Natürlich habe ich mir die Frage auch gestellt, denn dein eigenes Heim ist die persönlichste Umgebung und niemand Fremdes hat dort ohne Einladung etwas zu suchen. Auch Sicherheitsaspekte spielen eine Rolle. Wenn ein brasilianischer Script Kiddie es schafft, das Licht in Deinem Schlafzimmer einzuschalten ist das zwar nervig aber eine andere Qualität, als wenn jemand Deine Sicherheitssysteme überlistet, oder sogar Zugriff auf deine Kameras hat. Alexa ist ein großes Thema in der HA Szene. Ich persönlich verzichte darauf. TTS (Text to Speech) ist ein interessantes Thema und HA kann das auch "out of the Box" aber irgendwie habe ich ein mulmiges Gefühl ein ständig online betriebenes Mikrofon jedes Wort im häuslichen Umfeld aufnehmen lassen. Das klinkt paranoid, und ich weiß als Fachmann sehr genau, dass mein Handy im Grund nichts anderes macht.
Wenn ihr "den Pakt mit dem Teufel ääh Alexa" eingeht, ist HA eine feine Sache das komfortabel zu nutzen. Hier findet ihr allerdings keine Informationen, da ich einfach keine Erfahrung damit habe. Viele meiner meist jüngeren Fachkollegen sehen das viel pragmatischer, aber vielleicht bin ich einfach zu alt dafür.
HA Server hat Zugriff aufs Internet
Ok, das löst noch nicht unser Problem, darum fange ich mal mit dem Einfachen an, dem Internet Empfang. Dieser sollte auf jedem Fall erlaubt werden. Hintergrund ist, das der HA Server eine gigantische Dynamik erfährt. Tausende von Entwicklern fummeln am System herum, es gibt neue Funktionen, Bugs werden beseitigt oder neue Integrationen etabliert. Daher gibt es in engen Zeiträumen Updates, die das System automatisch erkennt und zur Aktualisierung aufruft. Das Gleiche gilt auch für die installieren Add-Ins.
Nebenbei bemerkt sollte man immer das Change Log und die Release Notes lesen. Manchmal kann es nämlich vorkommen, dass eingesetzte Integrationen nicht mehr funktionieren oder anders angesprochen werden.
Internet hat Zugriff auf den HA Server
Ich habe die Überschrift bewusst so gewählt, damit jedem klar ist, was das bedeutet. Natürlich kann man einen HA Server sehr erfolgreich komplett insoliert betreiben, aber .... es macht einfach keinen Spaß :-)
Es gibt drei Dinge, die mich dazu bewogen haben, meinen Server aus dem Internet erreichbar zu machen.
Später kam noch ein weiterer Punkt hinzu, nämlich die Nutzung Cloud basierender Smart Devices wie bsw. Tuya. Auch das ist ein Pakt mit dem Teufel, weil quasi ein Chinese dein Licht steuert. Auch weiß man nicht hundertprozentig, ob die schicke WLAN Wohnzimmerlampe dich nicht doch ausspioniert.
Wenn ihr meine Entscheidung teilt, muss man natürlich versuchen, das System so sicher wie möglich zu machen.
Bei mir sind folgende Dinge wichtig:
Portfreigabe im Router einrichten.
Ein anständig eingerichteter Internetzugang hat einen Router, der auch als Firewall fungiert. Damit man von außen auf irgendwas zugreifen kann muss eine Portfreigabe eingerichtet werden. In unserem Fall weißt ein Zugriff auf Port 8123 auf unseren lokalen HA Server.
Bei mir ist es wie bei vielen anderen die FRITZBOX und das sieht so aus :
Ich habe keine Ahnung ob HA auch mit IPv6 funktioniert, aber ich habe bewusst darauf geachtet, dass mein Internet Provider auch noch IPv4 hat.
Home Assistant auf SSL umstellen.
Bevor ich die Einrichtung weiter erkläre kurz ein Wort über Github. Damit die abertausenden von ehrenamtlichen HA Entwickler zueinander kommen und ein einheitliches System daraus wird, wird ein globales Versionsverwaltungsprogramm benutzt, nämlich https://github.com/
Wie das genau funktioniert (Pulls, Commits, Repositories) ist eher für Entwickler interessant aber ihr werdet immer wieder mit Github in Berührung kommen und zwar das erste mal jetzt :-)
DynDNS mit DuckDNS einrichten
Wenn man Webseiten im Internet aufruft macht man dies über einen Namen. Eigentlich ruft man aber eine IP-Adresse auf. Niemand kennt aber die IP Adressen. Dafür gibt es den DNS Dienst (Domain Name Service) So hat beispielsweise www.bild.de die Adresse 2.16.101.107.
Unser heimischer HA Server benötigt auch einen Namen, hat aber gegenüber "großen" Webservern einen großen Nachteil. IPv4 Adressen sind rar und Internetprovider neigen gerne mal dazu, diese Adressen alle 24 Stunden zu ändern, was für den Zugriff auf unseren Server natürlich tödlich wäre. Daher hat irgendwer Schlaues den DynDNS Dienst erfunden. Der geht nämlich hin und erkennt, wenn sich die eigene (öffentliche) IP Adresse geändert hat und ändert auch den DNS Eintrag.
Dafür hat HA das schöne Add-on namens Duck DNS
Installation:
lets_encrypt:
accept_terms: true
certfile: fullchain.pem
keyfile: privkey.pem
token: df02377b-c197-4e25-80016-209a2a4526f8321
domains:
- jupp.duckdns.org
seconds: 300
SSL Zertifikate
Damit eine Seite mit SSL funktioniert müssen Zertifikate hinterlegt werden. Auch hier nimmt DuckDNS uns die Arbeit ab und bindet die Zertifikate des kostenlosen Anbieters Lets Encrypt automatisch ein.
Franz-Josef Marbeck (Mittwoch, 04 September 2024 15:27)
95681ca8-72c3-41f7-819c-55b58135c39b
Jason Kohn (Dienstag, 14 Mai 2024 20:24)
Ret
12 (Montag, 08 April 2024 21:32)
HAllo, gibt es keine Möglichkeit, die diversen Stati der HA ganz ohne Portfreigaben/VPN (dafür ist mir die FritzBox zu wackelig & eine echte firewall zu teuer) laufen zu lassen? ICh stelle mir das so vor: Wichtige Nachrichten per E-Mail. Smart Doorbell durch einen Stream, den die Kamera auf eine PAsswort geschützte Website hochlädt (und nur dann). Etc.
Völlig falsche Richtung? HAt jmd sowas mal weiter gedacht und umgesetzt?
Mmhh (Montag, 30 Oktober 2023 12:07)
bei steht da immer fehler
Test (Freitag, 06 Oktober 2023 12:45)
Test
Cpt.Hardy (Donnerstag, 18 Mai 2023 17:57)
ok, und wie bekomme ich das SSL Zertifikat mit den von mir genannten Providern? AVM geht ja auch per SSL, wenn ich mich nicht irre.
Ingo (Donnerstag, 18 Mai 2023 16:47)
Du brauchst das SSL Zertifikat
Cpt.Hardy (Donnerstag, 18 Mai 2023 14:29)
wenn ich bereits einen DYDNS verwende wie zB von AVM für die Fritzbox oder selfhost.eu kann ich dann auf duckdns verzichten?
bomi (Sonntag, 05 März 2023 23:57)
warum
Ingo (Mittwoch, 01 März 2023 07:18)
Hallo Martin,
Das duckdns mit lets encrypt im Hintergrund macht zwei Dinge. Es verknüpft deine öffentliche IP Adresse mit einem Domänen Namen und ändert diese automatisch, wenn deine IP sich ändert und es baut ein Zertifikat für die verschlüsselte Verbindung und (ganz wichtig) aktualisiert dieses automatisch.
Das ganze ist ohne zutun des Benutzers Automatisch. Kann man machen, muss man aber nicht du kannst auch einen anderen DDNS Anbieter nehmen, eine eigene Domäne und eigene Zertifikate (digicert, globalsign, ect). Aber das ist alles Aufwand. Du brauchst z.b. den DNS Zugriff auf diese Domäne um dein Zertifikat zu trusten
Martin (Dienstag, 28 Februar 2023 21:41)
Hallo, kann man eigentlich auch zusätzlich noch eine eigene Domain (z. B. bei Strato gekauft) einbinden, die auch DynDns unterstützt? Würde gerne 2 Domains eintragen, falls mal Duckdns nicht geht. Geht das überhaupt?
Chris (Sonntag, 26 Februar 2023 17:52)
Portfreigabe kommt bei mir z.B. überhaupt nicht in Frage. Tailscale, Wireguard oder andere VPN Lösungen senken den WAF, da die App oft schneller startet als der Tunnel aufgebaut ist.
Ich habe nun Cloudflare in Betrieb und bin sehr begeistert. Vor allem kann man noch andere Systeme damit zugänglich machen. Man benötigt jedoch eine eigene Domain. Diese gibt es jedoch schon sehr günstig, wenn man nicht unbedingt etwas bestimmtes möchte.
Ingo (Sonntag, 26 Februar 2023 16:20)
Hallo und herzlichen Dank für deinen Kommentar.
Das Maß der Dinge ist die HA App auf dem Handy, da sie bidirektional arbeitet.
Weiterhin wird Android Car im nächsten Release ein Riesenthema. Funktioniert beides auch über ipsec ?
padrake (Sonntag, 26 Februar 2023 16:03)
Netter Beitrag,
aber warum immer so kompliziert?
Die FritzBox bietet von Haus aus IPSEC und seit einiger Zeit auch Wireguard als VPN an. Voraussetzung für einen reibungslosen Betrieb ist ein aktives MyFritz auf der Fritzbox. Die Verbindung per Mobil-Device läuft per IPSEC und MyFritz App in wenigen Minuten. Auf Maschinen mit Windows oder Linux empfiehlt sich ein Wireguard Client auf Grund der deutlich besseren Performance des Protokolls.
Welche der beiden Protokolle zum Einsatz kommen, ist unerheblich. Steht der Tunnel, kann auf das interne Heimnetz zugegriffen werden. Es sind keine Portfreigaben erforderlich. auch kann auf SSL-Verschlüsselung vom HASS-Server verzichtet werden, wenn denn das interne Netz hinreichend sicher ist.
Kommt es zu Problemen mit der Namensauflösung "homeassistant.local" einfach dem HASS-Server über die Fritzbox eine feste IP-Adresse zuordnen und das WEB-GUI von HASS über diese Adresse aufrufen. (z.B. 192.168.178.215:8123)
Anleitungen über die VPN-Verbindungen zu einer Fritzbox gibt es bei AVM.
Viele Grüße, Padrake
clehaam (Samstag, 18 Februar 2023 08:46)
HA ssl cert
Zvvubj (Donnerstag, 29 Dezember 2022 09:42)
Zvjuju
Christian (Mittwoch, 03 August 2022 16:25)
Hallo Ingo,
zum Pakt mit Tuya. Nutze doch die "tuyalocal"-Integration, dann steuert dein HA ohne dem chinesischen Bruder deinen Schalter/Licht
Fel (Freitag, 11 März 2022 09:36)
Hallo Ingo,
bei uns will der Vorgang nicht funktionieren. Hast du eine öffentliche IP für deinen HA?
Wir kriegen immer die Fehlermeldung bezüglich der Zertifikate, die werden einfach nicht angelegt.
Eddi (Samstag, 15 Januar 2022 17:26)
Hallo Ingo,
eine Frage zum Thema "auf SSL umstellen" ist bei mir aufgetaucht:
In der Konfiguration des Add-ons Let's Encrypt wird Duckdns.org nicht aufgeführt. Wird es nicht (mehr) unterstützt oder verstehe ich etwas grundsätzlich falsch?
Manuel (Samstag, 08 Januar 2022 22:41)
Hallo Ingo,
ich mache mir tatsächlich auch wengier Sorgen um die Kommunikation an und für sich, als viel mehr um den offen Angriffspunkt (der weitergeleitete Port), der ja anschließend Grundsätzlich erstmal für jederman zugänglich ist. Klar kann sich vielleicht niemand anmelden, meine Sorgen ist aber vielmehr wer sagt mir dass der Angreifer nicht unter Umständen durch Sicherheitslücken in HA oder anderweitig die Anmeldung umgehen kann?
Ingo (Sonntag, 02 Januar 2022 11:55)
Hallo Manuel,
ich habe die Instanz genauso gesichert, wie es jede Bank macht. Nämlich mit SSL und Zertifikat.
wir nutzen die Handyapp. Damit kann ich Handydaten an HA übermitteln (z.B. Standort für Päsenzmeldungen) und auch meine Smartwatch funktioniert.
Weiterhin werden darüber Push Nachrichten übermittelt. (siehe auch die morgendliche Begrüßung meines Hauses)
Wie ich geschrieben habe. Sicherheitsrelevante Dinge werden nur an HA übermittelt, nicht gesteuert. Selbst wenn Unbefugte Zugriff hätten, könnten die nichts schlimmes anstellen
Manuel (Sonntag, 02 Januar 2022 00:57)
Hi,
ich bin ebenfalls ständig am hin und her überlegen, ob ich nun eine Portfreigabe einrichte oder doch lieber meine HA - Instanz nur über das VPN erreichbar mache. Was hat dich dazu bewogen die Portfreigabe einzurichten und dich nicht mit dem VPN zufrieden zu geben?
Klar habe ich bei einer Portfreigae den Vorteil direkt zugreifen zu können ohne vorher die VPN - Verbindung starten zu müssen, aber ist das so ein signifikanter Vorteil?
Meine überlegte vorgehensweise wäre Push-Mitteilungen via Threema oder Signal zu versenden und bei für mich interessanten Informationen die VPN - Verbindung aufzubauen und anschließend wie gewohnt auf HA zuzugreifen.
Würde mich freuen eine Antwort von dir zu erhalten.
Freundliche Grüße
Manuel
manuel-mayr@gmx.de