{"id":1060,"date":"2021-07-06T17:49:29","date_gmt":"2021-07-06T15:49:29","guid":{"rendered":"https:\/\/torstenzimmermann.de\/wordpress\/?p=1060"},"modified":"2022-10-23T07:45:46","modified_gmt":"2022-10-23T05:45:46","slug":"bitwarden-mit-synology-im-docker-einrichten","status":"publish","type":"post","link":"https:\/\/torstenzimmermann.de\/wordpress\/bitwarden-mit-synology-im-docker-einrichten\/","title":{"rendered":"Im Synology-NAS unter Docker Bitwarden\/Vaultwarden einrichten"},"content":{"rendered":"\n

Welt seid mir gegr\u00fc\u00dft.
Stellt euch folgendes vor: Ihr habt mehrere Ger\u00e4te und w\u00fcrdet gern eure Passw\u00f6rter synchronisieren.
Eure Kennw\u00f6rter wollt ihr aber ungern auf einer Cloud bei einen externen Anbieter anvertrauen.
Die L\u00f6sung liegt nahe: man sollte die Kennw\u00f6rter also selber hosten.
Eine Keepass-Datenbank hin und her zu synchronisieren erweist sich als unpraktisch. Etwas zentraleres muss her.
Meine L\u00f6sung dazu: Bitwarden (bzw jetzt Neu: Vaultwarden, das selbe in Gr\u00fcn)<\/p>\n\n\n\n

Bitwarden\/Vaultwarden kann f\u00fcr Privatanwender for free genutzt werden. Man kann auch deren Cloud L\u00f6sung nehmen, aber wozu gibt es NAS und Raspberry Pis die f\u00fcr sowas gut geeignet sind.
Ich hab meine Passw\u00f6rter gern so wenig in einer externen Cloud wie m\u00f6glich.
Der folgende Guide bezieht sich prim\u00e4r auf Synology DSM 7. F\u00fcr Raspberry Pi wird ein eigener Beitrag folgen.<\/p>\n\n\n\n

Docker<\/p>\n\n\n\n

Zuerst einmal laden wir im Docker das folgende Paket: vaultwarden\/server:latest<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

und starten den Container und legen folgende Einstellungen fest:<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

(Name kann nat\u00fcrlich ge\u00e4ndert werden)<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Wir brauchen ein data Ordner damit die anfallenden Daten auch gespeichert bleiben.
Der Mount-Pfad kann nach belieben ge\u00e4ndert werden. Er muss aber auf jedenfall aber manuell (z.b. in der Filestation) erstellt werden.
Das Logfile werden wir sp\u00e4ter noch brauchen f\u00fcr fail2ban, aber auch so kann es interessant sein das lesen zu wollen.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Eure lokalen Ports sind nat\u00fcrlich je nach gusto auch anpassbar.
Der 3012er Port wird f\u00fcr den Websocket ben\u00f6tigt, damit \u00c4nderungen sofort gesynct werden.
Will man das nicht und es reicht einen das Bitwarden das beim Start nur synct ist dieser optional.
Der 80er Port ist, ihr habt es erraten, das Webinterface. Das bekommt gleich via Reverse Proxy auch ein Zertifikat.
Dazu gleich mehr. Auch hier k\u00f6nnt ihr einen Port nehmen den Ihr f\u00fcr richtig erachtet.<\/p>\n\n\n\n

Last but not least die Umgebungsvariablen f\u00fcr den Docker:<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Sie erkl\u00e4ren sich eigentlich von selbst.
Signups_allowed k\u00f6nnen wir sp\u00e4ter auf false setzen nachdem wir uns erfolgreich angemeldet haben.<\/p>\n\n\n\n

Soviel erstmal zum Docker zeug. Auf zum notwendigen Reverse Proxy (notwendig f\u00fcrs Internet), den findet ihr hier:<\/p>\n\n\n\n

<\/p>\n\n\n\n

!!! Anmerkung !!! Ich wurde von einigen Leuten hingewiesen, das sie gar kein Zugang aus dem Internet wollen. LAN \/ VPN reicht ihnen v\u00f6llig. In diesenfall seit ihr hier schon Fertig und geht dann immer via HTTP(S):\/\/IPoderDNSnameDESnas:35555 in den Vault.
<\/p>\n\n\n\n

Okay weiter im Text:<\/p>\n\n\n\n

<\/p>\n\n\n\n

Der Reverse Proxy<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n
\"\"<\/figure>\n\n\n\n
\"\"<\/figure>\n\n\n\n
\"\"<\/figure>\n\n\n\n

<\/p>\n\n\n\n

Optional: DDNS mit Zertifikat erstellen (falls notwendig)<\/p>\n\n\n\n

Ihr habt keine domain\/ddns f\u00fcr eure Synology ? Ist nicht wild, Synology bringt alles mit was wir brauchen.
<\/p>\n\n\n\n

\"\"

<\/figcaption><\/figure>\n\n\n\n

Synology selbst bietet ein DDNS an den ihr nutzen k\u00f6nnt. Klickt euch durchs men\u00fc und erstellt ggfs. ein DDNS.
Ihr solltet euch zur der DDNS auch noch ein Zertifikat ausstellen lassen:
<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n
\"\"<\/figure>\n\n\n\n
\"\"<\/figure>\n\n\n\n
\"\"<\/figure>\n\n\n\n

<\/p>\n\n\n\n

Router Freigaben:<\/p>\n\n\n\n

Okay, wir haben den Docker, wir haben den Reverse Proxy und sogar ein Zertifikat. Was jetzt ?

Der Port muss noch freigegeben werden in der Fritz.Box (oder \u00e4hnliches).
<\/p>\n\n\n\n

Wir melden uns also an der Fritz.Box an und gehen auf „Freigaben“:<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

sowie „Ger\u00e4t f\u00fcr Freigaben hinzuf\u00fcgen“ und geben jetzt den \u00f6ffentlichen Port des Reverse Proxy sowie den Websocket an.
Soweit so gut. Testen wir das ganze und rufen eure DDNS auf mit dem entsprechenden Port der auf den Reverse Proxy zeigt:
<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Den aufmerksamen unter uns wird aufgefallen sein, das ganze Verbindung ist durch das Synology Zertifikat gesch\u00fctzt:<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Konto erstellen und fast Fertig.
Grunds\u00e4tzlich kann man schon das Webinterface komplett nutzen.<\/p>\n\n\n\n

<\/p>\n\n\n\n

Browser Plugin<\/p>\n\n\n\n

Wir wollen aber noch die Browser Plugins und\/oder den Mobiltelefon client installieren.
Das erm\u00f6glicht uns im Browser die neue Kennw\u00f6rter direkt in den Tresor abzulegen, sowie gespeicherte Daten bequem abzurufen.
Am beispiel von Firefox sieht das so aus:<\/p>\n\n\n\n

Wir installieren das folgende Browser Plugin:
https:\/\/addons.mozilla.org\/de\/firefox\/addon\/bitwarden-password-manager\/?utm_source=addons.mozilla.org&utm_medium=referral&utm_content=search<\/a><\/p>\n\n\n\n

und das sieht dann so aus:
<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Bevor wir uns anmelden gehen wir zum zahnrad und geben als URL das Webinterface von oben ein.<\/p>\n\n\n\n

Analog funktioniert das nat\u00fcrlich auch f\u00fcr Android\/IOS. Einfach den Bitwarden Client installieren und als URL beim Zahnrad das Webinterface eingeben.<\/p>\n\n\n\n

Der Websocket<\/p>\n\n\n\n

Okay, soweit so gut. was jetzt ? Der Websocket funktioniert noch nicht so ganz.
Was ist das ? Wozu brauch ich das ? Nun \u00e4hnlich wie beim Handy es „Push Nachrichten“ gibt die einem sofort anzeigen das man z.B. eine mail hat geht das auch mit Webanwendungen. Die Nutzen websockets um sich zu benachrichtigen „Hier gibts eine \u00c4nderung, mach mal was. In unseren Fall: ein neuen Sync anstossen, sodass wir bei \u00c4nderungen immer SOFORT \u00fcberall unsere neuen Passw\u00f6rter haben und nicht erst nach dem n\u00e4chsten Sync Intervall „<\/p>\n\n\n\n


Aber das fixen wir schnell
Dazu hatte ich das hier gefunden:
https:\/\/gist.github.com\/nstanke\/3949ae1c4706854d8f166d1fb3dadc81<\/a>
genauer gesagt das hier:
https:\/\/gist.github.com\/nstanke\/3949ae1c4706854d8f166d1fb3dadc81#gistcomment-3795730<\/s><\/a>Synology Bitwarden_rs Websocket setup without SSH \u00b7 GitHub<\/a><\/p>\n\n\n\n

Ich habe mir die Freiheit genommen hier einige Anpassungen vorzunehmen. Die eigentliche Idee dazu kam aber von meinem Arbeitskollegen Torsten: Die Admin Page sollte nur aus dem vertrauensw\u00fcrdigen VPN und Heimnetz erreichbar sein. Mit einer groben Vorstellung von Torsten wie es gehen m\u00fcsste habe ich das ganze ausgebaut und am ende das Script erweitert.
In meinem Fall habe ich ein Heimnetz und ein VPN Netz. Habt ihr kein VPN Netz tragt ihr hier bitte auch das Heimnetz ein. (Zeile 47-50)<\/p>\n\n\n\n

\n
#!\/bin\/bash\n##==============================================================================================\n##                                                                                            ##\n##                       Script vaultwarden__Enable_Websocket-DSM_7.sh                        ##\n##                                                                                            ##\n##          Source : https:\/\/gist.github.com\/nstanke\/3949ae1c4706854d8f166d1fb3dadc81         ##\n##                                                                                            ##\n##==============================================================================================\n##                                                                                            ##\n##   This script allows you to route what cannot be done with the reverse-proxy               ##\n##   from DSM (Synology) to make Websocket notifications work                                 ##\n##   Doc. vaultwarden :                                                                       ##\n##        Route the \/notifications\/hub endpoint to the WebSocket server, by default           ##\n##        at port 3012, making sure to pass the Connection and Upgrade headers.               ##\n##        (Note the port can be changed with WEBSOCKET_PORT variable)                         ##\n##        https:\/\/github.com\/dani-garcia\/vaultwarden\/wiki\/Enabling-WebSocket-notifications    ##\n##                                                                                            ##\n##==============================================================================================\n##                                                                                            ##\n##                            Principle of Task schedule to create                            ##\n##                                                                                            ##\n## It is necessary to run the script regularly because all changes made in the interface      ##\n## DSM Reverse-Proxy graph will modify the configuration file. The same applies to            ##\n## even when the NAS reboots.                                                                 ##\n##                                                                                            ##\n##==============================================================================================\n##                                                                                            ##\n##        \/!\\      The online IP address 47 must be changed to the NAS IP     \/!\\             ##\n##                                                                                            ##\n##==============================================================================================\n##                                                                                            ##\n## Script launch parameters :                                                                 ##\n## bash \/volume1\/docker\/bitwarden\/enable_ws.sh vault.example.com 5555 5556                    ##\n##                                                                                            ##\n## -- vault.example.com = Vaultwarden domain name (that of DSM's Reverse Proxy)               ##\n## -- 5555 = Port exposed ROCKET_PORT by Docker (Same as DSM Reverse Proxy)                   ##\n## -- 5556 = Port exposed WEBSOCKET_PORT by Docker                                            ##\n##                                                                                            ##\n##==============================================================================================\n\nLOC_DIR=\"\/etc\/nginx\"\npart1=0\npart2=0\nMY_DOMAIN=$1\nPORT_ACCES=$2\nPORT_CONT=$3\nIP_NAS=\"192.168.178.254\"\n## Folgende Netzwerkbereiche d\u00fcrfen auf \/admin zugreifen\nIP_LAN=\"192.168.178.0\/24\"\nIP_VPN=\"192.168.177.0\/24\"\n\necho -e \"\\n$(date \"+%R:%S - \") Script vaultwarden__Enable_Websocket.sh to enable Websockets Notifications\"\n\nf_affiche_parametre() {\n  echo \"          bash \/volume1\/docker\/_Scripts-DOCKER\/vaultwarden__Enable_Websocket.sh vault.example.com 5555 5556 \"\n  echo \"                           -- vault.example.com = Vaultwarden domain name (that of DSM's Reverse Proxy) \"\n  echo \"                           -- 5555 = Port exposed ROCKET_PORT by Docker (Same as DSM Reverse Proxy)\"\n  echo \"                           -- 5556 = Port exposed WEBSOCKET_PORT by Docker\"\n}\n\nif [ ! $# -eq 3 ]; then\n  if [ $# -eq 0 ]; then\n    # No parameters were provided. We will display the list of what can be used.\n    echo \"$(date \"+%R:%S - \") No parameters provided! Review the script call :\"\n    f_affiche_parametre\n  else\n    echo \"$(date \"+%R:%S - \") The number of parameters provided is not correct! Review the script call :\"\n    f_affiche_parametre\n  fi\n  echo -e \"$(date \"+%R:%S - \") Failed to launch !!!!!!!!! script\\n\"\n  exit 1\nfi\n\necho \"$(date \"+%R:%S - \") Executing commands...\"\n\n\n#############################################################################################################\n## Start of file creation\/editing part\n##\nif [ -f $LOC_DIR\/websocket.locations.vaultwarden ]; then\n  rm $LOC_DIR\/websocket.locations.vaultwarden\n  part1=1\nfi\necho \"\"\"\nlocation \/notifications\/hub\/negotiate {\n    proxy_http_version 1.1;\n    proxy_set_header \\\"Connection\\\" \\\"\\\";\n    \n    proxy_set_header Host \\$host;\n    proxy_set_header X-Real-IP \\$remote_addr;\n    proxy_set_header X-Forwarded-For \\$proxy_add_x_forwarded_for;\n    proxy_set_header X-Forwarded-Proto \\$scheme;\n    proxy_pass http:\/\/$IP_NAS:$PORT_ACCES;\n}\n\nlocation \/notifications\/hub {\n    proxy_http_version 1.1;\n    proxy_set_header Upgrade \\$http_upgrade;\n    proxy_set_header Connection \\\"upgrade\\\";\n\n    proxy_set_header Host \\$host;\n    proxy_set_header X-Real-IP \\$remote_addr;\n    proxy_set_header Forwarded \\$remote_addr;\n    proxy_set_header X-Forwarded-For \\$proxy_add_x_forwarded_for;\n    proxy_set_header X-Forwarded-Proto \\$scheme;\n    proxy_pass http:\/\/$IP_NAS:$PORT_CONT;\n}\n\nlocation \/admin {\n    # See: https:\/\/docs.nginx.com\/nginx\/admin-guide\/security-controls\/configuring-http-basic-authentication\/\n    # auth_basic Private;\n    # auth_basic_user_file \/path\/to\/htpasswd_file;\n\n    # Restrict access to only some IP (LAN IP & VPN)\n    allow $IP_LAN;\n    allow $IP_VPN;\n    allow $IP_NAS;\n    deny all;\n\n    proxy_http_version 1.1;\n    proxy_set_header \\\"Connection\\\" \\\"\\\";\n    \n    proxy_set_header Host \\$host;\n    proxy_set_header X-Real-IP \\$remote_addr;\n    proxy_set_header X-Forwarded-For \\$proxy_add_x_forwarded_for;\n    proxy_set_header X-Forwarded-Proto \\$scheme;\n    proxy_pass http:\/\/$IP_NAS:$PORT_ACCES\/admin;\n}\n\n\n\n\"\"\" >>$LOC_DIR\/websocket.locations.vaultwarden\n\n\n# Note : with DSM7, the path of the server file. ReverseProxy.conf has changed \n#         DSM6.2  = \/etc\/nginx\/app.d\/server.ReverseProxy.conf\n#         DSM7    = \/etc\/nginx\/sites-enabled\/server.ReverseProxy.conf\nif ! grep -q \"websocket.locations.vaultwarden\" \/etc\/nginx\/sites-enabled\/server.ReverseProxy.conf; then\n\n  # Functional commands with DSM6.2.x, but no longer with DSM 7.0 (RC)\n  #sed -i \"\/$1;\/ a\\ include $LOC_DIR\/websocket.locations.vaultwarden;\" \/etc\/nginx\/app.d\/server.ReverseProxy.conf\n  #if nginx -t 2>\/dev\/null; then synoservicecfg --reload nginx; else exit 1; fi\n\n  # Functional commands with DSM 7 (RC)\n  sed -r \"s#^([[:blank:]]*server_name[[:blank:]]*${MY_DOMAIN}[[:blank:]]*;[[:blank:]]*)\\$#\\1\\n\\n\\tinclude ${LOC_DIR}\/websocket.locations.vaultwarden;#\" \/etc\/nginx\/sites-enabled\/server.ReverseProxy.conf > \/etc\/nginx\/sites-enabled\/server.ReverseProxy.conf.new\n  mv \/etc\/nginx\/sites-enabled\/server.ReverseProxy.conf.new \/etc\/nginx\/sites-enabled\/server.ReverseProxy.conf\n\n  if nginx -t 2>\/dev\/null; then synosystemctl reload nginx; else exit 1; fi\n\n  part2=1 # Variable to indicate that this part has been executed\n\nfi\n##\n## End of file creation\/editing part\n#############################################################################################################\n\nif [ $part1 -eq 1 ]; then\n  echo \"$(date \"+%R:%S - \")    -- The file $LOC_DIR\/websocket.locations.vaultwarden already existed, it was deleted and then recreated.\"\nelse\n  echo \"$(date \"+%R:%S - \")    -- The file $LOC_DIR\/websocket.locations.vaultwarden did not exist, it was created.\"\nfi\nif [ $part2 -eq 1 ]; then\n  echo \"$(date \"+%R:%S - \")    -- !!!!!! --->  The change in the \/etc\/nginx\/sites-enabled\/server file. ReverseProxy.conf did not exist. It was written.\"\n  echo \"$(date \"+%R:%S - \")    -- !!!!!! --->  The \/etc\/nginx\/sites-enabled\/server file. ReverseProxy.conf had to be reset after a reboot or when changing the reverse-proxy in DSM.\"\nelse\n  echo \"$(date \"+%R:%S - \")    -- Editing the \/etc\/nginx\/sites-enabled\/server file. ReverseProxy.conf was already performed during a previous run. No changes are therefore necessary.\"\nfi\n\necho \"$(date \"+%R:%S - \") Script vaultwarden__Enable_Websocket.sh Finished\"\n\nexit\n<\/code><\/pre>\n<\/div><\/div>\n\n\n\n

Hier muss im Script die IP ge\u00e4ndert werden, dann legen wir es im bitwarden docker verzeichnis ab. Dummerweise \u00fcberschreibt sich bei \u00c4nderungen seitens DSM die Anpassung. Wir sollten das Script also einmal am tag in den „Geplante Aufgaben“ legen. 
Kann so aussehen:<\/p>\n\n\n\n
\"\"<\/figure>\n\n\n\n

bash \/volume1\/docker\/vaultwardenvaultwarden__enable_websocket.sh euredomain.de  35554 35556<\/strong>
Ihr m\u00fcsst die Ports die ihr ganz oben definiert habt als parameter mitangeben.<\/p>\n\n\n\n
Vieleicht noch eine kleine Warnung: Skripte mit „root“ durchlaufen zu lassen und am Webserver zu spielen k\u00f6nnte theoretisch daf\u00fcr sorgen das euer Webserver an der Diskstation nicht mehr funktioniert. Ist unwahrscheinlich und funkionierte bisher immer sehr gut bei mir, ich wollte jedoch auf die theoretische Gefahr hinweisen die vor allem bei gr\u00f6\u00dferen Updates der DSM bestehen k\u00f6nnten.<\/p>\n\n\n\n
Absichern mit Fail2Ban<\/p>\n\n\n\n
Gut. An sich haben wir hier eigentlich alles fertig, jetzt kommt der versprochende „Fail2Ban“.
Was ist das und wozu brauch ich es:

Fail2Ban liest die log files zyklisch vom bitwarden und schaut ob es fehlerhafte loginversuche gab.
Und wenn man es zuoft versucht wird man f\u00fcr eine Zeit X gesperrt.<\/p>\n\n\n\n
Der Schritt ist optional, ich empfehle es aber.<\/p>\n\n\n\n
Was brauchen wir? Zuersteinmal das Docker image:<\/p>\n\n\n\n
\"\"<\/figure>\n\n\n\n
und wir brauchen folgende Mount-Pfade (ggfs. anpassen falls andere Pfade als oben gew\u00e4hlt wurden)<\/p>\n\n\n\n
\"\"<\/figure>\n\n\n\n
Sowie folgende Umgebungsvariablen:<\/p>\n\n\n\n
\"\"<\/figure>\n\n\n\n
Im \/docker\/fail2ban\/filter.d\/ legen wir eine „vaultwarden.local“ an mit folgenden Inhalt:

<\/p>\n\n\n\n
[INCLUDES]
before = common.conf<\/p>\n\n\n\n
[Definition]
failregex = ^.Username or password is incorrect. Try again. IP: . Username:.<\/em>$
ignoreregex =<\/p>\n\n\n\n
und im \/docker\/fail2ban\/jail.d\/ legen wir auch eine „vaultwarden.local“ an mit folgenden Inhalt:<\/p>\n\n\n\n
[vaultwarden]
enabled = true
port = 80,443,8081,35554,35555
filter = vaultwarden
action = iptables-allports[name=vaultwarden]
logpath = \/vaultwarden\/bitwarden_log.log
maxretry = 3
bantime = 1 days
findtime = 10m
ignoreip = 127.0.0.1 192.168.178.0\/24 8.8.8.8<\/p>\n\n\n\n
<\/p>\n\n\n\n
Docker durchstarten und das ist es auch schon. Der Bitwarden schreibt seine logs wie ganz oben angegeben in \/docker\/vaultwarden\/bitwarden_log.log und fail2ban liest besagte log file und sperrt ggfs die IP bei mehr als 3 Fehlversuchen binnen 10 Minuten f\u00fcr 1 Tag. F\u00fchlt euch frei die Werte nach euren gusto anzupassen.<\/p>\n
\n                \n             <\/div>
\"ajax<\/div><\/div>","protected":false},"excerpt":{"rendered":"
Welt seid mir gegr\u00fc\u00dft.Stellt euch folgendes vor: Ihr habt mehrere Ger\u00e4te und w\u00fcrdet gern eure Passw\u00f6rter synchronisieren.Eure Kennw\u00f6rter wollt ihr aber ungern auf einer Cloud bei einen externen Anbieter anvertrauen.Die L\u00f6sung liegt nahe: man sollte die Kennw\u00f6rter also selber hosten.Eine Keepass-Datenbank hin und her zu synchronisieren erweist sich als unpraktisch. Etwas zentraleres muss her.Meine L\u00f6sung […]<\/p>\n","protected":false},"author":6,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[46,45],"tags":[],"class_list":["post-1060","post","type-post","status-publish","format-standard","hentry","category-docker","category-synonlogy-nas"],"_links":{"self":[{"href":"https:\/\/torstenzimmermann.de\/wordpress\/wp-json\/wp\/v2\/posts\/1060","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/torstenzimmermann.de\/wordpress\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/torstenzimmermann.de\/wordpress\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/torstenzimmermann.de\/wordpress\/wp-json\/wp\/v2\/users\/6"}],"replies":[{"embeddable":true,"href":"https:\/\/torstenzimmermann.de\/wordpress\/wp-json\/wp\/v2\/comments?post=1060"}],"version-history":[{"count":14,"href":"https:\/\/torstenzimmermann.de\/wordpress\/wp-json\/wp\/v2\/posts\/1060\/revisions"}],"predecessor-version":[{"id":1216,"href":"https:\/\/torstenzimmermann.de\/wordpress\/wp-json\/wp\/v2\/posts\/1060\/revisions\/1216"}],"wp:attachment":[{"href":"https:\/\/torstenzimmermann.de\/wordpress\/wp-json\/wp\/v2\/media?parent=1060"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/torstenzimmermann.de\/wordpress\/wp-json\/wp\/v2\/categories?post=1060"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/torstenzimmermann.de\/wordpress\/wp-json\/wp\/v2\/tags?post=1060"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}