Hallo zusammen,
liebe Menschen die mehr Plan von Netzwerk und Zertifikat als ich haben (was nicht schwer ist… )
Ich nutze HomeAssistant komplett lokal, ohne Zugriff von außen (bzw. bei Bedarf über RouterVPN). Das soll auch so bleiben.
Jetzt stoße ich aber immer wieder häufiger auf Probleme mit (fehlenden) Zertifikaten, und will das ändern.
Zu den konkreten Fragen siehe unten
Hier vorab kurz mein Setup und Ansatz:
Ich habe zwei Rpi mit HomeAssistant OS, die abwechseln Livesystem sind (auf dem jeweils anderen werden regelmäßig Backups vom Live restored, ich nutze ihn als Spare oder für Tests).
In der FritzBox habe ich als DNS Server die beiden IPs der RPis angegeben, und AdGuard Home filtert. Für alle Clients im Netzwerk, außer HomeAssistant, sind die Ports 53 und 853 gesperrt (damit zuverlässig alles über AdGuard geht).
Im Moment scheint mir am besten, wenn ich:
- zwei Subdomains über meine Domain (DNS Challenge soll bei Netcup gehen) für die beiden RPi einrichte
- Let’s Encrypt Zertifikate für diese erstellen/automatisch erneuern lasse
- In AdGuard Home Rewrites für diese Subdomains mache, die auf die internen IPs zeigen
Fragen & Knoten im Kopf hab ich noch ein paar, und hoffe dass ihr mir dabei helfen könnt:
- Sind meine HomeAssistants zusätzlich weiterhin unter ungesicherten Adressen (z.B. http://192.111.222.33:8123) erreichbar?
- Wie erreiche ich meine HomeAssistants, wenn AdGuard/HA die Grätsche macht, und ich der FritzBox den DNS-Server auf Default setzen muss? Passiert leider 1-2x im Jahr.
Die Subdomains werden ja dann nicht mehr von AdGuard umgeschrieben. Gerade in so Fällen brauch ich aber noch Zugriff auf HomeAssistant. Soweit ich weiß, kann ich keine Rewrites in der FritzBox einrichten. Oder? - Sollten die Zertifikate irgendwann aus irgendwelchen Gründen ablaufen/ungültig werden, kann ich ja bei jedem Gerät weiterhin “auf eigenes Risiko” trotzdem aufrufen, oder?
- Das Zertifikat gilt dann auch für die anderen Addons die über HA laufen und n eigenen Port haben (z.B. InfluxDB, Mosquitto, Nextcloud,…), bzw. die greifen auf das eine zu? Oder müsste ich das dann bei jedem Addon händisch vierteljährlich irgendwie erneuern?
Bonusfragen:
- Vielleicht bin ich ja auch ganz auf dem Holzweg. Würdet ihr mir was, für meinen Fall sinnvolleres empfehlen?
- Wenn ich Live und Dev-System tauschen muss, muss ich derzeit an vielen Stellen die Adresse ändern (Alle Tasmota/MQTT Geräte, Companion-Apps, NAS-Backup-Jobs, SambaServer). Kann ich das in dem Zuge vielleicht eleganter machen, dass ich künftig nur noch an einer/weniger Stellen die Adresse ändern muss?
Hoffe jemand kann mir mit den offenen Fragen helfen, oder hat sogar ne noch einfacherere Lösung als das was ich mir bisher zusammengegoogelt habe!
Danke euch und viele Grüße!