HA Zugriff über Domain von extern

[FabS]

Hallo zusammen,

ich versuche nun schon seit einigen Monaten mein HomeAssistant so einzurichten, dass dieser mittels meiner Domain von extern "sicher" erreicht werden kann. Den Zugriff auf die Synology DS habe ich über HTTPS hinbekommen. Das funktioniert ganz gut. Allerding schaffe ich es nicht auf HA zu kommen.

Getestet mit HTTP über Portforwarding habe ich und das funktioniert. also mit domain.com:8123 komme ich dann auf HA. Das ist mir leider etwas zu unsicher

Auch über den im DSM eingerichteten ReverseProxy komme ich dann über bspw. ha.domain.com:8123 auf HA, aber eben leider nicht mit HTTPS. Rückmeldung: Bad Request.

Ich habe mir auch schon einige der Themen hier durchgelesen und leider nicht bis zum Ende verstanden, da ich gerade am Anfang bei dem Thema bin vom Verständnis.

Kann mir hier ggf. jemand etwas helfen das sicher hinzubekommen? Was muss/kann ich machen? VPN mit meiner FritzBox wollte ich nicht machen, da ist mir wireguard irgendwie zu langsam. Bzw. wenn, dann möchte ich den Komfort beim HA-Öffnen automatisch die VPN zu connecten oder ähnliches.

Vielen Dank für eure Hilfe!

PS: HA läuft auf einem Image im Container Manager

Grüße
Fabs

 

[Ronny1978]

Hallo FabS,

willkommen im Forum. Auch was das jetzt blöd klingt: Aber hast du schon mal hier im Forum die Suchfunktion hier genutzt??? Hier ist mittlerweile gefühlt jeden Tag die gleiche Anfrage drin -> EXTERNER Zugriff auf HA, Jellyfin usw. weiter. Bitte erstmal suchen und dich auch mit dem Thema Reverse Proxy beschäftigen. Eine sture Anleitung führt dazu, dass du es evtl. nicht verstehst und ggf. in einem halben Jahr wieder suchen musst.

"Wissen ist Macht. Ich weiß nichts, machts nichts." sollte hier nicht das Ziel sein.

Sorry

 

[FabS]

Hallo Ronny1978,

ja, wie geschrieben, habe ich bereits ein paar Beiträge dazu gesucht und gefunden. Allerdings hat es bei den paar letzten % dann vom Verständnis bei mir noch nicht gereicht, warum die Weiterleitung von HTTPS auf HTTP bei mir zu einem Bad Request führt.

Ich schau noch einmal mehr ob ich vielleicht doch einen Beitrag finde der mir das näher bringt. Nach deiner Aussage muss es davon ja so viele wie Sand am Meer geben.

Danke!

 

[metalworker]

Hallo Fabs ,

Ronny hat da schon recht.

Was kleines will ich trotzdem einwerfen.
Wireguard ist sehr fix. Darüber hättest eine echt sicherer und elegante Lösung.

 

[FabS]

Hey,

kann ich es so konfigurieren, dass ich bspw. am Handy mit einem Aufruf VPN einwähle und dann direkt HA? Ich möchte ja nicht permanent über VPN verbunden sein.

Danke!

 

[metalworker]

na kommt vielleicht auf dein HAndy OS an.
Also ich wüsste es zumindest nicht gerade wie .

Alternativ musst halt mal genau schreiben wie und was du eingerichtet hast bei deinen Freigaben und Proxy
und was du wo und wie genau für fehler bekommst

 

[Ronny1978]

warum die Weiterleitung von HTTPS auf HTTP bei mir zu einem Bad Request führt

Deine Subdomain bekommt die IP deiner Fritzbox? Wie rufst du die Subdomain auf -> muss natürlich dann OHNE Port sein? Wie sind deine Einstellungen im Reverse Proxy (Screenshots)? Wo sitzt der HA? Ist die Weiterleitung 443 auf den RP (DS) eingestellt?

P.S. An den Eintrag in der YAML im HA hast du gedacht?

 

[FabS]

Hi Ronny

P.S. An den Eintrag in der YAML im HA hast du gedacht?

das habe ich mal gelesen aber irgendwie hat das nicht geklappt bei mir. mein ganzer Container hat dann nicht mehr gestartet. Hast du dazu ggf. einen Forenlink wie ich das korrekt mache?

Aktuell läuft das so.

Habe eine Hauptdomain die meine Firtzbox-IP bekommt (über dyndns in der FB). Wenn ich die Domain im Browser aufrufe (Standard 80 oder mit Port 8080) leitet er mich dank Einstellung im DSM gleich an HTTPS 8081 an meine DS weiter:

FB:

DSM:


Den Reverse Proxy habe ich mit einem Präfix ha. versehen:


Damit war ich der Meinung mit dem Präfix auf die interne Adresse mit HA-Port zu gelangen. Scheint leider nicht so zu passen.

Ist die Weiterleitung 443 auf den RP (DS) eingestellt?

Das verstehe ich nicht so ganz. 443 weiterleiten an den RP?

Danke für eure Hilfe!

 

[Ronny1978]

Naja, und jetzt sind wir nämlich bei dem Punkt, dass du dich erstmal wirklich mit dem Reverse Proxy beschäftigen musst. Ich sehe nämlich, dass das alles durch einander geht. Das DSM selbst nach Möglichkeit von extern, nur per VPN verfügbar machen, oder auch per Reverse Proxy.

Die Ports im DSM sind okay, wobei ich 5-stellige bevorzuge. Die http Portfreigaben bitte DRINGEND deaktivieren!!! Mal leitet eigentlich NUR 443 an den Reverse Proxy weiter. NICHTS anderes!!! Und dann bitte erst mal Videos zum Reverse Proxy schauen. Am besten von Navigio.

#http
http:
  cors_allowed_origins:
    - https://google.com
    - https://www.home-assistant.io
  ip_ban_enabled: true
  login_attempts_threshold: 20
  trusted_proxies:
    - 192.168.x.x/24 (hier die IP vom RP)
  use_x_forwarded_for: true

UND an die Einrückungen denken! Und noch ein Tipp: Wenn du Dienste/Applikationen oder Daten von extern erreichbar machen möchten, dann dich bitte DRINGEND informieren und dein System "härten" (2FA, nur erreichbar machen, was du musst, Passwörter, Firewall, usw.). Einfach mal probieren sollte man das - ohne sich damit beschäftigt zu haben - AUF KEINEN FALL. Es gibt hier auch einen Leitfaden. Vielleicht kann den @*kw* noch einmal verlinken? Ohne Wissen gefährdest du dein System UND deine Daten!!!

 

[Hagen2000]

Damit war ich der Meinung mit dem Präfix auf die interne Adresse mit HA-Port zu gelangen. Scheint leider nicht so zu passen.

Du kannst nicht einfach HTTPS mit HTTP auf diese Art verknüpfen, das sind zwei verschiedene Protokolle und daher bekommst Du den BAD REQUEST-Fehler.
Du musst schon auch für den Home Assistant HTTPS zur Verfügung stellen.

 

[FabS]

Du musst schon auch für den Home Assistant HTTPS zur Verfügung stellen.

Hey Hagen2000,

kannst du mir sagen wie/wo ich das mache? Oder besser wo ich dazu eine Anleitung finde? Habe schon gesucht, finde aber nichts dazu.

Vielen Dank!

 

[FabS]

Die Ports im DSM sind okay, wobei ich 5-stellige bevorzuge. Die http Portfreigaben bitte DRINGEND deaktivieren!!! Mal leitet eigentlich NUR 443 an den Reverse Proxy weiter. NICHTS anderes!!! Und dann bitte erst mal Videos zum Reverse Proxy schauen. Am besten von Navigio.

Hi Ronny,

ich habe mir ein paar Videos angeschaut und denke, dass ich es eigentlich verstehe. Zumindest grob. Ich muss da einfach etwas am lebenden Objekt testen.

Ich habe nun meine ddns in der Fritzbox laufen. Von dort ein Port-Forwarding auf den Port 443 gemacht zu DS. Die DS braucht ja nun den RP der auf 443 hört. Hier hört es bei mir nun leider auf. Muss ich nicht zuerst die DS erreichen um dort den RP antingeln zu können?

Grüße

UPDATE: Ich hab das nun hinbekommen und auch kapiert mit dem RP und komme nun über 443 im RP auf meine 8081 HTTPS-Anmeldeseite der Synology. Steht also nur noch im Raum wie ich das im Container laufende HA dazu bekomme auf HTTPS zu lauschen.

 

[Thonav]

Nur Port 443 in der Fritze für die DS freimachen - Reverse Proxy mit HTTPS z.B. ha.deineID.synology.me dort eintragen mit Port 443 - weiterleiten an HTTP localhost 8123,
Haken bei HSTS setzen.

 

[FabS]

Hey @Thonav,

dachte ich auch. Dadurch gibts aber nur das hier:



Dachte HTTPS an HTTP darf/kann man nicht "mappen".

 

[Benares]

Musst auch den Link mit https aufrufen. https kann man schon auf http mappen, dann macht halt der Reverse Proxy das Zertifikat-Gedöns.

 

[FabS]

Hey,
ich habe den Link mit https aufgerufen mit dem Ergebnis:

 

[Thonav]

Du beantwortest nicht, ob Du den 443 wie oben beschrieben, eingerichtet hast.

 

[Benares]

Ich kenne den HA nicht. Was ist denn der Port 8123, http oder https? Wenn du auf http weiterleitest, muss das auch der http-Port des HA sein.

 

[Thonav]

8123 ist http, @Benares - zumindest in den Standardeinstellungen.

 

[Ronny1978]

@FabS : Wie sehen deine YAML Einträge aus??? Siehe oben Post #9