J’ai quelques questions concernant la connexion aux serveurs de mon réseau en HTTPS.
Voilà actuellement ma configuration qui fonctionne : j’ai un DynDNS chez no-ip qui est configuré sur ma box : xxx.ddns.net. J’ai fait des redirections de port sur ma box, par exemple pour mon HA, le 8123 vers le 8123 en TCP/UDP vers l’ip fixe du raspberry qui héberge HA (idem pour mon Octoprint). Donc maintenant, lorsque je tape http:// xxx.ddns.net:8123 je vais vers mon HA, :5000 pour mon Synology, un autre pour octoprint. Tout fonctionne à merveille, le seul problème, c’est niveau sécurité car je suis en HTTP et non en HTTPS…
J’ai donc voulu mettre en place un proxy inversé via mon Synology, mais ma solution de pouvoir pointer plusieurs serveur de mon réseau ne fonctionne plus !
Quelle solution me conseillez vous svp ? J’ai acheté un nom de domaine OVH pour suivre ce tuto, mais malheureusement il m’est impossible de configurer le DynDNS OVH sur ma box internet (je suis chez Kiwi Fibre, j’ai pas le choix, il n’y a que eux qui me propose la fibre dans mon patelin…)
Bonjour
Dans a peu près la même config que toi, j’ai monté l Addon wireguard sur le Ha
Installé le client wireguard sur mon Smart et sur ma tablette et voilà une belle connexion via vpn
Si ta box ne gère pas wireguard, il y a le addon HA
Seul les appareil ayant l’autorisation peuvent se connecter. Ton appareil (smartphone, PC, etc) seront dans ton réseau local. Donc comme si tu étais à la maison.
Mais cette solution ne me permettrais plus de me connecter à d’autres serveurs, à moins que je me trompe ? Et si je mets cela en place, il faut que je supprime toutes les configurations que j’ai actuellement sur la box ?
Donc une redirection de port : 51820 vers le 8123 du raspberry qui héberge HA ? Comment j’accède à d’autres serveurs par la suite ? Et niveau sécurité, je serais toujours en HTTP ?
Si tu mets ton pc sur le vpn wireguard, tu es sur ton réseau local commensibtu étais chez toi.
Entre ton pc internet et ton réseau local, c’est chiffré.
Le reste est identique.
Moi je n’ai que le smartphone sur wireguard. Quand je suis nomade, c’est une connexion wifi entre mon pc et le smartphone. Mon pc tout seul n’est pas autorisé à se connecter. Mais je peux lui donner les droits si je veux.
J’ai accès à HA, mon imprimante, esphome, etc
Le vpn ne fait rien de plus que de mettre nton appareil dans le réseau local de manière sécurisée
Reprenons depuis le début
Tu conserve ton dans.net via no-ip
Tu installes l’addon wireguard dans Ha
Tu renseignes ton dans dans le Host de l Addon
Tu installes un client wireguard sur tes Android mac et Pc
Tu récupères dans ha sous //ssl/wireguard/hassio
Soit le fichier « client.conf » a insérer dans ton client wireguard
Ou le « qrcode.png » que tu peux flasher depuis le client Wg
Ensuite tu modifie ton natage dans ta box
Et une fois ton client lancé tu n’ est pas connecté directement a ton Ha mais a ton Vpn
Tu as donc accès à tout ton réseau et u peux te connecter à Ha soit par ton navigateur ou ton appli et au reste comme d’habitude
Ayant une Freebox, je n’ai jamais testé pour le moment la version docker.
Wireguard est même géré par esphome. Pratique si on veut mettre des esp sur un réseau local non sécurisé (pour remontée sonde et conso dans de la location par exemple)
Oui, tu te trompes. Cet add-on permet de rediriger ton nom de domaine sur ton adresse IP publique.
Tu pourrais toujours te connecter à plusieurs machines. Les redirections de tes ports sur ta box continueraient de fonctionner.
Quelles configurations ? Pour no-ip ? non, tu peux laisser, mais ça fait doublon avec ton nom de domaine.
Super merci pour vos retours, je vais tester la solution Wireguard ça m’a l’air pas tout mal. Le seul truc c’est qu’il faut que ça soit « simple ». J’entends par là que pour ma femme, il faut que l’application HA fonctionne sur son téléphone comme actuellement, c’est à dire qu’elle soit à la maison, ou dehors, elle lance l’application ça se connecte (pas qu’ils faille lancer une appli tierce avant de lancer l’application HA, sinon elle ne le fera jamais).
Pour t’expliquer comment c’est sur mon smartphone par exemple.
Sur android, j’installe l’application Wireguard, je l’ouvre, j’ajoute un réseau, je scan le qrcode généré par wireguard et je m’assure que wireguard n’est pas otpimisé batterie, etc.
C’est tout.
Si tu regarde mon lien il y a des explications/tuto
Dans ton cas regarde si ta box internet gère wireguard ou même mieux, il me semble de le Edgerouteur X peut le faire.
L’avantage de cette solution est que tu peux te connecter depuis n’importe où en wifi (hotspot Macdo, etc) mais aussi en 4G. Et ton HA détectera ta vrai position GPS. Pratique quand tu fais un scenario quand tu t’approche de la maison.
Commence par ton smartphone pour comprendre comment ça marche et ensuite tu fais pareil avec les autres appareils (Smartphone, PC windows, Mac, liux)
Chaque solution a ses avantages et ses inconvénients. C’est à toi de définir tes critères et de choisir la solution adéquate.
Pour moi, wireguard est à utilisé par un utilisateur avancé. C’est effectivement simple à mettre en place. Mais ç’est moins simple pour configurer et à l’usage. Si je met ça à ma femme, au bout d’une semaine, elle me balance le téléphone sur la tête, en m’insultant que ça ne marche pas.
Honnêtement pour un utilisateur type Mme Michu, je vois pas ce qu’il y a de compliqué à l’usage.
La configuration se fait par un QRcode.
Il peut y avoir des particularité mais ça c’est pas ta femme qui s’en occupe mais toi comme par exemple gérer le SVOD en direct (sans passer par le VPN) et le reste par ton VPN.
L’autre problème peut-être sur certaines intégrations qui demandent du HTTPS (comme les truc Alexa ou Ok google)
T’as un exemple concret d’un probleme ?
Dans mon cas comme je suis dans mon lan, j’ai pas besoin de faire du routage de port. J’ai par exemple 2 IP pour ha. Une pour le HA prod et une pour le dev. Toutes les 2 accessibles sur le 8123.
Et pour finir, wireguard peut-être un début. Il peut très bien évoluer sur des solutions plus lourdes et complexes à mettre en place et maintenir en ouvrant les ports wan de sa box
Si, mais il n’y en a qu’un et il fait ça tout seul comme un grand.
Pas besoin de le faire pour le reste puisque t’es dans le LAN.
N’oublie pas que pour chaque port que tu ouvres tu créer un risque de sécurité supplémentaire. T’as intérêt que tous tes services soient à jour et à lire chaque changelog s’il y a des modifications à faire.
Avec ce vpn, je peux faire les mises à jour de ha par exemple avec 1 mois de retard pour pas me prendre un gros bug. J’attends que les gens pressés fassent leur retour. Niveau sécurité, je risque vraiment pas grand chose a attendre.
