Bonjour,
Au départ je n’avais qu’un besoin, pouvoir me connecter a mon HA depuis n’importe ou facilement. J’ai donc suivis un tuto vidéo de Howmation https://www.youtube.com/watch?v=U1h5KfBF2Ys
Pour éviter tout désagrément sur les règles, mis en place une simple règle sur l’adresse mail (besoin de gérer 4/5 personnes) en amont de mon accès HA, ce qui fait que toute connexion est refusé avant même d’arriver sur mon serveur HA.
Mon problème
Suite a ça, je me suis aperçues que HA companion ne pouvait pas se co, la les réponse trouver sont varié…
Après pas mal de recherche je suis tomber sur une discussion en anglais HOWTO: Secure Cloudflare Tunnels remote access - #42 by Stefan416 - Community Guides - Home Assistant Community
En gros il propose de créer un deuxième tunnel et de se co dessus avec un certificat Mtls.
J’ai fait des recherche sur le forum avec mtls mais rien vu
Mais la je vois pas du tout comment procéder:
Dans la doc de l’add-on il parle bien de pouvoir créer des ```
> additional_hosts:
> - hostname: router.example.com
> service: http://192.168.1.1
Mais si je comprend bien leur exemple, il utilise le serveur HA pour servir de passerelle sécurisé en utilisant le tunnel de base pour accéder a d’autre adresse ip de mon réseaux. En gros on utilise le tunnel de base et ça sert a rediriger suivant les sous domaine vers un appareil précis. Du coups ça ne créer pas un nouveau tunnel vers Ha, mais permet d’utiliser cloudflared pour donner autant d’accées facilement tout en gardant notre sécurité de base.
Du coups je ne vois pas comment créer se deuxième tunnel coter HA. Puis en regardant du coter de cloudflare, idem.
J’ai bien trouver un autre tuto mais pas de chance il saute l’étape création du deuxième tunnel.
Si quelqu’un a mis en place cette solution je suis preneur d’info pour créer le deuxième tunnel car je bloque 
Par avance merci
Edit du 13/08/2024 je viens de voir que j’avais mis deux fois le même lien alors qu’il manquait celui qui m’a mener vers la solution mTls
Salut,
Hum. A te lire j’ai pas bien compris pourquoi tu as choisi de partager HA avec 4/5 personnes via l’identification d’un mail en amont (htpasswd ?).
Perso j’aurai tendance à dire mettre du 2FA partout et ça marche pour les utilisateurs et pour HA
En gros comme je met la règle des Emails chez Cloudflare dans Access>Access Groups>User
Les co sont bloquer directement chez Cloudflare et non en locale, donc ne passe que les 4/5 personnes autorisé.
Le probléme de la méthode s’est que Companion HA ne gère pas l’identification par facteur mail de Cloudflare (réponse la plus commune a priori du a une redirection de lien du coté de Cloudflare).
Du coups pour utiliser Ha companion, il conseil d’utiliser un deuxiéme tunnel qui utilise un TLS « améliorer » (mTls) en gros au lieu de vérifier que d’un coter, il le font des deux serveur et client.
L’idée me parait bonne, mais pour ne pas rentrer en conflit avec la régle des mails, il conseil un deuxiéme tunnell pour éviter que les régles d’accés rentre en conflit.
Je pourrais bien entendu passer tout en mtls sur mon premier tunnel existant et retirer la régle des Emails mais je me dit que si besoin de me co a partit d’un autre appareil que les notres on a aucune solution de secours.
Voila pourquoi je cherche a garder les deux (si possible bien sur)
Edit Encore répondu trop vite vite chez cloudflare email envois un code a 6 chiffre One-time PIN
Ok donc un filtrage coté cloudflare, qui génère une authentification 2FA… ça ne m’éclaire pas sur la raison de ce choix.
Par ailleurs, le souci du deuxième tunnel, c’est pas vraiment de le mettre en place mais de le faire cohabiter avec le premier : pour arriver vers HA c’est facile, c’est la réponse (qui doit suivre le même chemin) qui va coincer.
Quant au mTLS, c’est effectivement un moyen de chiffrer sur la partie entrante avec un certificat et de chiffrer différemment (avec un autre certificat sur la partie sortante). C’est le principe du « man in the middle » 
Donc niveau sécurité, moi ça me pose un souci de principe, en plus de complexifier grandement la gestion quotidienne.
Comme dit plus haut, tu file du 2FA depuis HA pour tout le monde, tu gardes éventuellement cloudflare comme point d’entrée et zou
La raison est simple ma soeur va refaire sont appart, au passage elle m’a demander de mettre en place un peu de domotique pour certain de ses besoins.
En local rien ne l’inquiétait, puis elle m’a demander un accès extérieur pour les jours ou elle oublier de couper certaine lumière en allant bosser …
Le jour ou j’ai fait son accès extérieur (donc la mise en place de cloudflared), il n’y avait aucune règle juste le tunnel de créer , le lendemain quand on s’est croiser elle m’a dit j’ai des notif de gens qui ont essayer de se co … la elle rigoler pas …
Je lui ai dit que ça arriver a longueur de temps même sur sa box sauf qu’elle ne le voyait pas puisque box opérateur.
Elle et l’informatique ça fait deux. Je lui ai donc proposer de bloquer en amont pour qu’elle stresse moins comme ça elle ne voyait plus les tentatives de co et elle utiliser un navigateur pour accéder à HA.
Donc la solution lui va depuis 5/6 jours environ sauf que quand elle a vu l’appli companion sur son smartphone ben elle l’a installer et la pouf marche pas.
L’informatique ne l’intéresse pas dans tout les domaines, mais sont smartphone s’est autre chose « vitale » 
Voila pourquoi je cherche a faire une authentification en amont du réseau locale et donc de HA.
En tout cas merci du temps que tu m’as accordé
ça me renforce dans mon idée : beaucoup trop compliqué et en plus tu n’es pas sur place en cas de souci.
J’en reste à la solution simple :
- Dans HA, désactiver les notifications.
- Mettre le 2FA dans HA (si on veut garder une authentification forte)
Bonjour
Pour ma part, je suis un grand adepte de cloudflare zero trust. Et voulant utiliser le tunnel cloudflare depuis l’application mobile, j’ai mis en place la stratégie MTLS (certificat coté client) car impossible de répondre à un challenge par email depuis l’application compagnon home assistant Android.