Zugriff von einem Gerät nicht möglich

R

RudiP

Active member
Ich habe letztens den Zugriff auf HA via Port 443 anstelle von 8123 umgestellt, damit ein Alexa Skill damit klar kommt.
Ich meine, das genau seit dem ein Tablet mit der App nicht mehr auf HA zugreifen kann. Fehlermeldung:

Verbindung zu Home Assistant nicht möglich.
Die Home Assistant-Zertifizierungsstelle ist nicht vertrauenswürdig.
Überprüfe das Home Assistant-Zertifikat oder die
Verbindungseinstelungen und versuche es erneut.

Verbunden hatte ich es bisher immer mit "https://name.duckdns.org" Lief immer problemlos und tut es heute von einigen anderen Geräten aus auch immer noch, nur dieses Tablet streikt.
Gehe ich in einen Browser und gebe die Adresse an, läuft alles Problemlos.
Es ist wirklich nur die App, die da nicht mitspielt und nur dieses eine Gerät.

Auch versucht habe ich:
https://IP_HomeAssistant
https://IP_HomeAssistant:443
https://IP_HomeAssistant:8123
https://name.duckdns.org:443
https://name.duckdns.org:8123

Entweder kommt obige Fehlermeldung oder "Die Seite ist nicht erreichbar"-

Jemand ne Idee ?
 
Hm, App mal platt machen (inkl. sämtlicher Datenbestände) und dann mal neu installieren?
 
Ich gehe mal davon aus, dass Du das Zertifikat via Lets Encrypt beziehst. In Kombi mit dieser Fehlermeldung...
RudiP schrieb:
Zertifizierungsstelle ist nicht vertrauenswürdig
Zum Vergrößern anklicken....
... wäre die Frage eher, warum die App der Meinung ist, dass das LE-Zertifikat bzw. die Zertifizierungsstelle nicht gültig ist.

Das Zertifikat selbst ist eine Sache, dann gäbe es noch die Zwischenzertifizierungsstelle (Intermediate "R3") und ganz oben sitzt die "ISRG Root X1". Das R3-Zertifikat ist von 2020 bis 2025 gültig, ISRG Root X1 von 2015 bis 2035. Ich würde mich jetzt primär mal auf das R3-Zertifikat konzentrieren (durch die geringere Gültigkeit).

Dazu mal 2 Fragen:

1) Stimmt das Datum auf dem Endgerät?
2) Ist es evtl. ein Endgerät, welches schon älter ist und ggf. keine Updates mehr bekommt? Hintergrund ist der, dass dort auch standardmässig Zertifikate hinterlegt sind, welche über die Updates auch aktualisiert werden. So ist es z.B. auch bei Deinem Windows-PC.

So wie sich die Fehlermeldung liest, sind entweder die anderweitigen Zertifikate nicht aktuell, oder es handelt sich um ein selbst-signiertes Zertifikat (also ein selbst erstelltes). Letzteres verhält sich halt ein bisschen wie "selbst einen Ausweis malen". Den kannst Du mir unter die Nase halten und wenn ich weiss, dass Du auch wirklich Du bist, kann ich diesen Ausweis akzeptieren (im Wissen, dass Du ihn Dir selbst gemalt hast), dazu gibt es aber i.d.R. auch entsprechende Warnungen und Bestätigungsaufforderungen.

Ich habe das grade nochmal mit einem alten Eintrag geprüft und interessanterweise, erhalte ich auch eine Fehlermeldung in Form von:

1713182480302.png

Dazu sei allerdings zu sagen, dass es alles durchweg statisch konfiguriert ist und beim Reverse-Proxy ein gekauftes Wildcard-Zertifikat hinterlegt ist. Das einzige was hier fehlt, wäre das HomeAssistant hinter dem Reverse-Proxy 😅 Allerdings führt mich das jetzt zu der Annahme, dass die Fehlermeldung mitunter auch einfach "falsch" ist, denn das Zertifikat ist 1001% korrekt und funktioniert auch mit anderen Diensten, lediglich die HA-Instanz dahinter fehlt. Vielleicht - und damit lehne ich mich jetzt mal ganz weit aus dem Fenster - funktioniert der Zugriff von der App auf die HA-Instanz nicht und gibt evtl. deswegen einen entsprechenden Fehler aus? Ist aber auch nur so ein Gedanke, vielleicht ist das auch alles Blödsinn und es liegt an etwas völlig anderem 🙃
 
Also Datum und Uhrzeit stimmen. Steht beides auf Automatisch ermitteln. Habs aber auch mal per Hand eingetragen, selbes Ergebnis.
Wenn es ein Problem mit dem Zertifikat wäre, müsste
a) auch im Browser ein Fehler kommen, aber da klappt ja der Zugriff.
b) andere Geräte ebenfalls den Fehler zeigen.
Es ist schon richtig, das es ein älteres Tablet ist, was aber ja bis vor kurzem damit auch Problemlos gelaufen ist.

Und ja, das Zertifikat sollte von LetsCrypt kommen, da ich DuckDNS nutze und nach Anleitung vorgegangen bin, was ja auch Monatelang problemlos funktioniert hatte. Bei DuckDNS sehe ich auch keine Fehler im Protokoll.
 
Also es wird sich definitiv "irgendwo" um das Endgerät drehen. Wenn es vorher die ganze Zeit ebenfalls lief, ist irgendwas bzgl. der übergeordneten Zertifikate auch ausgeschlossen, von daher denke ich eher, dass es entweder eine Falschmeldung ist (so wie ich sie auch bekommen habe - trotz gültigem Zertifikat - und der Fehler ggf. woanders liegt), oder anderweitig mit dem Gerät etwas nicht stimmt.

Könntest mal in der App (kann hier leider nur auf dem Android-Tablet schauen) in die Einstellungen gehenund dort recht weit unten in der Problembehandlung schauen, da gibt es etwas namens "Protokolle anzeigen und teilen". Wird vermutlich ein "bisschen" viel sein, aber mitunter siehst Du da, was genau er da für ein Problem hat.

Tablet ist im WLAN und vom Computer aus funktioniert der Zugriff einwandfrei, demnach dürfte ein z.B. der Rebind-Schutz bei der Fritzbox auch ordnungsgemäß konfiguriert sein?
 
blurrrr schrieb:
Also es wird sich definitiv "irgendwo" um das Endgerät drehen.
Zum Vergrößern anklicken....
Stimme ich Dir zu, da ja 3 andere Geräte keinerlei Probleme haben.
blurrrr schrieb:
Könntest mal in der App (kann hier leider nur auf dem Android-Tablet schauen) in die Einstellungen gehenund dort recht weit unten in der Problembehandlung schauen, da gibt es etwas namens "Protokolle anzeigen und teilen". Wird vermutlich ein "bisschen" viel sein, aber mitunter siehst Du da, was genau er da für ein Problem hat.
Zum Vergrößern anklicken....
Nein, sehe ich nicht. Ist ein altes Galaxy Tab Pro. Also sicher schon 10 Jahre und mehr auf dem Buckel, aber für HA bisher halt immer noch ausreichend. Da es da keine Updates mehr für Android gibt, kann es eigentlich nur ein Update von HA gewesen sein, was zu dem Fehler führt.
blurrrr schrieb:
Tablet ist im WLAN und vom Computer aus funktioniert der Zugriff einwandfrei, demnach dürfte ein z.B. der Rebind-Schutz bei der Fritzbox auch ordnungsgemäß konfiguriert sein?
Zum Vergrößern anklicken....
Ich kenne mich mit Zertifikaten nun auch nicht sonderlich gut aus, kenne es bisher eher nur so, das die Browser sich da eher mal beschweren, was aber hier ja nicht der Fall ist. Der Chrome Browser akzeptiert das Zertifikat und die App verweigert die Zusammenarbeit.
Der Computer hat überhaupt keine Probleme, 3 andere Android Geräte haben mit der App keine Probleme.
Nur dieses eine Gerät und auch nur die App. Wie gesagt, im Browser kann ich HA öffnen.
Für mich klingt das eher nach "Mit dem Zertifikat ist alles in Ordnung, aber die App hat einen an der Waffel". :D
 
RudiP schrieb:
es eigentlich nur ein Update von HA gewesen sein, was zu dem Fehler führt.
Zum Vergrößern anklicken....
Sowas hat aber eigentlich nix mit dem Rest zu tun, denn die Zertifikate der z.B. Stammzertifizierungsstellen werden i.d.R. mit dem OS geupdated. Ansonsten - HA-App-Konfiguration hattest Du ja schon komplett platt gemacht(?), daran kann es dann ja auch nicht mehr liegen. Wenn Du nun von einem Update sprichst, was wurde geupdated und auf welche Version? Vielleicht findet sich dort in den Release-Notes ja ggf. noch ein Hinweis :)
 
Die HA App wurde doch letztens upgedatet. Keine Ahnung, welche Version nun auf dem Tablet ist, kann ich ja nicht sehen, ohne die App starten zu können. :D
Ich kann aber auch nicht mehr genau sagen, zu welchem Zeitpunkt das Problem aufgetreten ist. Ich meine, dass das Update noch gelaufen wäre und irgendwann mal danach es plötzlich nicht mehr funktionierte.
Das Tablet ist so alt, da kommen eigentlich kaum noch Updates für irgendwas. Android 5.0.2 sagt sicher alles. :D
Aber, es hatte bisher seinen Dienst erfüllt.

Was mir nur nicht in den Kopf will, warum wird das Zertifikat im Browser auf diesem Tablet akzeptiert und die HA App macht da nun nen Aufstand.
 
RudiP schrieb:
Android 5.0.2 sagt sicher alles. :D
Zum Vergrößern anklicken....
Dann tippe ich einfach auf abgelaufene (vorinstallierte) OS-Zertifikate... Sprichst Du vom Browser auf dem Tablet, oder auf dem PC? Falls Du den vom Tablet meinst, so kann es sein, dass da ggf. auch noch entsprechende Zertifikate hinterlegt sind und die vllt neuer sind.
 
Browser auf dem Tablet. Das ist es ja, was mich so verwundert.
Und was für OS-Zertifikate sollen das sein ? Ich dachte, hier spielt nur LetsCrypt eine Rolle und die Zertifikate sollten doch selbstständig erneuert werden.
 
RudiP schrieb:
hier spielt nur LetsCrypt eine Rolle
Zum Vergrößern anklicken....
Das ist richtig, allerdings die "komplette Zertifikatskette" inkl. Zertifikat der Root-CA, das ist eine Vertrauenskette:

Root-CA -> Intermediate-CA -> Zertifikat

Übersetzt wäre es: Der Staat Deutschland -> Deine Stadt -> Dein Ausweis (oder irgendwie sowas in die Richtung). Ist natürlich nicht ganz richtig das Beispiel, aber es soll nur erklären worum es geht. Fakt ist jedenfalls, Du vertraust dem Staat (nehm ich doch zumindestens mal an 😅), der Staat erlaubt Deiner Stadt, Dir einen Ausweis zu erstellen. Somit hast Du eine durchgehende Vertrauenskette bis zu Deinem Ausweis.

Auf Deinem PC sind "vorinstallierte" Zertifizierungsstellen-Zertifikate installiert, denen automatisch vertraut wird, weswegen die meisten SSL-verschlüsselten Websites auch ohne Warnung aufgerufen werden können. Diese werden aber auch zwischendurch mal geupdated. Bleiben nun die Updates dieser Zertifikatslisten aus (keine Updates mehr), führt das irgendwann unweigerlich zu dem Punkt, dass Zertifikate (ggf. einfach abgelaufen) von solchen Zertifizierungsstellen nicht mehr als vertrauenswürdig angesehen werden. Auch diese Zertifikate sind immer nur für bestimmte Zeiträume gültig. Das war auch der Grund, warum ich nach Datum und Uhrzeit auf dem Tablet gefragt habe.

Btw... wenn es vom PC aus funktioniert, wie verbindest Du Dich dorthin und wie verbindest Du Dich via App (wie sind die Einstellungen dort)?
 
Wenn Du den Reverse-Proxy dazwischen hast, übernimmt dieser die Kommunikation mit HomeAssistant, heisst der Client redet garnicht direkt mit HA:

Client <-> Reverse-Proxy <-> HomeAssistant

Ich hatte in meiner Teststellung z.B. gar keine interne/lokale URL angegeben, braucht es eigentlich auch nicht, da sich das ganze sowieso genauso wie von aussen verbinden soll. Portfreigaben am Router sollten wie folgt lauten:

80/TCP -> 80/TCP (HA, Erneuerung LetsEncrypt-Zertifikat)
443/TCP -> 443/TCP (HA, Zugriff HA-Webgui)

Du sprichst dann mit dem Reverse-Proxy "nur" über Port 443, während der Reverse-Proxy intern mit HA spricht (z.B. unverschlüsselt über Port 8123), somit ergibt sich folgendes Bild:

Client <--443/tcp--> Reverse-Proxy <--8123/tcp--> HomeAssistant

Der Reverse-Proxy übernimmt dabei auch die SSL-Verschlüsselung... Versuch es in der App mal entweder ohne den Eintrag für die lokale URL, oder setz da einfach die gleiche (öffentliche!) URL. Heisst in der App einfach nur "https://host.domain.tld" nutzen (ohne Port 8123). Entweder trägst Du in der App einfach nur die öffentliche URL ein, oder setzt die lokale URL in der App ebenfalls auf die öffentliche URL.
 
blurrrr schrieb:
Wenn Du den Reverse-Proxy dazwischen hast, übernimmt dieser die Kommunikation mit HomeAssistant, heisst der Client redet garnicht direkt mit HA:
Zum Vergrößern anklicken....
Jetzt wirds Lustig. Was soll ich haben ?
blurrrr schrieb:
Ich hatte in meiner Teststellung z.B. gar keine interne/lokale URL angegeben, braucht es eigentlich auch nicht, da sich das ganze sowieso genauso wie von aussen verbinden soll.
Zum Vergrößern anklicken....
Wäre schön, aber ohne erscheint umgehen eine Fehlermeldung.

Ungültige lokale Netzwerk-URL
Du hast in Home Assistant ein HTTPS-Zertifikat konfiguriert. Das bedeutet, dass deine interne URL auf eine vom Zertifikat abgedeckte Domain gesetzt werden muss.
blurrrr schrieb:
Portfreigaben am Router sollten wie folgt lauten:

80/TCP -> 80/TCP (HA, Erneuerung LetsEncrypt-Zertifikat)
443/TCP -> 443/TCP (HA, Zugriff HA-Webgui)
Zum Vergrößern anklicken....
Also Port 80 an einen Rechner weiterleiten, der im Netzwerk ist, erscheint mir etwas komisch. Der Port ist doch eh immer offen, soweit ich weiß.
443 an 443 funktioniert nicht, dann bekomme ich keinen Zugriff mit dem Alexa Skill.
Extern 443 geht an intern 8123. Damit ist es bisher ja auch Problemlos gelaufen.

blurrrr schrieb:
Der Reverse-Proxy übernimmt dabei auch die SSL-Verschlüsselung... Versuch es in der App mal entweder ohne den Eintrag für die lokale URL, oder setz da einfach die gleiche (öffentliche!) URL. Heisst in der App einfach nur "https://host.domain.tld" nutzen (ohne Port 8123). Entweder trägst Du in der App einfach nur die öffentliche URL ein, oder setzt die lokale URL in der App ebenfalls auf die öffentliche URL.
Zum Vergrößern anklicken....
Ähm, hab ich doch ?
Nochmal zur Verdeutlichung.
In HA unter Einstellungen -> System -> Netzwerk muss ich bei "Home Assistant URL folgende Einträge machen:
Internet: https://meinname.duckdns.org
Lokales Netzwerk: https://meinname.duckdns.org
Automatisch ist aus.
Versuche ich da irgendwas anderes, erscheint sofort ein Fehler.

In der App nutze ich ja auch keinen Port. Nur https://meinname.duckdns.org. Aber auch wenn ich den Port 8123 oder 443 mit angebe, klappt es nicht.

Aber ich bleib dabei. Wenn es so, wie es aktuell konfiguriert ist, auf 3 Geräten geht, kann an der Konfiguration von HA oder dem Router nichts falsch sein.
Entweder hat die HA App einen an der Waffel oder das Gerät seit kurzem irgendwas anders. Ist nur eben die Frage, was.
 
Gerade mal versucht. Portweiterleitung 443 an 8123 deaktiviert und dafür 443 an 443 gemacht.
Kann ich mit keiner HA App mehr zugreifen.
 
Hast Du einfach nur das Zertifikat direkt in HomeAssistant laufen (ohne Nginx als Reverse-Proxy dazwischen)?
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Zurzeit aktive Besucher

Gesamt: 90 (Mitglieder: 4, Gäste: 86)

Neueste Beiträge

Letzte Anleitungen

Statistik des Forums

Themen
4.551
Beiträge
46.576
Mitglieder
4.184
Neuestes Mitglied
thosch

Teilen

Zurück
Oben