Accès à home assistant depuis l'extérieur avec un vpn gratuit et opensource

Bonjour,

si ce post vous a aidé, merci de cocher la case solution

Je constate que régulièrement des utilisateurs ouvrent leur port sur internet pour accéder à home assistant et d’autres services.
A moins de savoir ce qu’on fait, il est toujours risqué car plus on ouvre de port, plus on multiplie le risque de faciliter l’intrusion par des co**ards. Avec un VPN comme wireguard, on est pas à l’abri de failles, mais on n’ouvre qu’un seul port sur internet, le code est simple, opensource et est corrigé très rapidement.
Un inconvénient que je comprend est que seul les appareils ayant le certificat du VPN peuvent se connecter. si on a qu’un smartphone et qu’on le perd, on ne peut plus se connecter tant qu’on a pas validé un autre appareil. Rien n’empeche d’avoir plusieurs appareil simultanément. Il est aussi possible de stocker le qrcode quelques part pour l’activer sur un autre smartphone.

Le VPN n’est pas obligatoire 24/365. Mais personnellement je l’ai sur le miens en permanence depuis 1 an et je n’ai pas eu de problème depuis. Je peux même passer par les hotspots public sans craindre car la communication est chiffré de bout en bout en plus du https

Dans mon cas je suis une freebox. Si vous être chez un autre FAI qui le propose en natif sur la box, vous pouvez l’ajouter en commentaire plus bas pour les autres.

Edit 1:
J’ai rajouté un lien vers une vidéo de TontonJo pour Wireguard docker et un lien vers un tuto openWRT C’est moins évident pour un débutant

Une solution est le VPN. Je ne parle pas du VPN pour regarder la SVOD aux USA, mais d’un VPN point à point entre par exemple un smartphone et votre réseau local quelque soit l’endroit du monde où vous vous trouvez.
Pas besoin de duckdns ni de certificat car c’est natif et la liaison se fait automatiquement

L’installation et la configuration est très simple. Une fois fait, votre smartphone est dans votre réseau local; Donc vous avez accès comme si vous étiez chez vous en wifi.

Il suffit de taper l’IP de HA local (192.168) par exemple

Si vous consultez la carte pour vous géolocaliser dans home assistant, il vous indiquera l’endroit où vous êtes et pas l’endroit de l’endroit où se trouve l’accès internet (box maison par exemple).

**EDIT2: La partie qui suis est a mettre a jour car il semble possible d’autoriser le vpn que pour une IP en particulier sur le réseau local et le reste passe en direct en modifiant le dmfichier de configuration de wireguard et de modifier la partie « AllowedIPs »
Voir lien ici ou sur Google.

Ainsi que là

**

Cette solution n’est pas à privilegier si votre connexion internet à la maison est en RTC ou très tres bas débit car si vous voulez regarder netflix par exemple sur votre smartphone, il faut doubler la bande passante au niveau de la freebox car le trafic du smartphone passe par la box(flux entrant de netflix qui sera immediatement envoyé sur votre smartphone). Concernant le smartphone, cela ne doublera pas votre forfait 4/5G puisque ça n’est que du flux entrant. Il faut prendre aussi en compte que le vpn est semble t’il le plus performant, mais le débit peu être réduit de manière significative. Je ne m’en étais pas rendu compte, donc à moins que vous ayez besoin d’un gros débit, on ne le remarque pas. Je peux faire du svod fullhd sans problème.
Il est donc conseillé d’avoir la fibre ou de l’ADSL minimum (estimation qui varie en fonction des cas) 20mbs pour 2 flux video fullHD (faut en laisser pour la famille)

Il semble que ça ne règle pas le problème de ceux qui ont des intégrations qui oblige le HTTPS (Alexa, etc)
Vous devrez régler ce problème dans tous les cas

Il est possible d’avoir plusieurs smartphone/PC/etc sur le VPN Wireguard.
ça fonctionne aussi avec widnows, mac, linux, docker, etc
Mais je conseille de laisser votre FAI gerer les mises à jour de sécurité dans un premier temps si c’est possible

La configuration entre un smartphone et la freebox est ici :(lavidéo n’est pas de moi)

Cette vidéo est pour du docker + un client windows:

Le lien openWRT

Sur esphome (pas testé)
Très pratique si vous voulez lire un compteur ou des sondes dans un local/logement par exemple. Je me pose la question si c’est valable aussi pour de l’esp32-cam :

5 « J'aime »

Bonjour,
tu devrais rajouter freebox dans le titre, car je me suis fais bananer ayant une livebox :sweat_smile:
Je fais comment avec ma livebox et ton lien ?

En tout cas merci du tuto pour la FREEBOX. :+1:

Mais si je marque Freebox dans le titre, ceux qui n’ont pas Freebox ne liront pas que ça peut fonctionner sur d’autres box.

Je vais éditer le corps pour préciser que c’est pour Freebox mais qu’il est libre de spécifier un tuto/vidéo pour les autres bix

2 « J'aime »

Dans ton cas si tu t’y connais, rien ne t’empêche d’installer wireguard sur un rpi, ubiquity ER-x, docker.
Tu utilises un port différents que celui officiel pour limiter les scan des crevard sur ta box. Ce port ira sur ton wireguard.
Ton smartphone sortira sur ton lan.

Cette solution est moins évidente à mettre en place et peut rebuter. L’idée est principalement de sensibiliser ceux qui ne sont pas conscients des risques d’ouvrir des ports à tout va.

J’ai vu qu’il y a un module complémentaire Wireguard pour HA. Je testerai a l’occase.

1 « J'aime »

Si tu trouves un tuto, tu peux le mettre ici. Ça m’intéresse pour les cas des box qui ne gère pas WG

Salut
C’est effectivement une bonne solution pour accéder à Home Assistant. Tu préconise minimum ADSL avec 20Mb, mais ça dépend du nombre d’utilisateurs et des cas d’utilisation. Tu devrais préciser que lorsque wireguard est activé, TOUT le traffic du téléphone passe par la box, même si on n’est pas chez soi.
Personnellement, je suis à la campagne, et je n’ai pas la fibre. Je travaille régulièrement en télétravail. Je suis sûr que cette méthode ne convient pas à mon foyer.
Un défaut (ou un avantage pour certains), c’est qu’il faut utiliser un appareil configuré. Tu te fais voler/perd ton téléphone, tu n’as plus accès à HA.
Un autre point, tu dois avoir wireguard activé, si tu veux recevoir les notifications natives de HA.
C’est une bonne solution pour les régions avec la fibre et 4g/5g, mais pas à la campagne.

1 « J'aime »

Merci pour le partage. Je suis d’accord, ouvrir un port est déconseillé car les ackers scannent en permanence les ports ouverts sur internet pour lancer des attaques. Je ne recommanderai donc pas les solutions en accès direct https type DuckDNS.

Un VPN est une bonne solution. Une autre solution est Tailscale qui marche aussi très bien avec HA, a une intégration spécifique sur HA, se configure en 10mn, n’a pas besoin de freebox ou autre serveur. Mais attention, suivant sa config, un VPN donne potentiellement accès a tout son réseau de l’extérieur, pas que HA, et implique d’avoir des devices mobiles bien sécurisés, et si possible un réseau avec des VLAN.

Perso je recommande plutôt une solution de type proxy tier comme Cloudflare. Et reste ensuite Nabucasa.

3 « J'aime »

Alors, j’ai parlé du nombre d’utilisateurs et du débit.
Le THD est amené à se développer même a la campagne.

Me concernant, j’habite à la campagne et je n’ai que la 4g + fibre et je n’ai aucun problème. Le vpn est activé 24/365

Pour le cas de la perte du smartphone, tu le perds tous les jours ?
Rien n’empêche d’activer une alternative si la batterie est faible. La commande peut se faire par un mail de secours à usage unique type « portknocker »

Comme dis, je ne me suis jamais trouvé dans ce genre de situation. Au pire il y a Celui de ma femme.

Pour moi, le risque est l’usage de machine non secure ailleurs/public et la multitude de port ouvert sur internet.

Mais chacun est libre de faire comme il veut. Je constate juste que pas mal de gens posent des questions sur des problème d’accès de l’extérieur avec des DDNS.

Je comprends les remarques mais là je parle d’un usage simple pour Mme Michu.
Tout ce que tu dis, doit être simple pour toi, mais moi ça ne me parle pas. Et certains truc semble payant.

Quand on a un niveau plus élevé, rien n’empêche de passer sur ces solutions. Ça sera peut-être le cas pour moi dans quelques semaines/mois.

Pour la sécurité par rapport à l’accès au réseau, c’est pas différent de la majorité des gens qui ont le wifi sur smartphone à la maison. Moi j’ai accès à tout comme un pc etc.
Sauf que je suis dans le réseau en permanence quelques soit l’endroit où je suis.

1 « J'aime »

Quelqu’un a modifié le titre pour mettre la balise Freebox. Le problème est que ce thread n’est pas dédié Freebox mais est ouvert à toutes les box.

Je ne suis pas d’accord avec ce changement d’autant plus que je l’ai bien précisé au début du message.

Mise à jour du post pour intégrer un tuto Wireguard docker et openwrt

Non, mais ça m’est déjà arrivé.

Je suis tout à fait d’accord avec toi. Mais je pense que cet usage devrait être réservé à un public averti, et pas à « Mme Michu ». ç’est simple à configurer, mais il faut avoir conscience des implications et des risques.

Je suis aussi de cet avis. Ce n’est pas aussi simple de mettre en oeuvre, mais ça comporte moins de risques et ç’est tout aussi secure.

Le public averti utilisera toutes les autres solution (openvpn, cloudflare, etc) et les non averti qui veulent acceder à leur logiciel depuis internet une solution type WireGuard est fortement conseillé. Concernant cloudflare, j’ai vu un article il y a peu sur un problème de sécurité (il y en avait eu un un jour sur un problème avec WG.

Sinon il existe d’autres solution comme teamviewer encore plus simple et « universel » et la roue de secours en cas de perte de ton smartphone.

concernant les risques pour Mme michu, je vois pas trop à part ne plus pouvoir acceder à internet si le mode exclusif de WG est activé et qu’il n’est pas actif sur android. ça met arrivé parce que quand tu ferme toutes les application, ça coupe aussi WG. Il faut mettre le cadenas sur WG pour qu’il ne soit pas fermé

**Pour rappel, ce thread est principalement fait pour que Mme Michu sache qu’il existe une solution pour sécuriser à minimasa communication.
Dans mon cas, je l’utilise pour l’accès à mon NAS, à Home Assistant, partage de compte svod (famille uniquement), backup externe depuis le local pro.
Par la suite, je souhaite que toutes les machines passent par un VPN vers chez moi pour faire du filtrage mail/web, filtrage parental, et d’autres truc encore.

Peut être que d’ici là je passerai par openvpn ou autres solution. On veraseulement si c’est necessaire parce que WG pose problème.

Pour ceux qui utilisent Ubiquiti (donc pas Mme Michu), Wireguard est maintenant disponible sur les Dream Machine.

2 « J'aime »

Wireguard est très bien, mais nécessite d’ouvrir un port et ne résous pas le problème du certificat.

La solution Cloudflared ne nécessite pas d’ouvrir de port et gère le certificat définitivement.

J’ai rien contre les autres solutions.
Dans mon cas et ceux à qui j’ai proposé wireguard, c’est pratiquement plugnplay. Un seul port est ouvert, le code est Open Source et soumis à audit de sécurité. C’est gratuit. Ça Respecte la vie privée.

Pour.ceux qui n’ont pas de box gérant WG, ta solution peut faire l’affaire dans une certaine mesure. Je n’ai pas approfondie le sujet mais est-ce que ton smartphone/pc est dans le LAN comme c’est le cas avec WG ? Parce que sinon se limiter uniquement au web ça semble pas tellement pratique.

Mais mon objectif est avant tout de sensibiliser les gens (débutants) pour que leur connexion ne soit pas une passoire. Le reste peut faire l’objet d’un débat.

Ben oui, sur HA des lors que l’appli détecte que tu est connecté en local tu ne te connecte pas via le web mais localement, pareil pour le PC

Je persiste, ajouter sur un smartphone un client VPN (quel qu’il soit) n’est pas une solution. Peut être pour un geek, mais pas pour monsieur/madame tout le monde. De plus quid de la remontée de la géoloc via l’appli quand le client VPN se déconnecte ?

Pour moi la seule solution fiable est Nabu Casa ou Cloudflare (reverse proxy + tunnel). De plus avec cloudflared (qui est gratuit, ok il faut un domaine) tu peux limiter la connection par zone géographique (à la France par exemple).

Mais j’adore WG, on peu aussi jouer avec Tailscale (basé sur du WG) ou Zerotier), mais pour d’autres usages, Zerotier me sert par exemple à accéder en SMB à des HA distants…)

Mais tu as raison, il faut éduquer, expliquer…

Je ne comprends pas pourquoi c’est trop geek par rapport à une solution reverse qui nécessite un reverse proxy + un compte etc
WG sur Freebox est super facile à mettre en œuvre et tu es dans ton réseau comme si tu étais à la maison

Me concernant, je ne coupe jamais le client vpn. Pourquoi d’ailleurs ? Quelque soit l’endroit où je me connecte j’ai le tunnel qui chiffre mon trafic. Je peux me connecter chez des amis, hotspot, etc à moindre risque.
Et surtout, j’ai accès à tous mes services et matériels chez moi sans me prendre la tête avec du nat, ngix et autres truc qui posent problème (on en voit souvent sur hacf avec ce problème

Et si tu n’as pas de Freebox ou autre box avec serveur WG, tu as le Addon pour home assistant

Je ne parle pas du coté serveur, le geek est là et il faut son taff et ça lui plait.

Coté mobile un accès par reverse proxy c’est l’application HA + user et mdp et basta.

Via un VPN c’est une appli en + à configurer ce qui en général va nécessiter ton intervention sur le mobile d’un tier, ce à quoi je me refuse (confidentialité, etc).

De plus il arrive que le VPN se déconnecte selon la qualité des réseaux.

Après chacun fait comme il le souhaite, mais pour le débutant va s’y perdre et comme d’autres je persiste, Cloudflare ou NabuCasa.

En + NabuCasa résoudra la question des assistant virtuels et permet de soutenir le projet (a vrai dire je ne me sert plus de NabuCasa pour l’accès car j’ai basculé sur Cloudflare, mais je continue à payer car je n’ai pas envie que HA devienne un projet en perdition et que je mesure l’ampleur de la tache. Après je comprends aussi que certains n’en ai pas les moyens et utilisent des alternatives.).

1 « J'aime »