Heimnetz einrichten für zwei Homeassistant Zugänge

Hi

hier gleich mein erstes Problem , in der Hoffnung jemand kann mir weiterhelfen, bei der Suche habe ich keinen passenden Beitrag gefunden oder ich habe ihn nicht gesehen.

Ich habe an zwei verschiedenen Standorten HA am laufen, alles läuft sehr gut, aber ich komme aus dem Heimnetz nicht auf das HA des anderen Standorts rauf (über https:// ….de), weder über LAN noch W-Lan. Wenn ich über das Handy mit der Companion-App darauf zugreife kann ich zwischen beiden hin und her swipen solange ich im Handynetz bin, sobald ich im Heimnetz bin, komme ich auf die externe URL nicht rauf ( Fehlermeldung: 403 Forbidden ).

Den jeweiligen HA-Namen, für das Netzwerk, habe ich von Standart “Homeassistant” schon geändert in eigene Namen.

Master / Slave möchte ich nicht da es zwei verschieden Haushalte sind, die ich getrennt halten möchte und würde gerne von zu Hause über Wlan auf beide HA zugreifen können.

Über einen Tipp wäre ich dankbar

Moin,

Ich bin etwas irritiert. Wie willst Du per LAN oder WLAN direkt auf ein anderes Netzwerk an einem anderen Standort zugreifen, ohne dafür eine WAN-Verbindung zu nutzen. Also entweder per Internet, oder halt - wie Du es ja schon gemacht hast - per Mobilfunkverbindung.

Da gibt es keine Tipps sondern das geht schlicht und einfach nicht.

Und wenn Du dann eine Verbindung von Standort A zu Standort B über das Internet aufbauen willst, dann informier Dich dazu über das Thema VPN.

VG Jim

Wie hast Du den Remote Zugang eingerichtet?

Moin,

ich möchte natürlich über das Internet via https.. darauf zugreifen aber die Adresse wird über den Zugang per Heimnetz schlichteg gesperrt über extern komme ich drauf

Ich bin über cloudflare verbunden

by HarryP: Zusammenführung Doppelpost (bei Änderungen oder hinzufügen von Inhalten bitte die „Bearbeitungsfunktion“ anstatt „Antworten“ zu nutzen)

Also nutzt Du einen Cludflare Tunnel und eine eigene Domain.
Irgenwelche Add Blocker im Heimnetz.

Schon mal ein anderes Gerät oder anderen Browser ausprobiert?

Gruß Osorkon

Ja ich nutze einen Cloudflare Tunnel und eine eigene Domain.
einen Add Blocker im Heimnetz habe ich nicht (noch nicht)

Ein anderes Gerät und einen anderen Browser habe ich ausprobiert, leider ohne Erfog,

ich bekomme immer die Fehlermeldung: 403 Forbidden

by HarryP: unnötiges Vollzitat aus Beitrag drüber entfernt

Bei Cloudflare irgendwelche Regel oder Einschränkungen eingestellt?

Ich habe bis auf den Namen für den Tunnel nichts geändert.

Was sagen die Logs in Cloudflare?

da sind tatsächlich Fehlermeldungen drin:

2025-10-16T06:54:33Z ERR  error="stream 553 canceled by remote with error code 0" connIndex=2 event=1 ingressRule=0 originService=http://homeassistant:8123
2025-10-16T06:54:33Z ERR Request failed error="stream 553 canceled by remote with error code 0" connIndex=2 dest=https://xx.de/api/image/serve/ca7817ee282c8f8f179f78f445e3fde8/512x512 event=0 ip=198.xx.192.x7 type=http

Meine persöhnlichen Daten habe ich durch XX ersetzt

Die Fehlermeldung kann aber auch daher kommen, da ich gesten abend das Netzkabel am Rasberry gezogen hatte

gerade habe ich cloudflare neu gestartet und es läuft ohne Fehlermeldungen

und sobald ich versuche auf die andere Adresse via https zu gehen erscheint die Fehlermmeldung von oben im Log

Ich meinte nicht die Logs in HA sondern direkt in Cloudflare auf deren Seite. Sind da die Zugriffe auf die besagte Domain zu sehen? Werden die als geblockt angezeigt? Ich kenne dein Setup nihct.

16-10-2025_12-35-321614×880 217 KB

16-10-2025_12-36-411592×833 258 KB

Hi

danke für die Antwort, ich kenne mich leider nicht so gut aus mit cloudflare und habe in den Einstellungen nichts verändert und es genau nach der Anleitung von Simon eingerichtet. Das einzigste was ich ändern musste, war in HA bei cloudflare den Namen für den Tunnel, da der mit dem anderen Zugang wohl nicht zusmmenarbeiten kann und er keine Verbindung zu Cloudflare online aufgebaut hat.

Wenn ich meinen Account bei Cloudeflare anschaue, sind dort auch keine blockierten Inhalte hinterlegt.

Die Protokolle sind bei mir leer?? Muss ich dafür was einstellen oder aktivieren? Sorry ich kenn mich damit leider nicht aus.

Ich kann Dir nichts über Dein Setup sagen, aber ich kann etwas über die Fehlermeldung sagen.

403 Forbidden heißt ein Webserver lässt die Anfrage nicht durch.

Um zu sehen welcher Webserver, müsstest Du die Anfrage Stück für Stück nachverfolgen.

1. HTTPS Domain auflösen, heißt: IP Adresse herausfinden
2. Die IP lokalisieren, an der IP läuft der Webserver.
3. Die Einstellungen des Webservers überprüfen

p.s.: trusted_proxies würd ich kontrollieren in deiner yaml - ob da die IP passt, und Du solltest kein NGINX oder dergleichen laufen haben.

Nachtrag:
Ungeachtet der Frage, geb ich allerdings noch zu bedenken, dass Cloudflare die Daten des Tunnels mitlesen könnte. Es hängt davon ab, wie genau das Zertifikat eingerichtet ist. Ich kenn das HA Addon nicht.

Aber das würde ich mir sehr genau ansehen, bevor ich sowas nutze.

Weil wieso nutzen die Leute HA? Sie wollen Ihre Daten keinem Drittanbieter anvertrauen. Wenn das falsch umgesetzt ist hier, passiert aber genau das.

Ich habe Perplexity gefragt, hier die Antwort:

Cloudflare terminiert TLS am eigenen Edge, weil der gesamte Traffic zunächst an Cloudflares Proxy-Server geht, wo HTTPS‑Verbindungen entschlüsselt und anschließend neu verschlüsselt weitergeleitet werden. Das geht aus mehreren offiziellen Cloudflare-Dokumentationen hervor.

Nachweis der TLS‑Beendigung

Cloudflare beschreibt in seiner Zero‑Trust‑Dokumentation, dass eingehender Traffic von Clients am Cloudflare‑Edge angenommen wird, dort über TLS entschlüsselt, verarbeitet (z. B. zur Durchsetzung von Access‑Regeln oder Caching) und dann erneut über einen verschlüsselten Kanal zum Ursprungsserver oder Tunnel gesendet wird.​
Im Whitepaper zu TLS‑Decryption wird ausdrücklich erwähnt, dass Cloudflare HTTPS‑Anfragen in seinen Rechenzentren im Speicher entschlüsselt, inspiziert und danach wieder TLS‑verschlüsselt – ein klassisches terminate-and-reencrypt-Verfahren.​

Technischer Hintergrund

Ein Kommentar aus der Cloudflare‑Community bestätigt, dass vollständiges TLS Passthrough bei Cloudflare‑Tunnels nicht funktioniert, da Cloudflare HTTP‑Header (z. B. Host, CF-Connecting-IP, Cookie) aktiv verändern und prüfen muss. Ohne diese Entschlüsselung würden Access‑Policies, WAF‑Regeln und Caching brechen.​

Konsequenz

Damit Cloudflare Features wie Zero Trust Access, WAF, Bot Management oder Firewall‑Regeln anwenden kann, muss das TLS‑Zertifikat am Edge terminiert werden. Cloudflare verschlüsselt den Datenverkehr anschließend erneut über eine zweite, getrennte TLS‑Sitzung zum Tunnel‑Endpunkt, sodass die Übertragung über das öffentliche Internet weiterhin verschlüsselt bleibt.

Für mich bedeutet das, dass Cloudflare den Verkehr mitlesen kann (weil die Daten bei Cloudflare entschlüsselt und wieder verschlüsselt werden). Nix für mich.

by HarryP: Zusammenführung Doppelpost (bei Änderungen oder hinzufügen von Inhalten bitte die „Bearbeitungsfunktion“ anstatt „Antworten“ zu nutzen)

Es ist komisch dass es nur teilweise geht.

1. Du sagst am Handy im Handynetz und App geht es

• Hast du in der App selbe Url eingetragen die du auch im Browser testest und dort nicht geht?
• Was passiert wenn du am Handy im Handynetz im Browser die remote Destiantion öffnest?

2. Du sagst dass du nicht auf die Remoteseite kommst. In beide Richtung? Also A - > B geht nicht, B - > A geht nicht?
3. hast du mal das Ganze in einem Guest-Wlan oder öffentlichem, z. B. Bahnhof oder in einem Zug getestet?
4. Du bekommst einen 403 Fehler im Browser. Welcher Server gibt das aus? Cloudflare oder Homeassistant? SChau da mal in den Developer Tools (F12-Taste) nach ob du das rausbekommst.

Da du - meine Annahme basierend auf dem zittiertem Text - es ja vom Handy aus geht vermute ich was Osorkon schon schrieb irgendwo eine Regel in Cloudflare die das irgendwie blockt.

Wurde hier schon das Thema ip_ban.yaml angesprochen? Hier könnte man mal schauen

danke für die ausführlichen Antworten, im Handynetz kann ich ohne Probleme auf beide Adressen zugreifen mit Firefox, das Problem muss bei mir zu Hause sein, gerade habe ich HA komplett abgeschaltet und die Adresse ist immer noch blockiert, vll liegt der Fehler in meiner Fritzbox ich werde mich morgen mal darum kümmern. Vielen Dank für die vielen Tipps

den IP_ban kann ich in Yamel sehen? Wäre ja auch noch eine Möglichkeit, wo genau sehe ich das?

Hi

es hat mir keine Ruhe gelassen und ich habe in der Yamel configuration den Eintrag ip_ban deaktiviert und Hurra es funktioniert nun alles. Nun werde ich noch den gespeicherten ban löschen.

Vielen Dank an alle nocheinmal für die Hilfe ein tolles Forum