Установка и настройка Bitwarden как адд-она на Home Assistant

• Разверните Vaultwarden (неофициальный Bitwarden) как адд-он в Home Assistant на Raspberry Pi или в supervised-инстансе. Используйте Cloudflared (Cloudflare Tunnel) для безопасного SSL-доступа извне без проброса портов. Отключите публичные регистрации, включите MFA и делайте регулярные бэкапы.

Введение

Сам Home Assistant, который делает дом умным, может также запускать дополнительные сервисы — например, Bitwarden. В статье показано, как установить Vaultwarden (общеизвестный, лёгкий форк Bitwarden) как адд-он на Home Assistant, открыть доступ через защищённый туннель Cloudflared, настроить SSL, запретить публичную регистрацию и подключить мобильные приложения и расширения браузера.

Кому это подходит

• Домашним пользователям, желающим самохостить менеджер паролей.
• Владельцам Home Assistant в supervised-режиме (Raspberry Pi, NUC и т.п.).
• Тым, кто хочет избежать платной подписки и держать данные под своим контролем.

Вещи, которые вам понадобятся

• Home Assistant Supervised (рекомендуется Raspberry Pi 4 с 4–8 ГБ) или любая supervised-инстанция.
• Доступ к панели Home Assistant (админ-права).
• Домашняя сеть с фиксированным локальным IP для сервера (пример: 192.168.0.111).
• Учётная запись Cloudflare и домен (можно бесплатный от Freenom или платный у любого регистратора).

Важно

Если вы используете не-supervised установку Home Assistant (например, Home Assistant Core на Linux без Supervisor), адд-оны не работают — придётся ставить Vaultwarden вручную или через Docker.

Шаг 1. Установка адд-она Vaultwarden (Bitwarden)

1. Зайдите в Home Assistant под учётной записью администратора.
2. Перейдите в Settings > Add-ons, Backups & Supervisor.
3. Откройте ADD-ON STORE.
4. В поиске введите “Vaultwarden (Bitwarden)” и выберите соответствующий адд-он.
5. Нажмите Install и дождитесь завершения установки (обычно до минуты).

6. После установки включите Start on boot, Watchdog и Auto-update (рекомендуется).
7. Нажмите Start для запуска службы.

Если адд-он не находится в списке, добавьте репозиторий вручную: откройте ссылку репозитория адд-она в инструкции, выберите Add, а затем найдите и установите Vaultwarden.

После старта сервис доступен по локальному адресу с портом 7277, например: http://192.168.0.111:7277. Кнопка Open Web UI на странице адд-она откроет интерфейс, но регистрация пользователей до настройки SSL и авторизации администратора не рекомендуется.

Шаг 2. Конфигурация SSL с помощью Cloudflared Tunnel

Цель: открыть Bitwarden в интернете по HTTPS, не пробрасывая порты и не раскрывая локальный IP.

1. Зарегистрируйте домен (например, через Freenom или любого регистратора).
2. Создайте учётную запись на Cloudflare и добавьте домен; включите базовую защиту и наличие HTTPS.

3. В Home Assistant добавьте репозиторий с Cloudflared (через ссылку, указанную в адд-оне): нажмите Open Link для добавления.

4. В ADD-ON STORE установите Cloudflared адд-он.

5. Включите Start on boot и Watchdog.

6. Откройте Configuration адд-она, нажмите три точки и выберите Edit in YAML.

7. Вставьте в Options конфигурацию, заменив YourDomainName и локальный IP на свои. Оставьте порт 7277:

additional_hosts:
  - hostname: bitwarden.YourDomainName.org
    service: http://192.168.0.111:7277
external_hostname: YourDomainName.org
tunnel_name: bitwardenserver
tunnel_token: ""
nginx_proxy_manager: false
log_level: debug
warp_enable: true
warp_routes:
  - 192.168.0.2/24

8. Сохраните и перезапустите адд-он.
9. Откройте вкладку Log на странице Cloudflared; через несколько секунд появится URL Cloudflare — скопируйте его и откройте в браузере.

10. Авторизуйтесь в Cloudflare, выберите ваш домен и нажмите Authorize — адд-он создаст туннель и настроит привязку.

11. В редакторе файлов Home Assistant откройте configuration.yaml и добавьте следующие строки, затем сохраните:

http:
  use_x_forwarded_for: true
  trusted_proxies:
    - 172.30.33.0/24

12. В Tools > Developer Tools выполните Check Configuration. Если конфигурация валидна — перезапустите Home Assistant.

13. Через несколько минут Bitwarden будет доступен по адресу https://bitwarden.YourDomainName.org (или https://bitwarden.yourdomainname.com в примерах).

Примечание

Если вы используете другие решения (Nginx Proxy Manager, Traefik), принцип похож: настраиваете прокси и HTTPS, направляете на порт 7277. Cloudflared особенно хорош тем, что не требует проброса портов на роутере и автоматически управляет сертификатами.

Шаг 3. Отключение публичных регистраций и получение admin token

По умолчанию любой, кто открыл URL Bitwarden, может зарегистрироваться. Отключите это так:

1. Откройте административную панель: https://bitwarden.yourdomainname.org/admin
2. Адд-он при первом запуске выводит admin token в логах — он показывается только один раз; сохраните его в безопасном месте. Если не видите токен — переустановите адд-он и просмотрите лог сразу после старта.
3. Вставьте admin token в поле доступа админки для входа.
4. В настройках админ-панели отключите Allow signups (или аналогичную опцию) и включите двухфакторную аутентификацию для аккаунтов.

Важно

Admin token отображается только один раз. Если потеряли — переустановите адд-он и возьмите новый токен из логов.

Шаг 4. Подключение мобильных устройств (Android / iOS)

1. Установите Bitwarden Password Manager из Google Play или App Store.
2. Откройте приложение и нажмите значок шестерёнки (Settings).
3. В поле Server URL укажите https://bitwarden.yourdomainname.com и сохраните.

4. Нажмите Log In и введите логин/пароль вашего аккаунта. При включённом MFA введите код.

Шаг 5. Подключение расширения браузера

1. Установите расширение Bitwarden для вашего браузера (Chrome, Firefox, Edge).
2. Нажмите на иконку расширения, откройте настройки (Gear).
3. В поле Server URL укажите https://bitwarden.yourdomainname.com и нажмите Save.

4. Войдите в аккаунт через расширение и начните импорт/синхронизацию записей.

Импорт паролей и первичная настройка

• Экспортируйте пароли из существующих браузеров в CSV/JSON и импортируйте их в Vaultwarden через Web UI (меню Tools > Import).
• Настройте семьи или коллективы через организации, если планируете совместный доступ.

Безопасность и рекомендации по хранилищу паролей

• Всегда включайте двухфакторную аутентификацию для всех пользователей.
• Делайте регулярные бэкапы директории адд-она и базы данных (файл sqlite или экспортные дампы).
• Обновляйте адд-оны и Home Assistant своевременно.
• Храните admin token и резервные ключи в менеджере паролей или аппаратном менеджере (YubiKey/KeepassXC под рукой).

Альтернативные способы открытия доступа (когда Cloudflared не подходит)

• Nginx Proxy Manager: нужен проброс портов 80/443 на роутере; управляет сертификатами Let’s Encrypt.
• Traefik: интеграция с Docker и динамическими конфигурациями.
• Прямой проброс портов с NAT и LetsEncrypt: самый рискованный вариант, требует продуманной защиты портов.

Когда самохостинг может не подойти

• Если у вас нестабильное домашнее интернет-соединение — доступ извне будет ненадёжным.
• Если вы не готовы регулярно обновлять сервисы и бэкапить данные — рассмотрите облачные коммерческие варианты.

SOP: быстрая пошаговая инструкция (для администратора)

1. Убедитесь, что Home Assistant обновлён и работает в supervised-режиме.
2. Установите Vaultwarden адд-он, включите автозапуск и Watchdog.
3. Установите Cloudflared адд-он и настройте туннель, укажите локальный сервис на порт 7277.
4. Добавьте конфигурацию trusted_proxies в configuration.yaml и перезапустите HA.
5. Получите admin token из логов и сохраните его.
6. Отключите публичные регистрации в админке Bitwarden.
7. Настройте MFA, бэкапы и план обновлений.

Распределение ролей и чек-листы

• Администратор:

  • Установить адд-он и туннель.
  • Настроить admin token и отключить регистрации.
  • Планировать обновления и бэкапы.

• Пользователь:

  • Установить приложение и расширение браузера.
  • Настроить MFA и сгенерировать мастер-пароль.
  • Импортировать старые пароли и удалить текстовые файлы с паролями.

• Сетевой инженер:

  • Обеспечить статический локальный IP для Home Assistant.
  • Настроить маршрутизатор и DNS на стороне Cloudflare.

Инцидентный план и откат (runbook)

Сценарий: адд-он перестал отвечать после обновления.

1. Перейдите в страницу адд-она, откройте Logs и найдите ошибки.
2. Если ошибка в базе данных — остановите адд-он, скачайте файл базы и сделайте резервную копию.
3. Верните предыдущую версию адд-она (если доступна) через Supervisor > Installed add-ons > версия.
4. При необходимости восстановите базу из последнего бэкапа и проверьте логи.
5. Сообщите пользователям о плановом восстановлении и смените пароль админа, если есть подозрения на компрометацию.

Тестовые кейсы и критерии приёмки

Критерии приёмки

• Bitwarden доступен по локальному адресу и по HTTPS через ваш домен.
• Админ-панель доступна, и admin token был установлен.
• Публичные регистрации отключены.
• Пользователь может войти в мобильное приложение и расширение браузера.
• Бэкап конфигурации и базы данных создан и восстановим.

Тесты

• Тест 1: локальный доступ к http://192.168.0.111:7277 — ожидается Web UI.
• Тест 2: HTTPS доступ к https://bitwarden.yourdomainname.org — ожидается действительный сертификат.
• Тест 3: создание учётной записи (при включённых регистрациях) и последующее её отключение в админке.
• Тест 4: импорт CSV со старым паролем и поиск записей через расширение браузера.

Модель принятия решения: туннель или прокси

flowchart TD
  A[Нужен доступ извне?] -->|Нет| B[Только локальный доступ]
  A -->|Да| C[Есть доступ к роутеру/портам?]
  C -->|Да| D[Использовать Nginx Proxy Manager или Traefik + LetsEncrypt]
  C -->|Нет| E[Использовать Cloudflared Tunnel]
  D --> F[Настроить проброс 80/443 и TLS]
  E --> G[Настроить Cloudflared, привязать домен]

Советы по безопасности и жёсткому харднингу

• Включите и требуйте MFA для всех пользователей.
• Ограничьте trusted_proxies и use_x_forwarded_for в configuration.yaml.
• Регулярно обновляйте Vaultwarden и Home Assistant.
• Храните бэкапы off-site (например, на зашифрованном внешнем накопителе или в зашифрованном облаке).
• Отключите регистрацию и ограничьте создание организаций/приглашений по умолчанию.

Совместимость и миграция

• Vaultwarden совместим с клиентами Bitwarden (официальные приложения и расширения).
• Импорт поддерживает CSV/JSON форматы из других менеджеров.
• При переходе с облачного Bitwarden на самохостинг: экспортируйте данные, создайте новую организацию/пользователей и импортируйте.

Шаблон резервного плана при аварии

1. Немедленно остановить адд-он.
2. Сохранить текущие логи и базу данных.
3. Переключиться на оффлайн режим доступа (локально) и уведомить пользователей.
4. Запустить восстановление из последнего успешного бэкапа на временной инстанции.

1‑строчный глоссарий

• Vaultwarden — лёгкий самохостимый форк Bitwarden.
• Cloudflared — клиент Cloudflare Tunnel (ранее Argo Tunnel).
• Admin token — однократный токен для доступа в админ-панель Bitwarden.

Часто задаваемые вопросы

Можно ли использовать этот подход на ПК вместо Raspberry Pi?

Да — если Home Assistant у вас в supervised-режиме или вы готовы развернуть Vaultwarden через Docker на ПК. Без Supervisor придётся делать установку вручную.

Обязателен ли Cloudflare Tunnel?

Нет. Это удобный и безопасный вариант без проброса портов. Альтернативы: Nginx Proxy Manager, Traefik или прямой проброс портов и LetsEncrypt.

Как часто нужно делать бэкапы?

Минимум — раз в неделю; при активном изменении паролей — ежедневно.

Что делать, если потерял admin token?

Переустановите адд-он и смотрите логи при первом запуске, чтобы получить новый токен.

Поддерживает ли Vaultwarden уведомления о «утечках» паролей?

Клиенты Bitwarden могут уведомлять о скомпрометированных паролях, но полноценный сервис уведомлений зависит от конфигурации и интеграций.

Итог и рекомендации

• Самохостинг Bitwarden через Vaultwarden на Home Assistant — экономичное и приватное решение.
• Cloudflared предлагает удобный и безопасный доступ без проброса портов.
• Обязательно отключите публичную регистрацию, включите MFA и внедрите регулярные бэкапы.

Важно

Самохостинг требует ответственности: регулярные обновления, бэкапы и контроль доступа — ключ к безопасности ваших паролей.