ich bin relativ neu im Thema HA, habe aber schon knapp 95% meiner Smart Home Geräte integrieren können.
Nun möchte ich meine Installation von unterwegs erreichbar machen um mit meinem Smartphone Geräte steuern zu können.
In einem Versuch habe ich meine myFRITZ Adresse von AVM genommen und eine entsprechende Portweiterleitung eingerichtet. Zusätzlich habe ich die 2 Faktor Authentifizierung aktiviert. In einem kurzen Test lief das alles gut und ich habe damit mein Ziel der Fernsteuerung erreicht.
Gerne würde ich jetzt nun noch die Verschlüsselung hinzufügen und bräuchte dafür Hilfe, was genau zu tun ist. Aneitungen mit DuckDNS, Cloudflare usw. habe ich gesehen und gelesen, allerdings weiß ich nicht, ob das für mich notwendig ist.
Wenn Du via VPN über die FRITZ!Box gehst, ist der Tunnel zwischen dem Gerät und der FRITZ!Box ohnehin verschlüsselt. Der Rest ist dann wieder lokales Netz.
Oder nutzt Du die FRITZ!Box nur als DynDNS?
Edit: scheinbar nutzt Du die FRITZ!Box nur als DynDNS. Dann musst Du auf die Adresse ein Zertifikat anlegen. Einfacher wäre es da vermutlich einfach DuckDNS zu nutzen, da es dort diverse Anleitungen geben dürfte.
Ich meine aber, dass es für HA auch direkt ein lets encrypt Addon gibt.
Dazu steht dort, dass dies nicht zwangsweise notwendig jedoch empfohlen ist, um nicht HA bei einem Zertifikat Update komplett Neustarten zu müssen. Habe es allerdings nur überflogen.
Habe Lets Encrypt als Add On installiert und scheinbar (Protokoll gibt keine Fehlermeldung aus) habe ich so ein Zertifikat nun. Jetzt verlässt mich mein Wissen aber komplett, ob ich nun Port 80 oder 8001 im Router weiterleiten muss.
Der Port ist mir erstmal egal. Ich weiß nur nicht, ob es Probleme gibt Port 80 weiterzuleiten, der wird doch für sehr vieles gebraucht. Nicht das ich mir mein Netzwerk zerschieße.
Nachtrag:
Und richte ich die Weiterleitung für Port 80 genauso ein wie für den HA Standard-Port 8123 ein? Das hat eben bei mir nicht geplappt.
Letztencrypt braucht Port 80 um sei Zertifikat zu verlängern.
Normalerweise bekommst du auf deine bei Letsencrypt angebene Emailadresse ein Warnung das dein Zertifikat bald abläuft.
Ich würde niemals port 80 nach innen hin öffnen, vielleicht nur kurz für die Verlängerung
Persönlich bevorzuge ich immer VPN so das gar nichts offen ist bis auf en VPN Port
Ausserdem brauche ich dann keine Zertifikate usw.
Gruß Udo
Ich habe zuhause Wireguard laufen und auf allen Geräten Wireguard so konfiguriert, dass ausschließlich interne IPs meines Netzwerkes darüber geroutet werden.
Für mich sehr komfortabel, da ich überall arbeiten kann, als wäre ich zu Hause, ohne irgendwas nach außen freizugeben. Außerdem läuft lokal ein AdGuard als DNS, den ich auch unterwegs nutzen kann.
Möchte ich sicher gehen, dass es deutlich komplizierter ist an meine Hausautomatisierung zu kommen, ja. Dann ist es ein Vorteil.
Möchte ich von jedem x-beliebigen, evtl. Fremden Gerät auf die Oberfläche zugreifen, ist es ein Nachteil.
Dadurch das Wireguard bei mir nur lokale Aufrufe tunnelt liegt der Akkuverbrauch bei 2 - 3%, da ja alle DNS Anfragen darüber abgewickelt werden (müssen). Für mich keine merkliche Veränderung der Laufzeit und daher absoluter Komfort.
Use-Case: Nur bestimmte Geräte dürfen Zugriff auf mein Heimnetzwerk bekommen, um maximale Sicherheit zu gewährleisten.
Wenn du den Use-Case betrachtest fehlt ein wenig der Sicherheitsaspekt, weil das sicher hinzubekommen, ist eine viel größere Kunst und da reicht nicht nur SSL und DuckDNS. Vor allem wenn man eine dynamische IP hat. Welches es ja auch nicht umsonst gibt, da muss man auch was tun.
Darum finde ich VPN (Tailscale) + App als Vorteil, weil das ganze ist sicher und dauert 5 Minuten bis es läuft. Aber ja wenn nur die App als Nachteil empfunden wird, ist der Nachteil doch gering
Die Benachrichtigungen auf das Handy sind, bei installierter HA-App m.W.n. unabhängig von der Verbindung.
Mit einer Fritz!Box und WireGard kannst Du einstellen, dass die Verbindung dauerhaft gehalten wird.
Bei der IPsec-VPN gab es immer Unterbrechungen, bei WG soll das nicht der Fall sein.
BTW:
Warum stellst Du nicht auf die NabuCasa-Cloud um? Kostet “nur” €75/a, ist gegenüber vielen anderen hier diskutierten Lösungen absolut zuverlässig und sicher und Unterstützt so auch noch die
(Weiter-)-Entwicklung von HA.
Über die App bekommst du ganz normal Push-Nachrichten.
Oder die App einfach laufen lassen. Wie oben beschrieben kommt es halt auf den Use-Case an, aber ein wenig Sicherheit sollte einem das eigene Heim schon was wert sein.
Wenn du dich gut mit Security auskennst, dann bekommst du das mit SSL und Proxy alles sicher hin.
Ansonsten auf Nummer sicher über VPN oder wie oben vorgeschlagen einkaufen.
Mehr habe ich nicht beizutragen :-), wollte nur ein wenig zum Nachdenken anregen.
by HarryP: Zusammenführung Doppelpost
