Fernzugriff mit Cloudflare funktioniert nicht

[gerds61]

Hallo,

ich stecke immer noch in den Anfängen und habe so meine Probleme.

Aktuell geht es um den Fernzugriff über Cloudflare.

Einziger Unterschied, ich habe die Domain nicht bei frenom (nicht erreichbar) sondern bei ionos registriert.

- Domain bei IONOS registriert
- Account bei Cloudfare eröffnet, Website mydomain.de registriert
- DNS-Server rauskopiert und bei IONOS eingefügt
- auf die Bestätigungsmail gewartet
- den Code in configuration.yaml eingefügt
- Cloudflared Addon installiert,
- in der Konfiguration unter externer Hostname von Homeassistant mydomain.de eingetragen
- Addon gestartet Link aus dem Protokoll kopiert und aufgerufen
- Autorisierung durchgeführt
- alles neu gestartet
- im Protokoll von Cloudflared sieht alles gut aus:

-----------------------------------------------------------
Add-on: Cloudflared
Use a Cloudflare Tunnel to remotely connect to Home Assistant without opening any ports
-----------------------------------------------------------
Add-on version: 5.1.8
You are running the latest version of this add-on.
System: Home Assistant OS 12.2 (amd64 / generic-x86-64)
Home Assistant Core: 2024.4.3
Home Assistant Supervisor: 2024.04.0
-----------------------------------------------------------
Please, share the above information when looking for help
or support in, e.g., GitHub, forums or the Discord chat.
-----------------------------------------------------------
[19:21:46] INFO: Checking add-on config...
[19:21:47] INFO: Checking for existing certificate...
[19:21:47] INFO: Existing certificate found
[19:21:47] INFO: Checking for existing tunnel...
--snip---
[19:21:51] INFO: Finished setting up the Cloudflare Tunnel
[19:21:51] INFO: Connecting Cloudflare Tunnel...
auf der Cloudflare Seite steht mydomain.de ist aktiv

Versuche ich jetzt: https://mydomain.de/ egal ob mit oder ohne Port aufzurufen, dann bekomme ich:

Diese Website kann keine sichere Verbindung bereitstellen mydomain.de hat eine ungültige Antwort gesendet.
ERR_SSL_PROTOCOL_ERROR

ein normales http://mydomain.de:8123/ brint mir
Die Website ist nicht erreichbar

was mache ich falsch ?

 

[blurrrr]

Diese Website kann keine sichere Verbindung bereitstellen mydomain.de hat eine ungültige Antwort gesendet.
ERR_SSL_PROTOCOL_ERROR

Da wird dann etwas mit dem Zertifikat nicht stimmen (oder es wird erst gar keins genutzt). Wie sieht es via "http://domain.tld" aus?

 

[gerds61]

ich weiß nicht, ob ich das richtig verstanden habe, ich habe jetzt http://mydomain.tld eingegeben, da komme Die Website ist nicht erreichbar, versuche ich http://mydomain.de aufzurufen, melder sich IONOS mit dem Hinweis, das die Domain bereits vergeben wurde

 

[gerds61]

Clouflared-Addon sagr:

[19:21:46] INFO: Checking add-on config...
[19:21:47] INFO: Checking for existing certificate...
[19:21:47] INFO: Existing certificate found
[19:21:47] INFO: Checking for existing tunnel...
[19:21:47] NOTICE: No tunnel file found
[19:21:47] INFO: Creating new tunnel...

Ionos weißt mich daraufhin, das für meine Domain noch kein Zertifikat existiert

 

[blurrrr]

Wenn Cloudflare einen Tunnel zu Dir aufmacht und Du etwas unter "domain.tld" ansprechen willst, dann muss domain.tld auch auf Cloudflare zeigen (die wiederum dann die Pakete weiterschicken zu der HA-Instanz)

 

[gerds61]

was kann ich jetzt tun ? ich könnte auf ionos ein zertifikat für mydomain.de erstellen lassen

 

[blurrrr]

Ich hab mit Cloudflare nichts an der Mütze, von daher bleiben wir mal "theoretisch" (das hilft sowieso besser beim allgemeinen Verständnis)....:

Du hast ein Ziel (HA). Dieses Ziel wird "immer"(!) via "IP" angesprochen. Du kommst zum Ziel über einen "Weg" (Route). Sprichst Du von extern diese IP an, wird Dein Client ein Paket absenden, welches durch das Internet seinen Weg bis zu dieser IP findet (Routing). Das hat erstmal rein garnichts mit irgendwelchen Namen (Domains) zu tun.

Nun sprichst Du von einem Cloudflare-"Tunnel", von daher gehe ich davon aus, dass - bei einer Verbindung zu Cloudflare (IP) die Pakete von Cloudflare durch diesen Tunnel zu Deiner HA-Instanz geschickt werden. Da Cloudflare diese Weiterleitung vermutlich eigenständig übernehmen wird (definitiv in der Cloudflare-Tunnel-Konfiguration), wäre das eigentliche Ziel für externe Clients dann eben der öffentliche Cloudflare-Ansprechpunkt ( -> Cloudflare -> HA).

Die Namensauflösung (DNS) dient jetzt nur zur Namensauflösung in IP-Adressen. Somit muss der angesprochene FQDN auch korrekterweise weder auf IONOS, noch auf Deine HA-Instanz zeigen, sondern auf den öffentlichen Ansprechpunkt des Cloudflare-Tunnels.

Dürfte dann ungefähr so aussehen: Client <-> Cloudflare <-> HA

Der Client muss seine Daten an Cloudflare senden, somit muss auch der FQDN (DNS-Record bei IONOS) auf Cloudflare zeigen.

Damit es etwas übersichtlicher bleibt, wäre es von Vorteil, wenn man diesbezüglich auch einen entsprechenden Host-Eintrag im DNS hätte. Statt also einfach "domain.tld" zu nutzen, wäre etwas in Richtung "ha.domain.tld" (o.ä.) schon etwas übersichtlicher.

Derzeit scheint es halt so, als würde Dein angesprochener FQDN auf IONOS zeigen und das ist falsch. Wenn Deine HA-Instanz unter "domain.tld" erreichbar sein soll, muss dieser DNS-Record auch auf Cloudflare zeigen, denn nur dann werden die Pakete durch den Tunnel zur HA-Instanz geschickt.

Ich habe zwar nix mit Cloudflare an der Mütze, aber so würde es zumindestens von der Logik her Sinn ergeben

 

[gerds61]

danke für eine Unterstützung, aber leider hilft mir das nicht weiter, lt. Videobeschreibung von simon42 muss es mit mydomain.de funktionieren, weder dlt noch zusätzliche hostnamen

 

[gerds61]

die connector-id im cloudflared addon ist identisch mit der connector-id im cloudflare dashboard, das stimmt auch alles

kennt sich jemand mit den codezeilen aus, die in die configuration.yaml gehören

http:
  cors_allowed_origins:
    - https://google.com
    - https://www.home-assistant.io
  ip_ban_enabled: true
  login_attempts_threshold: 5
  use_x_forwarded_for: true
  trusted_proxies:
    - 172.30.33.0/24

was hat es mit dieser ip-range auf sich, könnte da ein Fehler sein

 

[blurrrr]

Ah, kann es vielleicht sein, dass du die Nameserver bei IONOS nicht auf die von Cloudflare geändert hast? Falls doch, lass das Thema einfach mal 24 Stunden liegen, sowas kann schon etwas dauern.

die trusted_proxies-Zeile gibt nur an, von welchen Reverse-Proxies Pakete entgegen genommen werden, das dürfte schon richtig so sein.

 

[gerds61]

die Nameserver hatte ich eingetragen, ok, einfach mal abwarten

 

[blurrrr]

Kannst Du aber auch ganz einfach selbst prüfen, z.B. in der Windows-Eingabeaufforderung:

nslookup domain.tld
bzw.
nslookup domain.tld 8.8.8.8
(bei letzterem werden die Google-DNS-Server befragt)

Wenn Du wissen willst, wer die hinterlegten Nameserver sind (NS-Records), wäre es:

nslookup -q=NS domain.tld
bzw.
nslookup -q=NS domain.tld 8.8.8.8

Stehen bei den letzten beiden Befehlen NICHT die, welche Du bei IONOS hinterlegt hast (die von Cloudflare), dann ist die Änderung noch nicht durch.

EDIT: Wenn die Nameserver komplett auf Cloudflare umgebogen sind, dürftest Du - egal mit was - eigentlich garnicht mehr bei IONOS rauskommen

 

[gerds61]

Guten Morgen, ich wusste doch, dass noch was gefehlt hat - GEDULD - einfach mal die DNS-Server ihre Arbeit machen lassen, seit heute morgen funzt es, man wird halt ungeduldig, wenn man sieht, das es in den Videos immer schon nach 5min klappt , Danke nochmal

 

[blurrrr]

Die Videos sind doch extrem zusammengeschnitten... Schön zu lesen, dass es nun funktioniert hat und somit danke für's Feedback!