ich bin noch ziemlich neu im Bereich Home Assistant und taste mich gerade Schritt für Schritt heran. Aktuell läuft alles lokal soweit ganz gut, jetzt würde ich aber gerne auch von unterwegs sicher auf mein System zugreifen können.
Wichtig wäre mir dabei eine Lösung, die möglichst ohne zusätzliche Hardware auskommt und trotzdem einfach umzusetzen sowie sicher ist. Die Sicherheit ist mir hier auch sehr wichtig. Ich habe schon ein bisschen recherchiert, aber ich habe jetzt keine eindeutige Meinung gefunden und habe nicht genug Wissen was wirklich sicher ist.
Daher wollte ich mal in die Runde fragen:
Welche Methoden nutzt ihr für den Fernzugriff auf Home Assistant?
Was würdet ihr einem Einsteiger empfehlen, der Wert auf Sicherheit legt, aber es nicht unnötig kompliziert haben möchte?
Ich bin jetzt für mich bei wireguard gelandet. Meine Frage dazu wäre aber wie/ob die Portfreigabe problematisch ist und wie sicher/unsicher Wireguard ist je nach Konfiguration natürlich.
Du selber brauchst nichts mit einer extra Portfreigabe machen!
Oder meinst du den Port der von WireGuard genutzten wird?
→ Ein Bösewicht kann den Port von WireGuard (glaube war der 51820 (UDP)) sehen, aber nicht wirklich damit interagieren, ohne den passenden Schlüssel. Meines Wissens nach hast du das aber immer bei VPN. Alternativ könntest du dir auch Tailscale ansehen.
Servus,
für Einsteiger würde ich ganz klar entweder Nabu Casa oder ein VPN empfehlen.
Nabu Casa ist halt deutlich einfacher, weil du dich nicht selbst um die ganze externe Erreichbarkeit kümmern musst.
VPN geht natürlich auch, ist aber meist etwas technischer.
Wenn du außerdem die Entwickler unterstützen möchtest, würde ich ehrlich gesagt Nabu Casa nehmen — dann hast du eine einfache Lösung und unterstützt gleichzeitig Home Assistant.
Einfach Wireguard in der FB aktivieren für das entsprechende Handy und wenn Du HA aus der Ferne bedienen willst, einfach Wireguard auf dem Handy einschalten. Weiß nicht, was daran so kompliziert sein soll. Mit Ports etc. muss man nichts machen und auch nicht irgendwelchen Clouds Vertrauen schenken.
Eine Portweiterleitung müsstest Du einrichten, wenn Du einen eigenen VPN Server innerhalb deines Netzwerks betreiben würdest, da Du offenbar Wireguard auf deiner FB einrichten willst, musst Du das nicht.
Ganz davon abgesehen (gilt für beide Fälle, FB und eigener VPN-Server), die Verbindung zu Wireguard wird über ein verbindungsloses Protokoll via UDP realisiert, der “offene” Port ist aus dem Internet ohne den “richtigen Schlüssel” weder auffinbar/scanbar, noch antwortet Wireguard auf eine unautorisierte Anfrage, der Port ist sozusagen unsichtbar/stealth.
Das ist, extrem vereinfacht, wie ein Haus ohne sichtbare Tür und diese Tür offenbart sich nur demjenigen, der sich mit dem richtigen Schlüssel in der Hand dem Haus nähert. Magic…
Das kannst Du, Stand jetzt, als sicher betrachten…
Ports freigeben muss man erst wenn Wireguard zum Beispiel als Container irgendwo im Netz läuft.
Aber direkt auf der Fritzbox muss nichts freigegeben werden, wenn Wireguard dort läuft
Ich würde auch zu einem VPN raten, denn damit kommt man nicht nur an Home Assistant ran, sondern hat alle Funktionen des lokalen Netzes verfügbar.
Zugriff auf Dateien des lokalen NAS
irgendwelche Apps für smarte Geräte (Staubsauger-Robi, Wechselrichter, Speicher-Akkus, …)
…
alles, was lokal geht, geht bei Bedarf auch aus der Ferne.
Und bei Fritzbox fällt da die Entscheidung für Wireguard sehr leicht …
Wie schon mehrfach angemerkt wurde: KEINE Portfreigaben vornehmen, da nicht notwendig und auch sehr sicherheitskritisch.
(Portfreigaben sollte nur jemand einrichten, der genau weiß, was er tut und warum er es tut!)
Ich nutze selbst Wireguard VPN um auf mein Heimnetz zuzugreifen, allerdings habe ich vor kurzem Tailscale entdeckt, das läuft super einfach, kann als APP im Home Assistant installiert werden und am Handy/PC auch und wenn das aktiv ist, ist der Home Assistant immer einfach über einen fixen Namen erreichbar.
Kostet nichts, man braucht kein VPN, Portfreigabe, DynDNS und läuft auch bei Doppel NAT. Geht echt gut.
