Home Assistant Fernzugriff, aber wie?

[bm-magic]

@blurrrr ...mein RETTER...DANKE, ich war die Zeit beschäftigt mit dem Aktualisierung von HA und Du hasst "vermutlich" schon meine nächste Frage beantwortet, bevor ich sie gestellt habe!!!
- Ich wollte über mobile Daten auf HA zugreifen...es öffnete sich aber mein Fritz!...aber die Seite war sonst leer.
- Auch mit dem funktionierendem NPM hatte ich kein Zugriff bekommen und habe umgebaut:
- Der Ist Zustand:
Ich bekomme Internet Zugriff auf HA
https://8300111.de/fritzbox-mit-os-6-60-dynamic-dns-mit-duck-dns-einrichten-schnell-und-kostenlos/

---

Meine config.yaml habe ich da nach angepasst. Es funktioniert....
- Der NPM ist installiert, ist aber nicht mehr in der config.yaml...(nach dem ich die Angaben nach #01 /4 gemacht habe,
hatte ich Config Fehler bekommen. Der Zeiger zeigte auf NPM. Nach dem ich den NPM Abschnitt gelöscht habe, War der Fehler verschwunden.) Soll ich es Löschen?
- Hier die Bilder:

Der NPM mit grünem Punkt, den ich vermutlich nicht mehr brauche.

Ich hätte vermutlich noch Tausend Fragen, aber mein Thema wurde schon zufriedenstellend beantwortet. Ich werde euch "Ewig" dafür dankbar.

---

- Die letzten Fragen zu dem Thema. Wo wird der Status "Erledigt" vergeben?
- Habe gesehen, das man Punkte vergeben kann. Habe aber nicht gefunden wo und wie man es macht.
Bitte noch um Hilfe UND DANKE
Bohu

PS Die Ursache war der DS Lite Tunel. Habe es "geahnt", aber auf die Lösung wäre ich NIE gekommen.

 

[blurrrr]

Wenn Du ohne VPN darauf zugreifst, ist der Proxy sicherlich nicht verkehrt. Verbindungstechnisch sieht es dann so aus:

Client <-> Internet <-> Router <-> Reverse-Proxy <-> HomeAssistant

Vorteil, Du musst Dich vorher nicht irgendwo einwählen ("Bequemlichkeit"). Nachteil, die ganze Welt kann darauf zugreifen. Via VPN musst Du Dich vorher einwählen (VPN terminiert auf Deinem Router), somit das ganze dann so aussehen würde:

Nur zugriffsberechtigter Client <===verschlüsselter Tunnel durch das Internet ===> Router <-> HomeAssistant

Vorteil, nur Du kommst durch den Tunnel in Dein Netzwerk ("Sicherheit"), der Rest der Welt sieht nichts von Deinem HomeAssistant. Nachteil, wie schon oben erwähnt, Du musst Dich vorher in Dein Heimnetzwerk einwählen, bevor Du auf HomeAssistant zugreifen kannst.

-------------------------

Also Dein Zertifikat für xxxxx.duckdns.org ist schon mal korrekt und wird auch korrekt ausgeliefert. HomeAssistant erreicht man auch von ausserhalb. Wenn das Zertifikat jetzt nicht direkt in HomeAssistant hinterlegt ist, sondern via Proxy ausgeliefert wird, sieht das eigentlich ganz gut aus.

....

So... hab jetzt mal das von Dir verlinkte Video durchgeblättert (steh ich ja eigentlich so garnicht drauf) und da ist in keinster Weise von einem Reverse-Proxy die Rede, Deine HomeAssistant-Installation ist somit "direkt" für alle aus dem Internet erreichbar. Würde ich persönlich nicht so machen (ausser man weiss, was man tut und worauf man sich damit einlässt) Mit Proxy sollte es prinzipiell eher so aussehen:


Port 443 ist hier jetzt nur beispielhaft, kann auch etwas ganz anderes sein. Den - im Schaubild nicht augeführten - Port 80 brauchst Du sowieso wegen der Lets-Encrypt-Geschichte. So wie Du es anscheinend "jetzt" hast, wird der Reverse-Proxy komplett aussen vor gelassen und bietet keine zusätzliche Sicherheitsstufe mehr.

EDIT: Ich hatte es sicherlich schon mal erwähnt, aber Du kannst - soll ja auch nicht langweilig werden - auch "beides" laufen lassen. HA mit Portweiterleitung + VPN (mal zum testen). Kaputt gehen kann dadurch jedenfalls nix, wenn Dir das garnicht zusagt, kannst Du die VPN-Verbindung einfach auf der Fritzbox löschen und gut ist, ganz unkompliziert

 

[bm-magic]

@blurrrr , schon wieder eine SUPER Aufklärung. DANKE. Wie ich schon im #42 oben geschrieben habe, konnte ich mich, trotz gestartetem NPM, NICHT mit mobilen Daten über den *.duckdns Account mit HA verbinden -> (in dem Video nach #01 "Smartzeug" fehlt noch etwas, oder ich habe etwas falsch gemacht.?) Vermutlich fehlt etwas etwas in der *.yaml?
- Darum habe ich es versucht noch einmal. Und das funktionierte, "fast" auf Anhieb.
Was mir dort (am meisten) gefällt ist, das ich beim Anmeldung mit <https:*> keine Warnung bekomme, das die Seite unsicher ist, was vorher immer der Fall war. Jedenfalls habe ich schon einen Riesen Erfolg erlebt und komme "von Außen" mit dem Account auf HA.
- VPN zum laufen zu bringen, steht in der Priorität 1 auf meine "geistige Liste".

- Natürlich hätte ich lieber die Konfiguration mit dem NPM-Proxy, -> Der funktioniert, nur...wie kann ihn integrieren?!?
Könnte ich dann etwas von der jetzigen Konfiguration behalten?
Bohu

 

[blurrrr]

Hey,

wie gesagt, es gibt verschiedene Wege, die HA-Instanz anzusprechen. Du hast nun den ersten und einfachsten Weg beschritten:

Internet <-> Router (Portweiterleitung) <-> HA-Instant (+SSL-Terminierung)

Der zweite Weg wäre mit dem Proxy, das sieht in einfacher Form so aus:

Internet <-> Router (Portweiterleitung) <-> Proxy (+SSL-Terminierung) <-> HA-Instanz

Somit wird auf der HA-Instanz kein SSL benötigt, da die Kommunikation mit dem Proxy nur rein intern abläuft.

Was das Zertifikat angeht: Das Zertifikat wird auf einen FQDN (xxxx.duckdns.org) ausgestellt. Wenn das Zertifikat hinterlegt ist und Du HA z.B. via "https://homeassistant:8123" ansprichst, stimmt der FQDN nicht ("homeassistant" ist eben nicht "xxxxxx.duckdns.org"), deswegen gibt es diesen Fehler.

Auf der anderen Seite: Wenn Du im WLAN mit dem Handy auf xxxxx.duckdns.org zugreifen willst, ist das für den Router ein bisschen "merkwürdig", denn: Warum willst Du erst "raus", wenn Du direkt wieder "rein" willst? xxxxx.duckdns.org zeigt ja auf die externe IP vom Router. Um dieses Problem zu lösen, schau Dir diesen Artikel mal an:

https://avm.de/service/wissensdaten...re-Anfrage-aus-Sicherheitsgrunden-abgewiesen/

Dort kannst Du dann xxxxx.duckdns.org hinterlegen und der Drops sollte damit gelutscht sein.

Grundsätzlich spielen in Deinem Gesamtkonstrukt mehrere Faktoren eine Rolle: IPv4 hast Du, damit musst Du die Portweiterleitung nutzen, das ist aber schon alles geregelt, diesen Punkt kannst Du eigentlich abhaken (Rebind-Schutz sollte auf der Fritzbox derweil noch angepasst werden). Damit wäre der "Router" jetzt soweit erstmal "fertig".

Dann bleibt die Frage: direkter HA-Zugriff, oder via Proxy? Wenn der Proxy mit ins Spiel kommt, sollte dieser die SSL-Terminierung vornehmen (sprich der Proxy braucht das Zertifikat für xxxx.duckdns.org, nicht die HA-Instanz!). Wir sprechen von aussen "nur" mit dem Proxy (via SSL) und der Proxy seinerseits spricht unverschlüsselt mit der HA-Instanz. Heisst aber auch, dass Du bei HA selbst nichts mit SSL oder Zertifikaten konfigurieren musst. Soweit ich weiss, braucht es bei HA noch in der configuration.yaml einen Eintrag, dass die Kommunikation über einen Proxy läuft (das sollte irgendwo in Deinen zahlreich verlinkten Anleitungen auch irgendwo erwähnt worden sein).

Es ist generell hilfreich, sämtliche Punkte "einzeln" zu betrachten und die Zuständigkeiten zu verstehen. Der Router leitet erstmal nur weiter. Der Proxy ist der Mittelsmann in der Kommunikation zwischen Aussenwelt und HomeAssistant und stellt die SSL-Verbindung bereit. HomeAssistant ist das eigentliche Ziel (und muss darüber informiert werden, dass über einen Proxy kommuniziert wird).

Wenn wir den Router jetzt mal aussen vor lassen, sähen die Aufgabenschritte wie folgt aus:

- HA installieren
- HA-Konfiguration: externe URL (xxxx.duckdns.org), interne URL (<IP> <sonstiger Name (z.B. homeassistant)>), Eintrag in der configuration.yaml bzgl. Proxy

Der Proxy seinerseits braucht folgende Angaben: SSL-Zertifikat + FQDN (wie beim Zertifikat) und das passende Ziel (die HomeAssistant-Installation). Wie genau das bei HA läuft, kann ich Dir nicht sagen, aber in Deinen Anleitungen wirst Du diese Antworten sicherlich finden.

In Kurzform: Internet -> Router (Portweiterleitung) -> Proxy (SSL) -> HA

 

[blurrrr]

- Natürlich hätte ich lieber die Konfiguration mit dem NPM-Proxy, -> Der funktioniert, nur...wie kann ihn integrieren?!?
Könnte ich dann etwas von der jetzigen Konfiguration behalten?

Wenn er funktioniert, ist die Frage, wie Du ihn dazu bewegst, auf HA zu verweisen - das sollte aber irgendwo in Deinen Tutorials abgedeckt sein Es sollten aber nicht BEIDE Instanzen (Proxy + HA) mit dem xxx.duckdns.org-Zertifikat unterwegs sein, sondern nur der Proxy. Der Einfachheit halber, sollte HA vorerst ohne SSL-Terminierung laufen, heisst: Zertifikat "nur" auf dem Proxy

 

[blurrrr]

Btw da es ein HA-"Addon" ist, kann es natürlich auch sein, dass sich das direkt alles automatisch konfiguriert. Installier das Addon, sag dem Ding, dass es auf xxxx.duckdns.org hören soll (falls der Eintrag nicht schon aus der HA-externen-URL übernommen wird), Zertifikat via NPM besorgen, fertig (theoetisch)

 

[bm-magic]

@blurrrr ...hmm. Habe nicht viel verstanden...aber...ich glaube, das steht in der NPM "Konfig":
Ich habe versucht. das Bild (Forum tauglich zu machen) und Teile entfernt. Ist es so IO?
Und nun die dazugehörige Konfigurationen in der Anlage.
Reicht es?

 

[blurrrr]

Das sieht doch gut aus, wenn es mit dem FQDN sowohl intern als auch extern funktioniert, biste durch damit

Irgendwo wurde noch was von Bruteforce-Schutz/Fail2Ban erwähnt, das solltest Du noch machen (damit werden mehrfache fehlerhafte Loginversuche unterbunden).

Ansonsten: und viel Spaß mit HomeAssistant

 

[bm-magic]

@blurrrr ...das sieht überhaupt nicht gut aus. Es funktioniert nicht. Deswegen habe ich der Zugriff gemacht.
Ich habe keine Ahnung, warum es nicht geht.
a. Vermutlich muss ich etwas in die config.yaml nach schreiben.
b. U.U. sollte bei der destination https: stehen.
c. Ein Eintrag irgendwo beim Fritz!? Habe dort für HA Ports: 80, 443, 8123 frei. (Wie sieht es mit 81?)
d. ???

 

[carsten_h]

Habe dort für HA Ports: 80, 443, 8123 frei

Wenn man den NGinx Proxy Manager nutzt, benötigt man als Portweiterleitung nur Port 80 und 443 für den Proxy Manager, da der über Port 443 von außen über xyz.deinedomain.duckdns.org (für irgendwelche anderen Rechner kannst Du im Proxy Manager ja weitere subdomains anlegen) erreichbar ist. Den Port 80 benötigt er für die automatisierte Verlängerung der letsencrypt Zertifikate für xyz.deinedomain.duckdns.org.
8123 wird draußen von Internet her nicht benötigt, da der Proxy Manager ja die 443 in die interne 8123 umsetzt.
Intern ist HA ja über http://ip:8123 erreichbar und nicht über https (was ja auch gar nicht gehen würde).

Zur Sicherheit kann man für HA ja auch noch die Zwei-Faktor Authentifizierung einschalten, dann reichen nicht nur Benutzername und Passwort aus.

Die base_url Einträge gibt es gar nicht mehr, zumindest finde ich die bei mir nicht mehr. Wahrscheinlich stammen die aus diesen seltsamen, meistens veralteten Youtube Videos.
Wichtig ist nur das hier:

http:
  use_x_forwarded_for: true
  trusted_proxies:
    - 172.30.33.9

Die IP-Adresse ist die interne Adresse von meinem NGinx Proxy Manager, die kann bei Dir anders sein.

 

[bm-magic]

@carsten_h , danke sehr. Der Eintrag war da, ich habe ihm gelöscht. Werde versuchen ihm wieder nachtragen.

Kann ich die interne Adresse des NPM irgendwo sehen/lesen?

Bem.: Mit dem Eintrag in der config.yaml (habe ich "abgekupfert" aus Video #41) funktioniert die Anmeldung NICHT mit http:// sondern mit https://. (Dafür ist der Zertifikat von <duckdns> zuständig) Ist in dem Video erklärt.
Natte Grüße
Bohu

 

[carsten_h]

Mit dem Eintrag in der config.yaml (habe ich "abgekupfert" aus Video #41) funktioniert die Anmeldung NICHT mit http:// sondern mit https://. (Dafür ist der Zertifikat von <duckdns> zuständig) Ist in dem Video erklärt.

Das Video werde ich mir jetzt nicht ansehen (mir bringen Youtube Videos nichts).
Wenn Du den Nginx Proxy Manager nutzt, dann brauchst Du das nicht!
Es gibt entweder die Möglichkeit alles per SSL zu verschlüsseln, also sowohl den internen, der aber eigentlich mit https nicht funktionieren kann, da es für die internen Adressen kein SSL Zertifikat gibt, als auch mit extern, aber dann eben mit Forwarding des Ports 8123 nach außen.

Oder Du benutzt den NGinx Proxy Manager, dann hast Du intern http Zugang und extern greifst Du per Port 443 zu.

Beides mischen sollte man nicht, das bringt nur unnötige Verwirrung.

Die Adresse vom NPM hatte ich, meine ich, in grauer Vorzeit einmal aus dem Log gelesen.

 

[bm-magic]

@carsten_h , da ich nur ein "Newbie" bin, Bitte ich um mehr Infos. Brauche ich für NPM den <duckdns>?
UND muss ich ihn in der config.yaml eintragen?
Nette Grüße
Bohu

 

[carsten_h]

Brauche ich für NPM den <duckdns>?

Das Duckdns Addon brauchst Du eigentlich nur, damit Du <deinedomain>.duckdns.org “besitzt“ Und diese Domain immer ein neues Zertifikat bekommt.

UND muss ich ihn in der config.yaml eintragen?

Nein, das brauchst Du nicht, da Du <deinedomain>.duckdns.org ja gar nicht benutzt.

Was Du benutzt ist ja <subdomain>.<deinedomain>.duckdns.org und dafür wird das Zertifikat vom Nginx Proxy Manager verwaltet.
Home Assistant selber bekommt von den ganzen Zertifikaten und dem Zugang über den Router von außen überhaupt nichts mit, der läuft einfach nur in Deinem lokalen Netz. Den kompletten Zugang nach außen erledigt das Nginx Proxy Manager Addon.

 

[bm-magic]

@carsten_h , DANKE. Ich "glaube", etwas versanden zu haben. Der NPM hängt sich mit der <subdomain> da zwischen und erschwert/"verschleiert" den Zugang von außen.
Und eben nähern wir uns meinem Problem.

---

Zur Zeit kann ich HA mit Browser erreichen über:
a. https:// von Router vergebene IP4 Adresse:8123
b. https://homeassistant.local:8123
c. https://<meinedomain>.duckdns.org:8123
Wenn ich aber http:// a||b||c:8123 eingebe bekomme ich eine Fehlermeldung.
Diesen Zustand habe ich erreicht in dem ich:
d. Im Router der Port 8123 HA freigegeben habe
e. Im HA in der Config.yaml den Eintrag wie im #49 steht
f. Im HA Netzwerk für intern und extern der Eintrag <meinedomain>.duckdns:8123 eingegeben habe.

---

Vor diesem Zustand funktionierte den Browser Zugang mit http://a||b
Ich hatte NPM installiert und im HA config.yaml der Eintrag so wie Du es im #50 hast.
Ich habe Die App Home Assistant auf meinem Handy installiert, aber nicht zum laufen gebracht.
Bei der Fehlersuche habe ich mich ausgeschlossen und Browser Zugang ging nicht mehr, also konnte ich auch kein Backup zurücklagen.
Irgendeinmal da nach habe ich mich an dieses Forum gewandt.

---

Es funktioniert zur Zeit, und ich habe Angst das ich mich wieder (durch ein falscher Eintrag) wieder ausschließe.
Was ich aber noch nicht verstehe:
Du schriebst in #50:

von außen über xyz.deinedomain.duckdns.org

und nun im #54:

<subdomain>.<deinedomain>.duckdns.org

Was ist <xyz> &|| <subdomain>? Vermutlich ist DAS mein Problem.
Nette Grüße
Bohu

 

[u5zzug]

Ich versuche zu verstehen, was du eigentlich willst und kann es nicht wirklich nachvollziehen.
Der Zugang von außen ist nötig, weil du die App über WLAN nicht verbunden bekommst?
Ich habe wenig Ahnung von Proxies, VPN u.ä., aber ich habe einen Homeassistant und die Companion App und die sprechen wunderbar miteinander ohne all das.

Die richtige IP ist 192.168.x.x:8123 oder homeassistant.local:8123 (das funktioniert in meinem Netz nicht, aber bei jemandem mit Fritzbox geht es)

Wenn du die IP vom HA brauchst und sie nicht findest, hilft die angryIP weiter: https://angryip.org/ Die Oberfläche kann man auf deutsch stellen.

Vielleicht fängst du einfach nochmal von vorne an?
Du hast das haos Image benutzt?
Nach dem Einrichten installierst du die addons SSH und Web terminal und Samba share, damit du vom PC auf die Dateien zugreifen kannst.
Um die App zu verbinden, schaltest du die mobilen Daten aus.

Ich weiß nicht, ob das versehentlich passieren kann, aber dein HA sollte natürlich NICHT im Gastnetz sein.

 

[blurrrr]

Vermutlich ist DAS mein Problem.

Wenn ich "Dein" Problem auf dem Punkt bringen darf: Ich denke, Dein "Problem" ist eher, dass Du nicht weisst, welche Stelle für was verantwortlich ist und in welcher Konstellation die Dinge zu stehen haben Wäre ja mitunter schon generell etwas hilfreicher, als einfach nur irgendwelchen Videos im Internet zu folgen, wo einem nur erklärt wird, dass man hier und da klickt und dann ist irgendwas auf wundersame Weise entstanden. Problem dabei ist, dass die meisten Videos auch immer gern von einer gewissen Umgebung (meist die des Youtubers) ausgehen, welche nicht "Deiner" Umgebung entsprechen muss (s. z.B. Thematik IPv4/IPv6). Davon ab leben wir auch im Zeitalter von .... bzw.... "früher" hiess es immer "3 Bücher lesen, selbst eins schreiben"... das haben wir heutzutage mit den Youtube-Videos, somit sind auch viele garnicht in der Lage hintergründiges zu erklären, weil es in den 3 Videos - welche sie angeschaut haben, bevor sie dann selbst eins gemacht haben - auch nie erklärt worden ist.

Ich will die Youtube-Videos damit jetzt nicht "schlecht" reden, sie zeigen ja auf eine sehr einfache Art und Weise, welche Knöpfe in welcher Reihenfolge zu drücken sind, teilweise finden sich auch noch (sinnvolle) Erklärungen dazu (also nicht in Form von "Du drückst den Knopf, damit das geht"), aber unter'm Strich ist die einzige "dynamische" Komponente in Deinem Konstrukt die HA-Installation. Alles was davor ist (Internet, IPs, Router, Proxy, vHost, Zertifikate, etc.) wird immer auf die gleiche Art und Weise funktionieren (sicherlich mit kleinen unterschiedlichen Konfigurationen, aber im Grunde immer das gleiche). In so einem Konstrukt ist primär "der Weg" das Ziel, das Ziel ist dann meist nur noch eine Kleinigkeit

Wenn du die IP vom HA brauchst und sie nicht findest, hilft die angryIP weiter: https://angryip.org/

Da kann man auch einfach in der Fritzbox nachschauen, da braucht es nicht zwingend irgendwelche Drittanbieter-Tools

 

[bm-magic]

@u5zzug , Schade, das ich mich nicht verständlich ausdrücken kann. Meine Frage wurde schon Perfekt durch @blurrrr und @the other beantwortet...und alles funktioniert...DANKE NOCH DAFÜR.
Was ich noch will?
Laut @blurrrr im #42 & #48 ist meine Konfiguration nicht sicher und ich möchte es mit Nginx Proxy Manager verbessern.
Habe aber gleichzeitig Angst, das ich es durch eine "falsche" Maßnahme "zerstören" kann. Darum diese Fragen.

 

[u5zzug]

Ich kenne die Fritzbox nicht und kann z.B. in unseren Router nicht schauen.
Da ich Kommandozeilen nicht direkt liebe und die lokalen Adressen hier nicht funktionieren, ist mir AngryIP eine gute Hilfe


Vielleicht habe ich in den 3 Seiten Text etwas übersehen, ich hatte den Eindruck, es ginge darum, mit der App auf HA zuzugreifen. Das geht lokal, ohne unsicheren Zugang von außen.

Falls du eine weitere SD Karte hast, kannst du es mit dieser ja einfach mal probieren. Oder du machst ein Backup des jetzigen Zustandes und lädst es herunter, dann kann man das ggf. später oder nach Neuinstallation wieder einspielen.

 

[blurrrr]

Du kannst dadurch nichts "kaputt" machen. In der HomeAssistant-App gibst Du zudem sowieso noch die externe URL, die interne URL und Dein heimisches WLAN (für die interne HA-Verbindung) an. Die HA-Installation bleibt - bis auf den Proxy-Eintrag - sowieso völlig unberührt von allem anderen (s. Bild in #42). Der Proxy wird einfach nur "davor" gesetzt (intern kannst Du weiterhin "direkt" mit der HA-Installation kommunizieren).