Meine Lösung stand in der ersten Antwort.
ich bin verwirrt.
In der 1. Antwort ist Deine Empfehlung cloudflare.
Also entweder täusche ich mich oder das ist eine VPN und dem widersprichst Du dann aber, wenn Du sagst…
ist nicht genau das die Vorgehensweise bei VPN?
EDIT:
genau so funktioniert es, aber eben nicht verschlüsselt, daß ist ja mein ganzes Reden hier.
Wichtig ist die Option MyFRITZ!-Freigabe zu wählen. Dann sollte der direkte Zugriff weiterhin unterbunden werden und über die MyFritz! Dienste findet das Routing statt.
Und ja, damit auch dann SSL verschlüsselt.
Mit Cloudflare baut dein Server eine sichere VPN Verbindung mit den Cloudflare Server auf. Von da aus stellt dann Cloudflare den Dienst per HTTPS bereit…
Ich nutze den kostenlosen ZeroTier Dienst. Tailscale ist ähnlich.
Im Prinzip eine Art VPN Dienst der absolut einfach zu benutzen und konfigurieren ist. Für Endgeräte muss man Clients bzw App installieren, für HA gibt es AddOns.
Jeder Client muss von euch dann einfach nur zu Eurem Dienst Account zugelassen werden. Dann erkennen die Geräte automatisch ob sie extern sind und über VPN kommunizieren oder im WLAN kommunizieren können.
zeroTier kenne ich nicht, hab mal auf deren website geschaut.
in der free version kann man damit nur 10 Geräte verwenden und wie das jetzt genau mit einem Handy/Laptop unterwegs funktioniert, ist mir leider nicht klar geworden.
Dass Tailscale ein kostenloser Dienst ist, stimmt doch nur sehr begrenzt.
Und in dem Fall würde ich stark zu netbird.io raten. 
Nur? Wieviele Geräte willst du denn verbinden? 10 habe ich bisher noch nicht geschafft.
Ich habe mich auch nicht mit Tailscale beschäftigt, da ich von Anfang an immer ZeroTier benutzt habe. Das funktioniert wunderbar und ich nutze auch nur den HA Server und 2 Endgeräte damit. Kann sein dass ZeroTier auch irgendwo eingeschränkt ist mit der Anzahl an Geräten, aber für meinen Bedarf vollkommen ausreichend und einfach zu benutzen. Wenn einmal eingerichtet, läft der Dienst im Hintergrund und es ist egal ob man im WLAN oder extern ist.
Auf dem Handy muss man ggf einemal die Connection aus und wieder einschalten im ZeroTier client, falls die Verbindung mal nicht automatisch aufgebaut wird bei WLAN oder mobilen Netzwerkwechseln…
Einzige Manko der Zero Tier App auf Android. Man hat immer ein Icon in der Statusleiste wenn die Verbindung eingeschaltet ist. Diese kann man nicht verbergen (wie sticky, persistant notifications von der Companion App). Aber da gewöhnt man sich auch dran, falls man den immer eingeschaltet lässt.
Was mit diesen VPN Diensten nicht klappt ist Zugriff von aussen über andere Cloud Dienste, wie Google und Alexa…Dafür brauchst du eine Domain über die dein HA server erreichbar ist, also wäre dann Cloudflare die bessere Wahl. Allerdings erlaubt Cloudflare auch kaum noch kostenlose Domains was ich so gelesen habe.
Im Endeffekt definierst du ein eigenes globales subnet für deine Geräte. Das heißt, jedes registrierte Gerät ist über die WLAN IP und über die ZeroTier Subnet IP erreichbar. Im Browser bzw in der Companion App musst du als Server die ZeroTier Subnet IP eintragen vom HA server.
Damit kannst du dich dann immer zum HA server verbinden, egal in welchem Netz sich dein Endgerät verbindet. Welche IP benutzt wird regelt dann ZeroTier
was ist denn genau damit gemeint? Gleichzeitig oder generell von aussen?
von aussen hätte ich schonmal 3 Handys und 3 Laptops und 1 Tablett (aber nur, wenn ich im Urlaub bin) normal eigentlich nur die Handys
Ist offensichtlich ein Server, der in meinem Haus irgendwo drauf laufen muß, zB als Docker auf der HA Basis oder einen unraid server oder Synology NAS, korrekt?
und es steht auch in keinem konflikt mit AdGuard oder Pihole?
Helo
ich kann dir sagen, wie ich es mache, wahrscheinlich machen es viele andere so oder so ähnlich.
Zum grundsätzlichen Aufbau, ich benutze einen pfSense als Router. Dort habe ich zwei Ports offen, den für HTTPS und den für Wireguard. Anfragen an den Port 443 werden per NAT an den Reverse Proxy weitergeleitet. Von dort wird die Anfrage je nach Domain bzw. Subdomain an den entsprechenden Server weitergeleitet. Ohne Subdomain wird die Anfrage vom NPM geblockt, bzw. bleibt dort unbeantwortet. Ich verwende für meine Domain Cloudflare. Dort stelle ich ein, dass die Domainanfrage nur für bestimmte Länder erlaubt ist. Bei pfSense habe ich noch Geoblocking eingerichtet.
Alle meine Server sind mit Crowdsec Agent gesichert. Crowdsec ist wie Fail2Ban, mit dem Unterschied, dass man seine Daten mit der Crowd teilt und so schon IPs präventiv geblockt werden. Die pfSense fungiert als Bouncer. D.h. sollte es eine verdächtige Anfrage z.B. auf HA geben, wird diese durch die pfSense geblockt. Das funktioniert recht gut. CS aktualisiert auch regelmäßig die Blockliste.
Für meinen Anwendungsfall ist es wichtig, dass ich von meinem Laptop aus auf meine Dienste zugreifen kann. Daher ist die reine Wireguard-Lösung für mich keine Option.
Bei Wireguard kann man sehr viel einstellen und einschränken. Es ist möglich, den Client so einzustellen, dass nur der Traffic ins Heimnetz über die VPN-Verbindung geht. Dazu muss man bei Allowed IP 0.0.0.0 löschen und das Subnetz bzw. die Subnetze hinterlegen. Damit wird Split-VPN verwendet.
Es braucht keinen Server bei dir zu Hause. Auf jedem zu verbindenden Gerät läuft Tailscale. Es kann auch sein, dass du Tailscale auf einem Server bei dir zu Hause laufen lassen kannst, um dann auf dein gesamtes Heimnetzwerk zuzugreifen, das habe ich aber noch nicht genutzt.
Mit Geräte sind die Geräte gemeint, die du untereinander verbinden willst. Ich nutze beispielsweise Tailscale um mich von MacBook und iPhone auf HA zu verbinden. Das sind dann drei Geräte.
Ich verwende auch Wireguard, direkt auf meinem Mikrotik ax3 konfiguriert. HA habe ich auf einem ThinClient unter Proxmox installiert. Das funktioniert einwandfrei, ich hatte noch nie Probleme mit neuen Versionen (gegenüber früher, als ich es direkt auf dem ThinClient am Laufen hatte).
meine Installation auf einem ThinClient läuft absolut problemlos. Da ich HA komplett von anderer Hardware trennen will, läuft mein unraid-Server auf einem zweiten ThinClient, aber das hat jetzt mit diesem Thema nichts zu tun.
das ist dann die 3. Variante, zuletzt war von ZeroTier die Rede und darauf haben sich meine Fragen bezogen.
Um es einfach zu haben habe ich jetzt folgendes gemacht:
- myFritz-Konto war vorher schon eingerichtet ich nenne es jetzt mal
https://xyz123abc456.myfritz.net - in der FB unter Internet-Freigaben-FRITZ!Box-Dienste den Internetzugriff aktiviert (Port ist 443 by default)
- ich lande dann, wenn ich o.g. https Adresse im browser eingebe auf der Anmeldeseite meiner FritzBox (ist also eine verschlüsselte Verbindung)
- Für HA den Port 8123 als TCP und UDP freigeschaltet sowie eine myFritz Freigabe für diesen Port eingerichtet
- in HA unter System - Netzwerk HomeAssistant URL eingegeben als
https://homeassistant.xyz123abc456.myfritz.net:8123
wenn ich jetzt genau diese Adresse eingebe, kommt ein Fehler, wenn ich
https://xyz123abc456.myfritz.net:8123 eingebe komme ich auf die HA Anmeldeseite
Der browser meckert nicht (sonst kam immer ein rotes Ausrufezeichen), zeigt aber an, daß es keine sichere Verbindung ist (stand aber auch schon so im Tutorial von AVM)
MyFRITZ!-Freigaben einrichten | FRITZ!Box 7590
Frage: ist das jetzt eine verschlüsselte Verbindung ja oder nein?
Ach entschuldige, ich meine ZeroTier und nicht Tailscale. Sind aber in ihrer Funktionsweise sehr ähnliche Dienste.
Nein, Deine Homeassistant-Instanz baut einen verschlüsselten Tunnel zu Cloudflare auf und Cloudflare fungiert als Proxy für diesen Tunnel. Auf Deinem Smartphone, Tablet, Whatever brauchst Du für den externen Zugriff keine VPN-Verbindung und Du musst auch keine Ports in Router/Firewall öffnen.
Du nutzt dann bis zum Cloudflare-Server eine normale SSL- (also eigentlich TLS)-verschlüsselte Verbindung wie heutzutage bei jeder normalen Website und Cloudflare routet die Anfrage dann über den Tunnel auf Deine Homeassistant-Instanz.
ok, das klingt eigentlich ganz einfach.
Und was brauch eich jetzt dafür
- am Handy
- am Router
- in HA?
Deine Domain in der HA-App als externe URL eintragen
Nix
Also ich hab meinen WireGuard Client so konfiguriert, dass er erkennt, wenn das Handy eine Connection auf eine hausinterne IP aufbauen will, und öffnet dann voll automatisch und vollkommen unsichtbar den Tunnel zur heimischen Frizze. Und das auch nur für diese Verbindung; nach Gebrauch wird der Tunnel auch wieder automatisch geschlossen - VPN on demand! Is allerdings n iPhone 
- wie das die Androiden machen, weiß ich nicht.
Es ist aber die offizielle WireGuard App, also gar nix Spezielles, und ich geh mal davon aus, dass die auf Android alle nötigen (und meist weiterreichenden als bei iOS) Freiheitsgrade auch nutzen…
ok, also brauche ich auf dem Handy die wireguard App, die ständig im Hintergrund dann löuft. Mal sehen wie der Akku da mitmacht, egal, ich werde es ausprobieren.
Und was passiert, wenn ein widget mobile Daten abrufen will? zB eine Wetteranzeige oder das Bild einer security-cam?
EDIT:
ach stimmt ja, eine interne IP läuft dann über wireguard, als das Bild der cam und die Wetterdaten laufen normal über die cloud, richtig?