Certes je reste convaincu que Nabu Casa est la meilleur solution pour connecter de manière sécure son instance Home Assistant depuis l’extérieur. Vous soutenez ainsi le projet et bénéficiez de l’intégration de services cloud comme Alexa et Google Assistant.
Après, pour des raisons financière ou une utilisation peu intensive de HA, il est compréhensible de ne pas vouloir payer cette souscription. De plus, Nabu Casa n’autorise qu’une connexion à un seul serveur Home Assistant et vous ne voulez peut-être ne pas repayer pour une résidence secondaire.
D’autres solutions gratuites comme Duck DNS demandent d’ouvrir un port sur votre box internet, ce qui n’est pas forcément souhaitable.
Une solution pour ne pas avoir à ouvrir de ports est d’utiliser un mesh VPN network, et Tailscale est une solution de choix.
Tailscale est gratuit jusqu’à 20 devices.
Principe
Vous installez Tailscal sur différentes machines et cela crée un réseau VPN qui permet aux machines connectées de se « voir » entre elles.
Pour prendre une image simple, c’est un peu comme si vos machines étaient reliées entre elles via à un même réseau wifi.
Donc si vous installer Tailscale sur votre Home Assistant et votre mobile, vous pourrez depuis votre mobile accéder à Home Assistant grâce à une adresse IP fournit par Tailscale.
Vous installez Tailscale sur Home Assistant (Module complémentaire puis ajouter le module Tailscale), ouvrez l’interface web et vous connectez avec votre compte Tailscale. Ce sera automatique si votre browser est déja ouvert sur Tailscale.
Vous installez Tailscale sur la ou les machines ou vous voulez accéder Home Assistant (PC ou mobile) .
L’interface Tailscale vous affichera les machines connectées : repérer l’adresse IP de HomeAssistant et accédez à votre interface HA en rajoutant :8123 (100.99.22.22:8123 dans l’exemple ci-dessous).
Ben le problème est que le schéma de fonctionnement omet un élément majeur qui est le point central de connexion par lequel tout passe et qui est le gros point de faiblesse au niveau sécurité de l’histoire !
Qu’en-est-il de l’accès depuis le réseau local à HA? pour les capteurs et autres…
Ça ajoute une interface je pense, c’est vraiment du vpn en fait car dessus c’est du wireguard. Donc cote sécurité, on est plutôt pas mal.
Et y’a pas forcément de faille mais je pense que ce que tu dis c’est qu’il a un élément central, le contrôleur côté tailscale et donc que ça dépend du cloud, non ?
Alors oui tu dépends de toute façon de l’infra Tailscale et tu n’as aucune garantie qu’il n’y a pas une grosse oreille qui écoute dans le réseau virtuel créé… car même si le mesh-vpn lui-même utilise des outils éprouvés les données voyagent en clair en dessous (donc cela n’empêche pas le besoin comme pour le net d’utiliser impérativement des communications correctement cryptées dans ce réseau mesh). Par contre c’est pas mal de surcouches au niveau communication ce qui n’est pas sans conséquence en terme de ressources si ha tourne sur une petite config et du coup la reconnexion forcément plus longue en cas de changement de réseau des clients mobiles aussi.
Je serais d’ailleurs de savoir comment cela fonctionne en terme de débit derrière des nat carrier-grade comme on a souvent sur les réseaux GSM…
En tout cas c’est comme ça que je l’ai compris !
J’ai vu qu’il y a un controleur open source headscale qui permet de remplacer tailscale sur ce point, ça me plaît plutôt pas mal comme idée du coup. Mais oui forcement ça a un coût en terme de perfs, bien envie d’essayer pour voir…
Ah oui effectivement et dans l’idéal il faudrait le mettre sur une instance dans un datacenter avec une bonne connectivité pour optimiser le truc sachant que si c’est pour de la domotique cela ne génêre pas un traffic de malade donc ça devrait être gérable sur une petite instance
j’ai un pote à moi pour qui j’ai préparé un homeassistant qui n’as qu’une connexion 4G basique à la maison pas d’ADSL ni de fibre… j’était parti sur du duckdns qui fonctionnais bien chez moi lors de mes tests mais comme on est sur une 4G… bin y’as rien qui fonctionne chez lui…
ça marche très bien, mais il faut mettre en réseau les machines : installer tailscale à la fois sur Home Assistant et sur par exemple son mobile, en utilisant le même compte Tailscale. Les 2 tailscale vont se connecter et mettre le mobile et le serveur en réseau, comme si ils étaient en wifi…
Excellent !!
Oui difficile de faire plus simple. Le seul bémol est de devoir ouvrir le client VPN tailscale avant de se connecter avec l’appli Home Assistant (sur mobile en particulier).
Tailscale est l’outil idéal pour connecter 2 sites et 2 instance Home Assistant : résidence principale et secondaire par ex.
Pour connecter un mobile a son serveur Home Assistant distant, ma solution préférée reste cependant Cloudflare (si on exclut Nabu Casa). Il n’y a pas besoin d’une appli en plus.
Voir le chapitre sur les types d’accès extérieurs sur le portail
sachant que si c’est pour de la domotique cela ne génêre pas un traffic de malade donc ça devrait être gérable sur une petite instance 