Accès local en https si connecté en wifi

Bonjour,

J’ai suivi les tutos pour accéder à HA depuis l’extérieur en https, j’ai configuré Let’s encrypt et DuckDNS.
Cela fonctionne, voici ce que donne les différents accès, en local :

C’est la situation normale mais pas optimale pour moi puisque lorsque je suis connécré à mon réseau local :

  • les requêtes depuis l’application mobile passent par Internet, je préfèrerais qu’elles restent locales (si panne du FAI par exemple).
  • sur le navigateur, j’ai mon certificat en warning, et suivant les mises à jour à venir, cela risque de ne plus fonctionner un jour.

Je ne suis pas expert, et j’ai lu des heures les différents posts du forum et autres pages. De ma compréhension il en ressort :

  • « fais un reverse proxy https>http. En local, tu utilises http (plus de problème de certificat pour l’application mobile), et sur le web, utilises le https »
  • « il est possible d’autosigner un certificat pour un domaine local/IP, il faut ensuite l’ajouter côté client. C’est compliqué pour rien puisqu’en local ça ne sert à rien de chiffrer. »
    Si j’ai bien compris, il est nécessaire de copier le certificat et la clé côté serveur aussi, et là j’ai déjà celui de Let’s Encrypt pour l’accès externe. Je ne sais pas s’il est possible d’avoir 2 certificats… Et en effet, l’ensemble de la démarche est compliquée pour moi…

Pour ma part, je préfères utiliser https en local également. Je n’aime pas trop que tout passe en clair, même chez moi, et puis http pourrait ne plus être supporté un jour.

J’ai fini par trouver une solution qui me convient bien, et je souhaite la partager car j’ai l’impression qu’on est plusieurs à avoir ces besoins / souhaits.
J’ai voulu créer un sujet dans " Tutoriels & Partages" qui me semblait plus approprié, mais je n’ai pas accès au bouton. Désolé si je suis au mauvais endroit.

Ma solution est de spécifier sur mon réseau local une entrée DNS spécifique à mon domaine Home Assistant.
L’idée du DNS menteur avait été donnée par MyCanaletto qui utilise AdGuard. J’ai testé mais j’ai trouvé l’application très compliquée, avec des impacts en cas de mauvaise configuration, et surtout limitée à un client là où je préfère une solution au niveau du réseau local.

Concrètement :

  1. Installation de Dnsmasq sur HA
  2. Configuration des serveurs DNS habituels dans « defauts » (exemple DNS Google)
  3. Dans « hosts » : ajout de mon exception. Mon domaine web pointe vers l’IP de HA
  4. Côté Box FAI, j’ai mis l’adresse de mon serveur HA en serveur DNS (attention, le port 53 doit être ouvert).
  5. Redémarrages Box + DNSMasq

J’utilise uniquement l’adresse https://mondomaine:8123, je suis donc toujours en https avec un certificat valide.
Si je suis sur le réseau local, mon serveur HA est requeté en direct sans sortir sur le WAN, si je suis sur le WAN, j’accède bien à mon serveur HA.

PS: pour ceux qui comme moi ne savait pas comment vérifier que la requête DNS était locale, il faut faire un nslookup sur le domaine appliqué à votre serveur HA.

  • Avant l’intervention, l’IP de votre box apparait en serveur DNS et votre domaine pointe sur votre IP publique.
  • Après intervention, l’IP de votre serveur HA apparait en serveur DNS et votre domaine pointe sur votre IP locale.
1 « J'aime »

Personnellement j’ai un pare-feu en OPNSense ou je force même que toutes les requêtes vers les port 53 et 853 passent par le DNS de mon parefeu qui est filtré.

Je viens de vérifier ma box, et il y a aussi une option pour faire cette redirection « Home > Réseau V4 > DNS » me permet d’ajouter des nom d’hote et les IPs qui correspondent. Généralement la box fait foi de serveur DNS local.

Concernant les DNS publics, je ne recommande pas google (8.8.8.8 et 8.8.4.4) mais plutôt freenomworld (80.80.80.80 et 80.80.81.81) - il y en a d’autres qui existent et qui sont de plus « filtrant » (ils enlèvent les domaines dangereux ou à contenu insouhaitable) une offre gratuite existe avec https://www.opendns.com/ . Perso, j’utilise mon parefeu pour filtrer.

1 « J'aime »

Merci pour ces éléments.

Oui, idéalement j’aurais configuré cette entrée sur ma box mais je n’ai pas trouvé le moyen (Freebox Revolution).
Mon serveur HA est mon seul serveur (autre que la box) qui reste allumé 24h/24.
Pour les DNS Google, c’était juste un exemple. Pour OpenDNS, ils semblent dépréciés depuis un rachat par Cisco. Je n’ai pas encore creusé. Je ne connaissais pas Freenomworld, je vais regarder, merci.