Home Assistant Fernzugriff, aber wie?

bm-magic

New member
Hallo, bin 77 Jahre "jung", kann nicht englisch und ich freue mich sehr, dass es euch gibt... und ich dieses Forum gefunden habe.
- Nach dem ich zwei <Homematic IP Starter Set Heizen> gekauft habe und alle aneinander angelernt habe, hatte mich "der Ehrgeiz gepackt", der Einstieg ins Smart Home zu wagen.
- Habe Raspberry Pi 4 und RF USB Stick angeschafft und, "in meiner jugendlichen Leichtsinn", habe ich es begonnen, mit Hilfe von den Videos:

1. Home Assistant habe ich nach: simon42
installiert, was ohne Probleme funktionierte.
- Leider fand ich keine Möglichkeit das System Herunterfahren. Habe etliche Videos über die Installation angesehen. Alle enden damit, wie "einfach" der Aufbau ist, aber niemand erwähnt, wie man das System richtig herunter fährt. Ich habe es auch im Raspi Forum (ohne Erfolg) versucht:
~ Die Lösung habe ich mühsam gehackt:
Einstellungen/System/Hardware/rechts oben 3Punkte/Host herunterfahren

2. RaspberryMatic habe ich nach dem Video: simon42
auch installiert. Leider wurde ich mit unerwarteten Problemen konfrontiert:
- Schon mein erstes Versuch, ein Fensterkontakt anzulernen schlug fehl. Nach über einer Woche habe ich mich an HomeMatic Forum gewendet:
~ Die Lösung: habe RaspberryMatic neu installiert...und...es funktionierte auf Anhieb.

3. SSH Zugriff habe ich auch nach dem Video: simon42
versucht. Es funktionierte aber nicht.
~ Als nächstes versuchte ich es mit: Smart Home Junkie
- Laut Bericht wurde der von mir erstellter Key nicht akzeptiert, aber die SW hatte automatisch sein Key erstellt und ich habe Zugriff auf <HA>, aber auch auf mein PC bekommen.
Umgekehrt konnte ich von meinem PC aus über Terminal und ssh auf den <HA> zugreifen. SUPPER

HIER beginnt meine Odyssee:
4. Fernzugriff versuchte ich nach: simon42
- Problem: die Anmeldung mit Namen "*duckdns.org" funktioniert nicht. Als ich es auch im Netzwerk intern eingetragen habe und es testen wollte, hatte ich kein Zugriff über den Browser.
Auch nicht über die IP Adresse.
Bem.: Mein Standard OS ich Linux Mint mit firefox als Browser. Für einige Anwendungen habe ich auch Win_10 mit Opera. Aber auch von dort kein Zugriff. Schließlich versuchte ich es über Wlan mit meinem Handy mit dem es (über Opera) funktionierte. Als nächstes habe ich über Grub mein Win_7 auch mit Opera versucht...auch das funktionierte.
Maßnahmen:
- Zuerst eine Kopie der SD Karte mit "dd*" erstellt. (Es war eine 128 GB Karte und es hatte einige Stunden gedauert. Danach habe ich ein *.img mit 126GB auf dem Rechner!) Die Duplizierung mit <Rb Imager> hatte auch "ewig" gedauert.
-Habe über Win_7 Backup zurückgeladen. UND...das wars´. Danach funktionierte nichts.
- Ich hatte zwar Zugang über ssh, damit konnte ich aber nichts anfangen.
- Habe nach etlichen weiteren Versuchen aufgegeben und mit eine andere SD Karte von Anfang an begonnen:

1. Wie oben.
2. Übersprungen und weiter mit
3. nach Smart Home Junkie
4. Der Fernzugriff habe ich versucht nach: Smartzeug
- Problem hier: Ngnix Proxy Manager.
Es lässt sich kein Proxy Host erstellen und es wird <Internal Error> angezeigt.
Protokoll sieht so aus:
Code:
s6-rc: info: service s6rc-oneshot-runner: starting
s6-rc: info: service s6rc-oneshot-runner successfully started
s6-rc: info: service fix-attrs: starting
s6-rc: info: service fix-attrs successfully started
s6-rc: info: service legacy-cont-init: starting
cont-init: info: running /etc/cont-init.d/00-banner.sh
-----------------------------------------------------------
Add-on: Nginx Proxy Manager
Manage Nginx proxy hosts with a simple, powerful interface
-----------------------------------------------------------
Add-on version: 0.12.1
You are running the latest version of this add-on.
System: Home Assistant OS 8.4 (aarch64 / raspberrypi4-64)
Home Assistant Core: 2022.8.2
Home Assistant Supervisor: 2022.07.0
-----------------------------------------------------------
Please, share the above information when looking for help
or support in, e.g., GitHub, forums or the Discord chat.
-----------------------------------------------------------
cont-init: info: /etc/cont-init.d/00-banner.sh exited 0
cont-init: info: running /etc/cont-init.d/01-log-level.sh
cont-init: info: /etc/cont-init.d/01-log-level.sh exited 0
cont-init: info: running /etc/cont-init.d/mysql.sh
cont-init: info: /etc/cont-init.d/mysql.sh exited 0
cont-init: info: running /etc/cont-init.d/nginx.sh
cont-init: info: /etc/cont-init.d/nginx.sh exited 0
cont-init: info: running /etc/cont-init.d/npm.sh
cont-init: info: /etc/cont-init.d/npm.sh exited 0
s6-rc: info: service legacy-cont-init successfully started
s6-rc: info: service legacy-services: starting
services-up: info: copying legacy longrun manager (no readiness notification)
services-up: info: copying legacy longrun nginx (no readiness notification)
s6-rc: info: service legacy-services successfully started
[15:06:00] INFO: Starting NGinx...
[15:06:00] INFO: Starting the Manager...
[8/9/2022] [3:06:00 PM] [Global ] › ℹ info Manual db configuration already exists, skipping config creation from environment variables
[8/9/2022] [3:06:04 PM] [Migrate ] › ℹ info Current database version: 20211108145214
[8/9/2022] [3:06:04 PM] [Setup ] › ℹ info Logrotate Timer initialized
[8/9/2022] [3:06:04 PM] [Setup ] › ℹ info Logrotate completed.
[8/9/2022] [3:06:04 PM] [IP Ranges] › ℹ info Fetching IP Ranges from online services...
[8/9/2022] [3:06:04 PM] [IP Ranges] › ℹ info Fetching https://ip-ranges.amazonaws.com/ip-ranges.json
[8/9/2022] [3:06:04 PM] [IP Ranges] › ℹ info Fetching https://www.cloudflare.com/ips-v4
[8/9/2022] [3:06:05 PM] [IP Ranges] › ℹ info Fetching https://www.cloudflare.com/ips-v6
[8/9/2022] [3:06:05 PM] [SSL ] › ℹ info Let's Encrypt Renewal Timer initialized
[8/9/2022] [3:06:05 PM] [SSL ] › ℹ info Renewing SSL certs close to expiry...
[8/9/2022] [3:06:05 PM] [IP Ranges] › ℹ info IP Ranges Renewal Timer initialized
[8/9/2022] [3:06:05 PM] [Global ] › ℹ info Backend PID 263 listening on port 3000 ...
[8/9/2022] [3:06:09 PM] [Nginx ] › ℹ info Reloading Nginx
[8/9/2022] [3:06:09 PM] [SSL ] › ℹ info Renew Complete
`QueryBuilder#allowEager` method is deprecated. You should use `allowGraph` instead. `allowEager` method will be removed in 3.0
`QueryBuilder#eager` method is deprecated. You should use the `withGraphFetched` method instead. `eager` method will be removed in 3.0
QueryBuilder#omit is deprecated. This method will be removed in version 3.0
Model#$omit is deprected and will be removed in 3.0.

Ich Bitte um Hilfe
Bohu
 

blurrrr

Well-known member
Hey,

zunächst einmal: Hut ab! Ich bin zwar in der IT tätig, aber bei den aktuellen Entwicklungen (explodiert ja förmlich jeder Bereich), weiss ich garnicht, ob ich Deinem Alter noch Lust hätte, mich mit dem Mist zu beschäftigen 😁

So, jetzt aber mal zu Deinem Problem, bzw. kurz was vorweg: Nimm das PDF mal wieder raus und die Fehlermeldung (ist ja recht kurz) packst Du dann hier einfach direkt rein, ich mach das jetzt mal für Dich, Du nimmst derweil das PDF wieder raus. Ansonsten können wir uns alle an Deiner HomeAssistant-Installation austoben. Anonymisiert lautet die Fehlermeldung:

xxxxxxxxx.duckdns.org is already in use

Was heisst, dass der Proxy der Meinung ist, dass "xxxxxxx.duckdns.org" schon irgendwo in Benutzung ist. Ich weiss zwar leider nicht, wie das Konstrukt da jetzt genau zwischen NPM und HA aussieht, aber normalerweise sieht es wie folgt aus:

Internet <-> Proxy <-> Ziel-Server (HA)

Bedeutet übersetzt: Besucher aus dem Internet sprechen mit dem Proxy, der Proxy spricht mit Ziel-Server (aka Besucher aus dem Internet sprechen nicht direkt mit dem Ziel-Server)

Der Proxy reagiert auf bestimmte Anfragen aus dem Internet (z.B. auf xxxxx.duckdns.org) und leitet diese - je nach Konfiguration - auf einen entsprechend Zielserver weiter. Dieser "Selektor" kann jetzt verschiedenes sein, in Deinem Fall ist es aber der FQDN (der vollständige "Hostname", eben xxxxxx.duckdns.org).

Wenn Dir das System jetzt sagt, dass der Hostname bereits genutzt wird, hört sich das für mich erstmal so an, als hätte der Proxy zu diesem Hostnamen schon irgendwo einen Eintrag hinterlegt. Somit existiert schon irgendwo eine Anweisung für diesen Hostnamen und das bemängelt der Proxy jetzt auch. Vereinfacht ausgedrückt: Regel1: "Wenn Peter durch die Tür kommt, hat er dies zu machen". Wenn wir jetzt Regel2 hinzufügen: "Wenn Peter durch die Tür kommt, hat er jenes zu machen", wird das nicht funktionieren, denn diese beiden Regeln stehen in einem Konflikt. Mir scheint, dass Du genau so eine Situation hast...

Wenn Du jetzt sagst "puh... keine Ahnung...", wäre es vielleicht garnicht so verkehrt, wenn Du den Proxy nochmal deinstallierst (bin kein HomeAssistant-Spezi, ich kann Dir nicht sagen "wie", aber vielleicht weisst Du das ja auch selbst) und nochmal neu installierst. Dann hast Du wieder eine saubere Basis zum weitermachen :)
 
Zuletzt bearbeitet:

LittleWing

-
Moderator
Hallo und willkommen,

da im Anhang persönliche Informationen enthalten waren (öffentliche DynDNS-Adresse), habe ich den Anhang entfernt. @blurrrr hat ja schon eine anonymisierte Version der Fehlermeldung veröffentlicht, somit können andere auch sehen, um was für eine Fehlermeldung es sich gehandelt hat.

Bitte bei zukünftigen Posts darauf achten, dass Dinge wie öffentliche IP-Adressen/Hostnamen/etc. anonymisiert werden.

Viele Grüße
LittleWing
 

blurrrr

Well-known member
Ach, kleiner Nachtrag: Via Proxy ist HA halt immer und für "alle" (also wirklich "alle" im Internet) erreichbar. Eine andere Variante für z.B. das Smartphone wäre noch die Einrichtung via VPN (Du hast ja eine Fritzbox als Router, wie man am mittlerweile entfernten Screenshot gesehen hat). Das würde bedeuten, dass Du Dich vorher über einen verschlüsselten (VPN-)Tunnel in Dein Heimnetz verbindest und dort auf alle Ressourcen zugreifen kannst (natürlich auch auf HomeAssistant). Diese Variante ist jedenfalls wesentlich sicherer, als einfach nur den Proxy dazwischen zu schalten, aber das ist mitunter auch Geschmackssache :)
 

bm-magic

New member
@blurrrr und @LittleWing, vielen dank für die schnelle Antwort und die Maßnahmen. (Werde es versuchen einzuhalten.)
Bem.: Ihr könnt euch gern auf der HA austoben, wenn ihr dabei mein Fehler beseitigt...und mir verrät, wie ICH darauf kommen kann. ;-)
Denn, das hätte ich gerne gewusst.
a. Ich habe den Nginx Proxy Manager deinstalliert.
b. Habe rebootet und den Ngings Proxy Manager neu installiert.
c. Habe mich dort angemeldet...der Eintrag war vorhanden! ...leider mit dem Status unbekannt.
d. Habe es gelöscht und neu angelegt. Leider wieder mit der Meldung: Internal Error.

Übrigens....habe ich es schon vielmals versucht, bevor ich dieses Forum um Hilfe bot.
Gibt es u.U. eine andere Mögligkeit um auf den HA von Fern zugreifen zu können?
Denn...wenn ich es von extern nicht steuern kann, wozu ist es dann gut?
 

bm-magic

New member
@blurrrr, danke sehr für Deine Idee. Gibt es dafür eine "für normale sterbliche" verständliche Anleitung?
Ich habe "noch" keine Netzwerk Erfahrung und
"Wenn es dem Esel zu gut geht, geht es auf Eis."
Vorsorglich Ausschnitt aus dem letzten Protokoll:
Code:
[8/11/2022] [1:06:42 AM] [SSL      ] › ℹ  info      Renew Complete
`QueryBuilder#allowEager` method is deprecated. You should use `allowGraph` instead. `allowEager` method will be removed in 3.0
`QueryBuilder#eager` method is deprecated. You should use the `withGraphFetched` method instead. `eager` method will be removed in 3.0
QueryBuilder#omit is deprecated. This method will be removed in version 3.0
Model#$omit is deprected and will be removed in 3.0.
Duplicate relation "access_list" in a relation expression. You should use "a.[b, c]" instead of "[a.b, a.c]". This will cause an error in objection 2.0
[8/11/2022] [1:07:24 AM] [Nginx    ] › ℹ  info      Reloading Nginx
[8/11/2022] [1:07:29 AM] [SSL      ] › ℹ  info      Requesting Let'sEncrypt certificates for Cert #6: xxxxxxxx.duckdns.org
[8/11/2022] [1:07:29 AM] [SSL      ] › ℹ  info      Command: certbot certonly --config "/etc/letsencrypt.ini" --cert-name "npm-6" --agree-tos --authenticator webroot --email "xxxxxxxx@gmx.de" --preferred-challenges "dns,http" --domains "xxxxxxxx.duckdns.org"
[8/11/2022] [1:07:43 AM] [Nginx    ] › ℹ  info      Reloading Nginx
[8/11/2022] [1:07:43 AM] [Express  ] › ⚠  warning   Command failed: certbot certonly --config "/etc/letsencrypt.ini" --cert-name "npm-6" --agree-tos --authenticator webroot --email "xxxxxxxx@gmx.de" --preferred-challenges "dns,http" --domains "xxxxxxxx.duckdns.org"
Saving debug log to /data/logs/letsencrypt/letsencrypt.log
Some challenges have failed.
Ask for help or search for solutions at https://community.letsencrypt.org. See the logfile /data/logs/letsencrypt/letsencrypt.log or re-run Certbot with -v for more details.
[8/11/2022] [1:07:52 AM] [Nginx    ] › ℹ  info      Reloading Nginx
[8/11/2022] [1:07:57 AM] [SSL      ] › ℹ  info      Requesting Let'sEncrypt certificates for Cert #7: xxxxxxxx.duckdns.org
[8/11/2022] [1:07:57 AM] [SSL      ] › ℹ  info      Command: certbot certonly --config "/etc/letsencrypt.ini" --cert-name "npm-7" --agree-tos --authenticator webroot --email "xxxxxxxx@gmx.de" --preferred-challenges "dns,http" --domains "xxxxxxxx.duckdns.org"
[8/11/2022] [1:08:10 AM] [Nginx    ] › ℹ  info      Reloading Nginx
[8/11/2022] [1:08:10 AM] [Express  ] › ⚠  warning   Command failed: certbot certonly --config "/etc/letsencrypt.ini" --cert-name "npm-7" --agree-tos --authenticator webroot --email "xxxxxxxx@gmx.de" --preferred-challenges "dns,http" --domains "xxxxxxxx.duckdns.org"
Saving debug log to /data/logs/letsencrypt/letsencrypt.log
Some challenges have failed.
Ask for help or search for solutions at https://community.letsencrypt.org. See the logfile /data/logs/letsencrypt/letsencrypt.log or re-run Certbot with -v for more details.
[8/11/2022] [1:08:23 AM] [Nginx    ] › ℹ  info      Reloading Nginx
[8/11/2022] [1:08:28 AM] [SSL      ] › ℹ  info      Requesting Let'sEncrypt certificates for Cert #8: xxxxxxxx.duckdns.org
[8/11/2022] [1:08:28 AM] [SSL      ] › ℹ  info      Command: certbot certonly --config "/etc/letsencrypt.ini" --cert-name "npm-8" --agree-tos --authenticator webroot --email "xxxxxxxx@gmx.de" --preferred-challenges "dns,http" --domains "xxxxxxxx.duckdns.org"
[8/11/2022] [1:08:42 AM] [Nginx    ] › ℹ  info      Reloading Nginx
[8/11/2022] [1:08:42 AM] [Express  ] › ⚠  warning   Command failed: certbot certonly --config "/etc/letsencrypt.ini" --cert-name "npm-8" --agree-tos --authenticator webroot --email "xxxxxxxx@gmx.de" --preferred-challenges "dns,http" --domains "xxxxxxxx.duckdns.org"
Saving debug log to /data/logs/letsencrypt/letsencrypt.log
Some challenges have failed.
Ask for help or search for solutions at https://community.letsencrypt.org. See the logfile /data/logs/letsencrypt/letsencrypt.log or re-run Certbot with -v for more details.
 
Zuletzt bearbeitet von einem Moderator:

blurrrr

Well-known member
Hi,
Gibt es dafür eine "für normale sterbliche" verständliche Anleitung?
die Frage wäre jetzt: "Wofür"? Und jetzt sag nicht "dafür", das hat beim ersten mal schon nicht geklappt 😜😁

Normalerweise wäre es mit dem Proxy wie folgt:

- Client fragt nach xxxxx.duckdns.org
- Anfrage kommt beim Proxy an (Hostname: "xxxxx.duckdns.org", Port "443" (TCP))
- Proxy leitet weiter an z.B. "192.168.178.10" (HomeAssistant), Port "8123" (TCP)

a. Ich habe den Nginx Proxy Manager deinstalliert.
b. Habe rebootet und den Ngings Proxy Manager neu installiert.
c. Habe mich dort angemeldet...der Eintrag war vorhanden! ...leider mit dem Status unbekannt.
d. Habe es gelöscht und neu angelegt. Leider wieder mit de
Vermutlich liegen vom Proxy noch irgendwo Dateien auf dem eigentlichen Host-System rum, da ich mit HomeAssistant aber eher nix an der Mütze habe, kann ich Dir da leider nicht viel zu sagen. Vielleicht kannst Du ja dort, wo Du auch den NPM installiert hast, auch die Daten davon löschen (also nicht nur die "Installation" als solches, sondern auch dazugehörige Daten)?

Gibt es u.U. eine andere Mögligkeit um auf den HA von Fern zugreifen zu können?
Denn...wenn ich es von extern nicht steuern kann, wozu ist es dann gut?
Du hast grundsätzlich 3 Möglichkeiten (jetzt mal vereinfacht ausgedrückt)...

1) Du lässt die Haustür auf, alle können sich aus Deinem Haus holen, was sie wollen -> Direkter Zugriff ohne Proxy
2) Du lässt die Haustür auf, stellst aber einen Buttler an den Eingang, niemand ausser der Buttler betritt Dein Haus (Gäste reden nur mit dem Buttler, Buttler holt Gegenstände aus dem Haus) -> Indirekter Zugriff über Proxy
3) Du schliesst die Haustür ab, brauchst keinen Buttler, nur Du hast den Schlüssel, musst die Haustür aber halt immer aufschliessen, wenn Du rein willst. Erstmal aufgeschlossen kannst Du Dich im Haus frei bewegen -> Zugriff via VPN (ohne groß Freigaben nach aussen, geringstes Sicherheitsrisiko).

Was Punkt 3 angeht, so kannst Du einfach mal hier schauen:

https://www.heimnetz.de/anleitungen...pn-server-fuer-die-client-einwahl-einrichten/

Da hat @the other etwas entsprechendes hinterlegt. Du nutzt dabei im besten Fall Deinen bereits vorhandenen "duckdns.org"-Hostnamen (falls der auf Deiner Fritzbox eingerichtet ist), oder einfach eine MyFritz-Adresse (Anleitungen dazu finden sich auch hier https://www.heimnetz.de/anleitungen/router/avm-fritzbox/), oder wie auch immer, hauptsache Du hast einen "fixen" Punkt, wo Du von aussen erstmal Deinen Router erreichst.

Was das VPN angeht: Du kannst dabei nichts "kaputt" machen, also keine Sorge 🙂 Wenn die VPN-Verbindung zwischen Client und Fritzbox dann erstmal steht, kannst Du auch auf sämtliche Ressourcen im Heimnetzwerk zugreifen (z.B. auch Drucker, oder was Du sonst ggf. noch so im Netzwerk hast), dann natürlich auch die HomeAssistant-Installation (womit sich "Buttler" und "Tür auflassen" erledigt hätten) 🙃
 

the other

Well-known member
Moinsen,
Zunächst willkommen im Forum...
Einen vpn Zugang per fritzbox bekommst du sicherlich hin, denn du hast dich ja insgesamt schon mit vile Fleiß in die IT gestürzt und ja auch schon einiges auf die Beine gestellt, Respekt.

Überleg aber unabhängig davon auch nochmal, wofür und ob du für home assistant WIRKLICH einen Zugang von extern brauchst. Auch beim rein internen Gebrauch bietet home assistant viele Vorteile.
Wenn du so kritische Dinge wie Heizung und Co von außen freigeben willst, würde ich immer eher zu VPN raten, wie es @blurrrr ja auch schon oben geschrieben hatte.

Ansonsten, gerne melden, dafür ist das Forum ja da.
;)
 

bm-magic

New member
@blurrrr , DANKE SEHR, für die detaillierte & für mein Verständnis Niveau angepasste Aufklärung.
a. Zu dem Proxy. U.U verstehe ich nun, warum es nicht funktioniert, duckdns.org gibt NUR meine öffentliche IP4 Adresse weiter.
In Meine Fritz!Box 6490 (V 7.29) verwendet für IP4 einen DS-Lite-Tunnel, AFTR-Gateway:xxxx und ist über IP4 nicht erreichbar.
Ist es so möglich?
b. Die Erklärung mit der Haustür ist "Putzfrauen sicher" (soll keine Abwertung für Putzfrauen sein), aber auch ich habe es verstanden.
c. Zu Punkt 3.
Du nutzt dabei im besten Fall Deinen bereits vorhandenen "duckdns.org"-Hostnamen (falls der auf Deiner Fritzbox eingerichtet ist)
Ich habe meine Meinung nach auf meinem Fritz! nichts eingerichtet. Habe lediglich für HA TCP Ports 80 und 443 zugelassen.
Habe zwar versucht im /Internet/Freigaben/DynDNS/ duckdns einzurichten, aber weil es nicht funktionierte, habe ich den "Haken" wieder entfernt. Muss man etwas anderes machen?
- Die Anleitung von @the other habe ich schon "grob" gelesen und ich glaube, das ich es verstehe.
- Die Anleitungen zu Fritz finde ich "genial" (ein weiteres Grund euch zu mögen!)
- Habe nicht viel Ahnung, wozu VPN dienen kann...nur es kursiert allgemein ein Vorurteil, wie kompliziert es ist.
Ich werde es im jedenfalls "versuchen" und werde berichten.
Danke noch einmal
Bohu

@the other , danke für Deine Antwort und für die schöne Anleitung.
Warum ich einen Externen Zugang brauche? Ich habe Handy mit Android OS.
a. Habe auf dem die App TinyMatic installiert. Funktioniert aber nicht.
b. Habe auch die App Home Assistant versucht zu installieren. Funktioniert aber auch nicht.
Ich denke, das ich zu erst einen externen Zugang haben muss. Oder?
 

the other

Well-known member
Moinsen,
Du kannst die App für home assistant unter Android für den lokalen und / oder externen Zugriff einrichten...
Also, app installieren, dann die (feste?) IP und Port für home assistant eingeben...
 

the other

Well-known member
Moinsen,
wofür / warum TinyMatic?
Eigentlich solltest du mit der App von Home Assistant alles soweit regeln können.
Also daher nochmal etwas ausführlicher:
App installieren.
Dann mal OHNE NETZ die App starten, Verbindung wird natürlich nicht klappen, dann sollte aber ein Fenster aufgehen "Verbindung nicht möglich...blablabla...Enstellungen"...
Da dann auf Einstellungen klicken und dort unter Home Assistant URL eingeben:
mit HTTPS... https://IP.VON.DEINEM.HA:5001
oder ohne HTTPS... https://IP.VON.DEINEM.HA:5000
Dann mit OK bestätigen.

Schließen, WLAN anmachen, dann versuchen mit der App zu verbinden...
:)
 

blurrrr

Well-known member
Zu dem Proxy. U.U verstehe ich nun, warum es nicht funktioniert, duckdns.org gibt NUR meine öffentliche IP4 Adresse weiter.
In Meine Fritz!Box 6490 (V 7.29) verwendet für IP4 einen DS-Lite-Tunnel, AFTR-Gateway:xxxx und ist über IP4 nicht erreichbar.
Gut, dass Du das mit dem DS-Lite mal erwähnst, das wird so nicht funktionieren. DS-Lite benutzt "ganz normal" IPv6 (da kriegen Deine internen Geräte ja auch "öffentlich erreichbare" IP-Adressen). IPv4 hingegen verwendet intern "private - nicht öffentlich erreichbare - IP-Adressen" (bei Dir z.B. "192.168.178.x"). Diese "privaten" Adressen werden nicht im Internet weitergeleitet. Deswegen nutzt Deine Fritzbox einen Mechanismus namens "NAT" (mal halbwegs in deutscher Sprache übersetzt: Netzwerk-Adressen-Übersetzung).

Konkret bedeutet das nun, dass wenn Dein Computer (192.168.178.100) eine Anfrage ins Internet stellt, überschreibt die Fritzbox die Quell-IP (192.168.178.100) durch seine eigene öffentliche Internet-IP (z.B. 60.70.80.90). Das Zielsystem (Server irgendwo im Internet) schickt seine Antwort nun wieder an die Adresse Deiner Fritzbox (60.70.80.90) und die Fritzbox hat sich gemerkt, welcher Computer die Anfrage an das Zielsystem geschickt hat, schreibt die Ziel-IP für das Antwort-Paket um (192.168.178.100) und leitet das Paket entsprechend an den Computer weiter, welcher zuvor angefragt hat. Die Fritzbox bzw. dieser NAT-Mechanismus dient in diesem Fall also als "Vermittler" zwischen privaten und öffentlichen Netzen.

Bei IPv6 gibt es das so erstmal "nicht".

Sooooo..... jetzt kommt der "unschöne" Teil (und somit auch Dein eigentliches "Problem"). IPv6 und IPv4 sind inkompatibel. Du hast erstmal "nur" eine öffentliche IPv6 bei Deinem Anschluss. Da IPv6 jetzt nicht mit IPv4 sprechen kann, könntest Du "theoretisch" nichts mehr im Internet ansprechen, was lediglich IPv4 spricht. Grundsätzlich ist das jetzt aber "glücklicherweise" nicht "Dein" Problem, sondern ein Problem Deines Internetproviders. Der Provider geht nun hin und stellt ein CGN-Gateway bereit (Carrier-Grade-"NAT"). Bedeutet nichts anderes, dass dieser NAT-Mechanismus, welche Deine Fritzbox z.B. bei den privaten IPv4-Adressen bereitstellt, jetzt auf "Provider-Ebene" stattfindet. Da sogar insbesondere mit einem zusätzlichen Mechanismus, welcher eine Umwandlung von IPv6 zu IPv4 vornimmt. Prinzipiell sehen die Dinge dann wie folgt aus:

privat IPv4 <-- Router (NAT) --> öffentlich IPv4
öffentlich IPv6 <-- Router --> öffentlich IPv6
öffentlich IPv6 <-- Router --> .... <-- Provider-Router (CGNAT) --> öffentlich IPv4 (Schaubild)

Der Teil vor dem Router ist Dein Heimnetzwerk, der Teil hinter dem Router ist das Internet. Das eigentliche Problem ist jetzt folgendes: An "Deinem" Router kannst Du problemlos eine Portweiterleitung/Portfreigabe einrichten, damit Dinge von aussen vom Router weitergeleitet werden auf Dinge in Deinem Heimnetzwerk (z.B. die HomeAssistant-Installation). Das "blöde" ist jetzt, dass Du das bei dem Provider-Router (CGNAT) eben "nicht" machen kannst.

Gehst Du jetzt von Dir aus hin (IPv6) und sprichst einen IPv4-Server im Internet an und fragst diesen nach Deiner "öffentlichen" IP, bist Du schon den Weg über das CGNAT gegangen (inkl. der IP-Adressen-Umschreibung! (NAT)). Somit wird Dir das Zielsystem als "Deine IP" die öffentliche IPv4-Adresse vom CGNAT nennen (also vom Provider-Router, nicht von Deinem). Kurzum: Du hast auf "einfachem Wege" keine Chance, Dein System von aussen via IPv4 erreichbar zu machen.

Via IPv6 müsste der DynDNS-Record auf die "IPv6"-Adresse der HomeAssistant-Installation zeigen (da hast Du auch "intern" eben diese "öffentlichen" IP-Adressen). In der Fritzbox bedarf es dann auch keiner Port"weiterleitung", sondern einer Port"freigabe" (also ohne Umschreibung von IP-Adressen).

Grundsätzlich gilt für Dich daher folgendes: Wenn Du irgendwie von aussen über Deinen Router an interne Dinge willst (Portfreigaben auf Zielsysteme (wie Du es vorgehabt hast), VPN, was auch immer)... Deine DynDNS-Adresse "muss" auf die öffentliche IPv6-Adresse des Zielsystems zeigen.

Wenn man sich das mal etwas analoger als Haus vorstellt (die Tür ist Dein Router). Das Haus bzw. die Haustür hat eine Adresse. Bei IPv6 haben jetzt noch die einzelnen Räume auch alle eigene Adressen. Während Du bei IPv4 hingegangen bist und gesagt hast "Hausnummer 5", hattest Du an der Tür noch jemanden stehen, der die Gäste in die richtigen Räume geschickt hat (Portweiterleitung). Bei IPv6 ist der Typ an der Tür eigentlich nur noch "Türsteher" (Port"freigabe"), man kann die Räume einfach "direkt" betreten (ohne "Weiterleitung").

Für Dich und Deinen Proxy heisst das jetzt ganz konkret:

Die duckdns.org-Adresse sollte auf die öffentliche IPv6-Adresse der HomeAssistant-Installation zeigen, in der Fritzbox muss dann noch die entsprechende Freigabe gemacht werden, dass Pakete via HTTPS (z.B. Port 443) zur öffentlichen IP der HomeAssistant-Installation dürfen (Fritzbox spielt in dieser Situation nur noch Firewall).

Die Idee mit dem VPN kannst Du derweil direkt begraben, da die Fritzbox für eingehende VPN-Verbindung nur IPv4 unterstützt (vgl. https://avm.de/service/wissensdaten...-zur-FRITZ-Box-mit-IPv6-oder-DS-Lite-moglich/).

Als allerletzte Alternative: Es gibt (kostenpflichtige) Dienste, wo Dein Client eine "ausgehende" VPN-Verbindung (verschlüsselter Tunnel) zu einem Dienstleister aufbaut, welcher Dir eine statische IPv4-Adresse bereitstellt. Somit wäre Dein primärer Ansprechpunkt (auf den auch die duckdns-Adresse zeigen sollte) die statische IP-Adresse des Dienstleisters. Du verbindest Dich mit dieser Adresse und der Dienstleister schickt die Pakete durch den VPN-Tunnel zu Dir nach Hause zum Zielsystem. Ein Beispiel für so einen Anbieter wäre https://www.feste-ip.net/. Allerdings macht sowas das Gesamtkonstrukt natürlich noch komplizierter.

Grundsätzlich kannst Du schon bei Deinem geplanten Konstrukt bleiben, dann aber via IPv6 und nicht via IPv4, die IP-Adressen sehen da auch dezent anders aus (nur mal kurz über drüber schauen).

So, hoffe das war jetzt nicht zuviel... 😅 Fakt ist jedenfalls, dass Du um "Deine" Netzkonfiguration und Internetanbindung grundsätzlich Bescheid wissen solltest (s. o.), damit Du weisst, wie Du entsprechend mit solchen Dingen umgehen kannst. Das Problem ist, dass es tausende von Anleitungen im Internet gibt, aber ... es muss schon zu Deiner Umgebung passen, ansonsten wird das nichts. Grundsätzlich hilft dabei eben das Verständnis bzgl. IPv4 und IPv6 + Übergangsmechanismen (NAT + CGNAT). Das steht (hoffentlich halbwegs verständlich) ein Stückchen weiter oben.

Mit diesem Wissen gewappnet, kannst Du Dich jetzt nochmal an Dein geplante Vorhaben setzen, wobei initial zunächst das Problem mit dem Reverse-Proxy (NPM) zu klären wäre. Nach den Infos zu urteilen, die ich bisher so gefunden habe, ist es wohl so, dass bei der Deinstallation des Proxy weiterhin Einträge einer dazugehörigen Datenbank vorhanden sind ("einfach" wäre ja auch zu einfach). Damit es nicht zu kompliziert wird, gibt es eine Weboberfläche dafür namens "phpMyAdmin", mit welcher Du auf die Datenbanken zugreifen kannst, das kannst Du wohl wie den Proxy aus dem HomeAssistant-Community-Store installieren. Deinstallier erstmal den Proxy, danach solltest Du via phpMyAdmin mal nach einer Datenbank vom Proxy (Nginx Proxy Manager (kurz: NPM)) schauen. Wirst Du fündig, lösch die entsprechende Datenbank vom Proxy (nichts anderes!). Danach solltest Du den Proxy wieder "sauber" installieren können.

Falls Du Dir dabei unsicher bist, mach besser vorher eine Sicherung Deiner HomeAssistant-Installation :)
 

the other

Well-known member
Moinsen,
auch hier hat @blurrrr recht, was die Problematik mit DS lite angeht und einer Fritzbox bzgl. eingehender VPN Verbindung: es geht leider nicht so wirklich (ohne extra Klimmzüge).
Was aber (manchmal, auf den guten Willen deines Internetserviceproviders ankommend) manchmal klappt: schreib Vodafone per Mail als Kunde an, sag, dass du eben eine öffentliche IPv4 Adresse benötigst...und frag freundlich nach. Ganz ganz manchmal sitzt der "richtige" Sachbearbeiter am anderen Ende und dein ISP schaltet dir neben der IPv6 auch eine IPv4 Adresse frei (die sich dann zwar auch wieder regelmäßig verändert, das ist dann aber gut zu stemmen mit DynDNS oder myFRITZ.

Wie gesagt, es kommt auf den guten Willen deines ISP an, müssen tut Vodafone das nicht, aber fragen kostet ja auch nix...
;)
 

bm-magic

New member
@blurrrr , Danke SEHR...auch wenn ich diesmal nicht sehr viel von Deinem gut gemeintem Vortrag verstanden habe.
Ich habe es schon mehrmals gelesen. Da ich nicht mit PC aufgewachsen bin, verstehe ich ein gedrucktes Text viel besser, als auf dem Bildschirm. Ich werde es nun ausdrucken und dann "neu versuchen".
- Jetzt schon habe ich sehr viel gelernt und bin Dir sehr dankbar dafür.
- Weil ich noch in der "Experimentelle Phase" bin, und mich schon mehrmals "ausgeschlossen habe", habe ich an dem Raspi einen Bildschirm und Tastatur, um in "Notfall" mit <core stop> && <host shutdown> ihm herunterfahren kann.
In dem Fenster sehe ich die HA Infos samt Zugangsdaten.
- Interessant finde ich, das dort manchmal die IP6 Adresse zu sehen ist (die ich nun, dank Dir, etwas besser verstehe), manchmal ist dort aber nur die IP4 Adresse. Ist aber zur Zeit unwichtig.
Info: Ich möchte mich entschuldigen, wenn ich "nicht so schnell" reagiere. Aufklärung:
Ich bin NUR ein Mann und zu dem Sternzeichen Schütze. Evolution bedingt, kann ich mich nur auf eine Sache konzentrieren. Nun habe ich "mehrere Baustellen" und mus Prioritäten setzen.
- Und weil ich dazu noch "zu faul" bin, versuche ich die einfachsten Aufgaben zu erst erledigen.
Ich werde mich aber unbedingt melden! Danke
Bohu

@the other , DANKE...für die wichtige Nachricht. Das mit dem Vodafone hat keine hohe Priorität, aber GUT ZU WISSEN, das es den Versuch Wert ist. Bevor ich es versuche. Lebe ich so nicht sicherer?
- Nun zu Dem Beitrag #07, VPN über AVN Fritz. Habe alles nach Deiner Anleitung gemacht.
Alles funktioniere so wie Du beschrieben hast. Als ich mich mit dem Handy Verbinden wollte, erschien ein Hinweis, das die Verbindung nicht sicher ist und ich das Protokoll auf IKEv2/IPSec PSK ändern sollte. Nach dem ich es getan habe findet drotz dem keine Verbindung statt. Die Meldung:
Es können nur numerische DNS-Serveadressen für Always-on VPN verwendet werden.
Ich nehme an, das es mit dem Beitrag #12 und #13 zusammenhängt.
Nun zum #11. Danke Dir dafür. Habe es nach Deinem Muster versucht...natürlich ging es nicht.
Weil ich aber ein "Spieler" bin kann ich in einigen Runden verlieren, was aber nicht bedeutet, das ich das Gesamtspiel verloren habe.
Auf meinem Bildschirm stand auch noch als Verbindungsmöglichkeit:
Code:
http://homeassistant:8123
UND...als ich es eingegeben habe....funktioniert die App. ;-))
Danke sehr. U.U hilft es auch einem anderem Leser.
DANKE SEHR.

Warum es NICHT mit der zugewiesener Adresse funktioniert, ist mir unklar. Mit Opera in dem gleichen Handy funktioniert es.!?
 

the other

Well-known member
Moinsen,
zunächst: das hier
Das mit dem Vodafone hat keine hohe Priorität, aber GUT ZU WISSEN, das es den Versuch Wert ist. Bevor ich es versuche. Lebe ich so nicht sicherer?
habe ich nicht verstanden...

Dann ist es mit deiner Anschlussart (ds lite, kein "echtes" IPv4) so, dass die Fritzbox nur VPN via IPv4 eingehend akzeptiert. Mit DS lite geht es nicht, dass du deine Fritzbox als VPN Server benutzt (ohne einige Umwege, die @blurrrr ja schon erwähnte). Du hast also nix falsch gemacht oder die Anleitung falsch umgesetzt vermute ich, sondern dein ISP (Vodafone) macht da den Strich durch.

Zu der Portangabe bei der App für Home Assistant:
du hast weiterhin den Remote (also von außerhalb kommenden) Zugriff mit diesem Port aktiv. Dazu gefragt: wenn du mit deinem Handy das machst, bist du dann in deinem eigenen WLAN der Fritzbox oder im Mobilen Datennetz deines Handy Providers (auch Vodafone?)?

Eigentlich (wenn du denn zu Hause bist) wählst du dich in dein WLAN ein, gibst in der App für den Verbindungsaufbau zB die IP Adresse deines Home Assistant (ist ja auch in deiner Fritzbox zu finden) ein und fügst dann (im heimischen Netz seiend) :5000 an.

Wenn du aber immer über dein Mobilfunknetz oder ein fremdes WLAN zugreifen willst, dann benötigst du den :8123 Port plus die Portfreigabe in der Fritzbox dafür ODER eben die Lösung via Proxy.
Wenn (das Wörtchen wenn nicht wär...) du VPN nutzen könntest, dann würde es immer mit der Portangabe :5000 funktionieren.

Aber erstmal zurück zu meiner Frage:
wenn du mit deinem Handy das machst, bist du dann in deinem eigenen WLAN der Fritzbox oder im Mobilen Datennetz deines Handy Providers (auch Vodafone?)?
:)
 

blurrrr

Well-known member
Also ich denke mittlerweile, dass sowieso nur 2 praktikable Lösungen übrig bleiben:

1) nabucasa (kostenpflichtig)
2) Reverse-Proxy (mit entsprechendem Aufwand)

Einen extra Dienst zu nutzen (z.B. feste-ip.net) kostet auch wieder Geld (+ macht auch wieder extra Arbeit) und wenn es "nur" um HomeAssistant geht, sollten die beiden o.g. Lösungen auch zum Ziel führen. Wenn es nix kosten soll, bleibt sowieso nur die Lösung über den Reverse-Proxy, das einzige was da im Wege ist, sind die Reste der vorherigen NPM-Installation in der Datenbank. Wenn man das bereinigt, sollte der NPM auch wieder vernünftig funktionieren. Danach bleibt nur noch die DynDNS-Geschichte bzgl. IPv6 und dann sollte es theoretisch funktionieren.
 

the other

Well-known member
Moinsen,
ja, außer "Bitte Bitte" beim ISP für ne IPv4 Adresse geht ja sonst nix...:confused:
Wobei ich immer noch interessiert wäre, ob es wirklich unbedingt und zwingend der Remotezugriff sein muss.
Ich habe gerade so den Verdacht, dass hier auch ein Missverständnis vorliegen könnte bzgl. wie der Zugriff auf Home Assistant erfolgt (Mobilfunk vs. WLAN). Das wird ja wie wir alle wissen immer mal verwechselt. Die Tatsache, dass der TE mit dem RemotePort erfolgreich zugreift verwirrt mich dahingehend nämlich etwas.
Aber mal sehen...
;)
 

bm-magic

New member
@ blurrr & @the other , seit Jahren habe ich so viel Interesse nicht erlebt. DANKE. Nun der Reihe nach.
#16 Anfang. Wenn den IP4 Zugang durch Provider nicht erlaubt ist, ist doch die Gefahr kleiner, "gehackt" zu werden. Oder?
- Mein Festnetz und auch Mobilnetz ist von Vodafone.
- Port Freigabe: die Port 80 und 443 habe ich für die HA IP4 und 6 aktiviert.
- Im dem verwendetem Handy S20 sind "Mobile Daten" Ausgeschaltet. Wlan Zugriff stelle ich über mein Frfitz!Fon C6 nur dann an,
wenn ich es benötige. Für den App Test habe ich NUR Wlan freigegeben. Also Verbindung über Wlan.
- Der Versuch über meine für HA (im Fritz fest eingestellte IP4 Adresse) funktioniert mit der App nicht! Weder mit :5000, 5001 oder mit 8123. Aber mit http://homeassistant:8123.
- Der Zugriff auf HA von Browser (PC und/oder Handy) funktioniert über die IP4 Adresse:8123.

Nun werde ich es versuchen, mich über <phpMyAdmin> anzumelden um meine Spuren zu löschen.
 

blurrrr

Well-known member
Wenn den IP4 Zugang durch Provider nicht erlaubt ist, ist doch die Gefahr kleiner, "gehackt" zu werden. Oder?
Nein, generell ist die Gefahr grösser etwas abzukriegen, wenn Du Dinge nach aussen öffnest (z.B. http/https bzw. Ports 80/443). Wenn Du nur via VPN auf Dein Heimnetzwerk zugreifst, geschieht dies über einen verschlüsselten Tunnel, an welchem Du Dich vorher auch erstmal authentifizieren musst. Da bei Dir die Option mit dem VPN nicht gegeben ist und Du anscheinend von unterwegs (ausser Haus) auf Deine HomeAssistant-Installation zugreifen willst, ist der sicherere Weg noch über den Reverse-Proxy (und nicht der "direkte" Zugriff auf die HomeAssistant-Installation). Da der Proxy sozusagen als Mittelsmann agiert, steht dieser zwischen Deiner HomeAssistant-Installation und dem Internet.

Im dem verwendetem Handy S20 sind "Mobile Daten" Ausgeschaltet
Dann befindest Du Dich sowieso im gleichen Netzwerk wie Deine HomeAssistant-Installation und kannst auch direkt darauf zugreifen. Entweder über den internen NetBIOS-Namen ("homeassistant"), oder über die "private" IP ("192.168.178.x"). Diese Zugriffe klappen von "ausserhalb" Deines Heimnetzwerkes "nicht".

Zwecks Test von "extern" wäre die leichteste Übung, wenn man am Handy das WLAN ausschaltet und nur über die Mobilfunk-Verbindung versucht die Verbindung aufzubauen (wäre das gleiche Szenario, wenn Du ausser Haus und somit nicht mehr im heimischen WLAN bist).

Was die internen Zugriffe angeht, so kannst Du da auch entsprechend bei HomeAssistant eine "interne" und eine "externe" Adresse konfigurieren. Für die interne könntest Du z.B. einfach die private IP-Adresse (192.168.178.x) angeben und für externe Zugriffe die duckdns.org-Adresse.

Alles weitere dann, wenn die Datenbank von den NPM-Resten befreit ist... :)
 

Letzte Anleitungen

Statistik des Forums

Themen
968
Beiträge
14.039
Mitglieder
500
Neuestes Mitglied
McKay1408
Oben