Tailscale und Homeassistant

tzoumaz

New member
Ich habe hier für den Fernzugriff auf HomeAssistant Tailscale (gratis VPN Dienst) eingerichtet. Das ist sehr einfach, allerdings gelingt es mir nicht vom Smartphone über Chrome Homeassistant über https aufzurufen sondern nur http. Vielleicht benutzt der eine oder andere hier ja auch Tailscale und kann mir einen Tipp geben?
 

the other

Well-known member
Moinsen,
wie gesagt, alles ohne eigenen Erfahrungshintergrund, aber:
soweit ich das im link verstehe (und es "übertrage" auf andere Szenarien) musst du das / die Zertifikate für https nicht auf jeden Clienten packen, sondern nur auf diejenigen (server aka Homeassistant Raspi), auf die du per https zugreifen willst.
Anscheinend werden Zertifikate von letsencrypt automatisiert bezogen. Auf dem smartphone sollte LE bereits als trusted CA eingetragen sein.
Die 6 Schritte sollten sich somit nur auf die Server in deinem Netzwerk (tailscale nodes) beziehen...
 

tzoumaz

New member
Danke für den Tip, hatte ich auf die clients bezogen. Aber auf dem raspi (server) ist haos installiert. Das ist ja kein normales Linux in dem man einfach mal etwas nachinstallieren kann. Gebe ich den Befehl tailscale cert ........ dort ein, kennt er tailscale nicht, obwohl ich eigentlich tailscale in HA als Addon installiert habe. (command not found...tailscale)
Ich kann ja HA von auch von außerhalb aufrufen z.B. aus einem anderen WLAN. Allerdings immer nur mit einer http-Verbindung. Das klappt vom macbook und vom smartphone. Nun hat mir ein YouTuber Mike Faucher folgende Antwort geschickt, die mir plausibel erscheint:
Mike Faucher
Thanks for the feedback, but actually that is not quite true. As the connection from an external Tailscale PC to the subnet router is encrypted, like any other vpn, the connection is secure. Once you are in your LAN nothing is exposed as it only communicates with internal devices or Tailscale connections. No other non Tailscale device can reach your LAN. Reference their white paper for more information as they possibly have a better explanation. https://tailscale.com/kb/1019/subnets/?q=sub. Great question that I am sure that others have has as well. Appreciate the feedback.

Kurz: der Zugriff ist durch das VPN im LAN geschützt. Das beruhigt mich zunächst mal und ich werde das Thema damit abschließen. Der Vorteil von tailscale mit HA ist ja auch der, das ich mich nicht um die Verlängerung von letsencrypt-zertifikaten kümmern muss wie bei der Fernzugriffs-Lösung mit Duckdns und nginx und keine Portweiterleitungen in der Fritzbox benötige. Ich kann tailscale also voll empfehlen. Es ist bis 20 Geräte kostenfrei. Möglicherweise bekommt man das mit https ans Laufen aber ich will mich dann nicht noch ständig alle 3 Monate um letsencrypt kümmern müssen. Vielen Dank für deine Unterstützung ich denke wir haben wieder beide etwas dazugelernt.
 

carsten_h

Active member
kennt er tailscale nicht, obwohl ich eigentlich tailscale in HA als Addon installiert habe. (command not found...tailscale)
Das ist auch richtig und gut so!
Ein Addon ist ein Docker Container, der parallel zu dem Home Assistant Core-Docker Container läuft. Die beiden wissen nichts voneinander und laufen parallel.
Wenn Du per normalem ssh in Deine HA-OS Installation siehst, siehst Du nur den Home Assistant Core-Container, sonst nichts. Auf das HA-OS kommst Du so nicht!
 

carsten_h

Active member
Möglicherweise bekommt man das mit https ans Laufen aber ich will mich dann nicht noch ständig alle 3 Monate um letsencrypt kümmern müssen.
Ich benutze duckdns und nginx für den Fernzugriff auf Home Assistant. Seit der Einrichtung habe ich mich um keinerlei letsencrypt Zertifikate mehr gekümmert, da die automatisch vom "nginx-Proxy Manager" Addon (das bitte nicht mit dem "nginx home assistant ssl proxy" verwechseln!) bzw. dem duckdns Addon erledigt wird. Da muß man nichts selber machen!
 

carsten_h

Active member
Kurz: der Zugriff ist durch das VPN im LAN geschützt.
Anders formuliert: Mit dem VPN baust Du eine verschlüsselte Verbdung zu Deinem Heimnetz auf. Damit hast Du Zugriff auf alles, was sich dort so tummelt. Auch wenn Du jetzt auf irgendein Gerät per http zugreifst, kann niemand außerhalb Deines Tunnels das sehen.

Das was man aber so von VPN Anbietern so bekommt, um z.B. so zu erscheinen, daß man sich in einem anderen Land befindet, ist etwas anderes. Dort baust Du ja nur einen Tunnel zu dem jeweiligen Anbieter auf und niemand außerhalb kann in diesen Tunnel sehen. Aber jemand, der diesen Tunnelservice betreibt, kann sehr wohl Deinen Traffic sehen und alles mitlesen. Ob sie das tun oder nicht, kann Dir niemand sagen.
 

blurrrr

Well-known member
(gratis VPN Dienst)
Regel Nr. 1: "Nichts" im Leben ist "gratis" (insbesondere nicht bei unbekannten Dritten (und weil er nicht fehlen darf: Selbst der Tod kostet das Leben 😜))

Der Vorteil von tailscale mit HA ist ja auch der, das ich mich nicht um die Verlängerung von letsencrypt-zertifikaten kümmern muss wie bei der Fernzugriffs-Lösung mit Duckdns und nginx und keine Portweiterleitungen in der Fritzbox benötige.
Regel Nr. 2: Nicht "Du" hast die Kontrolle über einen Drittanbieter-Dienst, sondern der Anbieter hat die Kontrolle. Du kannst es "nutzen", ja, aber beschliesst der Anbieter den kostenlosen Part einzustellen, sitzt Du ohne da. Wird der Anbieter gehackt, könnte mitunter auch Zugriff für Fremde auf Dein LAN entstehen, mitunter kann Traffic mitgeschnitten werden (http- vs https-Thematik), usw. Das aber nur mal so am Rande als kleine Randinfo 🙃
 

Zurzeit aktive Besucher

Neueste Beiträge

Letzte Anleitungen

Statistik des Forums

Themen
956
Beiträge
13.920
Mitglieder
487
Neuestes Mitglied
hendrik2022
Oben