Bonjour,
J’ai suivi les tutos pour accéder à HA depuis l’extérieur en https, j’ai configuré Let’s encrypt et DuckDNS.
Cela fonctionne, voici ce que donne les différents accès, en local :
- https://domaine:8123 : OK
- https://IP:8123 : OK mais alerte du navigateur à propos du certificat SSL
- http://IP:8123 : KO
C’est la situation normale mais pas optimale pour moi puisque lorsque je suis connécré à mon réseau local :
- les requêtes depuis l’application mobile passent par Internet, je préfèrerais qu’elles restent locales (si panne du FAI par exemple).
- sur le navigateur, j’ai mon certificat en warning, et suivant les mises à jour à venir, cela risque de ne plus fonctionner un jour.
Je ne suis pas expert, et j’ai lu des heures les différents posts du forum et autres pages. De ma compréhension il en ressort :
- « fais un reverse proxy https>http. En local, tu utilises http (plus de problème de certificat pour l’application mobile), et sur le web, utilises le https »
- « il est possible d’autosigner un certificat pour un domaine local/IP, il faut ensuite l’ajouter côté client. C’est compliqué pour rien puisqu’en local ça ne sert à rien de chiffrer. »
Si j’ai bien compris, il est nécessaire de copier le certificat et la clé côté serveur aussi, et là j’ai déjà celui de Let’s Encrypt pour l’accès externe. Je ne sais pas s’il est possible d’avoir 2 certificats… Et en effet, l’ensemble de la démarche est compliquée pour moi…
Pour ma part, je préfères utiliser https en local également. Je n’aime pas trop que tout passe en clair, même chez moi, et puis http pourrait ne plus être supporté un jour.
J’ai fini par trouver une solution qui me convient bien, et je souhaite la partager car j’ai l’impression qu’on est plusieurs à avoir ces besoins / souhaits.
J’ai voulu créer un sujet dans " Tutoriels & Partages" qui me semblait plus approprié, mais je n’ai pas accès au bouton. Désolé si je suis au mauvais endroit.
Ma solution est de spécifier sur mon réseau local une entrée DNS spécifique à mon domaine Home Assistant.
L’idée du DNS menteur avait été donnée par MyCanaletto qui utilise AdGuard. J’ai testé mais j’ai trouvé l’application très compliquée, avec des impacts en cas de mauvaise configuration, et surtout limitée à un client là où je préfère une solution au niveau du réseau local.
Concrètement :
- Installation de Dnsmasq sur HA
- Configuration des serveurs DNS habituels dans « defauts » (exemple DNS Google)
- Dans « hosts » : ajout de mon exception. Mon domaine web pointe vers l’IP de HA
- Côté Box FAI, j’ai mis l’adresse de mon serveur HA en serveur DNS (attention, le port 53 doit être ouvert).
- Redémarrages Box + DNSMasq
J’utilise uniquement l’adresse https://mondomaine:8123, je suis donc toujours en https avec un certificat valide.
Si je suis sur le réseau local, mon serveur HA est requeté en direct sans sortir sur le WAN, si je suis sur le WAN, j’accède bien à mon serveur HA.
PS: pour ceux qui comme moi ne savait pas comment vérifier que la requête DNS était locale, il faut faire un nslookup sur le domaine appliqué à votre serveur HA.
- Avant l’intervention, l’IP de votre box apparait en serveur DNS et votre domaine pointe sur votre IP publique.
- Après intervention, l’IP de votre serveur HA apparait en serveur DNS et votre domaine pointe sur votre IP locale.