HA Zugriff über Domain von extern

[FabS]

Hi,

sieht gerade aus wie folgt:

# Loads default set of integrations. Do not remove.
default_config:

# Load frontend themes from the themes folder
frontend:
  themes: !include_dir_merge_named themes

# Text to speech
tts:
  - platform: google_translate

automation: !include automations.yaml
script: !include scripts.yaml
scene: !include scenes.yaml

#http
http:
  cors_allowed_origins:
    - https://google.com
    - https://www.home-assistant.io
  ip_ban_enabled: true
  login_attempts_threshold: 20
  trusted_proxies:
    - 192.168.0.100
  use_x_forwarded_for: true

Damit komme ich bis zur Anmelden. Wenn ich mich anmelden will, mit 2FA, kann er sich angeblich nicht verbinden.



Da aber 2FA abgefragt wird, muss er ja irgendwo ankommen.

Grüße

 

[Ronny1978]

Wenn ich mich anmelden will, mit 2FA, kann er sich angeblich nicht verbinden.

Intern funktioniert das Anmelden mittels 2FA??? Also mit http://ip-ha:8123? Die 192.168.0.100 ist dein NAS?

 

[FabS]

ja, intern klappt es und ja das ist die IP der NAS in der ich den RP eingerichtet habe.

 

[FabS]

Hat sonst noch jemand eine Idee?

Danke

 

[Ronny1978]

Kommt das Fehlerbild aus Post #21, wenn du im LAN bist? Was passiert, wenn du den Zugriff vom Mobilnetz deines Handys probierst? Also https://ha.....com oder .de oder sowas

 

[FabS]

Ja, das Fehlerbild erscheint wenn ich versuche aus dem LAN zu verbinden über meine Domain mit DDNS.

Wenn ich intern bleibe mit IP geht es direkt. Hand teste ich gleich und gebe Feedback.

Gruß

 

[Ronny1978]

Mich verwirrt in Post #16 hinten das ".com"? Ich denke, du nutzt eine Subdomain von xxxx.synology.me? Hier muss du mal noch etwas genauer ins Detail gehen:

- Was ist deine DynDNS Adresse? xxxx.synology.me?
- Was ist deine Subdomain von HA? yyyy.xxxx.synology.me?
- Zertifikate passen alle?

 

[FabS]

Hallo,

nein, hatte ich nie geschrieben. Ich habe bei selfhost eine Domain die ich nur für meine DS nutze.

Es wird quasi meine Domain auf meine dynamische IP referenziert, die führt zum Router und der leitet weiter mittels 443 https an die interne IPV4 meiner NAS

Das "normale" Zertifikat der Domain (keine Subdomain) passt. Kann es sein, dass ich für die subdomain durch den RP noch ein internes Zertfikat brauche? Das habe ich dann nat. noch nicht!

Gruß

 

[Ronny1978]

Nein, brauchst du nicht. Also xxxx.synology.me ist deine DynDNS. Bei Selfhost hast du eine Subdomain mit CNAME xxxx.synology.me. Korrekt?

Evtl. Rebindschutz bei der Fritzbox? Was macht der Zugriff von außen über das Handy? Geht?

 

[FabS]

Ja, meine domain ist eben <meinName>.com und die haben auch den ddns Account dort dann immer die dynip upzudaten,
Also Domain und DDNS-Dienst beim selben Anbieter.

Von "extern" übers Handy gleiches Symptom. Ich such mal nach dem Rebindschutz...

 

[Ronny1978]

Daran liegt es eigentlich nicht, wenn es von EXTERN mit dem Handy auch nicht geht.

 

[Ronny1978]

Websocket in den Erweiterten Einstellungen des RP -> siehe hier

 

[FabS]

Daran liegt es eigentlich nicht, wenn es von EXTERN mit dem Handy auch nicht geht.

hab nun trotzdem mal Domain und Subdomain eingetragen.

 

[Ronny1978]

Ich denke daran liegt es nicht. Probieren mal Info im Post #32

Was gefehlt hat war im Synology Reverse Proxy die Einstellung unter „Benutzerdefinierte Kopfzeile“. Dort die Pulldown-Einstellung „WebSocket“ auswählen und den Eintrag erstellen lassen. Dann speichern.

 

[FabS]

Ich denke daran liegt es nicht. Probieren mal Info im Post #32

Was gefehlt hat war im Synology Reverse Proxy die Einstellung unter „Benutzerdefinierte Kopfzeile“. Dort die Pulldown-Einstellung „WebSocket“ auswählen und den Eintrag erstellen lassen. Dann speichern.

Und genau das wars!

WebSocket aktivieren mit Standardvorbelegung in den Feldern!

Ohh... man... Vielen Lieben Dank! ENDLICH!!!!

 

[FabS]

Leider habe ich nun gestern gemerkt, dass der "Durchstich" da ist. Jetzt scheint es aber noch Zertifikatsprobleme zu geben. Ich nutze auf dem Handy die HA App um mich auf HA zu verbinden. Leider scheint das nun aber wegen der über den RP genutzte subdomain ha.*.com ein Thema mit dem Zertifikat zu geben. Im Browser kann ich das ja übergehen, in der App nicht.

Müsste ich mir nun noch auf die ha.*.com von meiner Domain ein let's encrypt Zertifikat erstellen? Wie ich es schaffe ein wildcard-Zertifikat für meine Domain zu erstellen habe ich von einem Windows-Rechner, bzw. der NAS, nicht verstanden.

Gruß

 

[Thonav]

Auf der DS - Systemsteuerung, Sicherheit, Zertifikat - dort für Deine Subdomain eine letsencrypt Zertifikat erstellen. Dazu temporär die Ports 80 und 443 auf die DS freigeben.

 

[FabS]

Perfekt. Port 80 hat gefehlt für die Überprüfung. Mache ich gleich wieder aus.

Nun noch eine finale Frage zu dem Thema "Zugriff" zu HA.

Kann ich irgendwie über GPS mit der App (oder über WLAN-Erkennung), der App sagen, dass sie im internen WLAN die lokale Adresse nutzen soll und von "extern" die Domain?

Danke!

 

[Ronny1978]

Lässt sich in der App bei Server einstellen einstellen. Sobald das heimische WLAN verfügbar ist, kann die App über die interne Adresse gehen. Aber ich denke, der RP regelt das selbst und leitet um. Macht zumindest mein HA Proxy auf der OpnSense. Bin ich um WLAN zu Hause, geht es bin zum RP und gleich wieder zurück zum Home Assistant.