HA Zugriff über Domain von extern

FabS

Benutzer
Mitglied seit
29. Nov 2020
Beiträge
22
Punkte für Reaktionen
4
Punkte
3
Hallo zusammen,

ich versuche nun schon seit einigen Monaten mein HomeAssistant so einzurichten, dass dieser mittels meiner Domain von extern "sicher" erreicht werden kann. Den Zugriff auf die Synology DS habe ich über HTTPS hinbekommen. Das funktioniert ganz gut. Allerding schaffe ich es nicht auf HA zu kommen.

Getestet mit HTTP über Portforwarding habe ich und das funktioniert. also mit domain.com:8123 komme ich dann auf HA. Das ist mir leider etwas zu unsicher ;)

Auch über den im DSM eingerichteten ReverseProxy komme ich dann über bspw. ha.domain.com:8123 auf HA, aber eben leider nicht mit HTTPS. Rückmeldung: Bad Request.

Ich habe mir auch schon einige der Themen hier durchgelesen und leider nicht bis zum Ende verstanden, da ich gerade am Anfang bei dem Thema bin vom Verständnis.

Kann mir hier ggf. jemand etwas helfen das sicher hinzubekommen? Was muss/kann ich machen? VPN mit meiner FritzBox wollte ich nicht machen, da ist mir wireguard irgendwie zu langsam. Bzw. wenn, dann möchte ich den Komfort beim HA-Öffnen automatisch die VPN zu connecten oder ähnliches.

Vielen Dank für eure Hilfe!

PS: HA läuft auf einem Image im Container Manager

Grüße
Fabs
 
Zuletzt bearbeitet:

Ronny1978

Benutzer
Sehr erfahren
Mitglied seit
09. Mai 2019
Beiträge
1.836
Punkte für Reaktionen
753
Punkte
128
Hallo FabS,

willkommen im Forum. Auch was das jetzt blöd klingt: Aber hast du schon mal hier im Forum die Suchfunktion hier genutzt??? Hier ist mittlerweile gefühlt jeden Tag die gleiche Anfrage drin -> EXTERNER Zugriff auf HA, Jellyfin usw. weiter. Bitte erstmal suchen und dich auch mit dem Thema Reverse Proxy beschäftigen. Eine sture Anleitung führt dazu, dass du es evtl. nicht verstehst und ggf. in einem halben Jahr wieder suchen musst.

"Wissen ist Macht. Ich weiß nichts, machts nichts." sollte hier nicht das Ziel sein. ;)

Sorry
 

FabS

Benutzer
Mitglied seit
29. Nov 2020
Beiträge
22
Punkte für Reaktionen
4
Punkte
3
Hallo Ronny1978,

ja, wie geschrieben, habe ich bereits ein paar Beiträge dazu gesucht und gefunden. Allerdings hat es bei den paar letzten % dann vom Verständnis bei mir noch nicht gereicht, warum die Weiterleitung von HTTPS auf HTTP bei mir zu einem Bad Request führt.

Ich schau noch einmal mehr ob ich vielleicht doch einen Beitrag finde der mir das näher bringt. Nach deiner Aussage muss es davon ja so viele wie Sand am Meer geben.

Danke!
 

metalworker

Benutzer
Sehr erfahren
Mitglied seit
25. Apr 2023
Beiträge
3.168
Punkte für Reaktionen
1.133
Punkte
194
Hallo Fabs ,

Ronny hat da schon recht.

Was kleines will ich trotzdem einwerfen.
Wireguard ist sehr fix. Darüber hättest eine echt sicherer und elegante Lösung.
 

FabS

Benutzer
Mitglied seit
29. Nov 2020
Beiträge
22
Punkte für Reaktionen
4
Punkte
3
Hey,

kann ich es so konfigurieren, dass ich bspw. am Handy mit einem Aufruf VPN einwähle und dann direkt HA? Ich möchte ja nicht permanent über VPN verbunden sein.

Danke!
 

metalworker

Benutzer
Sehr erfahren
Mitglied seit
25. Apr 2023
Beiträge
3.168
Punkte für Reaktionen
1.133
Punkte
194
na kommt vielleicht auf dein HAndy OS an.
Also ich wüsste es zumindest nicht gerade wie .

Alternativ musst halt mal genau schreiben wie und was du eingerichtet hast bei deinen Freigaben und Proxy
und was du wo und wie genau für fehler bekommst
 

Ronny1978

Benutzer
Sehr erfahren
Mitglied seit
09. Mai 2019
Beiträge
1.836
Punkte für Reaktionen
753
Punkte
128
warum die Weiterleitung von HTTPS auf HTTP bei mir zu einem Bad Request führt
Deine Subdomain bekommt die IP deiner Fritzbox? Wie rufst du die Subdomain auf -> muss natürlich dann OHNE Port sein? Wie sind deine Einstellungen im Reverse Proxy (Screenshots)? Wo sitzt der HA? Ist die Weiterleitung 443 auf den RP (DS) eingestellt?

P.S. An den Eintrag in der YAML im HA hast du gedacht?
 

FabS

Benutzer
Mitglied seit
29. Nov 2020
Beiträge
22
Punkte für Reaktionen
4
Punkte
3
Hi Ronny
P.S. An den Eintrag in der YAML im HA hast du gedacht?
das habe ich mal gelesen aber irgendwie hat das nicht geklappt bei mir. mein ganzer Container hat dann nicht mehr gestartet. Hast du dazu ggf. einen Forenlink wie ich das korrekt mache?

Aktuell läuft das so.

Habe eine Hauptdomain die meine Firtzbox-IP bekommt (über dyndns in der FB). Wenn ich die Domain im Browser aufrufe (Standard 80 oder mit Port 8080) leitet er mich dank Einstellung im DSM gleich an HTTPS 8081 an meine DS weiter:

FB:
1730286620447.png
DSM:
1730286707844.png

Den Reverse Proxy habe ich mit einem Präfix ha. versehen:
1730286801220.png

Damit war ich der Meinung mit dem Präfix auf die interne Adresse mit HA-Port zu gelangen. Scheint leider nicht so zu passen.

Ist die Weiterleitung 443 auf den RP (DS) eingestellt?
Das verstehe ich nicht so ganz. 443 weiterleiten an den RP?

Danke für eure Hilfe!
 

Anhänge

  • 1730286567039.png
    1730286567039.png
    26 KB · Aufrufe: 4

Ronny1978

Benutzer
Sehr erfahren
Mitglied seit
09. Mai 2019
Beiträge
1.836
Punkte für Reaktionen
753
Punkte
128
Naja, und jetzt sind wir nämlich bei dem Punkt, dass du dich erstmal wirklich mit dem Reverse Proxy beschäftigen musst. Ich sehe nämlich, dass das alles durch einander geht. Das DSM selbst nach Möglichkeit von extern, nur per VPN verfügbar machen, oder auch per Reverse Proxy.

Die Ports im DSM sind okay, wobei ich 5-stellige bevorzuge. Die http Portfreigaben bitte DRINGEND deaktivieren!!! Mal leitet eigentlich NUR 443 an den Reverse Proxy weiter. NICHTS anderes!!! Und dann bitte erst mal Videos zum Reverse Proxy schauen. Am besten von Navigio.

Code:
#http
http:
  cors_allowed_origins:
    - https://google.com
    - https://www.home-assistant.io
  ip_ban_enabled: true
  login_attempts_threshold: 20
  trusted_proxies:
    - 192.168.x.x/24 (hier die IP vom RP)
  use_x_forwarded_for: true

UND an die Einrückungen denken! Und noch ein Tipp: Wenn du Dienste/Applikationen oder Daten von extern erreichbar machen möchten, dann dich bitte DRINGEND informieren und dein System "härten" (2FA, nur erreichbar machen, was du musst, Passwörter, Firewall, usw.). Einfach mal probieren sollte man das - ohne sich damit beschäftigt zu haben - AUF KEINEN FALL. Es gibt hier auch einen Leitfaden. Vielleicht kann den @*kw* noch einmal verlinken? Ohne Wissen gefährdest du dein System UND deine Daten!!!
 
Zuletzt bearbeitet:

Hagen2000

Benutzer
Mitglied seit
25. Mai 2016
Beiträge
339
Punkte für Reaktionen
117
Punkte
43
Damit war ich der Meinung mit dem Präfix auf die interne Adresse mit HA-Port zu gelangen. Scheint leider nicht so zu passen.
Du kannst nicht einfach HTTPS mit HTTP auf diese Art verknüpfen, das sind zwei verschiedene Protokolle und daher bekommst Du den BAD REQUEST-Fehler.
Du musst schon auch für den Home Assistant HTTPS zur Verfügung stellen.
 

FabS

Benutzer
Mitglied seit
29. Nov 2020
Beiträge
22
Punkte für Reaktionen
4
Punkte
3
Die Ports im DSM sind okay, wobei ich 5-stellige bevorzuge. Die http Portfreigaben bitte DRINGEND deaktivieren!!! Mal leitet eigentlich NUR 443 an den Reverse Proxy weiter. NICHTS anderes!!! Und dann bitte erst mal Videos zum Reverse Proxy schauen. Am besten von Navigio.
Hi Ronny,

ich habe mir ein paar Videos angeschaut und denke, dass ich es eigentlich verstehe. Zumindest grob. Ich muss da einfach etwas am lebenden Objekt testen.

Ich habe nun meine ddns in der Fritzbox laufen. Von dort ein Port-Forwarding auf den Port 443 gemacht zu DS. Die DS braucht ja nun den RP der auf 443 hört. Hier hört es bei mir nun leider auf. Muss ich nicht zuerst die DS erreichen um dort den RP antingeln zu können?

Grüße

UPDATE: Ich hab das nun hinbekommen und auch kapiert mit dem RP und komme nun über 443 im RP auf meine 8081 HTTPS-Anmeldeseite der Synology. Steht also nur noch im Raum wie ich das im Container laufende HA dazu bekomme auf HTTPS zu lauschen.
 
Zuletzt bearbeitet:

Thonav

Benutzer
Sehr erfahren
Mitglied seit
16. Feb 2014
Beiträge
7.890
Punkte für Reaktionen
1.510
Punkte
274
Nur Port 443 in der Fritze für die DS freimachen - Reverse Proxy mit HTTPS z.B. ha.deineID.synology.me dort eintragen mit Port 443 - weiterleiten an HTTP localhost 8123,
Haken bei HSTS setzen.
 
  • Like
Reaktionen: Ronny1978

FabS

Benutzer
Mitglied seit
29. Nov 2020
Beiträge
22
Punkte für Reaktionen
4
Punkte
3
Hey @Thonav,

dachte ich auch. Dadurch gibts aber nur das hier:

1731165579070.png

Dachte HTTPS an HTTP darf/kann man nicht "mappen".
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.766
Punkte für Reaktionen
3.740
Punkte
468
Musst auch den Link mit https aufrufen. https kann man schon auf http mappen, dann macht halt der Reverse Proxy das Zertifikat-Gedöns.
 

FabS

Benutzer
Mitglied seit
29. Nov 2020
Beiträge
22
Punkte für Reaktionen
4
Punkte
3
Hey,
ich habe den Link mit https aufgerufen mit dem Ergebnis:

1731166185475.png
 

Thonav

Benutzer
Sehr erfahren
Mitglied seit
16. Feb 2014
Beiträge
7.890
Punkte für Reaktionen
1.510
Punkte
274
Du beantwortest nicht, ob Du den 443 wie oben beschrieben, eingerichtet hast.
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.766
Punkte für Reaktionen
3.740
Punkte
468
Ich kenne den HA nicht. Was ist denn der Port 8123, http oder https? Wenn du auf http weiterleitest, muss das auch der http-Port des HA sein.
 

Thonav

Benutzer
Sehr erfahren
Mitglied seit
16. Feb 2014
Beiträge
7.890
Punkte für Reaktionen
1.510
Punkte
274
8123 ist http, @Benares - zumindest in den Standardeinstellungen.
 

Ronny1978

Benutzer
Sehr erfahren
Mitglied seit
09. Mai 2019
Beiträge
1.836
Punkte für Reaktionen
753
Punkte
128
@FabS : Wie sehen deine YAML Einträge aus??? Siehe oben Post #9
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat