angefixt durch die aktuelle Diskussion um die neue BambuLab Firmware, die offensichtlich 3rd Party Benutzung (evtl. dann auch HA) komplett aussperrt wegen Sicherheitsbedenken wollte ich mir nochmals die Sicherheit meines HA anschauen.
Da gibt es sicher auch Videos von Simon42, hab ich leider bisher etwas vernachlässigt.
Wenn ich längere Zeit mal im Urlaub bin, habe ich einfach schnell nur einen http Zugang geöffnet und nachher wieder abgeschaltet. Dazu habe ich eine statische IP von meinem DNS-Anbieter oder alternativ auch die von AVM zur Auswahl.
Das kann man aber auch besser machen.
ich hätte gerne einen sichereren Zugang und die Nutzung per App von aussen.
Wenn es eine einfache Lösung sein soll, dann bietet sich Cloudflared an. Dann macht Homeassistant einen VPN-Tunnel auf und Cloudflare agiert als Proxy-Server dafür. Du musst keine Löcher in Router/Firewall bohren (Ports öffnen). Du hast automatisch Verbindungsverschlüssung (HTTPS) mit einem gültigen Zertifikat auf der Strecke von Client zu Cloudflare. Im Gegensatz zu einigen anderen Lösungen gibt es keine Probleme bezügliche interne vs. externe Adresse.
Da du von AVM schreibst, schätze ich, dass du eine Fritzbox im Einsatz hast. Wenn du keine uralte Firmware darauf laufen hast, hat sie mittlerweile Wireguard VPN an Bord. In meinen Augen der beste Weg, von Unterwegs auf HA zuzugreifen. Mache ich seit längerem so: völlig problem- und stressfrei.
ja habe eine FritzBox und wenn ich hiernach gehe, läuft da auch wireguard drauf
das arbeite ich jetzt mal durch …
Frage: Kann dann auch die Handy App (Android) damit umgehen? Ich befürchte, daß das alles mit viel Klickerei einhergeht, einfach mal ein HA-Widget auf dem Homescreen wird dann ja nicht mehr gehen, oder doch?
Hallo,
ich hatte eine Zeit lang mit Wireguard VPN auf HA zugegriffen - bis ich auf die Nabucasa Cloud gewechselt habe.
Installation war einfach, sowohl auf der Fritzbox als auch auf dem Handy (Android).
Wenn ich von außerhalb auf HA zugreifen wollte, habe ich über einen Button auf dem Startbildschirm am Handy VPN gestartet und dann alles ganz normal “wie Zuhause” bedient:
finde ich auch nicht gut, und immer vorher einen VPN Tunnel zu öffnen nur damit mir ein HA widget ein Videobild vom 3D Drucker anzeigen kann… geht das denn nicht einfacher?
Nabucasa kostet 75 €/Jahr
Cloudflare hatte wohl kürzlich eine Sicherheitslücke
Portfreigabe nur mit HTTP ist ja noch unsicherer, das habe ich ja schon
Was ist denn mit der Lösung DuckDNS & NGINX zu sagen?
Aber DuckDNS macht doch nichts anderes, als einen festen IP-Namen bereit zu stellen. Dasselbe macht auch AVM oder selfhost oder oder.
Also wozu brauche ich bei HA dann unbedingt DuckDNS
Duckdns kann ich abraten, funktioniert oft nicht. Außerdem hast du auch bei der Lösung mit nginx den Port 443 offen. Zertifikate bekommst du über das letsencrypt Addon auch für no-ip oder ip64, welche deutlich zuverlässiger sind als duckdns
Ich betreibe einen kleinen Server bei Hetzner, der als Gateway fungiert und Caddy als Reverse Proxy mit SSL nutzt, um Dienste aus meinem Homelab über SSH-Tunnel bereitzustellen. Dadurch muss ich keine Ports freigeben, kann aber gezielt Dienste sicher über SSH und SSL zugänglich machen. Zusätzlich habe ich noch einige weitere Optionen wie Authentifizierung zur Sicherung der Dienste, aber das ist natürlich alles optional.
Das ist natürlich mit einem gewissen Konfigurationsaufwand verbunden, obwohl Ansible bereits einen Großteil der Automatisierung übernimmt. Wer diesen Aufwand nicht betreiben möchte, ist mit Nabucasa sicherlich besser bedient. Andererseits kann man auf diese Weise natürlich auch weitere Dienste bereitstellen, ohne zusätzliche Kosten zu verursachen.
ich wollte es einfach mal testen mit duckdns und nginx aber irgendwo klemmt es noch
ich habe mich bei duckdns.org angemeldet und meine domain bekommen, sagen wird mal meine-domain.duckdns.org
wenn ich genau das jetzt in einen Webbrowser eingebe (und in der Fritzbox dafür vorher den rebind Schutz aufgehoben habe) komme ich auf die Anmeldeseite meiner Fritzbox aber per http
das konnte ich vorher mit einem anderen DynDNS Dienst auch schon machen.
NGINX ist installiert startet aber nicht.
immer wenn ich startet ist es gleich wieder aus Was mache ich falsch?
Vielleicht noch einmal kurz zu Wireguard. Der Aufbau des VPN dauert ca zwei bis drei Sekunden, das halte ich für eine durchaus erträgliche Zeit. Danach funktioniert alles so wie im Heimnetzwerk. In meinen Augen sind die Lösungen von Cloudflare u. ä. im Vergleich wenig attraktiv und deutlich aufwendiger.
Ich nutze es wie gesagt schon ziemlich lange und halte es für ungemein praktisch, mal eben schnell von unterwegs auf das System ohne Einschränkungen zugreifen zu können. Aber die Geschmäcker sind glücklicherweise unterschiedlich und letztlich muss jede(r) das tun, was sie/ihn glücklich macht.
gebe Dir Recht und ich kann mich entscheiden, wenn ich es ausprobieren konnte. Wie eine VPN funktioniert, weiss ich ja, jetzt wollte ich halt auchmal den https Zugang testen, aber es läuft nicht richtig.
Der NGINX läuft jetzt und im Protokoll steht unten auch “running nginx”.
also NGINX vorher wieder deinstallieren?
Jetzt wo er gerade läuft?
Was DuckDNS macht, ist mir klar aber was genau macht dieser Dienst?
Und funktioniert der nur mit DuckDNS oder auch mit meinem uralten DynDNS?
Wieso 8123, wenn Du von extern zugreifst? Wie sieht Deine Port Weiterleitung aus?
Und wenn wir von sicher reden, dann hat das nichts mit einer SSL Verschlüsselung zu tun.
Ob Du die Verbindung verschlüsselst oder nicht dürfte fast nie einen Unterschied machen. Außer Du erwartest, dass jemand Deine Leitung selbst überwacht, was doch sehr unwahrscheinlich sein dürfte.
Welchen Gewinn von Sicherheit erwartest Du von SSL gegenüber einer unverschlüsselten Verbindung?
Ich habe WireGuard so eingerichtet, dass die Verbindung dauerhaft und automatisch aufgebaut wird, sobald ich nicht im heimischen WLAN bin. Über den Tunnel gehen allerdings ausschließlich Daten, die in mein Heimnetz gehen sollen.
Wir sprechen über 1-2% Akkuverbrauch und jederzeit das Arbeiten, als sei ich zu Hause…
Das hat weniger mit Geschmack zu tun, sondern mehr mit den individuellen Anforderungen. Es ist für mich schwierig, meiner besseren Hälfte zu erklären, warum sie immer darauf achten muss, dass der VPN verbunden ist, damit bestimmte Automationen funktionieren, Kalender synchronisiert werden oder der Zugriff auf Mails funktioniert. Außerdem ist Home Assistant ja nicht der einzige Dienst, den man betreibt.
Wie du schon sagst, kann VPN in manchen Fällen eine ausreichende Lösung sein, aber für mich ist es eher ein Werkzeug für den administrativen Zugriff von unterwegs als eine dauerhafte Lösung für die Nutzung der Dienste.
