HA Zugriff über Domain von extern

FabS

Benutzer
Mitglied seit
29. Nov 2020
Beiträge
4
Punkte für Reaktionen
0
Punkte
1
Hallo zusammen,

ich versuche nun schon seit einigen Monaten mein HomeAssistant so einzurichten, dass dieser mittels meiner Domain von extern "sicher" erreicht werden kann. Den Zugriff auf die Synology DS habe ich über HTTPS hinbekommen. Das funktioniert ganz gut. Allerding schaffe ich es nicht auf HA zu kommen.

Getestet mit HTTP über Portforwarding habe ich und das funktioniert. also mit domain.com:8123 komme ich dann auf HA. Das ist mir leider etwas zu unsicher ;)

Auch über den im DSM eingerichteten ReverseProxy komme ich dann über bspw. ha.domain.com:8123 auf HA, aber eben leider nicht mit HTTPS. Rückmeldung: Bad Request.

Ich habe mir auch schon einige der Themen hier durchgelesen und leider nicht bis zum Ende verstanden, da ich gerade am Anfang bei dem Thema bin vom Verständnis.

Kann mir hier ggf. jemand etwas helfen das sicher hinzubekommen? Was muss/kann ich machen? VPN mit meiner FritzBox wollte ich nicht machen, da ist mir wireguard irgendwie zu langsam. Bzw. wenn, dann möchte ich den Komfort beim HA-Öffnen automatisch die VPN zu connecten oder ähnliches.

Vielen Dank für eure Hilfe!

PS: HA läuft auf einem Image im Container Manager

Grüße
Fabs
 
Zuletzt bearbeitet:

Ronny1978

Benutzer
Sehr erfahren
Mitglied seit
09. Mai 2019
Beiträge
1.694
Punkte für Reaktionen
692
Punkte
128
Hallo FabS,

willkommen im Forum. Auch was das jetzt blöd klingt: Aber hast du schon mal hier im Forum die Suchfunktion hier genutzt??? Hier ist mittlerweile gefühlt jeden Tag die gleiche Anfrage drin -> EXTERNER Zugriff auf HA, Jellyfin usw. weiter. Bitte erstmal suchen und dich auch mit dem Thema Reverse Proxy beschäftigen. Eine sture Anleitung führt dazu, dass du es evtl. nicht verstehst und ggf. in einem halben Jahr wieder suchen musst.

"Wissen ist Macht. Ich weiß nichts, machts nichts." sollte hier nicht das Ziel sein. ;)

Sorry
 

FabS

Benutzer
Mitglied seit
29. Nov 2020
Beiträge
4
Punkte für Reaktionen
0
Punkte
1
Hallo Ronny1978,

ja, wie geschrieben, habe ich bereits ein paar Beiträge dazu gesucht und gefunden. Allerdings hat es bei den paar letzten % dann vom Verständnis bei mir noch nicht gereicht, warum die Weiterleitung von HTTPS auf HTTP bei mir zu einem Bad Request führt.

Ich schau noch einmal mehr ob ich vielleicht doch einen Beitrag finde der mir das näher bringt. Nach deiner Aussage muss es davon ja so viele wie Sand am Meer geben.

Danke!
 

metalworker

Benutzer
Sehr erfahren
Mitglied seit
25. Apr 2023
Beiträge
2.913
Punkte für Reaktionen
1.014
Punkte
174
Hallo Fabs ,

Ronny hat da schon recht.

Was kleines will ich trotzdem einwerfen.
Wireguard ist sehr fix. Darüber hättest eine echt sicherer und elegante Lösung.
 

FabS

Benutzer
Mitglied seit
29. Nov 2020
Beiträge
4
Punkte für Reaktionen
0
Punkte
1
Hey,

kann ich es so konfigurieren, dass ich bspw. am Handy mit einem Aufruf VPN einwähle und dann direkt HA? Ich möchte ja nicht permanent über VPN verbunden sein.

Danke!
 

metalworker

Benutzer
Sehr erfahren
Mitglied seit
25. Apr 2023
Beiträge
2.913
Punkte für Reaktionen
1.014
Punkte
174
na kommt vielleicht auf dein HAndy OS an.
Also ich wüsste es zumindest nicht gerade wie .

Alternativ musst halt mal genau schreiben wie und was du eingerichtet hast bei deinen Freigaben und Proxy
und was du wo und wie genau für fehler bekommst
 

Ronny1978

Benutzer
Sehr erfahren
Mitglied seit
09. Mai 2019
Beiträge
1.694
Punkte für Reaktionen
692
Punkte
128
warum die Weiterleitung von HTTPS auf HTTP bei mir zu einem Bad Request führt
Deine Subdomain bekommt die IP deiner Fritzbox? Wie rufst du die Subdomain auf -> muss natürlich dann OHNE Port sein? Wie sind deine Einstellungen im Reverse Proxy (Screenshots)? Wo sitzt der HA? Ist die Weiterleitung 443 auf den RP (DS) eingestellt?

P.S. An den Eintrag in der YAML im HA hast du gedacht?
 

FabS

Benutzer
Mitglied seit
29. Nov 2020
Beiträge
4
Punkte für Reaktionen
0
Punkte
1
Hi Ronny
P.S. An den Eintrag in der YAML im HA hast du gedacht?
das habe ich mal gelesen aber irgendwie hat das nicht geklappt bei mir. mein ganzer Container hat dann nicht mehr gestartet. Hast du dazu ggf. einen Forenlink wie ich das korrekt mache?

Aktuell läuft das so.

Habe eine Hauptdomain die meine Firtzbox-IP bekommt (über dyndns in der FB). Wenn ich die Domain im Browser aufrufe (Standard 80 oder mit Port 8080) leitet er mich dank Einstellung im DSM gleich an HTTPS 8081 an meine DS weiter:

FB:
1730286620447.png
DSM:
1730286707844.png

Den Reverse Proxy habe ich mit einem Präfix ha. versehen:
1730286801220.png

Damit war ich der Meinung mit dem Präfix auf die interne Adresse mit HA-Port zu gelangen. Scheint leider nicht so zu passen.

Ist die Weiterleitung 443 auf den RP (DS) eingestellt?
Das verstehe ich nicht so ganz. 443 weiterleiten an den RP?

Danke für eure Hilfe!
 

Anhänge

  • 1730286567039.png
    1730286567039.png
    26 KB · Aufrufe: 2

Ronny1978

Benutzer
Sehr erfahren
Mitglied seit
09. Mai 2019
Beiträge
1.694
Punkte für Reaktionen
692
Punkte
128
Naja, und jetzt sind wir nämlich bei dem Punkt, dass du dich erstmal wirklich mit dem Reverse Proxy beschäftigen musst. Ich sehe nämlich, dass das alles durch einander geht. Das DSM selbst nach Möglichkeit von extern, nur per VPN verfügbar machen, oder auch per Reverse Proxy.

Die Ports im DSM sind okay, wobei ich 5-stellige bevorzuge. Die http Portfreigaben bitte DRINGEND deaktivieren!!! Mal leitet eigentlich NUR 443 an den Reverse Proxy weiter. NICHTS anderes!!! Und dann bitte erst mal Videos zum Reverse Proxy schauen. Am besten von Navigio.

Code:
#http
http:
  cors_allowed_origins:
    - https://google.com
    - https://www.home-assistant.io
  ip_ban_enabled: true
  login_attempts_threshold: 20
  trusted_proxies:
    - 192.168.x.x/24 (hier die IP vom RP)
  use_x_forwarded_for: true

UND an die Einrückungen denken! Und noch ein Tipp: Wenn du Dienste/Applikationen oder Daten von extern erreichbar machen möchten, dann dich bitte DRINGEND informieren und dein System "härten" (2FA, nur erreichbar machen, was du musst, Passwörter, Firewall, usw.). Einfach mal probieren sollte man das - ohne sich damit beschäftigt zu haben - AUF KEINEN FALL. Es gibt hier auch einen Leitfaden. Vielleicht kann den @*kw* noch einmal verlinken? Ohne Wissen gefährdest du dein System UND deine Daten!!!
 
Zuletzt bearbeitet:

Hagen2000

Benutzer
Mitglied seit
25. Mai 2016
Beiträge
303
Punkte für Reaktionen
101
Punkte
43
Damit war ich der Meinung mit dem Präfix auf die interne Adresse mit HA-Port zu gelangen. Scheint leider nicht so zu passen.
Du kannst nicht einfach HTTPS mit HTTP auf diese Art verknüpfen, das sind zwei verschiedene Protokolle und daher bekommst Du den BAD REQUEST-Fehler.
Du musst schon auch für den Home Assistant HTTPS zur Verfügung stellen.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat