Hallo liebe Forenmitglieder,
ich habe eine relativ frische HA-Installation. Ich habe einen MQTT-Server unter Homeassistent installiert. Und in FHEM habe ich einen MQTT-Client installiert, der sich mit dem MQTT-Server verbindet. Das lief sehr gut, bis ich den Homeassistent-Server auf SSL-Zertifikat umgestellt habe.
Nun kann ich zwar den HA-Server auf sicherem Weg über https://meine_Domain.tld erreichen, aber nicht mehr ohne Warnung im Browser über https://192.168.xxx.xxx:8123
Diese URL lässt HA in der Netzwerkkonfiguration auch nicht zu. Dort habe ich dann https://homeassistent.local:8123 hinterlegt, was sich aber weder im Letsencrypt-Zertifikat hinterlegen lässt, noch dass der Server unter dieser Adresse erreichbar ist. Es geht lokal nur über https://192.168.xxx.xxx:8123
Und ich denke, dass diese Warnung und die Nichterreichbarkeit über http der Grund ist, warum auch der MQTT-Client in FHEM nun den MQTT-Server in HA nicht mehr erreichen kann.
Was muss ich tun, damit FHEM über das lokale Netzwerk wieder mit dem HA-MQTT-Server reden kann?
Die erste Idee, die ich hatte war, dem Letsencrypt-Zertifikat die interne Adresse homeassistent.local bzw. direkt die interne IP mitzugeben, aber das lässt Letsencrypt (zu Recht) nicht zu.
Hallo, du könntest den Zugriff von Extern über nginx (Remote Proxy) realisieren. Dieser stellt die Letzencypt Zertifikate zur Verfügung. Die Verbindung von Extern erfolgt Verschlüsselt und von nginx zu HA dann unverschlüsselt. In Ha müsstest du es dann von https auf http wieder zurückstellen. Nginx kannst du als Adon (App) in HA nutzen oder z.B wenn Du Proxmox einsetzt als LXC Containner. So habe ich es bei mir umgesetzt.
Hierzu gibt es auch ein Video von Simon, das es sehr gut erklärt.
Bei allem Respekt, ich gehe mal nicht davon aus, dass Du wirklich viel Ahnung von diesem Thema hast. Man kann nicht alles wissen, so ist das nun mal…
Aber wenn die Übertragung zu deinem HA via https, also SSL, verschlüsselt ist, ist einzig und allein die Übertragung der Daten, wie z.Bsp. die Eingabe deiner Logindaten, wenn Du Dich von außen einloggst, gegen einfaches Mitlesen geschützt, das war’s dann aber auch schon.
Gegen Angriffe aller Art ist dein HA trotzdem absolut schutzlos. Sicher ist definitiv anders!!!
Sinvoll(er) wäre, den externen Zugriff sicherer zu gestalten, via VPN, Cloudflare Tunnel, oder oder oder…
Im privaten Umfeld die interne Kommunikation zu verschlüsseln bedarf zum einen ausreichend KnowHow, um alles korrekt zu konfigurieren und einen internen DNS-Server z.Bsp. - zum anderen sollte man das reiflich überlegen oder lernwillig sein, wenn das KnowHow (noch) fehlt…
Einfacher wäre, das System nach außen hin zu schützen und innen möglichst einfach zu halten.
Sorry für die offenen Worte.
