegt das Problem fast immer an der Konfiguration von Vaultwarden selbst.

5.1 Umgebungsvariablen prüfen

Vaultwarden wird primär über Umgebungsvariablen konfiguriert, oft in einer .env-Datei oder direkt im docker run-Befehl/docker-compose.yml.

Die wichtigste Variable für die Erreichbarkeit ist ROCKET_ADDRESS:

• Suchen Sie die Konfiguration:
  • Wenn Sie Docker Compose verwenden, öffnen Sie Ihre docker-compose.yml.
  • Wenn Sie einen einzelnen docker run-Befehl verwenden, suchen Sie nach den -e-Optionen.
  • Wenn Sie Vaultwarden nativ installiert haben, prüfen Sie die .env-Datei im Installationsverzeichnis.
• Überprüfen Sie ROCKET_ADDRESS:

  Stellen Sie sicher, dass sie auf 0.0.0.0 gesetzt ist. Dies weist Vaultwarden an, auf allen verfügbaren Netzwerkschnittstellen zu lauschen.

  ROCKET_ADDRESS=0.0.0.0

  Wenn sie auf 127.0.0.1 oder gar nicht gesetzt ist, wird sie standardmäßig auf localhost gesetzt, was den externen Zugriff verhindert.

• Überprüfen Sie ROCKET_PORT:

  Dies ist der interne Port von Vaultwarden, üblicherweise 8000. Wenn Sie ihn geändert haben, stellen Sie sicher, dass Sie den richtigen Port verwenden und dieser auch in den Firewalls geöffnet ist.

  ROCKET_PORT=8000

• Docker Port Mapping (wenn kein Reverse Proxy):

  Stellen Sie sicher, dass der Port von Vaultwarden korrekt auf einen Port des Hosts gemappt wird. Im docker run Befehl oder docker-compose.yml sollte etwas wie -p 8000:8000 oder ports: - "8000:8000" stehen. Das erste 8000 ist der Host-Port, das zweite der Container-Port.

5.2 Nach Konfigurationsänderungen neu starten

Nachdem Sie Änderungen an der .env-Datei oder der docker-compose.yml vorgenommen haben, müssen Sie Vaultwarden neu starten, damit die Änderungen wirksam werden.

• Docker Compose:

  sudo docker-compose down
  sudo docker-compose up -d

• Einzelner Docker-Container:

  sudo docker restart 

• Systemd-Dienst:

  sudo systemctl restart vaultwarden

Überprüfen Sie danach erneut mit sudo netstat -tulpn | grep 8000, ob Vaultwarden jetzt auf 0.0.0.0:8000 lauscht.

Schritt 6: Zugriffstest und letzte Prüfungen

6.1 Direkter Zugriff über IP und Port

Versuchen Sie, Vaultwarden direkt über die IP-Adresse Ihrer VM/LXC und den Port zu erreichen (wenn kein Reverse Proxy verwendet wird):

http://:8000

Wenn Sie einen Reverse Proxy wie Nginx oder Caddy verwenden, versuchen Sie es über die Domain, die auf die IP Ihrer VM/LXC zeigt (oder direkt über https://, wenn der Proxy direkt auf der VM/LXC läuft).

6.2 Reverse Proxy-Konfiguration (falls vorhanden)

Wenn Sie einen Reverse Proxy (z.B. Nginx, Caddy) vor Vaultwarden geschaltet haben (was für HTTPS-Verschlüsselung und Domain-Nutzung dringend empfohlen wird), überprüfen Sie dessen Konfiguration:

• Stellen Sie sicher, dass der Proxy korrekt auf den internen Port von Vaultwarden (üblicherweise 8000) weiterleitet.
• Prüfen Sie die Proxy-Logs auf Fehler.
• Vergessen Sie nicht, die Ports 80 und 443 in allen Firewalls (Proxmox, VM/LXC) zu öffnen, damit der Proxy erreichbar ist.

6.3 Browser-Cache und DNS-Auflösung

• Browser-Cache leeren: Manchmal speichert der Browser alte Informationen. Leeren Sie den Cache oder versuchen Sie es im Inkognito-Modus.
• Anderer Browser/Gerät: Testen Sie den Zugriff von einem anderen Gerät oder Browser.
• DNS-Probleme: Wenn Sie versuchen, über einen Hostnamen (z.B. vaultwarden.local) zuzugreifen, stellen Sie sicher, dass dieser Hostname korrekt zur IP-Adresse Ihrer Vaultwarden-VM/LXC aufgelöst wird. Sie können dies mit nslookup oder ping testen. Eventuell müssen Sie Ihren Router als DNS-Server konfigurieren oder einen Eintrag in der hosts-Datei Ihres Clients vornehmen.

Zusammenfassung und Nächste Schritte

Das Problem, dass Vaultwarden in Proxmox im eigenen Netzwerk nicht erreichbar ist, lässt sich in den meisten Fällen auf eine der folgenden Ursachen zurückführen:

• Fehlende Netzwerkverbindung auf Proxmox-Host- oder VM/LXC-Ebene.
• Falsche IP-Konfiguration innerhalb der VM/LXC.
• Blockade durch die Proxmox-Firewall oder die VM/LXC-interne Firewall.
• Vaultwarden lauscht nur auf 127.0.0.1 anstatt 0.0.0.0 (häufigster Fehler!).
• Der Vaultwarden-Dienst oder Docker-Container läuft nicht.

Gehen Sie die Schritte systematisch durch, überprüfen Sie jede Konfiguration sorgfältig und testen Sie nach jeder Änderung. Selbst kleine Tippfehler können große Auswirkungen haben.

Sollten Sie nach all diesen Schritten immer noch Probleme haben, dokumentieren Sie Ihre Konfigurationen und Fehlermeldungen genau. Mit diesen Informationen können Sie in Community-Foren (wie dem Proxmox-Forum oder dem Vaultwarden-GitHub-Diskussionen) gezielter Hilfe suchen.

Fazit

Selfhosting ist eine lohnende Erfahrung, die Ihnen volle Kontrolle über Ihre Daten gibt. Auch wenn anfängliche Netzwerk- und Konfigurationshürden frustrierend sein können, ist das Verständnis dieser Grundlagen der Schlüssel zu einem stabilen und sicheren Setup. Mit dieser Anleitung sollten Sie in der Lage sein, die häufigsten Zugriffsprobleme mit Vaultwarden in Proxmox zu beheben und endlich Ihren digitalen Tresor im Heimnetzwerk nutzen zu können. Viel Erfolg beim Selfhosting!