HomeAssistant auf Port 443 nutzen

[cortlieb]

Grundsätzlich läuft es so, aber ...

HA-Port bleibt auch 8123
- SSL-Zertifikat wird bei HA hinterlegt (damit ist HA nicht mehr via "http" ansprechbar, aber wie "https")
- Du richtest eine Portweiterleitung auf der Fritzbox ein (Fritzbox 443/TCP -> HA 8123/TCP)
- Du konfigurierst bei HA die "externe" und "interne" URL

--> extern: "https://<3,2,1,Deins!>.duckdns.org"
--> intern: "https://<HA-IP>:8123"

Wenn ich das so mache gibt es bei der Einstellung der internen Adresse eine Fehlermeldung:
"Du hast in Home Assistant ein HTTPS-Zertifikat konfiguriert. Das bedeutet, dass deine interne URL auf eine vom Zertifikat abgedeckte Domain gesetzt werden muss."
Mach Sinn, das Zertifikat gilt nicht für meine <HA-IP>.

Über Port 443 kann dann der Alexa Skill offensichtlich HA erreichen. Es ist dann wie oben schon mal beschrieben.

Dafür bekomme ich in der Alexa-App über "ZUR VERWENDUNG AKTIVIEREN" zu dem Anmelde-Bildschirm für HomeAssistant. Wenn ich dann meine Daten eingebe bekomme ich die Meldung "Verknüpfung mit HomeAssistant konnte diesmal nicht hergestellt werden". Aber das ist dann wohl das nächste Problem.

Wenn ich nicht in meinem Netz bin, funktioniert der Zugriff über https://<mein_name>.duckdns.org, so weit so gut.
Aber wenn ich in meinem Netz bin, nur über https://<HA-IP>:8123, nach dem ich die unsichere Verbindung akzeptiert habe.
Gerade mit der Handy-App, wo das Handy normalerweise zu Hause im WLAN ist, kaum praktikabel.
Irgendetwas fehlt da noch ...

 

[blurrrr]

Wenn ich nicht in meinem Netz bin, funktioniert der Zugriff über https://<mein_name>.duckdns.org, so weit so gut.
Aber wenn ich in meinem Netz bin, nur über https://<HA-IP>:8123, nach dem ich die unsichere Verbindung akzeptiert habe.

Dann greif doch einfach mit dem Handy (und anderen internen Geräten) über die externe URL zu?

EDIT: Dabei aber jenen hier nicht vergessen (hatte ich schon mal erwähnt) https://avm.de/service/wissensdaten...re-Anfrage-aus-Sicherheitsgrunden-abgewiesen/, ansonsten wird das eher nix mit dem internen Zugriff auf die externe URL

 

[cortlieb]

Das versuche ich ja!
Die in der App eingetragene Adresse ist: https://<mein_name>.duckdns.org

• Zugriff über das Mobilfunknetz: läuft!
• zugriff über mein WLAN:
  "Verbindung zu Home Assistant nicht möglich.
  Die Home Assistant-Zertifizierungsstelle ist nicht vertrauenswürdig. Überprüfe das Home Assistant-Zertifikat oder die Verbindungseinstellungen und versuchen [das 'n' steht da wirklich] es erneut."

Für den Rebind-Schutz ist eine Ausnahme in der Fritzbox hinzugefügt.

 

[Barungar]

Es ist aber auch klar das die Fehlermeldung im Heimnetz kommt, wenn Du es so machst wie von @blurrrr beschrieben.
Du greifst dann ja über eine abweichende URL auf den Webserver zu und diese abweichende URL ist vermutlich noch in den CNs des Zertifikats enthalten. Das Zertifikat lautet ausschließlich auf <mein_name>.duckdns.org, daher ist das Zertifikat für <HA-IP>:8123 nicht gültig.

 

[cortlieb]

Darum mache ich es auch nicht genauso.
Ich habe in HA unter Einstellungen/System/Netzwerk/Home Assistant URL sowohl für "Internet" als auch für "Lokales Netztwerk" https://<mein_name>.duckdns.org eingetragen.
Gibt allerdings das beschriebene Ergebnis.
Ich habe das deutliche Gefühl, dass ich irgendetwas noch nicht durchschaue.

 

[Barungar]

Ich kenne HA nicht, daher sagt es mir nichts, was Du wo eingetragen ist. Das ist auch irrelevant. Entscheidend ist, wie der Client zugreift.
Und da hatte ich verstanden, dass Du aus dem heimischen Netz mittels <HA-IP>:8123 zugreifst und nicht per <mein_name>.duckdns.org
Letztes nämlich nur auf dem Mobilfunk.

 

[cortlieb]

Ok, dann habe ich mich vielleicht nicht klar ausgedrückt.
Wenn ich zu Hause bin, ist mein Rechner immer im heimischen Netz, dann funktioniert <mein_name>.duckdns.org nicht. Da bleibt dann als Fallback (damit ich überhaupt noch zugreifen kann) nur <HA-IP>:8123, wenn ich im Browser das "Sicherheitsproblem" akzeptiere.
Am Handy habe ich die Wahl:

• Zugriff über das Mobilfunknetz: läuft!
• zugriff über mein WLAN: läuft nicht (s.o)

 

[Barungar]

Also habe ich Dich korrekt verstanden. Und damit ist weiterhin meine Antwort aus Post 24 korrekt.
Du greifst mit einer dem Zertifikat nicht bekannten CN basierend auf der URL <HA-IP>:8123 zu.
Damit kommt eine Sicherheitswarnung.

Um das Problem zu lösen, müsste Dein interner DNS-Server auf die korrekte URL <mein_name>.duckdns.org (die so im CN des Zertifikats steht) mit der internen IP antworten.

Eine andere Lösung ist, dass Du das Zertifikat um eine zusätzliche CN, nämlich <HA-IP>, erweiterst. Das wird aber bei z.B. Let's Encrypt nicht funktionieren, da die Dir kein Zertifikat mit einer IP-CN ausstellen werden und perse nicht für eine private IP.

 

[cortlieb]

Ich glaube so ganz haben wir uns noch nicht verstanden.
<HA-IP>:8123 ist ja nur eine Behelfslösung, weil die eigentliche nicht funktioniert. Dafür brauche ich keine Lösung.

Vorher (alles war gut):

• Fritzbox: Port 8123 (extern) --> 8123 (intern)
• Zugriff in meinem Netz und von außerhalb meines Netzes: https://<mein_name>.duckdns.org:8123 --> läuft
• Einziges Problem: um einen Alexa Skill für den Zugriff auf HA zu nutzen, muss dieser Skill HA unter Port 443 erreichen.

Jetzt ( es gibt Probleme):

• Fritzbox: Port 443 (extern) --> 8123 (intern)
• Zugriff von außerhalb meines Netzes: https:// <mein_name>.duckdns.org [entspricht :443] --> läuft
• Zugriff in meinem Netz: https://<mein_name>.duckdns.org --> läuft nicht
  Hilfslösung (aber nur, weil das im Moment die einzige Möglichkeit ist): <HA-IP>:8123
  Aber selbst wenn das Zertifikatsproblem gelöst werden könnte, ist es ja keine Lösung, das Handy nicht mehr in mein WLAN zu lassen oder da den Zugriff umzukonfigurieren, wenn ich zu Hause bin.
  Also: Zertifikat für <HA-IP>:8123 braucht nicht gelöst zu werden.
• Zugriff des Alexa-Skills: läuft (mehr oder minder)

Lösung, die ich suche (alles ist wieder gut)

• HA über Port 443 von außen erreichbar (Alexa)
• gleiche URL für Zugriff auf HA-WebInterface, egal ob in meinem Netz oder außerhalb meines Netzes

 

[Barungar]

Zugriff in meinem Netz: https://<mein_name>.duckdns.org:8123 --> läuft nicht

Kann nicht funktionieren, weil auf der FritzBox keine Freigabe für Port 8123 existiert.
Hast Du mal versucht auch im internen Netzwerk einfach auf https://<mein_name>.duckdns.org/ zuzugreifen?
Das sollte funktionieren, weil es dann keine URL/CN-Kollision mehr gibt.

 

[blurrrr]

Es ist aber auch klar das die Fehlermeldung im Heimnetz kommt, wenn Du es so machst wie von @blurrrr beschrieben

Das ist eigentlich garnicht so klar, denn es sollte ja auch von intern einfach nur "https://<dyndns-adresse>" angesprochen werden (nix mit Port 8123). Halt eben so:

Aufruf extern: "https://<dyndns-adresse>"
Aufruf intern: "https://<dyndns-adresse>"

Wenn ich zu Hause bin, ist mein Rechner immer im heimischen Netz, dann funktioniert <mein_name>.duckdns.org nicht.

Das wäre dann wohl die Sache mit dem Rebind-Schutz an der Fritzbox, wie schon oben erwähnt...

Wenn das alles nicht will, hilft ggf. noch, einfach einen Reverse-Proxy davor zu schalten (NPM-Addon unter HA). Dann reden "alle" Teilnehmer nur noch mit dem Reverse-Proxy (Port 443) und nur der Reverse-Proxy spricht mit HA (8123)...:

Client <--443--> Reverse-Proxy <--8123--> HA

 

[carsten_h]

Dann reden "alle" Teilnehmer nur noch mit dem Reverse-Proxy (Port 443) und nur der Reverse-Proxy spricht mit HA (8123)...:

Client <--443--> Reverse-Proxy <--8123--> HA

Kleine Ergänzung: Nicht „alle“ Teilnehmer, sondern „alle externen“ Teilnehmer.
Intern kannst Du dann ganz normal über http://<ip>:8123 auf Home Assistant zugreifen.

 

[blurrrr]

Na aber das ist ja nicht gewünscht + bringt den Zertifikatsfehler, deswegen einfach generell extern ansprechen und jut ist

 

[carsten_h]

bringt den Zertifikatsfehler

Nein, das kann intern keinen Zertifikatsfehler bringen, da http genutzt wird. Da ist kein Zertifikat beteiligt!

Das funktioniert so mit der Home Assistant Companion Apps auf iOS/iPadOS/Android und auch auf macOS. Dort kann man ja aufgrund des Netzes (abhängig z.B von der WLAN SSID) zwei verschiedene Zugänge für den Server eingeben. Als extern den mit https von außein und dann wenn das Gerät im heimischen WLAN ist die interne http Adresse. Das klappt so wie ich es oben schon beschrieben habe.

 

[cortlieb]

Kann nicht funktionieren, weil auf der FritzBox keine Freigabe für Port 8123 existiert.
Hast Du mal versucht auch im internen Netzwerk einfach auf https://<mein_name>.duckdns.org/ zuzugreifen?

Sorry, das war natürlich ein Fehler (habe ich jetzt korrigiert).
Ich meinte https://<mein_name>.duckdns.org ohne Portangabe (bzw. implizit mit Port 443).
Das habe ich auch so gemacht und das führt zu den genannten Problemen.

Das wäre dann wohl die Sache mit dem Rebind-Schutz an der Fritzbox, wie schon oben erwähnt...

Da habe ich ja in die Fritzbox, wie auch schon oben erwähnt ;-), eine entsprechende Ausnahme für <mein_name>.duckdns.org eingetragen.
Ich verstehe aber, wieso du damit immer wieder kommst: es würde die Sache erklären.
Irgendwo muss es ja einen Unterschied zwischen dem Zugriff von außen (geht) und innen (geht nicht) geben. Am HA kann es ja eigentlich nicht liegen, der weiß nichts von außen oder innen.
Für das Endgerät sollte es doch auch keinen Unterschied machen. Bliebe noch die Fritzbox, die erkennt, dass ich innen auf meine eigene externe IP-Adresse zugreife.
Ab ich trage für die Abschaltung des Rebind-Schutzes einen Hostnamen ein, ohne Port.
Um es noch mal klar zu sagen: nutze ich Port 8123 (dann natürlich auch an der Fritzbox freigegeben), kann ich htps://<mein_name>.duckdns.org:8123 problemlos von innen und außen nutzen.
Warum geht das mit 443 nicht?

Na aber das ist ja nicht gewünscht + bringt den Zertifikatsfehler, deswegen einfach generell extern ansprechen und jut ist

Nein, eben nicht, das versuche ich doch zu erklären (s. Post #29)

 

[blurrrr]

Nein, das kann intern keinen Zertifikatsfehler bringen, da http genutzt wird.

Also soweit ich weiss, spricht das Ding nur noch https, wenn man ein Zertifikat hinterlegt hat Ist ja jetzt nicht grade so, als wäre die Fritzbox ein Reverse-Proxy mit SSL-Terminierung

Warum geht das mit 443 nicht?

Stell den Port auf HA einfach um... den kannste ja auch angeben. Dann machste Fritzbox 443 auf HA 443 und dann sollte der Drops auch gelutscht sein (HA kennt dann auch kein 8123 mehr). Alternativ einen Reverse-Proxy davor, dann sprechen alle nur via 443 mit dem (egal ob intern/extern) und mit HA spricht nur noch der Reverse-Proxy.

 

[cortlieb]

Client <--443--> Reverse-Proxy <--8123--> HA

So ähnlich hatte ich mir das eigentlich mit der Firewall im Router vorgestellt
Client <--443--> Fritzbox <--8123--> HA

Aber kommen wir da vielleicht dem Problem näher?

Ich stelle ja fest (glaube ich jedenfalls), dass diese Richtung funktioniert.
Client --443--> Fritzbox --8123--> HA

Aber vielleicht funktioniert diese Richtung nicht ohne weiteres?
Client <--443-- Fritzbox <--8123-- HA

Während dieses (was ich ja auch beobachte) funktioniert?
Client <--8123--> Fritzbox <--8123--> HA

 

[blurrrr]

Aber vielleicht funktioniert diese Richtung nicht ohne weiteres?
Client <--443-- Fritzbox <--8123-- HA

Dem wird nicht so sein (zumal die Ports in die andere Richtung auch ganz andere sind), kannst Du also getrost aus dem gedanklichen Konstrukt streichen

Während dieses (was ich ja auch beobachte) funktioniert?
Client <--8123--> Fritzbox <--8123--> HA

Kann natürlich sein, dass HA da etwas zickig bzgl. der Portweiterleitung ist (da dort ja der Port verändert wird) bzw. wäre das ggf. ein URL-Problem. Kleines Beispiel dazu:

Du sprichst HA an via "https://<Dyndns-Adresse>", z.B. als ganz normaler Seitenaufruf im Browser. HA antwortet Dir mitunter auch und sagt Deinem Rechner dann aber, dass er "https://<Dyndns-Adresse>/seitexyz.php:8123" aufrufen soll. Das wird dann natürlich "nicht" funktionieren.

 

[cortlieb]

Stell den Port auf HA einfach um... den kannste ja auch angeben. Dann machste Fritzbox 443 auf HA 443 und dann sollte der Drops auch gelutscht sein (HA kennt dann auch kein 8123 mehr).

Das passt zu meinem letzten Post!
Dann gäbe es 443 innen und außen und die Situation wäre die gleiche wie mit 8123, im Setup, in dem es funktioniert.
Das führt zu der Frage

Wenn ich dich richtig verstehe, sollte ich HA so konfigurieren, dass es Port 443 statt 8123 nutzt.
Kannst du mir einen Tipp geben, wo ich das mache?
Einstellungen/System/Netztwerk/Home Assistant URL ?

Wo kann ich in HA den genutzten Port einstellen?

 

[cortlieb]

Kann natürlich sein, dass HA da etwas zickig bzgl. der Portweiterleitung ist (da dort ja der Port verändert wird) bzw. wäre das ggf. ein URL-Problem.

Wieso wird in HA der Port verändert? Das passiert doch in der Fritzbox oder habe ich dich jetzt falsch verstanden?

Du sprichst HA an via "https://<Dyndns-Adresse>", z.B. als ganz normaler Seitenaufruf im Browser. HA antwortet Dir mitunter auch und sagt Deinem Rechner dann aber, dass er "https://<Dyndns-Adresse>/seitexyz.php:8123" aufrufen soll.

Das würde auch dafür sprechen, dass gleicher Port intern wie extern funktioniert, unterschiedliche Ports aber nicht.

Jetzt musst du mir nur noch erklären, warum es trotzdem mit unterschiedlichen Ports funktioniert, wenn ich nicht in meinem Netz bin.
Müsste das in deinem Szenario nicht genauso fehlschlagen?