WAN acces nr HA?

[Ernie]

Ik heb HA heel langzaam uitgebouwd om zo voldoende inzicht te krijgen en niet te zeer afhankelijk te worden terwijl het evt mis zou kunnen gaan.
Wie maakt hier gebruik van externe toegang en hoe doen jullie dat?

[devilkin]

Enkel via vpn.

[tizzen33]

De mijne is bereikbaar via een reverse proxy met SSL en 2FA actief in HA

[didi79]

De mijne is bereikbaar via een reverse proxy met SSL en 2FA actief in HA

Wat gebruik je daarvoor?

[ygeffens]

Tailscale add-on en client op gsm, laptop, …

Cloudflare add-on, met 2FA

Home Assistant Cloud (betalend, als steun aan het project)

[tizzen33]

Ik draai een aantal services in Docker containers die door de env variabels opgepikt worden in de
https://github.com/nginx-proxy/nginx-proxy en
https://github.com/nginx-proxy/acme-companion containers.

Die zorgen voor de proxy configuratie en voor het aanmaken en up to date houden van certificaten.

HA OS draait in een aparte VM dus hiervoor heb ik nog een extra proxy draaien gebaseerd op deze https://github.com/mikesplain/nginx-proxy-pass-docker

[Borromini]

Enkel via vpn.

Inderdaad, zo gepiept met WireGuard bv. als je router dat ondersteunt, in combinatie met DDNS.

[devilkin]

https://www.home-assistant.io/docs/conf ... on/remote/

Eender welke richting die je uitgaat, zet niet zomaar je HA op het internet met pure port forwarding.

[AnD]

Ik gebruik ook Wireguard, op de smartphone zet ik dat aan en dan is het net alsof m'n smartphone in mijn home netwerk zit.

[devastator]

cloudflare zero trust. Toegang op basis van geolocatie (IP). Buiten die IP range moet je eerst inloggen met 1 van de sign-on providers (Google, GitHub, ...).
Aantal keer verkeerd inloggen in HA geeft een ban in Cloudflare tot gevolg.

[devilkin]

Kan je wat meer details geven over je implementatie in cloudflare?

[ahrand]

Enkel via vpn.

Inderdaad, zo gepiept met WireGuard bv. als je router dat ondersteunt, in combinatie met DDNS.

Maar wat dan met zoiets als de Android Auto extensie app van HA ?

[devastator]

Kan je wat meer details geven over je implementatie in cloudflare?

Voor het bannen ? Dat kan via Fail2Ban, die kan overweg met cloudflare.
Ik kan helaas momenteel niet in Cloudflare, heb mn 2FA key niet bij ...

[ygeffens]

Even in mijn youtube geschiedenis gekropen, volgens mij is het deze video die ik gebruikt heb om het te installeren:



Ik gebruik ook cloudflare als dns van het domein dat ik hiervoor gebruik.

[devilkin]

Ondertussen eens naar gekeken, en een cloudflare tunnel opgezet, met dan mtls gekoppeld aan de hostname zodat enkel devices waar mijn tls certificaten op staan toegelaten worden.

Voordeel op android: de companion app kan met die client certs overweg, en je krijgt gewoon de vraag welk cert je wilt gebruiken.

Nadien nog inloggen in HA (met 2FA) en het is in orde.

Werkt wel leuker op deze manier

Veilig, want home assistant zit niet rechtstreeks op het internet.

[StarWing]

Reverse proxy met pfSense & HAProxy en geoblock.
2FA nog te integreren, verlof projectje.

[Ernie]

Thanks guys!

Uit nieuwsgierigheid: weet iemand hoe Nabu Casa werkt?

[devilkin]

Goeie vraag, ik ben ook wel wat nieuwsgierig.

https://kcore.org/2024/06/28/using-clou ... -internet/

Dit is m'n blog post met de opzet die ik gedaan heb uiteindelijk.

[JUD]

Binnenkort ook eens naar cloudflare kijken. Dit lost mijn probleem op zodat ik geen poorten open moet zetten buiten de vpn. En dan kan ik ook de Google Assistant en dergelijke aan de praat krijgen!

Wat is de pricing bij cloudflare? Dat is me niet direct helemaal duidelijk. Wat verstaan zij onder een gebruiker? Past alles bij jullie onder de free plan?

[gnomezor]

Hier eigen domeinnaam opgezet met cloudflare tunnel addon via HAOS op een rpi5

Voordelen:
Gebruik valt in gratis tier
Eenvoudig in te stellen
Geen port forwarding nodig
Geen reverse proxies nodig
HA bereikbaar via home.mijndomein.com
Geen HA cloud nodig
Gratis SSL certificaat

Nadelen:
Eigen domeinnaam bezitten

[devilkin]

Alles onder free plan. Ik ben wel betalende klant gezien ik een aantal domeinen daar heb zitten.

[didi79]

Ik heb intussen een openVPN access server op docker draaien. 2de factor is simpele OTP (ik gebruik hiervoor de google authenticator).

[yaris]

Openvpn op mijn asus router en de openvpn client op mijn smartphone. Enige klote is dat ik mijn config terug moet inladen als mijn extern ip is aangepast. Moet is kijken om dit te regelen met een dns.
Ik zet hier, buiten paar torrent poorten, niks open.

[didi79]

Openvpn op mijn asus router en de openvpn client op mijn smartphone. Enige klote is dat ik mijn config terug moet inladen als mijn extern ip is aangepast. Moet is kijken om dit te regelen met een dns.
Ik zet hier, buiten paar torrent poorten, niks open.

Hier duckdns met een update scriptje op mijn router (routerboard)

[BMaster]

cloudflare zero trust. Toegang op basis van geolocatie (IP). Buiten die IP range moet je eerst inloggen met 1 van de sign-on providers (Google, GitHub, ...).
Aantal keer verkeerd inloggen in HA geeft een ban in Cloudflare tot gevolg.

Ik ben dit eens aan het uitproberen... naar HA gaan met de browser toont inderdaad eerst de Cloudflare zero trust pagina waar je dan de gewenste sign-in methode kiest. Maar werkt dat bij u met de HA app op de gsm? Ik krijg telkens gewoon de error "unable to connect to Home Assistant" ...
EDIT: dat was een dns issue Nu wordt er naar de browser verwezen om daar in te loggen via cloudflare maar dat geeft eigenlijk direct de error 'invalid login session'. To be continued dus...
EDIT2: blijkbaar kan die app niet goed om met redirect naar browser om in te loggen. Zucht. Ik had eerst tailscale geprobeerd. Werkt fijn, maar toen kwam ik op het werk, gsm ging daar op de guest wifi waardoor surfshark actief werd. Maar tailscale en surfshark gaan ook niet samen... Dan probeert een mens al eens om alles wat beter te beveiligen

[devilkin]

Ik gebruik daarvoor een mtls certificaat. Met de zero trust login pagina krijg je de app niet werkende.

[BMaster]

Ik gebruik daarvoor een mtls certificaat. Met de zero trust login pagina krijg je de app niet werkende.

Ik zag het wat hoger in het topic ja. Maar dat ken ik niet, dus heb ik voorlopig genegeerd Zal het eens bekijken..

[silentkiller]

Good to know: mTLS werkt NIET in de iOS app.

In de forums/pull requests is door Frenck gereageerd dat ze dit niet gaan implementeren wegens te complex

Waarom dat het voor android dan wel werkt? “Keuzes uit het verleden stroken niet altijd met keuzes van vandaag”

(Ofte: aan home assistant cloud verdienen we wel geld )

[BMaster]

Gisterenavond nog wat geprutst en met mTLS werkt het nu vanop de Android gsm! En voor de 'gewone' web toegang wordt dan via Google ingelogd, maar enkel toegang gegeven met bepaalde email adressen. En lokaal thuis kan ik via adguard dns connecteren via Traefik (die heb ik toch al voor andere zaken), zodat ik er ook zonder internetconnectie zou aan moeten kunnen.Top! Merci voor de hints hier

[Joe de Mannen]

Ik heb geprobeerd met de Teleport VPN van Unifi, met mijn android telefoon werkt dat, ik kan mijn home assistant bereiken, maar met de laptop lukt het dus niet. VPN openen wel, HA bereiken niet. Maar mijn NAS ook niet , dus moet het haast iets met de config op de unifi te maken hebben.
HA zit op een IOT vlan, NAS zit op de algemene vlan, VPN maakt automatisch een nieuwe vlan met de volgende ip range.

Het enige verschil dat ik kan zien is dat mijn laptop fysiek op een netwerk zit met dezelfde range als mijn thuisnetwerk.

pingen lukt wel. delays liggen rond de 50ms.

Iemand tips ?
J.

[Roeland540]

Zelf raad ik Tailscale aan. Dit werkt achterliggend met het wireguard protocol maar daar merk je als gebruiker niets van.
De setup is super simpel via een home assistant add-on en het werkt naar mijn ervaring enorm betrouwbaar.
De client op mijn laptop en android telefoon staat altijd aan. Dus het werkt gewoon altijd.
Via de subnet router functie kan je zelf aan je volledig netwerk.

[vcstech]

Ben er diagonaal doorgegaan en niet direct de naam Nabu Casa zien verschijnen. 75eur/jaar. Ik gebruik het op iphone en adroid tablet en chrome browser. Snel en geen issues tot nu toe.

[liber!]

Mijn HA is exposed aan het internet met een nginx proxy ervoor. Ik heb wel fail2ban ingesteld die ook ip block doet (zoals ik al deed voor SSH). Verder ook 2fa enabled.