Tailscale - connecter HA via un mesh VPN network

Certes je reste convaincu que Nabu Casa est la meilleur solution pour connecter de manière sécure son instance Home Assistant depuis l’extérieur. Vous soutenez ainsi le projet et bénéficiez de l’intégration de services cloud comme Alexa et Google Assistant.

Après, pour des raisons financière ou une utilisation peu intensive de HA, il est compréhensible de ne pas vouloir payer cette souscription. De plus, Nabu Casa n’autorise qu’une connexion à un seul serveur Home Assistant et vous ne voulez peut-être ne pas repayer pour une résidence secondaire.

D’autres solutions gratuites comme Duck DNS demandent d’ouvrir un port sur votre box internet, ce qui n’est pas forcément souhaitable.

Une solution pour ne pas avoir à ouvrir de ports est d’utiliser un mesh VPN network, et Tailscale est une solution de choix.

Tailscale est gratuit jusqu’à 20 devices.

Principe

Vous installez Tailscal sur différentes machines et cela crée un réseau VPN qui permet aux machines connectées de se « voir » entre elles.

Pour prendre une image simple, c’est un peu comme si vos machines étaient reliées entre elles via à un même réseau wifi.

Donc si vous installer Tailscale sur votre Home Assistant et votre mobile, vous pourrez depuis votre mobile accéder à Home Assistant grâce à une adresse IP fournit par Tailscale.

Installation

C’est très rapide :

  • Vous créez un compte sur Tailscale

  • Vous installez Tailscale sur Home Assistant (Module complémentaire puis ajouter le module Tailscale), ouvrez l’interface web et vous connectez avec votre compte Tailscale. Ce sera automatique si votre browser est déja ouvert sur Tailscale.
    image

  • Vous installez Tailscale sur la ou les machines ou vous voulez accéder Home Assistant (PC ou mobile) .

  • L’interface Tailscale vous affichera les machines connectées : repérer l’adresse IP de HomeAssistant et accédez à votre interface HA en rajoutant :8123 (100.99.22.22:8123 dans l’exemple ci-dessous).

Je sais qu’il y a dans la communauté des experts réseaux, et leurs avis sur le niveau de sécurité de cette solution seront les bienvenus.

2 « J'aime »

Ben le problème est que le schéma de fonctionnement omet un élément majeur qui est le point central de connexion par lequel tout passe et qui est le gros point de faiblesse au niveau sécurité de l’histoire !
Qu’en-est-il de l’accès depuis le réseau local à HA? pour les capteurs et autres…

Je ne suis pas sur de comprendre. Peux tu donner un exemple concret de faille ?

Ça ajoute une interface je pense, c’est vraiment du vpn en fait car dessus c’est du wireguard. Donc cote sécurité, on est plutôt pas mal.

Et y’a pas forcément de faille mais je pense que ce que tu dis c’est qu’il a un élément central, le contrôleur côté tailscale et donc que ça dépend du cloud, non ?

Alors oui tu dépends de toute façon de l’infra Tailscale et tu n’as aucune garantie qu’il n’y a pas une grosse oreille qui écoute dans le réseau virtuel créé… car même si le mesh-vpn lui-même utilise des outils éprouvés les données voyagent en clair en dessous (donc cela n’empêche pas le besoin comme pour le net d’utiliser impérativement des communications correctement cryptées dans ce réseau mesh). Par contre c’est pas mal de surcouches au niveau communication ce qui n’est pas sans conséquence en terme de ressources si ha tourne sur une petite config et du coup la reconnexion forcément plus longue en cas de changement de réseau des clients mobiles aussi.
Je serais d’ailleurs de savoir comment cela fonctionne en terme de débit derrière des nat carrier-grade comme on a souvent sur les réseaux GSM…
En tout cas c’est comme ça que je l’ai compris !

J’ai vu qu’il y a un controleur open source headscale qui permet de remplacer tailscale sur ce point, ça me plaît plutôt pas mal comme idée du coup. Mais oui forcement ça a un coût en terme de perfs, bien envie d’essayer pour voir…

1 « J'aime »

Ah oui effectivement et dans l’idéal il faudrait le mettre sur une instance dans un datacenter avec une bonne connectivité pour optimiser le truc :wink: sachant que si c’est pour de la domotique cela ne génêre pas un traffic de malade donc ça devrait être gérable sur une petite instance :sunglasses: