Fernzugriff funktioniert nicht

[Oliver49]

Hallo,

ich habe da ein Problem: Mein HA ist auf einem Raspberry 4 installiert. Lokaler Zugriff geht auch.
Nun habe ich versucht einen Fernzugriff über DuckDNS zu ermöglichen. Dazu habe ich zwei verschiedene Anleitungen versucht:
1. Von Simon42 ohne nginx. Da ging es nicht mehr lokal über https zuzugreifen...
2. von ??? mit inginx, dabei tritt aber beim Reiter SSL beim Speichern ein interner Fehler auf.
Ich bin leider ziemlicher Laie und weiß mir so recht keinen Rat mehr!
Vielleicht habt ihr ja noch Ideen oder Anleitungen, die funktionieren???

Viele Grüße,
Olli

 

[Barry Ricoh]

Ich denke mit den paar Infos wird es schwer mit Hilfe. Hast du den eine öffentliche IP V4 Adresse?

 

[Stationary]

Wäre eine Variante, bei der Du Dich per VPN zu Deinem Router verbindest und dann den Raspi aus dem Heimnetzwerk ansprichst nicht eine geeignetere Lösung?
Oder tailscale auf dem Raspi?

 

[Oliver49]

Ich denke mit den paar Infos wird es schwer mit Hilfe. Hast du den eine öffentliche IP V4 Adresse?

Ehrlich gesagt weiß ich nicht, was eine öffentliche IP V4 Adresse ist. Ich habe in der Fritzbox eine Portfreigabe eingerichtet. Ist das damit gemeint?

 

[Oliver49]

Wäre eine Variante, bei der Du Dich per VPN zu Deinem Router verbindest und dann den Raspi aus dem Heimnetzwerk ansprichst nicht eine geeignetere Lösung?
Oder tailscale auf dem Raspi?

Mit tailscale kann ich gar nichts anfangen. Und VPN? Brauche ich da eine extra Software, die kostenpflichtig ist?
Mir geht es in erster Linie darum, nicht über die Cloud von HA zu gehen, also einen "privaten" Zugriff zu haben...

 

[blurrrr]

Da ging es nicht mehr lokal über https zuzugreifen...

Das ist dann soweit schon richtig... Vermutlich mit Nginx-Proxy-Manager davor (HA-Addon), also vom Aufbau her ungefähr so:

Internet <-httpS-> Fritzbox <-httpS-> Nginx-Proxy-Manager <-http-> HomeAssistant

Du greifst dann auch eigentlich nicht mehr "lokal" zu, sondern gehst ganz normal über den öffentlichen FQDN (https://host.domain.tld). Damit das dann auch in der Fritzbox klappt, musst Du in der Fritzbox beim Rebind-Schutz noch eine Ausnahme für Deinen FQDN erstellen (vgl. AVM-Hilfe).

EDIT: VPN ist allerdings auch eine mögliche Lösung, Vorteil daran wäre, dass nicht die ganze Welt an Deine HA-Installation kommt.

 

[blurrrr]

Ehrlich gesagt weiß ich nicht, was eine öffentliche IP V4 Adresse ist.

Ist ja kein Problem, ist aber gut, dass Du es sagst Wenn wir das ganze jetzt mal auf IPv4 beschränken (Format: XXX.XXX.XXX.XXX), eine "private" IP bzw. ein privates IPv4-Netz hast Du Zuhause schon. Das ist z.B. das Netz der Fritzbox: 192.168.178.0/24. Nur der "Form halber" mal die Übersicht über die privaten Netze:

10.0.0.0/8 (10.0.0.0 - 10.255.255.255)
172.16.0.0/12 (172.16.0.0 - 172.31.255.255)
192.168.0.0 (192.168.0.0 - 192.168.255.255)

Ebenfalls dazu gehören die link-lokalen (das ist aber nochmal ein anderes Thema)
169.254.0.0/16 (169.254.0.0 - 169.254.255.255)

Private IP-Adressen werden im Internet nicht weitergeleitet (Routing). So eine IP hat z.B. Dein Rechner. Damit aber nun die Kommunikation mit dem Internet funktioniert, geht der Router hin und überschreibt - bei Anfragen, welche Dein Rechner ins Internet schickt - die private IP von Deinem Rechner durch seine eigene (öffentliche). Die Anfrage Deines Rechners erscheint im Internet also mit der öffentlichen IP Deines Routers. Somit geht die Antwort dann auch erstmal wieder zurück zu Deinem Router, welcher die Pakete dann wiederum umschreibt, damit sie Deinen Rechner erreichen. Das ist jetzt aber sehr stark vereinfacht und es gibt auch noch div. andere Szenarien, wo es alles etwas anders läuft und bei IPv6 verhält es sich dann auch so, dass eigentlich jedes Endgerät eine öffentliche IP-Adresse bekommt und somit auch "direkt" angesprochen werden kann.

Du kannst mal auf einer die vielen Websites zur Anzeige der eigenen (externen) IP schauen, z.B. https://www.wieistmeineip.de/. Sofern vorhanden, werden Dir dort eine IPv4- und eine IPv6-Adresse angezeigt. Sofern es nichts aus dem Bereich 100.64.0.0/10 ist, sollte es eigentlich passen (CGNAT, ähnlich wie das, was Dein Router macht, nur eben auf Provider-Ebene).

EDIT: Falls Du hier IP-Adressen postest: Die ersten 2 Blöcke sollten theoretisch ausreichen (IPv4: XXX.XXX...., IPv6: XXXX:XXXX:...)

 

[Oliver49]

Ja eine Ip4 Adresse habe ich: 94.31.xx.xxx

 

[Stationary]

Und VPN? Brauche ich da eine extra Software

Poste mal Details. Welchen Typ Router verwendest Du? Viele verbreitete Routertypen haben bereits einen VPN-Server integriert, der nur aktiviert werden muß. Hast Du eine Fritzbox?

Deine IPv4 scheint mir aus dem öffentlichen Bereich zu sein, daher ist ein VPN-Zugang eigentlich einfach zu realisieren, wenn der Router mitmacht.

 

[blurrrr]

Ich habe in der Fritzbox...

 

[Stationary]

tailscale kann ich gar nichts anfangen

Tailscale kann auf Endgeräten installiert werden, die in Netzwerken ohne öffentliche IP-Adresse laufen. Mittels tailscale kann dann auf diese Geräte per VPN zugegriffen werden, dann aber eben als gerätespezifisches VPN von Endgerät zu Endgerät, statt von Endgerät zu Router (und damit zu einem gesamten Netzwerk), um es mal vereinfacht darzustellen.

Edit: typo korrigiert.

 

[Stationary]

@blurrrr o.k. Falsch dargestellt… welche Fritzbox? Kann die Wireguard, oder nur IPSec?
@Oliver49 und mach’ mal die Portfreigabe wieder zu.

 

[Oliver49]

@blurrrr o.k. Falsch dargestellt… welche Fritzbox? Kann die Wireguard, oder nur IPSec?
@Oliver49 und mach’ mal die Portfreigabe wieder zu.

Erledigt.
Ich habe eine Fritzbox 7490

 

[Stationary]

Dann geht Wireguard. Hast Du eine myfritz-Adresse oder eine DynDNS-Adresse?
Myfritz richtest Du hier ein:

Ersatzweise kannst Du eine DynDNS-Adresse hier registrieren:

 

[Stationary]

Für Dich ist vermutlich der Weg über myfritz einfacher. Dann befolgst Du diese Anleitung hier: https://avm.de/service/wissensdaten...ard-VPN-zur-FRITZ-Box-am-Computer-einrichten/
Die Wireguard Apps gibt es dann nicht nur für den Computer, sondern auch für Tablets und Smartphones, z.B. hier: iOS/iPadOS https://apps.apple.com/de/app/wireguard/id1441195209?l=en-GB
Android https://play.google.com/store/apps/details?id=com.wireguard.android&hl=en&gl=US

 

[Oliver49]

My Fritz habe ich schon mal eingerichtet...

 

[Stationary]

Dann Wireguard nach Anleitung wie unter post #15 weiter einrichten, wenn Du es fertig eingerichtet hast, kommst Du über VPN in Dein Netzwerk und kannst Deine HA unter der gleichen Adresse ansprechen, wie im Heimnetz.

 

[Oliver49]

Kann ich die HA-App so auch nutzen, oder geht das nur über den Browser?

 

[Barungar]

Mit bestehener WireGuard-Verbinung am Smartphone kannst Du dann ganz normal auch die HomeAssistant App nutzen.
Du musst halt nur, wenn Du nicht daheim im WLAN bist, erst die WireGuard App starten, die "Verbindung nach Hause" aktivieren und dann kannst Du mit der HomeAssistant App alles machen, als ob Du daheim im WLAN wärst.

P.S.: Falls Du ein Android Smartphone hast, schau Dir mal diese App an https://forum.heimnetz.de/threads/wg-tunnel-ein-alternativer-wireguard-client-unter-android.4615/ damit kannst, Du den WireGuard Tunnel "nach Hause" direkt starten lassen, wenn so wie Du das WLAN verlässt.

 

[Stationary]

Bei den Wireguard Apps für iOS gib es eine Funktion, daß sich WG anschaltet, sowie man das Heimnetzwerk verläßt, das schaltet sich dann wieder ab, sowie man zurückkommt.
Bei der Android-App war das früher nicht implementiert, aber mittlerweile schon, oder @Barungar?

Edit: o.k. @Barungar hat die Info für Android nachgereicht, geht dort also auch.