Avis/conseils sur l'accès à Home Assistant depuis l'extérieur

Effectivement, pas barbu, carrément velu ! :smiley:
Plus sérieusement c’est sacrément pointu, mais claire qu’avec tant d’expérience réseau fallait bien ça.

Il y a les barbus et ceux pour qui c’est le métier :wink: (oups j’ai les deux :rofl: )

1 « J'aime »

Merci pour ces explications je vais suivre tes conseils

Va voir https://forum.hacf.fr/t/acceder-a-home-assistant-a-distance/2744
Les infos sont plus détaillées que ce que j’ai écrit. Et en plus, on est d’accord avec @pozzi !

Bonsoir je ne saisit pas ce passage Routage des ports (NAT)

  • vers le port 80 de votre hôte de Home Assistant. il faut écrire quoi ?
  • vers le port 443 de votre hôte de Home Assistant

Bonsoir @Ricou, tu peux inclures une citations de l’article dans ta réponse ce qui permettra de préciser le contexte.
Pour ce faire, quand que crée une réponse tu peux remonter dans l’article, sélectionner le texte auquel tu veux faire référence et utiliser l’option « Citer » qui apparait juste à gauche de la sélection.

Sinon tu peux aussi consulter l’article https://forum.hacf.fr/t/acceder-a-home-assistant-a-distance/2744 qui t’apportera peut-être d’autres éclaircissements !

Bonjour à tous !

Heureux de tomber sur ce fil de discussion ainsi que sur le tuto de Pozzi.
Malhreuseument, il m’inquiète plus qu’il ne me rassure :stuck_out_tongue:

J’ai chez moi (entre autre) une box Orange, un NAS QNAP et Home Assistant sur un Raspberry PI3.
Par mesure de sécurité, j’ai désactivé l’accès à mon NAS QNAP via le dns de QNAP et désactiver les règles NAT qui permettaient d’accéder à mon NAS. Dommage car c’était tout de meme sympa.
Depuis, j’ai mis en place Home Assistant sur le RPi et j’ai découvert le VPN.
Alors voici ce que j’ai fais :

  • Installation de DuckDNS pour la gestion d’un DNS avec certificat lets encrypt.
  • Installation de l’add-on WireGuard sur RPi pour gérer le VPN
  • Autorisation que des mes smartphone pour l’accès sur le VPN avec l’application WireGuard.
  • ajout d’une seule regle NAT pour la redirection du port VPN sur ma livebox.

Résultat : j’ai accès à Home Assistant et à mon NAS quand j’utilise le VPN de l’extérieur.

Ce qui m’inquiète, c’est que ca ne m’a pas paru complexe à faire contrairement à ce que vous prétendez. Donc qu’ai-je oublié ?

Rien, on dirait.
Tu dois sous-estimer tes connaissances ! :slight_smile:

Ahah peut être alors :smiley:

Par contre, dans ton explication du 1er post, tu parles de :

  • mise en place d’un firewall
  • d’une boîte supplémentaire avec 2 ports réseaux.

Là tu m’as perdu :stuck_out_tongue: Pourquoi une boîte supplémentaire ? Le firewall ou ça ?

Ma confiance dans les box des opérateurs étant très proche de zéro, l’idée est de ne rien leur faire faire, ou le moins possible, et de gérer la sécurité sur un boitier dédié connecté sur la box. Tout le reste de mon réseau est derrière le firewall (opnsense dans mon cas).

Ca donne une solution comme ça

Box <-> Firewall <-> LAN (filaire et wifi)

Et le VPN est donc sur le firewall et pas sur HA. Pour moi, HA ne devrait faire que la partie domotique et le reste c’est sur une autre boîte, ou une autre VM si tu es virtualisé.

Après, c’est un choix perso. En fonction de ce que l’on veut faire et sait faire.

Super Tuto,

Effectivement il faut avoir une solution à la problématique du 3.1

Concernat le point 3.2 « 3.2 Garder HA en HTTP et rajouter un proxy »

En plus du duckdns et let’s encrypt, il faut rajouter un addon comme NGIX Proxy Manager (https://github.com/hassio-addons/addon-nginx-proxy-manager ) qui, pour une raison qui m’échappe à aussi besoin de l’addon mariadb.

==>> Je n’utilise pas le NGIX Proxy manager mais l’addon "NGINX HA SSL Proxy " (
addons/nginx_proxy at master · home-assistant/addons · GitHub ) pour faire du https en distant avec le nom de domaine et http en local avec l’IP

Ah ok ! Je comprend mieux.
Opnsense tourne sur un RPi ?
J’imagine qu’un bon routeur du commerce pourrait également faire l’affaire ? (je ne m’y connais pas du tout en router ^^)

Il faut une boîte avec deux ports Ethernet. Donc, un Rpi non (sauf à utiliser un adaptateur USB, ce qui ne me tente pas…).
Sur aliexpress par exemple, chercher « qotom » sinon, un boitier firewall tout fait comme ubiquiti.
Après, un routeur netgear (par exemple) peut aussi faire l’affaire. Mais, un routeur ce n’est pas un vrai firewall.

L’addon que tu utilises semble bien moins intéressant que NPM (Nginx Proxy Manager). Ce dernier évite d’utiliser la config yaml et prend en charge directement let’s encrypt.

2 « J'aime »

Je ne connaissais pas NPM. J’ai l’impression qu’il ne gère pas de VPN. WireGuard met en place un VPN et ouvre ainsi un canal vers les autres interface du réseau (et dont home assistant) qui me paraît plus sécurisé. Non ?

VPN et Reverse Proxy n’ont pas le même but.

Désolé, je n’avais pas remarqué que tu répondais à gerardsamara. Je pensais que tu faisais référence à Wireguard :wink:

Concernant ma box je suis passé par obligation sur une flibox
4 G on ne peux pas régler les ports ?

C’est à dire? Autoriser des accès entrants vers certains ports?
Si c’est le cas, avec zerotier, ça doit quand même marcher. Ca crée une espèce de point de rendez-vous dans le cloud et la connexion est sortante depuis chez toi. Donc, même en 4G ça doit marcher. A vérifier quand même…

Merci pour l’info mais c’est donc dans le cloud.
Sur la Flybox orange pas possibilité